本發(fā)明實(shí)施例公開(kāi)了一種識(shí)別異常IP數(shù)據(jù)流的方法、裝置和系統(tǒng)，涉及通信領(lǐng)域，用以提高識(shí)別準(zhǔn)確度。本發(fā)明實(shí)施例提供的方法包括：在當(dāng)前時(shí)間區(qū)間內(nèi)，接收數(shù)據(jù)收集節(jié)點(diǎn)發(fā)送的Y個(gè)元素；按照映射算法將Y個(gè)元素映射到N個(gè)桶中；獲取N個(gè)桶中的、所映射的所有元素的總流量大于或者等于第一閾值的桶作為目標(biāo)桶；獲取當(dāng)前時(shí)間區(qū)間內(nèi)第一對(duì)象在所映射到的r個(gè)桶中的r個(gè)流量上界；其中，第一對(duì)象為映射到目標(biāo)桶中的任一對(duì)象，r個(gè)桶中的每個(gè)桶中包含針對(duì)第一對(duì)象的1個(gè)流量上界；根據(jù)預(yù)設(shè)的異常對(duì)象的類(lèi)型和當(dāng)前時(shí)間區(qū)間內(nèi)的r個(gè)流量上界識(shí)別第一對(duì)象是否為異常對(duì)象；預(yù)設(shè)的異常對(duì)象的類(lèi)型為大流量對(duì)象或大變化對(duì)象。

技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，尤其涉及一種識(shí)別異常IP數(shù)據(jù)流的方法、裝置和系統(tǒng)。

背景技術(shù)

互聯(lián)網(wǎng)(Internet)和MBB(Mobile Broadband，移動(dòng)寬帶)的結(jié)合，以及智能終端、平板電腦等智能設(shè)備的大規(guī)模推廣和應(yīng)用，使得MBB數(shù)據(jù)網(wǎng)絡(luò)流量大幅度增長(zhǎng)；與此同時(shí)，帶來(lái)了新的問(wèn)題：各種網(wǎng)絡(luò)異常頻發(fā)。其中，網(wǎng)絡(luò)異常包括：異常流量、網(wǎng)絡(luò)攻擊、病毒等，異常流量包括大流量對(duì)象(heavy hitters)和大變化對(duì)象(heavy changers)。這對(duì)網(wǎng)絡(luò)利用率、網(wǎng)絡(luò)性能和用戶(hù)體驗(yàn)帶來(lái)很大的負(fù)面影響，同時(shí)也帶來(lái)關(guān)鍵信息泄露、系統(tǒng)和終端損壞等風(fēng)險(xiǎn)。

在各種網(wǎng)絡(luò)異常中，大流量對(duì)象和大變化對(duì)象是最為重要的兩類(lèi)網(wǎng)絡(luò)異常。大流量對(duì)象是指網(wǎng)絡(luò)中頻繁出現(xiàn)的數(shù)據(jù)流，本文中將其定義為整體流量很大的數(shù)據(jù)流；大變化對(duì)象是指在給定時(shí)間段內(nèi)，主要特征(包括大小、端口號(hào)、協(xié)議號(hào)等)發(fā)生很大變化的數(shù)據(jù)流。其中，由IP(Internet Protocol，Internet協(xié)議)包的五元組(包括：源IP、目的IP、源端口、目的端口、協(xié)議號(hào))定義一個(gè)IP數(shù)據(jù)流對(duì)象(下文中稱(chēng)為“對(duì)象”)。

目前，識(shí)別網(wǎng)絡(luò)異常流量的方法包括：1)數(shù)據(jù)收集節(jié)點(diǎn)將收集到的針對(duì)不同對(duì)象的元素隨機(jī)發(fā)送到一個(gè)或者多個(gè)工作節(jié)點(diǎn)上；其中，對(duì)象和元素的關(guān)系可以表示為“元素(對(duì)象，值)，即元素(key，value)”；元素包含的“值”可以為該元素的流量值、或者能夠表示該元素的流量值的信息(例如，該元素包含的數(shù)據(jù)包的個(gè)數(shù)等)；2)工作節(jié)點(diǎn)按照映射算法將接收到的元素映射到由多個(gè)桶構(gòu)成的數(shù)據(jù)結(jié)構(gòu)表中，并在每個(gè)時(shí)間區(qū)間結(jié)束時(shí)，向控制節(jié)點(diǎn)匯報(bào)該時(shí)間區(qū)間內(nèi)映射到每個(gè)桶中的元素的總流量；其中，針對(duì)同一對(duì)象的元素一般被映射到同一個(gè)桶中，另外，由于對(duì)象的數(shù)目很大，為了節(jié)省數(shù)據(jù)結(jié)構(gòu)表占用的存儲(chǔ)空間，可以將不同對(duì)象映射到同一個(gè)桶中；3)控制節(jié)點(diǎn)對(duì)各工作節(jié)點(diǎn)匯報(bào)的信息進(jìn)行匯總，當(dāng)針對(duì)某一類(lèi)對(duì)象的所有桶所映射的元素的總流量大于一閾值時(shí)，將這類(lèi)對(duì)象均識(shí)別為大流量對(duì)象，其中，該類(lèi)對(duì)象是指在同一工作節(jié)點(diǎn)中被映射到同一個(gè)桶中的對(duì)象。

在上述方法中，當(dāng)針對(duì)某一類(lèi)對(duì)象的所有桶所映射的元素的總流量大于一閾值時(shí)，即認(rèn)為這類(lèi)對(duì)象均為大流量對(duì)象，但是，造成針對(duì)某一類(lèi)對(duì)象的所有桶所映射的元素的總流量大于一閾值的原因可能是：該類(lèi)對(duì)象由很多個(gè)小流量對(duì)象構(gòu)成。因此，利用上述方法進(jìn)行識(shí)別，會(huì)錯(cuò)誤地將這些小流量對(duì)象識(shí)別為大流量對(duì)象，也就是說(shuō)上述方法的識(shí)別準(zhǔn)確度低。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種識(shí)別異常IP數(shù)據(jù)流的方法、裝置和系統(tǒng)，用以提高識(shí)別準(zhǔn)確度。

為達(dá)到上述目的，本發(fā)明的實(shí)施例采用如下技術(shù)方案：

第一方面，提供一種識(shí)別異常IP數(shù)據(jù)流的方法，應(yīng)用于工作節(jié)點(diǎn)中，所述方法包括：

在當(dāng)前時(shí)間區(qū)間內(nèi)，接收數(shù)據(jù)收集節(jié)點(diǎn)發(fā)送的Y個(gè)元素；其中，Y≥1，Y為整數(shù)；

按照映射算法將所述Y個(gè)元素映射到N個(gè)桶中；其中，N≥1，N為整數(shù)；

獲取所述N個(gè)桶中的、所映射的所有元素的總流量大于或者等于第一閾值的桶作為目標(biāo)桶；