用於檢測網絡中的網絡異常的方法和系統的製作方法

2023-04-30 13:47:26 2

專利名稱：用於檢測網絡中的網絡異常的方法和系統的製作方法
技術領域：
本發明總體上涉及通信網絡，更具體地，涉及一種用於檢測網絡中的網絡異常的方法和系統。
背景技術：
網絡運營商每天都要面對複雜的網絡異常，尤其是配置不當，這些網絡異常會嚴重地降低他們所運營的網絡基礎設施的性能並使收入減少。解決這種異常需要開發能夠迅速隔離這些問題的有效檢測技術。大規模網絡中出現的配置不當的範圍很廣，並且隨著新協議和應用的開發而不斷地演變。通常，設計特定的檢測算法來識別明確的配置不當。

發明內容
本發明提供了一種用於檢測網絡中的網絡異常的方法和系統，其基本上消除或減少了與在先方法和系統相關的缺點和問題中的至少某些。
根據一具體實施例，用於檢測網絡中的網絡異常的方法包括按一時間間隔從網絡中採集管理信息庫(MIB)數據；以及構建所採集數據的時間序列。該方法還包括對所採集數據的時間序列進行分解；根據經分解的時間序列構造能量圖；以及對該能量圖進行分析，以確定網絡異常事件的徵兆。
對所採集數據的時間序列進行分解可以包括在小波域中對所採集數據的時間序列進行分解，而構造能量圖可以包括根據在小波域中進行了分解的時間序列來構造能量圖。對能量圖進行分析以確定網絡異常事件的徵兆可以包括對該能量圖進行分析，以確定相對於線性行為的偏離。相對於線性行為的偏離可以包括能量值相對於該線性行為的異常減小。該方法可以包括重複採集MIB數據、構建時間序列、在小波域中分解該時間序列、構造能量圖，以及分析該能量圖選定次數，並且如果檢測到網絡異常事件的徵兆該選定次數的選定閾值，則生成表示網絡異常事件的警告。網絡異常事件可以包括IP位址空間的重複、分組過濾配置不當、永久路由環路以及分布式服務拒絕攻擊中的至少一種。從網絡中採集MIB數據可以包括採集分組計數統計。
根據另一實施例，用於檢測網絡中的網絡異常的系統包括網絡設備，該網絡設備包括存儲器，該存儲器可用來按照一時間間隔從網絡中採集管理信息庫(MIB)數據；以及與該存儲器相連的控制器。該控制器可用來構造所採集數據的時間序列、在小波域中對所採集數據的時間序列進行分解、根據在小波域中進行了分解的時間序列來構造能量圖，以及對該能量圖進行分析以確定網絡異常事件的徵兆。
具體實施例的技術優勢包括能夠檢測網絡中的多種網絡異常和配置不當的方法，這些網絡異常和配置不當包括環路、IP重複地址、距離矢量(DV)路由狀態惡化(corruption)、超過最大傳輸單元(MTU)、黑洞以及配置不當的分組過濾。因此，具體實施例可以檢測網絡異常空間的重要部分，包括未來的配置不當，同時由於可以在檢測處理中使用MIB數據，所以只進行了有限的網絡重新配置。因此，由於可以減少對用於各種類型的網絡異常的檢測組件的需求，所以減少與實現網絡異常檢測功能性相關聯的時間和花費。此外，具體實施例分析TCP行為和重傳超時(RTO)事件，TCP行為和重傳超時(RTO)事件是網絡設備的製造始終要遵守的。這保證了實現網絡異常檢測的具體實施例可應用於來自不同製造商的多種產品。
通過以下附圖、說明書和權利要求，本領域的技術人員將很容易了解本發明的其他技術優勢。此外，儘管以上列舉了特定優點，但是不同的實施例可以包括所有、某些或者不包括所列舉的優點。


為了更完全地理解本發明及其優點，下面結合附圖來進行以下說明，附圖中
圖1表示根據具體實施例的用於檢測網絡中的網絡異常的通信系統；圖2是表示圖1的分析設備的示例性功能組件的方框圖；以及圖3是表示根據具體實施例的用於檢測網絡中的網絡異常的方法的流程圖。
圖4示出了能量函數的圖及其在相鄰集合級別{u+1，u+2，u+3}中的形狀(局部最小值)，該圖還對早期基於RTO的信號能量函數(實線)與通過公式(4)預測的線性行為(虛線)進行了對比。
具體實施例方式
圖1示出了根據一具體實施例的通信系統10。通信系統10包括分析設備12、網絡區段14、路由器16和伺服器18，並且可以包括任意合適的通信網絡。通信系統10例如可以包括主Tier-I供應商或國家網際服務供應商的網絡，或者公共或專用區域網(LAN)和廣域網(WAN)。通常，分析設備12提供網絡流量的分析，以診斷系統10中可能降低網絡性能的諸如配置不當的網絡異常。更具體地，分析設備12可以使得能夠在通信系統10中的所連結的設備之間檢測配置不當和網絡異常。根據具體實施例，分析設備12採集流量數據並且可以通過分析所採集的流量數據的特性來檢測網絡異常。分析設備12可以檢測任意類型的網絡中的網絡異常系列。這些網絡異常例如可以包括諸如環路、IP重複地址、距離矢量(DV)路由狀態惡化、超過最大傳輸單元(MTU)、黑洞以及配置不當的分組過濾的配置不當。
分析設備12代表包括適當控制邏輯的任意適合的網絡設備，其能夠與其他單元相連並使用基於分組的標準進行通信。例如，分析設備12可以包括通用計算機、路由器、特殊設計的組件或其他合適的網絡設備。分析設備12提供對於網絡流量數據的分析，以檢測網絡異常。
與分析設備12類似，各個伺服器18表示包括任意適當控制邏輯的網絡設備，用於與其他網絡設備相連以及使用基於分組的通信協議進行通信，以提供各種服務。伺服器18例如可以為系統10內的其他單元提供可網絡訪問的服務。這些服務可以包括任意數量的特徵，例如網頁寄存(web hosting)、數據管理、處理或其他合適的服務。在特定環境下，一個或更多個伺服器18可以支持與分析設備12所提供的診斷功能類似的，或者用於與分析設備12所執行的診斷進行協作的診斷功能。
在所示實施例中，分析設備12和伺服器18通過包括網絡區段14和路由器16在內的通信設備進行互連。各個網絡區段14表示支持基於分組的傳輸控制協議(TCP)通信的組件和傳輸介質的任意適當的組合和設置。「分組」一詞的使用應當理解為考慮了數據的任意適當分割，例如分組、幀或者信元。特定網絡區段14可以包括任意數量的互連交換機、集線器或轉發器。路由器16使得網絡流量能夠在網絡區段14之間流動。
分析設備12採集並分析網絡流量，以診斷網絡異常系列，它們共享包括普通性能量度(metrics)在內的公共特性。可以通過在TCP連接開始時檢測分組丟失來識別這些網絡異常。當由一節點在TCP連接開始時所發出的第一個分組丟失時，該節點將等待來自目的地節點的應答。如果沒有接收到應到(表示分組丟失)，則再次重發該分組。因此，當出現分組丟失時，產生重傳超時(RTO)。如果例如在初始發送之後3秒內沒有獲得應答，則再次發出完全相同的分組。假定網絡中存在異常，則重傳的分組會再次丟失。如果在6秒之後沒有獲得應答，在進行第二次重傳。如果在12秒之後沒有獲得應答，則發生第三次重傳，等等。具體實施例識別利用預設RTO值的早期RTO事件(ERE)。對這些預設RTO值進行標準化並且始終在TCP/IP協議中實現。因此，TCP連接的斷開狀態下導致的重傳事件生成了具有明確特性並遵循確定模式的網絡流量，該確定模式可以對模塊實現和端到端路徑特性不敏感。
具體實施方式
例如通過分析設備12來實現檢測算法(以下進一步說明)，該檢測算法能夠隔離嵌入在總流量中的配置不當的部分。某些實施例使用了時間序列管理信息庫(MIB)數據(例如，分組計數統計)的小波分析，以根據不同的解析度級別對輸入信號的能量進行分解。其他實施例可以使用其他的譜分析方法，例如加窗傅立葉變換。許多情況下，ERE會導致存在精確解析度級別的下降。具體實施例使用程序來分析和識別這些能級下降，以推斷異常的存在。
在操作中，分析設備12從諸如路由器16的網絡設備周期性地採集流量數據。在具體實施例中，可以每一秒從一個或更多個網絡設備採集流量數據。例如，對於特定路由器，可以周期性地採集表示通過該路由器的接口到達的分組數量的數據。根據所採集的該路由器的流量數據來構造時間序列，該時間序列表示隨時間而通過該路由器的接口的分組數量。該時間序列的分組可以包括來自健康流量的分組和來自配置不當或者不健康流量的分組。當構造了該時間序列時，對其進行分析，以確定其是否包含異常。在具體實施例中，可以通過該時間序列流量數據的小波譜分析來執行這種分析。
許多類型的網絡異常都可以導致所採集數據的譜能量圖偏離健康流量的線性行為。這些類型的事件使得能量圖表現為在特定能級下降。這種下降可以由此成為重發事件的特徵，並且由此成為表示網絡中的異常的分組丟失的徵兆。
可以通過在TCP連接開始時的分組丟失進行檢測的特定類型的異常和配置不當包括IP位址空間的重複、分組過濾配置不當、永久路由環路以及TCP-SYN flood分布式服務拒絕(D-DoS)攻擊。這些目標異常中的每一個都共享使得能夠進行該檢測的公共特性。在中到大規模的網絡中經常出現IP位址空間的重複。在向預先存在的網絡N1添加新的子網絡S-N2時，或者當為了進行維護而改變分配給S-N2的地址空間時，會引入配置不當。由於疏忽，S-N2的地址空間與N1中的不同子網絡S-N1重疊。這種配置不當是由以下原因而導致的(a)管理相同網絡基礎設施的獨立部分的不同分區之間缺乏協調，或者(b)缺乏與特定網絡部分的最近修改相關的最新信息(例如，不完善的網絡圖、舊的配置信息等)。這種配置不當幹擾了網絡的內部路由狀態。在使用DV協議的情況下，靠近配置不當點S-N2的N1中的節點將改變它們的路由狀態。DV信息交換表示存在到特定前綴，即S-N1的地址空間的較短路徑。當N1的路由狀態收斂(converged)時，使得M(S-N2)成為N1中的路由器組，其狀態響應於這種配置不當而改變。尋址到抵達M(S-N2)中的節點的分組將被朝向S-N2進行路由，通常在S-N2處將它們丟棄。相反，尋址到不抵達M(S-N2)中的節點的分組將被正確地轉發到S-N1。根據網絡N1內部的具體位置，可以容易地發現問題，或者該問題對於典型的監測活動是完全透明的。與導致完全斷線(outage)的配置不當相比，這增加了故障檢修的複雜性。受到該配置不當的影響的TCP流不能完成開闢新連接所需的三方握手。其他配置不當的情況也可能涉及IP位址空間的重複。
分組過濾配置不當是另一種目標異常。分組過濾是大多數網絡中的公共方法(practice)，並且目的在於提高安全性和完整性。通常，分組過濾配置不當可以(a)在該濾波器過分嚴格的情況下，導致不希望的分組丟棄，或者(b)在該濾波器配置太寬容的情況下，導致遺漏不需要的分組。過分嚴格的過濾配置不當通常可以歸因於以下因素(a)大多數支持的過濾規範格式在其語義上非常嚴格，其需要管理員書寫繁瑣的規則；(b)過濾規則通常是基於分組的，然而針對商業的過濾需求是面向流的；以及(c)過濾工具強加固有的規則處理順序，這在配置發生改變時經常被忽視。存在多種丟棄所有來自/到特定地址空間的分組的過濾配置不當。這種狀況以與其他類型的目標配置不當相似的方式影響TCP連接的建立。在這些狀況下，TCP握手無法完成，並且會出現基於RTO的重傳或ERE。
永久路由環路是導致嚴重問題的另外一種目標異常，因為其導致帶寬使用以及分組丟失增加。通常，將第三層環路分類為暫時的或永久的。暫時環路通常發生在路由的傳播發生改變的過程中，並且在達到收斂消失。某些永久路由環路是由影響特定前綴的路由的錯誤靜態配置而引起的。其他永久路由環路是由DV路由狀態的惡化而導致的。一種特定的異常表現為似乎合理的配置選擇的與分組過濾的配置不當組合的交互作用。事件的共存使得路由信息從網絡N1洩漏至相鄰網絡N2。N2的路由狀態以下述方式改變通常由N2通過與來自N1的分組最初進入N2的互連點不同的互連點，將源自N1的分組路由回N1。這種配置不當可能不會經常發生，但是它對於網絡性能非常有害。在與環路相關的配置不當中，受到該問題環路影響的分組最終被丟棄，因為它們的TTL值超時了。由主機發起的受到該問題影響的TCP連接將不能完成處理事務，並且產生ERE重傳。
另一種類型的目標異常是D-Dos攻擊。D-Dos攻擊的目的是損壞特定目標，以使得合法用戶不能使用由該目標提供的服務。攻擊者可以採用不同的機制。TCP-SYN flood攻擊是很普通的方法，並且導致多種網絡異常，這些網絡異常表現出與上述其他類型的配置不當的重要相似之處。攻擊者通常使用一組中間(compromised)主機，從這些中間主機向目標產生偽TCP-SYN分組。該目標生成以初始TCP-SYN的偽地址為目的地的TCP-SYN-ACK分組。來自該目標的TCP-SYN-ACK因此丟失，並且半開TCP連接使入請求隊列飽和。另外，當合法客戶試圖開闢與該目標的新連接時，丟棄後續進入的TCP-SYN分組。結果，服務被拒絕。在目標側發生(響應於偽分組而丟失TCP-SYN-ACK)，並在客戶側發生基於RTO的重傳(由於目標處的進入請求隊列溢出而丟失TCP-SYN)。後續組的TCP流的數量非常大。D-Dos攻擊越成功，在網絡中存在越多的客戶的早期RTO重傳。
如上所述，ERE的存在是被多個具體實施例作為目標的配置不當之間共有的異常行為。因為分組丟失影響了新TCP連接的打開狀態，所以RTO定時器使用預設值。這在由指數退避RTO管理算法所指定的精確時間刻度處引入了配置不當的流中的明確相互關係。因此，如果在隨後丟失的三方握手中出現分組，則應該在3·2k秒(k＝0，1，2…)後再次出現相同的分組。在原理上，如果重傳序列是無窮級數，則流量模式將產生被稱作偽自相似的冪律開關行為。然而，在實際中，重傳事件的序列是有限的序列，因此重傳嘗試的次數是有限的。
通常，TCP/IP模塊實現將嘗試重新發送丟失分組有限次數。嘗試的最大次數(KMAX)可以在各種實施中不同。另外，KMAX可以取決於在發生丟失時TCP連接的狀態(例如，連接打開與數據交換)。KMAX通常在握手階段較小。對於預設結構的基於窗口的主機，在握手階段內的分組丟失的KMAX＝1。在Linux O/S的情況下，KMAX＝4。另外，終端用戶對低響應的容許量通常限定為大約8-14秒。因此，TCP模塊僅能夠在應用層終止連接之前，對丟失分組重新發送很少的次數。
通常，早期的RTO重傳模式，或者ERE，在受到配置不當影響的所有TCP流中一致地進行重複。如果在該TCP連接內部的較後點處發生RTO事件，則不必進行該操作。實際上，各個流中的RTO定時器由RTT進行了校準，該RTT由各個連接分別進行了檢驗。RTT值通常表現出由特定的端到端連接的靜態和動態特性而導致的高差量(dispersion)。握手階段的RTO重傳通常對於這些方面不敏感，因為沒有可用的RTT測量。此外，由於對RTO管理算法的預設初始值進行了標準化，所以對於特定TCP/IP模塊實現的依賴性並沒有連接的該階段中的那麼多。
具體實施例可以利用下述算法，通過能量圖的局部最小值來檢測網絡異常或配置不當事件。設{X0，r}(0≤r≤2M-1；M∈N)為用於分析以進行異常檢測的離散輸入信號。{X0，r}中的第一個下標表示集合級別。第二個下標表示給定時間和集合級別的特定抽樣。集合級別的較大值對較低解析度相對應。信號抽樣在時間上均勻地間隔開。ΔT是在可用的最精細解析度下的兩個連續抽樣之間的時間間隔。當前討論的算法利用了信號的基於Haar過濾器的表達。生成了兩個向量序列。它們被稱作集合信號{Xq，r}(1)和細節{dq，r}(2)(1≤q≤M)Xq,r=12(Xq-1,2r+xq-1,2r+1)(1)dq,r=12(Xq-1,2r-xq-1,2r+1)(2)]]>接下來，計算第q解析度級別的能含量(energy content)EqEq=12M-qr=02M-q-1|dq,r|2---(3)]]>能量圖是作為解析度級別q的函數的log2(Eq)的圖。該檢測算法使用用於確定基本時間序列的縮放比例行為的整體方面的能量圖。對於多種分組交換網絡上的自相似處理，期望能量函數的行為對於q漸近地成線性log2(Eq)≈(2H-1)q+b (4)在公式(4)中，H是Hurst參數，而b是常數。當＜H＜1時，公式(4)中的直線的斜率為0＜(2H-1)＜1。RTO事件在集合級別的精確範圍內改變能量函數的線性行為。在具體建模中，連續RTO事件的間隔為3·2K秒(0≤k≤kMAX)，kMAX是有限且通常較小的值。在其他情況下，假定kMAX等於2。
如果ΔT＝3·2-usec(u≥0)是信號抽樣率，則早期RTO重傳的信號的能量函數表現出在小波集合級別{u+1，u+2，u+3}上的局部下降。該信號包括初始分組，其後為三個後續重傳。信號{X0，r}在該二元函數方面可以表示為δ0(t)+δ3·2k(t)(0≤kMAX)，其中如果t＝k，則δk(t)＝1，否則δk(t)＝0。利用公式(1)，集合級別u的信號為Xu,0=Xu,1=Xu,3=Xu,7=2-u2---(5)]]>Xu，2＝Xu，4＝Xu，5＝Xu，6＝0 (6)利用公式(2)和(3)，集合級別{u+1，u+2，u+3}的細節的能含量為Eu+1=2-u4;Eu+2=2-u4;Eu+3=2-u2---(7)]]>圖4示出了能量函數的圖及其在相鄰集合級別{u+1，u+2，u+3}中的形狀(局部最小值)。該圖還對早期基於RTO的信號能量函數(實線)與通過公式(4)預測的線性行為(虛線)進行了對比。
在典型配置的情形下，多個健康TCP流(噪聲與異常檢測)將與配置不當的流(對其保持局部特性)進行多路復用。所述分析算法通過研究包含區間[u+1，u+3]在內的集合範圍上的能量函數形狀，來檢測嵌入在總流量中的配置不當部分的存在。為了定位所關注的集合期間中的下降(局部最小)，能量函數按照最小平方拋物線近似y＝β0+β1x+β2x2。未知的{β0，β1，β2}滿足以下條件k(i=uu+4(log2(Ei)-0-1i-2i2)2)=0,0k2---(8)]]>令 為方程組(8)的解。令V為y的頂點V=(Vq,Vlog2(E))=(-~12~2;~0-~124~2)---(9)]]>如果V滿足關係(10)和(11)，則檢測算法將該時間序列標記為包含能量下降，並且因此檢測到異常的徵兆。
~2>0(10)(u+1)(-~12~2)(u+3)(11)]]>關係(10)要求V是局部最小值。關係(11)暗示V的橫坐標落入所關注的能級範圍。在具體實施例中實現的所述檢測算法將n個測量集合為抽樣Sn。令m(m≤n)為由關係(10)和(11)標記為異常的Sn中的測量的數量。如果(m/n)≥γ，則可以使用閾值γ來觸發警告。
以上說明提供了對所採集時間序列數據進行統計處理以進行網絡異常檢測的詳細數學公式。然而，如上所述，系統10希望分析設備12使用任意合適的技術和計算來檢測包括配置不當在內的潛在網絡異常。不論使用何種技術，當檢測到網絡異常時，分析設備12可以報告該網絡異常以及/或者執行附加的測試，以進一步隔離該網絡異常的位置。
圖2是表示用於分析設備12的示例性功能元件的方框圖。在所示實施例中，分析設備12包括用戶界面30、存儲器32、控制器34和網絡接口36。通常，如前所述，分析設備12用於檢測網絡中的多種類型的網絡異常。
用戶界面30用於與分析設備12的用戶進行交互。例如，用戶界面30可以包括顯示器、鍵盤、小鍵盤、滑鼠和/或用於向用戶呈現信息並從用戶接收輸入的其他適當單元。存儲器32用於存儲分析設備12所使用的信息。在所示實施例中，存儲器32包括代碼38和配置信息40。代碼38包括軟體、原始碼和/或由分析設備12的元件使用的其他適當的控制邏輯。例如，代碼38可以包括實現對數據路徑進行分析的某些或全部操作的邏輯。配置信息40包括啟動、工作，以及分析設備12所使用的其他適當的設置和配置。例如，配置信息40可以識別遠程目標的IP位址、用戶設置、閾值，和/或工作期間所使用的其他適當信息。
網絡接口36支持與其他網絡設備的基於分組的通信。例如，網絡接口36可以支持使用任意合適的通信協議進行的發送和接收。控制器34控制分析設備12的管理和操作。例如，控制器34可以包括用於執行代碼38以控制分析設備12的操作的一個或更多個微處理器、編程邏輯器件或其他合適的元件。
在操作期間，分析設備12的元件對從系統10的組件採集到的數據進行分析，以識別網絡異常。例如，控制器34可以根據配置信息40來執行代碼38，以控制網絡結構36的操作。控制器34隨後可以對所接收的網絡運行數據進行分析，以檢測網絡異常的徵兆。當檢測到網絡異常的徵兆時，控制器34可以使用用戶界面30來警告用戶，或者產生表示網絡異常的警告。在其他情況下，可以在檢測到異常徵兆的閾值水平時產生警告。在某些情況下，可以根據統計推論、神經網絡、空間和/或時間事件相關或其他方法來產生作為揭示檢測到網絡異常的分析的結果的警告。所示具體實施例提供了示例性模塊，用於在分析設備12中實現多種功能。
然而，儘管所示實施例和以上說明針對包括特定元件的分析設備12的具體實施例，但是系統10希望分析設備12具有任意適當的元件組合與配置，以提供對所採集數據的分析，並用於檢測網絡異常。因此，可以對所述模塊和功能進行組合、分離或者在任意適當的功能組件之間進行分配。此外，儘管被表示為包括特定功能元件，但是系統10希望分析設備12使用編碼在諸如軟體或編程邏輯器件的介質中的邏輯，來實現其某些或全部功能。另外，儘管被表示為專用分析設備12，但是系統10希望通過系統10內的任意適當的組件來實現設備12的分析功能。因此，例如，諸如路由器16或伺服器18的元件可以實現諸如網絡異常檢測的多種網絡分析功能，如根據分析設備12所述。
圖3是表示根據具體實施例的用於檢測網絡中的諸如配置不當的網絡異常的方法的流程圖。在具體實施例中，作為檢測目標的網絡異常事件可以包括IP位址空間重複、分組過濾配置不當、永久路由環路以及分布式服務拒絕攻擊。該方法開始於步驟100，其中從一個或更多個網絡設備採集MIB數據。MIB使得能夠詢問網絡設備並獲得從上次詢問開始已有多少分組通過了設備接口。可以按一時間間隔(例如每秒或者特定數量的秒)來採集MIB數據。在步驟102，構造MIB數據測量的時間序列。該時間序列例如可以識別隨時間而通過設備接口的分組數量。這些分組可以包括健康和不健康流量。
在步驟104，在小波域對該時間序列進行分解。在具體實施例中，該分解可以使用Harr小波函數。應該理解，其他實施例可以使用小波以外的譜分析方法，例如加窗傅立葉變換。在步驟106，根據小波域的時間序列來構造能量圖。在步驟108，對該能量圖進行分析，以在步驟110確定其是否包括網絡異常事件的徵兆。在具體實施例中，由於健康流量通常與該能量圖上的線性行為相對應，所以網絡異常事件的徵兆可以包括該圖的能量值的下降或異常減小。可以在集合級別的特定範圍內執行插值，並且如果拋物線的最小值落入該範圍內，則該能量函數會在所考慮的範圍內減小。該減小可以是網絡異常事件的徵兆。
如果檢測到網絡異常事件的徵兆，則該方法可以進行到步驟112，在步驟112中確定是否檢測到網絡異常事件的徵兆的閾值級別。該確定使用了可以表示網絡異常事件的以往數據。閾值級別可以包括任意適當的級別或百分比，例如所分析的四個連續能量圖中至少有三個檢測到網絡異常事件的徵兆。如果達到了該閾值級別，則可以在步驟116產生表示網絡異常事件的告警。額外智能層(extra intelligence layer)要求在產生警告之前達到閾值級別，該額外智能層避免了網絡異常事件的錯誤警告，該錯誤警告例如可以基於可能產生能量圖中的下降的噪聲或其他非網絡異常事件。因此，對一組測量進行分析，以獲得更有意義的決策。具體實施例可以不包括附加閾值確定，並且可以僅根據一個網絡異常的徵兆來產生警告。在其他實施例中，可以根據統計推論、神經網絡、空間和/或時間事件相關或其他方法來生成作為揭示檢測到網絡異常的分析的結果的警告。
如果沒有網絡異常事件的徵兆，或者如果使用了閾值級別，並且網絡異常事件的徵兆並未達到該級別，則在步驟114中可以生成健康流量的通知。具體步驟可以隨時間而連續地重複，尤其是在尋求連續測量以確定是否檢測到了網絡異常指標的閾值級別的情況下。
可以在適當的地方對圖3所示的某些步驟進行組合、修改或刪除，並且可以向該流程圖添加另外的步驟。另外，在不脫離本發明的範圍的情況下可以按照任意適當的順序來執行這些步驟。
具體實施例的技術優勢包括能夠檢測網絡中的多種網絡異常的方法，這些網絡異常包括環路、IP重複地址、DV路由狀態惡化、MTU超出、黑洞以及配置不當的分組過濾。因此，由於可以在檢測處理中使用MIB數據，所以具體實施例可以通過有限的網絡重新配置來檢測網絡異常空間的重要部分，包括未來的配置不當。因此，由於可以減少對用於進行各種網絡異常的檢測組件的需求，所以可以減少與實現網絡異常檢測功能相關聯的時間和花費。此外，具體實施例分析TCP行為和RTO事件，TCP行為和RTO事件是網絡設備製造始終遵循的。這保證了實現網絡異常檢測的具體實施例可應用於來自不同製造商的多種產品。
儘管參照具體實施例詳細說明了本發明，但是應該理解，在不脫離本發明的主旨和範圍的情況下，可以進行多種其他改變、替換和改造。例如，儘管參照圖1和2中的多個元件和組件對本發明進行了說明，但是為了適應特殊的路由構架或需要，可以對這些元件和組件進行組合、重新配置或定位。另外，這些元件或組件中的任何一種都可以適當地提供為獨立的外部元件或組件。本發明期望實現這些元件以及它們的內部組件的結構的更大靈活性。
本領域的技術人員可以確認許多其他變化、替換、改動、改造和修改，並且本發明旨在涵蓋所有這些變化、替換、改動、改造和修改，只要它們落入所附權利要求的主旨和範圍內。
權利要求
1.一種用於檢測網絡中的網絡異常的方法，包括按照一時間間隔從網絡中採集管理信息庫數據；構建所採集數據的時間序列；對所採集數據的時間序列進行分解；根據所分解的時間序列構造能量圖；以及對所述能量圖進行分析，以確定網絡異常事件的徵兆。
2.根據權利要求1所述的方法，其中對所採集數據的時間序列進行分解包括在小波域中對所採集數據的時間序列進行分解；並且根據所分解的時間序列構造能量圖包括根據在小波域中進行了分解的時間序列來構造所述能量圖。
3.根據權利要求2所述的方法，其中對能量圖進行分析以確定網絡異常事件的徵兆包括對所述能量圖進行分析，以確定相對於線性行為的偏離。
4.根據權利要求3所述的方法，其中所述相對於線性行為的偏離包括能量值相對於所述線性行為的異常減小。
5.根據權利要求1所述的方法，還包括如果檢測到網絡異常事件的徵兆，則產生警告。
6.根據權利要求2所述的方法，還包括重複採集管理信息庫數據、構建時間序列、在小波域中分解所述時間序列、構造能量圖，以及分析能量圖選定次數；以及如果檢測到網絡異常事件的徵兆所述選定次數的選定閾值，則產生表示網絡異常事件的警告。
7.根據權利要求6所述的方法，還包括如果沒有檢測到網絡異常事件的徵兆所述選定次數的選定閾值，則生成健康流量的通知。
8.根據權利要求2所述的方法，其中在小波域中對所採集數據的時間序列進行分解包括使用Harr小波函數對所採集數據的時間序列進行分解。
9.根據權利要求1所述的方法，其中所述網絡異常事件包括IP位址空間重複、分組過濾配置不當、永久路由環路以及分布式服務拒絕攻擊中的至少一種。
10.根據權利要求1所述的方法，其中從網絡中採集管理信息庫數據包括採集分組計數統計。
11.一種用於檢測網絡中的網絡異常的系統，其包括網絡設備，該網絡設備包括存儲器，該存儲器可用來按照一時間間隔從網絡中採集管理信息庫數據；以及與所述存儲器相連的控制器，該控制器可用來構造所採集數據的時間序列；對所採集數據的時間序列進行分解；根據所分解的時間序列來構造能量圖；以及對所述能量圖進行分析以確定網絡異常事件的徵兆。
12.根據權利要求11所述的系統，其中可用來對所採集數據的時間序列進行分解的控制器包括可用來在小波域中對所採集數據的時間序列進行分解的控制器；並且可用來根據所分解的時間序列構造能量圖的控制器包括可用來根據在小波域中進行了分解的時間序列來構造能量圖的控制器。
13.根據權利要求12所述的系統，其中可用來對能量圖進行分析以確定網絡異常事件的徵兆的控制器包括可用來對該能量圖進行分析，以確定相對於線性行為的偏離的控制器。
14.根據權利要求13所述的系統，其中所述相對於線性行為的偏離可以包括能量值相對於所述線性行為的異常減小。
15.根據權利要求11所述的系統，其中所述控制器還可用來如果檢測到網絡異常事件的徵兆，則產生警告。
16.根據權利要求12所述的系統，其中所述控制器還可用於重複採集管理信息庫數據、構建時間序列、在小波域中分解所述時間序列、構造能量圖，以及分析所述能量圖選定次數；以及如果檢測到網絡異常事件的徵兆所述選定次數的選定閾值，則生成表示網絡異常事件的警告。
17.根據權利要求16所述的系統，其中所述控制器還可用於如果沒有檢測到網絡異常事件的徵兆所述選定次數的選定閾值，則生成健康流量的通知。
18.根據權利要求12所述的系統，其中可用來在小波域中對所採集數據的時間序列進行分解的控制器包括可用來使用Harr小波函數對所採集數據的時間序列進行分解的控制器。
19.根據權利要求11所述的系統，其中所述網絡異常事件包括IP位址空間重複、分組過濾配置不當、永久路由環路以及分布式服務拒絕攻擊中的至少一種。
20.根據權利要求11所述的系統，其中可用來從網絡中採集管理信息庫數據的存儲器包括可用來採集分組計數統計的存儲器。
21.一種在計算機可讀介質中實現的軟體，該計算機可讀介質包括可進行以下處理的代碼按照一時間間隔從網絡中採集管理信息庫數據；構建所採集數據的時間序列；對所採集數據的時間序列進行分解；根據所分解的時間序列構造能量圖；以及對所述能量圖進行分析，以確定網絡異常事件的徵兆。
22.根據權利要求21所述的介質，其中可用於對所採集數據的時間序列進行分解的代碼包括可用於在小波域中對所採集數據的時間序列進行分解的代碼；並且可用於根據所分解的時間序列構造能量圖的代碼包括可用於根據在小波域中進行了分解的時間序列來構造能量圖的代碼。
23.根據權利要求22所述的介質，其中可用於對能量圖進行分析以確定網絡異常事件的徵兆的代碼包括可用於對所述能量圖進行分析，以確定相對於線性行為的偏離的代碼。
24.根據權利要求23所述的介質，其中所述相對於線性行為的偏離可以包括能量值相對於所述線性行為的異常減小。
25.根據權利要求21所述的介質，其中所述代碼還可用於如果檢測到網絡異常事件的徵兆，則產生警告。
26.根據權利要求22所述的介質，其中所述代碼還可用於重複採集管理信息庫數據、構建時間序列、在小波域中分解所述時間序列、構造能量圖，以及分析所述能量圖選定次數；以及如果檢測到網絡異常事件的徵兆所述選定次數的選定閾值，則生成表示網絡異常事件的警告。
27.根據權利要求26所述的介質，其中所述代碼還可用於如果沒有檢測到網絡異常事件的徵兆所述選定次數的選定閾值，則生成健康流量的通知。
28.根據權利要求22所述的介質，其中可用於在小波域中對所採集數據的時間序列進行分解的代碼包括可用於使用Harr小波函數對所採集數據的時間序列進行分解的代碼。
29.根據權利要求21所述的介質，其中所述網絡異常事件包括IP位址空間重複、分組過濾配置不當、永久路由環路以及分布式服務拒絕攻擊中的至少一種。
30.根據權利要求21所述的介質，其中可用於從網絡中採集管理信息庫數據的代碼包括可用於採集分組計數統計的代碼。
31.一種用於檢測網絡中的配置不當的方法，包括按照一時間間隔從網絡中採集管理信息庫數據，該數據包括分組計數統計；構建所採集數據的時間序列；使用Harr小波函數在小波域中對所採集數據的時間序列進行分解；根據在小波域進行了分解的時間序列來構造能量圖；對所述能量圖進行分析，以確定配置不當事件的徵兆，其中配置不當事件的徵兆包括所述能量圖中相對於線性行為的偏離；重複採集管理信息庫數據、構建時間序列、在小波域中分解所述時間序列、構造能量圖，以及分析所述能量圖選定次數；如果檢測到配置不當事件的徵兆所述選定次數的選定閾值，則生成表示配置不當事件的警告；並且其中所述配置不當事件包括IP位址空間重複、分組過濾配置不當、永久路由環路以及分布式服務拒絕攻擊中的至少一種。
全文摘要
用於檢測網絡中的網絡異常的方法和系統。用於檢測網絡中的網絡異常的方法包括按照一時間間隔從網絡中採集管理信息庫信息；以及構建所採集數據的時間序列。該方法還包括在小波域中對所採集數據的時間序列進行分解；根據在小波域中進行了分解的時間序列構造能量圖；以及對該能量圖進行分析，以確定網絡異常事件的徵兆。
文檔編號H04L12/26GK1767452SQ200510091299
公開日2006年5月3日 申請日期2005年8月25日 優先權日2004年8月25日
發明者安東尼奧·馬尼亞吉, 浜田健生 申請人:富士通株式會社