技術領域

一般來說，本發明涉及網絡監測及事件管理。更具體來說，本發明涉及處理通過網絡監測獲得的網絡元數據，此可高效地導致有用信息以及時方式報告給元數據的消費者。

網絡監測是企業及服務提供者常用的關鍵信息技術(IT)功能，其涉及觀察正在內部網絡上發生的活動以找出與性能相關的問題、行為不當的主機、可疑用戶活動等。網絡監測由于由各種網絡裝置產生及提供的信息而成為可能。所述信息一般稱為網絡元數據，即，作為經由網絡發射的主信息業務的補充且與其互補的描述網絡上的活動的一類信息。

系統日志(系統日志)是常用于網絡監測的一種類型的網絡元數據。系統日志已變成用于記錄程序消息的標準格式且給原本不能通信的裝置提供向管理者通知問題或性能的方式。系統日志常用于計算機系統管理及安全審核以及一般化信息分析及調試消息。系統日志受各種各樣的裝置(如打印機及路由器)及跨越多個平臺的接收器支持。出于此原因，系統日志可用于將來自計算機系統中的許多不同類型的裝置的日志數據集成為中央存儲庫。

最近，被各種供應商稱為NetFlow、jFlow、sFlow等的另一類型的網絡元數據也已作為標準網絡業務的一部分被引入(下文中一般稱為“NetFlow”)。NetFlow是用于收集已成為用于業務監測的行業標準的IP業務信息的網絡協議。NetFlow可由例如路由器、交換器、防火墻、入侵檢測系統(IDS)、入侵保護系統(IPS)、網絡地址翻譯(NAT)實體等各種網絡裝置及許多其它裝置產生。然而，直到最近，NetFlow網絡元數據排他地用于事后網絡監督目的，例如網絡拓撲發現、定位網絡吞吐量瓶頸、服務級別協議(SLA)確認等。NetFlow元數據的此些有限使用可一般歸因于由網絡裝置產生的高信息量及所述信息的高遞送速率、信息源的多樣性及將額外信息流集成到現有事件分析器中的總體復雜性。更特定來說，NetFlow元數據生產者通常產生消費者可在實時設定中分析及使用多的信息。舉例來說，網絡上的單個中到大交換器可產生400,000個NetFlow記錄/秒。

當今的系統日志收集器、系統日志分析器、安全信息管理(SIM)系統、安全事件管理(SEM)系統、安全信息與事件管理(SIEM)系統等(本文中統稱為“SIEM”系統)不能接收或不能分析NetFlow、局限于處理NetFlow包中所含的基本信息，或以比通常產生NetFlow包的速率低得多的速率處理此些包。

例如NetFlowv9(RFC 3954)及IPFIX(RFC 5101及相關IETF RFC)等穩健網絡監測協議的出現大幅度地擴展了在網絡安全及智能網絡管理領域中使用網絡元數據的機會。同時，由于上文所識別的約束，當今的SIEM系統一般不能超出簡單報告所觀察字節及包計數而利用網絡監測信息。

對計算機網絡的異常檢測是識別不同于預期、所要或正常模式的項目、事件或行為。當在網絡業務的情境中研究時，異常檢測可廣義地分類為兩個類別：

a)中性操作環境中的網絡業務異常；及

b)在存在惡意行動者的情況下的網絡業務異常。

類型(a)網絡業務異常在正常操作條件下由于自然超載的或有缺陷的網絡裝置或者“快閃族(在網絡業務由于合法網絡用戶的大量涌入而充分增加時的良性事件)”而發生。

類型(b)事件可由外部力導致且可在性質上為惡意的。存在攻擊者可造成惡意網絡異常的若干種方式，但拒絕服務(DoS)攻擊及其變體分布式拒絕服務(DDoS)攻擊是目前為止最常見且最容易上演的。關于DoS攻擊，攻擊者的目的是使一或多個網絡資源不可被合法用戶訪問且因此破壞組織的活動。根據2012年1,000IT專業人員調查，其組織遭受DDoS攻擊的每小時造成受害者組織介于$10,000與$50,000之間的收益損失。

為了避免商業及收益的重大損失，應檢測兩種類型的網絡業務異常、將其分類并以及時方式告知網絡操作者。網絡中斷的問題在工業及軍事網絡中當失去通信可導致災難性后果時變得甚至更嚴重。

然而，當受觀察的項目的數目連同每一所觀察項目的復雜性增加時，網絡異常檢測變得異常困難。檢測網絡業務中的異常是復雜異常檢測問題的極端實例中的一者。

網絡異常檢測的傳統方法需要創建歷史基線模式，所述歷史基線模式在評定與正常行為的偏差時與當前模式相當。代替以下考慮，此傳統方法固有地是有問題的：

-網絡業務是動態的，且很少只有單個模式描述其時間特性。此可導致創建在操作環境的稍微改變之后幾乎立即過時的大量時間限制歷史基線的復雜任務。