對(duì)相關(guān)申請(qǐng)的交叉引用

本申請(qǐng)根據(jù)35?U.S.C.§119(e)要求2005年6月29日提交的美國(guó)臨時(shí)專利申請(qǐng)?zhí)?0/694,853和60/694,840的權(quán)益，其內(nèi)容在此通過(guò)引用并入。

聯(lián)邦贊助的研究或開(kāi)發(fā)

本發(fā)明的部分開(kāi)發(fā)得到國(guó)家自然基金ANI-9986397和CCR-0325701的支持。

背景技術(shù)

網(wǎng)絡(luò)異常是如網(wǎng)絡(luò)提供商、網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)運(yùn)營(yíng)商或者執(zhí)法機(jī)關(guān)等機(jī)構(gòu)所關(guān)心的網(wǎng)絡(luò)中的異常事件。網(wǎng)絡(luò)異常可能無(wú)意中由正常的網(wǎng)絡(luò)業(yè)務(wù)狀況引起，例如由網(wǎng)絡(luò)資源中斷引起。網(wǎng)絡(luò)異常也可能由黑客的惡意攻擊或者破壞網(wǎng)絡(luò)或者損害網(wǎng)絡(luò)性能的人故意造成。

通常，通過(guò)從網(wǎng)絡(luò)組件如網(wǎng)絡(luò)的一個(gè)鏈路或者一個(gè)路由收集數(shù)據(jù)對(duì)網(wǎng)絡(luò)異常進(jìn)行監(jiān)控和分析。這些數(shù)據(jù)的收集與其他網(wǎng)絡(luò)數(shù)據(jù)和其他網(wǎng)絡(luò)組件隔離。換句話說(shuō)，發(fā)現(xiàn)網(wǎng)絡(luò)異常與鏈路級(jí)業(yè)務(wù)特性密切相關(guān)。

監(jiān)控和分析網(wǎng)絡(luò)異常的另一個(gè)方法是將網(wǎng)絡(luò)異常作為網(wǎng)絡(luò)業(yè)務(wù)量的變化。這樣可以檢測(cè)到明顯的網(wǎng)絡(luò)異常，但是基于業(yè)務(wù)流量的方法不能檢測(cè)低速率網(wǎng)絡(luò)異常(例如蠕蟲(chóng)、端口掃描、小的中斷事件等)。

另一個(gè)監(jiān)控和分析網(wǎng)絡(luò)異常的方法是制定一個(gè)規(guī)則的手工方法。與規(guī)則匹配或者違反規(guī)則確定是否遇到了網(wǎng)絡(luò)異常。然而，基于規(guī)則的方法不能檢測(cè)新的之前未遇到的異常。

許多目前的方法針對(duì)一個(gè)網(wǎng)絡(luò)部件、針對(duì)網(wǎng)絡(luò)異常的每個(gè)分類提供了解決方案，而針對(duì)網(wǎng)絡(luò)的許多部件的解決方案是優(yōu)選的。

發(fā)明內(nèi)容

本發(fā)明涉及用于檢測(cè)、監(jiān)控或者分析異常網(wǎng)絡(luò)事件或者通信網(wǎng)絡(luò)中的網(wǎng)絡(luò)異常的方法和裝置以及為了他人的利益進(jìn)行這些檢測(cè)、監(jiān)控或者分析。本發(fā)明的實(shí)施例可以通過(guò)應(yīng)用許多統(tǒng)計(jì)和數(shù)學(xué)方法檢測(cè)、監(jiān)控或者分析網(wǎng)絡(luò)異常。本發(fā)明的實(shí)施例包括檢測(cè)、監(jiān)控和分析網(wǎng)絡(luò)異常的方法和裝置。這些實(shí)施例包括分類和歸位(localization)。

本發(fā)明是用于有效、連續(xù)地檢測(cè)和分類網(wǎng)絡(luò)中的異常事件(異常情況)的通用技術(shù)。該技術(shù)基于分析整個(gè)網(wǎng)絡(luò)內(nèi)業(yè)務(wù)的多個(gè)特性(地址、端口等)的分布特性。分析業(yè)務(wù)特性的分布具有兩個(gè)關(guān)鍵元素，用于將網(wǎng)絡(luò)異常分成有意義的群集。

同時(shí)分析網(wǎng)絡(luò)業(yè)務(wù)的多個(gè)業(yè)務(wù)特性(地址、端口、協(xié)議等)的分布。利用特性分布的異常檢測(cè)非常敏感，并且通過(guò)暴露不能用基于流量的方法檢測(cè)的低速率重大異常擴(kuò)展了基于容量的檢測(cè)。

創(chuàng)建網(wǎng)絡(luò)業(yè)務(wù)的特性分布以提取關(guān)于異常的結(jié)構(gòu)信息。該異常的結(jié)構(gòu)信息用于將異常分類為不同的群集，這些群集就結(jié)構(gòu)和語(yǔ)義而言是有意義的。通過(guò)無(wú)監(jiān)視的方法對(duì)異常進(jìn)行分類，因而，對(duì)異常的分類不需要人工干預(yù)或者先驗(yàn)知識(shí)。該無(wú)監(jiān)視方法允許本發(fā)明識(shí)別并且分類新的(之前未知的)異常(例如，新的蠕蟲(chóng))。

此外，本發(fā)明分析整個(gè)網(wǎng)絡(luò)數(shù)據(jù)的多個(gè)特性，即，從網(wǎng)絡(luò)中多個(gè)資源收集的數(shù)據(jù)。分析整個(gè)網(wǎng)絡(luò)使得可以檢測(cè)到整個(gè)網(wǎng)絡(luò)內(nèi)的異常。對(duì)整個(gè)網(wǎng)絡(luò)的分析與特性分布分析結(jié)合使得本發(fā)明可以檢測(cè)和分類整個(gè)網(wǎng)絡(luò)的異常，擴(kuò)展了主要對(duì)單個(gè)資源數(shù)據(jù)進(jìn)行基于流量分析的當(dāng)前方法的檢測(cè)能力。

對(duì)從多個(gè)網(wǎng)絡(luò)資源(即，網(wǎng)絡(luò)鏈路、路由器等)收集的數(shù)據(jù)進(jìn)行系統(tǒng)分析是本發(fā)明的主要特征。通過(guò)利用整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)，本發(fā)明可以診斷大范圍的異常，包括蔓延整個(gè)網(wǎng)絡(luò)的異常。診斷可以確定異常出現(xiàn)的時(shí)間、異常在網(wǎng)絡(luò)中的位置以及異常類型。

異常可能源自從濫用(攻擊、蠕蟲(chóng)等)到無(wú)意(設(shè)備故障、人工錯(cuò)誤等)等各式各樣的原因。本技術(shù)不限于各個(gè)類型異常的點(diǎn)解決。相反，通過(guò)將異常作為實(shí)質(zhì)性偏離確定的正常行為，本發(fā)明提供了診斷大量異常事件的通用解決方案。

一個(gè)實(shí)施例描述形成具有至少一個(gè)對(duì)應(yīng)于由網(wǎng)絡(luò)部件處理的通信網(wǎng)絡(luò)業(yè)務(wù)的維度的時(shí)間序列，并且將時(shí)間序列分解成這些網(wǎng)絡(luò)部件中存在的若干通信網(wǎng)絡(luò)業(yè)務(wù)。

另一個(gè)實(shí)施例形成具有至少一個(gè)對(duì)應(yīng)于由網(wǎng)絡(luò)部件處理的通信網(wǎng)絡(luò)業(yè)務(wù)的維度的一個(gè)或多個(gè)變型的模型，并且檢測(cè)通信網(wǎng)絡(luò)業(yè)務(wù)模式中的異常。

另一個(gè)實(shí)施例找出通信網(wǎng)絡(luò)業(yè)務(wù)特性中的偏差。

另一個(gè)實(shí)施例生成通信網(wǎng)絡(luò)業(yè)務(wù)特性的至少一個(gè)分布，估計(jì)通信網(wǎng)絡(luò)業(yè)務(wù)特性的一致性(entropy)，設(shè)置通信網(wǎng)絡(luò)業(yè)務(wù)特性的一致性門限，在通信網(wǎng)絡(luò)業(yè)務(wù)通信的一致性與所設(shè)定的通信網(wǎng)絡(luò)業(yè)務(wù)特性一致性門限不同時(shí)，確定通信網(wǎng)絡(luò)業(yè)務(wù)特性為異常的。

附圖說(shuō)明

下文的具體說(shuō)明和附圖對(duì)本發(fā)明的這些和其他特征進(jìn)行了描述，其中：

圖1示出本發(fā)明中用于異常檢測(cè)數(shù)據(jù)源的整個(gè)網(wǎng)絡(luò)；

圖2A-2C示出根據(jù)本發(fā)明的一方面處理網(wǎng)絡(luò)數(shù)據(jù)；

圖2D-2G是對(duì)理解本發(fā)明有用的分布；