公開在網絡中實現的用于動態分配業務異常監測任務并且檢測業務異常的方法。該方法收集作為業務聚集的大的業務流塊的業務統計信息。基于業務聚集的業務統計信息，檢測到業務異常。然后對于具有業務異常的業務聚集，增加的業務采樣速率應用于業務聚集內的較小業務流集。如果較小業務流集不包含業務聚集的一定百分比的業務，采樣速率進一步增加到甚至更小的業務流集直到小的業務流集識別為引起業務異常的業務流。

技術領域

本發明的實施例涉及聯網領域。更具體地，本發明的實施例涉及動態檢測網絡中的業務異常的方法和系統。

背景技術

在數據或計算網絡中，業務異常檢測是主要關注點。業務異常包括網絡的業務水平中的不尋常和明顯改變，其通常可以跨越多個鏈路和節點。診斷業務異常對于網絡運營商和終端用戶兩者都是關鍵的。這因為必須從大量高維有噪數據（因為業務變化本質上是大的）提取并且解釋異常模式而是困難的問題。

不管業務異常時有意還是無意的，理解網絡中業務異常的本質由于至少兩個原因而是重要的：

（a）業務異常可以在網絡中形成擁擠并且給網絡設備（例如，路由器或交換機）的資源利用施壓，從而檢測業務異常從操作角度來看是關鍵的；

（b）業務異常可以對客戶或甚至最終用戶產生巨大影響（例如，由于網絡設備錯配置引起的服務關閉），即使它不一定影響網絡也如此。

診斷業務異常中的明顯問題是它的形成和原因可能變化很大：從拒絕服務（DoS）攻擊到路由器錯配置、到網絡設備策略修改（例如，邊界網關協議（BGP）策略改變）的結果等。例如，DoS攻擊在從一個或多個主機發送的大量業務消耗網絡中的大量資源（例如鏈路或web服務器）時發生。該人為增加的高負載拒絕（防止）對該資源的合法用戶的服務。盡管在該區域中有許多學術提議，現今的互聯網仍很少有保護機制來防止這樣的攻擊。此外，分布式DoS攻擊（DDoS）甚至更危險。DDoS攻擊也可以以個體web服務器以外的網絡基礎設施為目標。

為了識別業務異常，網絡和系統管理員開始部署自動化響應系統來尋找可能是攻擊的異常行為。然而，這些自動化響應系統可難以部署，這部分因為缺乏來自商用路由器/交換機供應商的支持。它們通常也非常沉重，這意指它們需要在網絡中捕捉大量業務并且從而對網絡管理系統和網絡本身都引入大的開銷。需要更好的檢測業務異常的方法。

發明內容

公開在網絡中實現的用于動態分配業務異常監測任務的方法。該方法以將網絡的業務流分成多個業務聚集開始，其中每個業務聚集包含一個或多個業務流，并且其中每個業務聚集是用于監測的第一組的條目。對于用于監測的第一組的每個條目，方法從網絡的網絡設備收集第二組一個或多個網絡設備來監測條目，其中該第二組一個或多個網絡設備處理條目內包含的業務流。它從第二組一個或多個網絡設備選擇一個網絡設備來就業務異常監測條目，其中從第二組一個或多個網絡設備選擇一個網絡設備至少部分基于網絡設備的監測計數，其中網絡設備的監測計數是指派網絡設備來監測的用于監測的第一組的多個條目的計數。