在一個實施例中，一種方法包括：在運行于網(wǎng)絡設備處的分析模塊處接收從分布在整個網(wǎng)絡中并安裝在網(wǎng)絡組件中的多個傳感器收集的網(wǎng)絡流量數(shù)據(jù)，以從發(fā)送到網(wǎng)絡組件和從網(wǎng)絡組件發(fā)送的分組中獲得網(wǎng)絡流量數(shù)據(jù)，并且從網(wǎng)絡中的多個角度監(jiān)視網(wǎng)絡內的網(wǎng)絡流；在分析模塊處處理網(wǎng)絡流量數(shù)據(jù)，其中網(wǎng)絡流量數(shù)據(jù)包括進程信息、用戶信息和主機信息；并且基于對網(wǎng)絡行為的動態(tài)建模在分析模塊處標識網(wǎng)絡流量數(shù)據(jù)內的異常。本文還公開了裝置和邏輯。

相關申請聲明

本申請要求于2015年6月4日提交的名稱為“通過網(wǎng)絡行為的普遍視角的異常檢測(ANOMALY DETECTION WITH PERVASIVE VIEW OF NETWORK BEHAVIOR)”的美國臨時申請No.62/171,044的優(yōu)先權(代理人案號CISCP1283+)。該臨時申請的內容通過引用整體合并于此。

技術領域

本公開一般涉及通信網(wǎng)絡，并且更具體地，涉及異常檢測。

背景技術

大數(shù)據(jù)被定義為體積如此之大速度如此之高、以至于使用傳統(tǒng)的關系數(shù)據(jù)庫工具無法進行經濟的處理和分析的數(shù)據(jù)。通常情況下，機器生成的數(shù)據(jù)與其它數(shù)據(jù)源相結合，對企業(yè)及其(IT)信息技術組織都構成挑戰(zhàn)。隨著組織中的數(shù)據(jù)爆炸性增長，大部分新數(shù)據(jù)都是非結構化的，企業(yè)及其IT組織面臨著一系列與可伸縮性、復雜性和安全性有關的特殊問題。

異常檢測用于標識不符合預期模式或數(shù)據(jù)的行為的項目、事件或流量。例如，異常檢測系統(tǒng)可以學習正常活動，并對與正常行為相背離的行為采取行動。傳統(tǒng)的網(wǎng)絡異常檢測通常發(fā)生在高層級上，而不是基于當大數(shù)據(jù)實現(xiàn)時的網(wǎng)絡流量的綜合視角，因此導致了一些限制。

附圖說明

圖1示出了其中可以實現(xiàn)本文描述的實施例的網(wǎng)絡的示例。

圖2描繪了用于實現(xiàn)本文描述的實施例的網(wǎng)絡設備的示例。

圖3示出了根據(jù)一個實施例的、用于異常檢測的網(wǎng)絡行為收集和分析系統(tǒng)。

圖4示出了根據(jù)一個實施例的圖3的系統(tǒng)的細節(jié)。

圖5是圖示根據(jù)一個實施例的、利用網(wǎng)絡的普遍視角的異常檢測的概述的流程圖。

圖6示出了根據(jù)一個實施例的用于異常檢測的處理流程。

貫穿附圖的多個視圖，相應的附圖標記表示相應的部件。

具體實施方式

概述

在一個實施例中，一種方法通常包括：在運行于網(wǎng)絡設備處的分析模塊處接收從分布在整個網(wǎng)絡中并安裝在網(wǎng)絡組件中的多個傳感器收集的網(wǎng)絡流量數(shù)據(jù)，以從發(fā)送到網(wǎng)絡組件和從網(wǎng)絡組件發(fā)送的分組獲得網(wǎng)絡流量數(shù)據(jù)，并且從網(wǎng)絡中的多個角度監(jiān)視網(wǎng)絡內的網(wǎng)絡流；在分析模塊處處理網(wǎng)絡流量數(shù)據(jù)，其中網(wǎng)絡流量數(shù)據(jù)包括進程信息、用戶信息和主機信息；并且基于對網(wǎng)絡行為的動態(tài)建模在分析模塊處標識網(wǎng)絡流量數(shù)據(jù)內的異常。

在另一實施例中，裝置通常包括接口，該接收從分布在整個網(wǎng)絡中并安裝在網(wǎng)絡組件中的多個傳感器收集的網(wǎng)絡流量數(shù)據(jù)，以從發(fā)送到網(wǎng)絡組件和從網(wǎng)絡組件發(fā)送的分組獲得網(wǎng)絡流量數(shù)據(jù)，并且從網(wǎng)絡中的多個角度監(jiān)視網(wǎng)絡內的網(wǎng)絡流；以及用于處理來自分組的網(wǎng)絡流量數(shù)據(jù)的處理器，其中網(wǎng)絡流量數(shù)據(jù)包括進程信息、用戶信息和主機信息，并且基于對網(wǎng)絡行為的動態(tài)建模在網(wǎng)絡設備處標識網(wǎng)絡流量數(shù)據(jù)內的異常。

在又一實施例中，邏輯被編碼在一種或多種非暫態(tài)計算機可讀介質上以供執(zhí)行，并且當被執(zhí)行時，該邏輯可操作來：處理從分布在整個網(wǎng)絡中并安裝在網(wǎng)絡組件中的多個傳感器收集的網(wǎng)絡流量數(shù)據(jù)，來從發(fā)送到網(wǎng)絡組件和從網(wǎng)絡組件發(fā)送的分組獲得網(wǎng)絡流量數(shù)據(jù)，并且從網(wǎng)絡中的多個角度監(jiān)視網(wǎng)絡內的網(wǎng)絡流，并且基于對網(wǎng)絡行為的動態(tài)建模來標識網(wǎng)絡流量內的異常，其中網(wǎng)絡流量數(shù)據(jù)包括進程信息、用戶信息和主機信息。