一種基於對稱度Sketch的網絡流量異常檢測與定位方法與流程

2023-06-21 17:10:16

本發明屬於數據流分析處理技術領域，涉及一種基於對稱度Sketch的網絡流量異常檢測與定位方法。

背景技術：

隨著計算機網絡技術的發展和應用，網絡帶寬和網絡流量快速增長，海量的網絡流量數據給大規模網絡的實時有效測量和監控帶來了巨大挑戰。網絡的實時有效測量對網絡管理、流量規劃、網絡計費有重要意義，例如網絡運營商需要統計網絡帶寬的使用情況或者流量的統計信息來進行計費，網絡管理者需要根據流量統計信息更新路由器的路由表，以及通過對網絡流量的有效分析來及時發現和處理網絡異常事件。為此大規模網絡流量的實時測量和監控系統在性能上需要滿足下面三個基本的要求：

1)高效的處理速度，對於每個數據包的處理必須高效快速。

2)較小的內存需求。

3)快速而且準確的數據查詢。

異常檢測主要分為兩類：基於特徵的檢測和基於統計的檢測。基於特徵的檢測主要是通過尋找能與已知異常特徵相匹配的模式來檢測異常，需要預先設定特徵庫或規則庫。這種方法的優點是能夠準確檢測已知的異常，缺點是不能檢測未知異常，同時隨著異常種類的增多，特徵庫很龐大，監測性能下降。因此基於特徵的異常監測只能適用於區域網，不能滿足骨幹鏈路的速率。基於統計的檢測不需要預先了解異常的特徵和屬性，能夠有效的檢測已知和未知異常。在基於統計的檢測方法中很重要的一部分就是變化檢測，主要是通過歷史流量得到一個正常的流量模型，然後通過檢測在短期內不符合此模型的行為來發現異常。

網絡流是網絡流量測量和監控領域常用的處理技術，網絡流通常的定義是具有相同五元組(協議類型，源IP，源埠，目的IP，目的埠)的所有網絡數據包集合。對於基於網絡流的網絡流量測量和監控，如果精確的測量，則需要存儲每條網絡流的狀態信息。對於大規模的網絡流量而言，這需要巨大的內存空間，目前而言往往是無法實現的。目前硬體的處理速度已經跟不上網絡流量的增長速度，同時隨著網絡帶寬和網絡流的在逐年劇增，這一差距還在不斷擴大。綜上可知，對大規模網絡特性實時精確的測量已經是遙不可及，目前許多處理大規模網絡流量的技術方法都是採用概率估計的技術方法。

數據採樣是一種常用的數據處理技術，在網絡流量處理領域有著廣泛的應用。有關採樣技術國內外都有著廣泛深入的研究，提出了數據包隨機採樣，網絡流採樣，智能採樣等多種採樣技術。其中一些技術已經應用於實際的生產實踐中了，例如Cisco路由器上的Netflow數據流信息就是經過數據包採樣後的結果。由於採樣的技術僅僅處理並存儲極少部分數據的信息，因此所需要的存儲空間相對很小，處理的效率也很高。同時採樣技術的缺陷是有很多的數據包以及網絡數據流的丟失，尤其是網絡數據包數較少的網絡流。這將給網絡的測量與監控帶來一系列的問題，比如Dos和DDos攻擊的有效檢測。

sketch是最近幾年提出的一種數據結構，已經廣泛應用於涉及海量數據處理的各個領域。sketch利用一組hash函數將數據映射到各個hash函數空間中，通過各個hash函數空間的映射值可以估算原始數據的真實值，估算的結果可以確保在一定的誤差範圍內。相對存儲原始數據而言，sketch技術只需要很小的存儲要求，因此在網絡流量測量與監控流域，尤其是涉及大規模的網絡流量sketch技術有著廣泛的應用。比如統計網絡流的大小分布特性，查找流量大小佔網絡總流量比較大的網絡流，以及檢測異常網絡流量等。下面簡單介紹用於大規模網絡流量監控的k-ary sketch技術。

(1)數據流模型

設輸入數據流為I＝a1,a2,…，數據項ai按照時間順序依次到達。數據項ai＝(ki,ui)，其中鍵值ki∈{0,1,…,N-1}，ui是相應的更新數值，ui值可正可負。

(2)數據結構

k-ary sketch由H×K的計數數組T[i][j](0≤i<H,0≤j<K)構成，k-ary sketch的概要數據結構見圖1。數據結構T[i][j]可以看成H張hash表，每一行T[i][·](0≤i<H)是和hash函數hi相對應的hash表。其中每個hash函數是從{0,1,…,N-1}到{0,1,…,K-1}的映射，其中N是鍵值空間的大小，K是每張hash表的大小。各hash函數之間是相互獨立無關的。

(3)更新操作

當更新數據項ai＝(ki,ui)到達後,將每一張hash表j(1≤j≤H)相應的T[j][hj(ki)]項加上更新數值ui，即如下式所示：

T[j][hj(ki)]＝T[j][hj(ki)]+ui 1≤j≤H

由上可知k-ary sketch所需的內存空間大小為H×K，處理每個數據包需要的操作數為H。網絡管理者可以基於對k-ary sketch分析，獲取在k-ary sketch每張數據表中的那些項產生了異常，從而實現對大規模網絡流量實時有效監控。然而從上述k-ary sketch的數據結構可以得知，其並沒有存儲鍵值的任何信息，導致很難通過k-ary sketch中的異常項來逆向求解其對應的網絡流。因此當通過k-ary sketch發現存在網絡流量異常時，無法快速的將該網絡流量異常準確的定位到相應的某條網絡流上。

下面形式化的描述sketch逆向求解問題，其定義如下：

輸入:整數t≥1,r≤H-1。sketch的hash函數為從{0,…,N-1}到{0,…,K-1}的映射對於每一張hash表i至多包含t個不同的標記項，其集合記做

輸出:輸出集合中的元素x滿足x∈{0,…,N-1},並且存在不少於H-r個i∈{0,…,H-1}，使得hi(x)∈Ri。

對於網絡流量異常檢測方面的應用，上述問題中的標記項對應的就是異常項。目前解決這一問題主要有三種實現方法：

(1)依次嘗試鍵值空間的每一個鍵值，檢測此鍵值是否映射到sketch的至少H-r張hash表的異常項中，如果是，則此鍵值為異常鍵值。由於這種方法需要嘗試鍵值空間的所有鍵值，因此當鍵值空間較大時所需要的時間代價較高。

(2)當sketch中的每張hash表的異常項檢測出來後，不實時的求解異常鍵值，而是利用後續到來的異常鍵值對應的數據項來確定該異常鍵值。對於後續到來的每一個數據項，除更新操作外，另外還需檢測此數據項的鍵值是否映射到sketch的至少H-r張hash表的異常項中，如果是，則此數據項的鍵值為異常鍵值。這種方法的局限性是當有些異常鍵值無相應的數據項隨後到來時，這些異常鍵值將被漏檢。

(3)利用二次遍歷的方式來尋找異常鍵值，這種方法需要將數據流全部捕獲並存儲下來。首先用數據流作為sketch的輸入，檢測出sketch中每張hash表對應的異常項。然後對存儲下來的數據流從頭開始依次檢測每一個數據項,判斷此數據項的鍵值是否映射到sketch的至少H-r張hash表的異常項中，如果是，則此數據項的鍵值為異常鍵值。這種方法目前主要用於離線處理，無法在線應用。

技術實現要素：

本發明的目的在於提出一種基於對稱度sketch的網絡流量異常檢測與定位方法，以準確高效的進行網絡異常流量的檢測和異常流的定位。

本發明是通過以下技術方案來實現：

一種基於對稱度Sketch的網絡流量異常檢測與定位方法，基於連接對稱度來實現異常行為的檢測，包括網絡流量實時更新、網絡主機對稱度實時計算、主機流量異常檢測、異常源定位四個部分；

在進行異常檢測時，獲取每條流的源IP和目的IP進行網絡流量實時更新，根據IP位址的結構特徵，採用IP分段hash，將IP分為四段分別對相應的hash函數組映射，最後將映射結果整合成一個字符串作為hash表中的鍵；其中，數據更新部分涉及對兩個sketch數據結構的更新操作，一個sketch是出連接度sketch，記為Mout；另一個是入連接度sketch，記為Min；出連接度sketch和入連接度sketch採用同一組hash函數組；

所述網絡主機對稱度實時計算，是計算出連接度sketch和入連接度sketch的比值，得到對稱度sketch Msm：Msm＝Min/Mout；

所述主機流量異常檢測，是根據當前窗口的對稱度sketchMsm，利用切比雪夫不等式來設定閾值，衡量流量偏離正常流量行為的程度，得到異常sketch；

所述異常源定位，是通過設計sketch中的關鍵hash函數組，利用中國餘數定理實現sketch的逆向求解；若異常sketch中每個hash表中有且僅有一個異常鍵，則利用這一組異常鍵可以唯一逆向確定一個異常IP。

所述的對稱度sketch由H張hash表T[j][·](0≤j<H)構成，對應的hash函數如下所示：

hj(x)≡xmodmj,1≤j≤H

其中m1，…，mH均為互不相等的質數；

對稱度sketch選擇四個hash函數，選擇的質數分別為2、3、5、11；通過該hash函數組得到的對稱度sketch和異常sketch，能夠逆向唯一確定一個IP。

所述的網絡流量實時更新包括如下操作：

記輸入網絡數據流為I＝a1,a2,…，每個數據項為ai＝(ki,ui)，鍵值ki為源IP、和/或目的IP及其結合；更新數值ui為數據包的字節數、數據包的個數或網絡流的個數等統計量；當更新數據項ai＝(ki,ui)到達後,將每一張hash表j(1≤j≤H)相應的T[j][hj(ki)]項加上更新數值ui，如下式所示：

T[j][hj(ki)]＝T[j][hj(ki)]+ui 1≤j≤H。

所述的數據項ai＝(ki,ui)中，在出度sketch中ki為源IP，在入度sketch中ki為目的IP，ui的值為1，網絡流量實時更新的操作如下：

當每個數據項ai＝(ki,ui)到達後，對表示IP的鍵ki採取分段映射採取將IP分段映射，然後整合的方法。

所述的主機流量異常檢測時，衡量流量偏離正常流量行為的程度，包括如下操作：

a)當前窗口的連接對稱度sketchMsm，並計算Msm對應的每張hash表的所有項的期望和標準差；

b)求解當前時間窗口的前30個時間窗口的期望和標準差的平均值，以平均期望作為基線，以平均標準差的2倍或3倍設置上下限；

c)根據基線和上下限求解異常sketch。

所述異常源定位中異常IP時，首先分別選取每個hash表中的第一個欄位，利用中國餘數定理求出異常IP的第一個欄位IP1，然後再依次分別選取每個hash表中異常鍵的第2、3、4個欄位，求解IP2、IP3、IP4，即可得到異常IP(IP1.IP2.IP3.IP4)且該IP唯一，操作如下：

a)若異常sketch中每個hash表中有多個異常鍵，則從每個hash表中分別取一個異常鍵，組成一組，利用該組異常鍵和中國餘數定理可唯一確定一個IP；

b)若每個hash表中分別取一個異常鍵，組成一組，有不同於已求解過的組合，則利用該組異常鍵和中國餘數定理可唯一確定一個IP；若無不同組合，則轉c)；

c)對所有求得的異常IP求併集，即為所有異常IP；

當唯一確定的IP的各個段值超過255時，要將這些非法IP從最後的結果集中刪除。

所述的步驟a)的具體操作如下：

選取每個hash表中異常鍵的第一段的值組成一個方程組

IP每個段的大小不超過255，利用中國餘數定理可得，在模M的情況下，方程組只有唯一解：

其中：

ti＝Mi-1為Mi模mi的數論倒數

然後再依次分別選取每個hash表中異常鍵的第2、3、4個欄位，依照求IP1的方式，依次求解IP2、IP3、IP4，即可得到異常IP(IP1.IP2.IP3.IP4)且該IP唯一。

與現有技術相比，本發明具有以下有益的技術效果：

1)首先，本發明提出採用連接對稱度來實現異常行為的檢測，其檢測粒度和精度都要高於傳統的基於流量特徵統計的方法；

2)隨後，本發明提出了連接對稱度的計算方法-連接度sketch，採用IP分段映射求解對稱度sketch，我們將IP位址按照其結構特徵分為四段，每一段採用相應的hash函數組進行映射，這樣不但有效的降低了hash表的長度，也有效的降低了衝突發生的概率，獲得比較精確的主機連接對稱度；

3)接著我們提出了根據流量自身特徵的分布情況獲取閾值的方法，所獲得的閾值根據網絡流量特徵實時變化，可以根據當前網絡情況實時自適應選擇閾值，能夠較為精準的捕獲到異常行為的特徵，獲得較好的檢測效果，相比單一閾值可以更有效的檢測出網絡中的異常；

4)最後，我們通過設計sketch的核心hash函數組，利用中國餘數定理，實現異常源的解析求解，並且求解過程簡單高效。

5)基於對稱度sketch的網絡流量異常檢測與定位方法，可以較好的檢測高速網絡中的已知異常與未知異常；而且處理效率高，內存要求低，完全可以應用於大規模網絡流量的實時異常檢測與實時定位。

附圖說明

圖1是基於對稱度sketch的網絡流量異常檢測與定位方法總體流程圖；

圖2是基於對稱度sketch的網絡流量異常檢測與定位方法的連接度sketch更新流程圖；

圖3是基於對稱度sketch的網絡流量異常檢測與定位方法的閾值選擇流程圖；

圖4是基於對稱度sketch的網絡流量異常檢測與定位方法的異常檢測流程圖；

圖5是基於對稱度sketch的網絡流量異常檢測與定位方法的異常源定位流程圖。

具體實施方式

下面結合具體的實施例對本發明做進一步的詳細說明，所述是對本發明的解釋而不是限定。

本發明基於以下基本假設：

1、網絡用戶的行為具有慣性，網絡流量特徵也具有慣性；

2、相鄰的時間窗口內，流量特徵不應發生大的變化；

3、網絡設計開發的目的是信息交互，對於一個網絡用戶來說，當前在網上搜尋相關信息的時候，必是進出兩個方向的數據包都有。

本發明基於以下基本定義和定理

定義1：在時間窗口T內，某主機主動連接的不同目的主機的個數，稱為該主機的出連接度。

定義2：在時間窗口T內，訪問某主機的不同源主機的個數，稱為該主機的入連接度。

定義3：某臺主機的入連接度和出連接度的比值稱為連接對稱度。

首先，本發明提出採用連接對稱度來實現異常行為的檢測，其檢測粒度和精度都要高於傳統的基於流量特徵統計的方法；隨後，本發明提出了連接對稱度的計算方法-連接度sketch，我們將IP位址按照其結構特徵分為四段，每一段採用相應的hash函數組進行映射，這樣不但有效的降低了hash表的長度，也有效的降低了衝突發生的概率，獲得比較精確的主機連接對稱度；接著我們提出了根據流量自身特徵的分布情況獲取閾值的方法，所獲得的閾值根據網絡流量特徵實時變化，能夠較為精準的捕獲到異常行為的特徵，獲得較好的檢測效果；最後，我們通過設計sketch的核心hash函數組，利用中國餘數定理，實現異常源的解析求解，並且求解過程簡單高效

參見圖1，本發明設計的對稱度sketch的網絡流量異常檢測與定位方法，主要包括網絡流量實時更新、網絡主機對稱度實時計算、主機流量異常檢測、異常源定位四個部分。

網絡流量實時更新部分用於實時處理來自大規模網絡的網絡流量，其中更新模塊主要涉及對兩個sketch數據結構的更新操作，一個sketch是出連接度sketch，記為Mout，另一個是入連接度sketch，記為Min。

網絡主機對稱度實時計算部分主要是計算主機的連接對稱度sketch。由於更新模塊中計算出連接度sketch和入連接度sketch採用的是同一組hash函數組，故入連接度sketch和出連接度sketch的比值即為對稱度sketch。

主機流量異常檢測部分根據當前窗口的連接對稱度sketchMsm，並計算Msm對應的每張hash表的所有項的平均值和期望，根據當前時間窗口的前30個時間窗口求得的期望和方差的平均值設置對應的閾值。根據閾值，求解對應的每張hash表中的異常鍵值key。這時僅僅知道網絡流量異常在連接對稱度sketch數據結構中的對應位置，需要通過異常源定位模塊求解此異常相對應的異常網絡。

異常源定位部分根據特定設計的sketch核心hash函數組和中國餘數定理，可以簡單而高效的定位異常網絡流。

下面對各個部分進行進一步的說明。

(1)網絡流量實時更新

本發明提供的對稱度sketch由H張hash表T[j][·](0≤j<H)構成，對應的hash函數如下所示：

hj(x)≡xmodmj,1≤j≤H

其中m1，…，mH均為互不相等的質數。

當更新數據項ai＝(ki,ui)到達後,將每一張hash表j(1≤j≤H)相應的T[j][hj(ki)]項加上更新數值ui，即如下式所示：

T[j][hj(ki)]＝T[j][hj(ki)]+ui 1≤j≤H

系統的輸入數據流是從被監控網絡獲取的網絡流量，可以通過在路由器端被動監聽的方式獲取真實網絡數據包或者使用路由器端生成的Netflow數據。記輸入網絡數據流為I＝a1,a2,…，每個數據項為ai＝(ki,ui)，鍵值ki可以取為相應的源IP、目的IP、源IP+目的IP等其它網絡流量統計方式；更新數值ui可以取數據包的字節數、數據包的個數、網絡流的個數等統計量。

由於數據更新模塊是求解網絡中每個IP的出度和入度，所以此處的ki選擇的是IP(在出度sketch中ki為源IP，在入度sketch中ki為目的IP)，ui的值為1。具體的更新操作如下(參見圖2)：

當每個數據項ai＝(ki,ui)到達後，對鍵ki(即IP)採取分段映射。由於IP是由四個段組成的，為了減少碰撞，此處採取將IP分段映射，然後整合的方法。例如IP為192.168.2.18，當hash函數中的mi選擇質數11時，IP分段映射分別得到5、3、2、7，則將hash表中鍵為字符串「5.3.2.7」的項的值加1。相比IP整體映射，採用IP分段映射再整合的方法，可以有效的減少碰撞，證明如下：

證明1：假設IP整體映射碰撞的概率為p(0<p<1),則IP分段映射的每個段的碰撞概率均為p，由於採用分段映射，若且唯若IP四個段全部碰撞的情況下，才會產生碰撞，故分段映射碰撞的概率為p4。由於0<p<1，故p4<p，即IP分段映射可以有效減少碰撞。

數據更新涉及對兩個sketch數據結構的更新操作，一個sketch是出連接度sketchMout，另一個為入連接度sketchMin。

(2)網絡主機對稱度實時計算

該部分主要是計算連接對稱度sketch，由於更新模塊中求得的出連接度sketch和入連接sketch採用的是同一組hash函數組，入連接度sketchMin和出連接度sketchMout的比值即為對稱度sketchMsm，表達式如下：

Msm＝Min/Mout

(3)主機流量異常檢測

網絡流量異常檢測的核心是將流量正常與異常情況標誌或區分開來。網絡流量異常通常是指流量行為出現非同尋常的、劇烈的模式跳變，嚴重偏離正常流量行為的情況。由此可知，網絡流量異常是一個相對的概念，區分流量正常與異常並沒有一個嚴格的界限。鑑於網絡流量的特殊性。流量的突變無法提前預知。傳統的門限設置為單一閥值，即為一條限定線。將流量硬性的分為正常值和非正常值的做法並不是可取的方法。而且，不同的網絡環境下，對於異常值的敏感性是不一樣的。相同網絡下不同時段對異常的敏感性也不相同。為此我們引入一種基線的方法，即用基線代表穩定的、正常的流量行為，而偏離正常流量行為的即為異常行為。此時需要解決的問題是偏離程度多大才能定義為異常，如何度量這種偏離的程度。

網絡流量是一個隨機的時間序列，是離散信號。網絡在發生異常時，網絡流量的突發性尤為明顯。數學期望、方差在統計推斷上具有較佳的統計與數學性質，數學期望可以刻畫隨機變量變化的平均值，方差是一組數據中各數據與其算術平均值離差平方和的平均值，方差表達了隨機變量的取值與其數學期望的偏離程度，這使得方差成為最重要的離中趨勢測度量。因此把均值和方差作為網絡流量的兩個統計特徵量可以反映流量平穩性的特徵，使得網絡流量從穩定態到非穩定態的突變可以很準確的量化。設Y為連接對稱度，則隨機變量Y具有數學期望E(Y)＝μ，方差D(Y)＝σ2。由網絡流量的相關性質可知，其概率分布情況是不確定的。故對於隨機變量Y的分布未知，其數學期望和方差已知的情況下，估計隨機變量Y落入有限區間內的概率，可以利用切比雪夫不等式來實現。切比雪夫不等式如下：

切比雪夫不等式可以估計出隨機變量Y在區間(μ-ε,μ+ε)取值的概率不小於由此可知，若方差σ2越小，則概率p(|Y-μ|<ε)越大，說明隨機變量Y取值在數學期望E(Y)附近的密集度越高；若方差σ2越大，則概率p(|Y-μ|<ε)越小，說明隨機變量Y取值在數學期望E(Y)附近的密集度越低。切比雪夫不等式說明方差刻畫了隨機變量的取值對其期望的離散程度。

可見，對於任何分布，只要期望E(Y)和方差σ2存在，則隨機變量Y取值偏離期望E(Y)超過3σ的概率是很小的，不超過0.111。因此，可以利用切比雪夫不等式來衡量流量偏離正常流量行為的程度。具體過程如下(參見圖3)：

a)當前窗口的連接對稱度sketchMsm，並計算Msm對應的每張hash表的所有項的期望和標準差。

b)求解當前時間窗口的前30個時間窗口的期望和標準差的平均值。以平均期望作為基線，以平均標準差的2倍或3倍設置上下限。

c)根據基線和上下限求解異常sketch.

由於某些異常持續的時間比較長或者異常涉及的主機比較多，可能會造成單個時間窗口內對稱度sketch的值整體上升或下降，此時僅利用單個時間窗口的對稱度sketch計算得到的門限值會造成大量的漏報。因此為了提高檢測的準確性，充分利用正常網絡環境的平穩特性，門限的設置利用當前時間窗口的前30個時間窗口的期望和標準差的平均值分別做為當前時間窗口的基線和上下限。該方法設置的門限值是根據網絡環境的變化自動調整的，對網絡環境具有自適用性。

(4)異常源定位

主機流量異常檢測部分得到的異常sketch僅僅知道異常網絡流量在對稱度sketch數據結構中的對應位置，並不知道具體的異常網絡流，異常源定位部分就是用來求解異常相對應的異常網絡流。在本發明書的背景技術中提到的三種異常定位的方法都不適用於大規模網絡流量的實時監測和定位。本發明提出了一種基於對稱度sketch的網絡流量異常檢測與定位方法。該方法通過設計關鍵部分的hash函數組，利用中國餘數定理可以簡單準確的實現sketch的逆向求解問題。

本發明提供的對稱度sketch由H張hash表T[j][·](0≤j255。

由於數據更新是採用IP分段映射，則選擇mi為被除數的hash函數映射得到的hash表共有mi4個表項。因此當m1,m2,...,mn選定後，對稱度sketch的總表項個數為m14+m24+…+mn4。

現問題轉化為已知m1×m2×…×mn>255，且m1,m2,…,mn均為正質數，求當m1,m2,…,mn分別取何值時，m14+m24+…+mn4最小。

由計算機編程計算得當n＝4，m1,m2,…,m4分別為2，3，5，11時m14+m24+…+mn4的值最小。

因此得以證明，選取4個hash函數，且質數分別為2,3,5,11時可以逆向唯一確定一個IP，且佔用內存最小。

利用主機流量異常檢測模塊中得到的異常sketch和中國餘數定理，逆向定位異常IP的過程如下(參見圖4)：

a)若異常sketch中每個hash表中有且僅有一個異常鍵，則利用這一組異

常鍵可以唯一逆向確定一個異常IP(IP1.IP2.IP3.IP4)。具體如下：

首先選取每個hash表中異常鍵的第一段的值組成一個方程組

由於IP每個段的大小不超過255，故利用中國餘數定理可得，在模M的情況下，方程組只有唯一解：

其中：

ti＝Mi-1為Mi模mi的數論倒數

然後再依次分別選取每個hash表中異常鍵的第2、3、4個欄位，依照求IP1的方式，依次求解IP2、IP3、IP4，即可得到異常IP(IP1.IP2.IP3.IP4)且該IP唯一。

b)若異常sketch中每個hash表中有多個異常鍵，則從每個hash表中分別取一個異常鍵，組成一組。利用該組異常鍵轉步驟a)可唯一確定一個IP。

c)若每個hash表中分別取一個異常鍵，組成一組，有不同於已求解過的組合，轉步驟b)；若無不同組合，則轉d)。

d)對所有求得的異常IP求併集，即為異常IP。

需要注意的是，有可能所選取得異常鍵組合併不是同一IP映射得到的，此時唯一確定的IP的各個段值會超過255。應將這些非法IP從最後的結果集中刪除。

以上給出的實施例是實現本發明較優的例子，本發明不限於上述實施例。本領域的技術人員根據本發明技術方案的技術特徵所做出的任何非本質的添加、替換，均屬於本發明的保護範圍。