[发明专利]基于时间切片进行事件统计的方法及装置

说明书

技术领域

本发明涉及网络信息处理领域，更为具体地，涉及基于时间切片进行事件统计的方法及装置。

背景技术

随着网络技术的日益发展，通过网络来传递信息正在成为一种趋势，比如人们通过网络进行网上支付，传送比如机密信息或个人隐私信息的各种信息等。在实际应用中，网络黑客经常利用木马程序非法侵入私人网络空间来窃取私人信息，为了防止这些信息被黑客或他人恶意获取，在网络上通常配备各类安全系统来保证网络安全。在应用时，这些安全系统通常会产生大量的安全报警事件来向用户进行报警。例如，在采用入侵监测系统、漏洞扫描、审计等系统作为安全监测系统时，能够实现对安全构成威胁的任何一个行为进行报警，即生成安全事件。

由于目前的安全监测系统种类繁多，并且即使是相同的安全监测系统，不同的生产厂商之间也没有统一的规范，因此当网络中发生攻击时，安全监测系统往往发出大量的重复安全日志，从而使得管理员难以从所接收的安全日志中提取出有价值的信息。

事件的统计是辅助管理员分析网络中是否存在风险的一个重要依据在进行分析时，如果服务器可以处理10000/秒的数据包，那么服务器每秒收到不同设备发出的数据包为8000个，则不认为是攻击，而认为可能是当时网络比较繁忙。但是，一旦每秒所接收到的数据包超过10000个，则必须通知管理员，告知网络中可能存在攻击，需要管理员进一步进行排查和处理。然而，这种方法在一些情形下并不适用，比如在典型的DDoS攻击的情形下，DDoS攻击是通过利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令来实现的。在这种情况下，由于事件数目非常多，仅仅依靠管理员观察来识别DDoS攻击是不现实的，因此，需要通过一种算法或方法来实现上述事件统计功能，并且该算法或方法要高效且节省存储空间。

针对上述，通常采用时间窗的方式来进行事件统计。时间窗的功能是指在统计单位时间内是否存在满足发生频率的事件，这里的单位时间指的就是需要统计的总时间，这个时间一般很长或无限。目前，基于时间窗的事件统计主要包括以下两种方式：基于时间的事件统计方法和基于数量的事件统计方法。

基于时间的事件统计方法是一种淘汰算法，在该方法中，淘汰已经超过时间范围的事件。例如，如果要统计1小时内满足3秒10个的事件，在该方法下，则只需要保存从当前开始到3秒钟前的所有事件，而在3秒钟之前的事件都删除。然而，这种方法的缺点是3秒钟内的事件个数不可控，从而可能会造成存储时的内存溢出。此外，在这种方法中，由于需要频繁地进行事件保存和事件删除，从而需要大量地创建和销毁存储空间，由此造成效率低下。此外，在要统计的事件数量过多时，遍历的性能也较低。

基于数量的事件统计方法也是一种淘汰算法，在该方法中，只保存要统计的最大数量的事件，对于超出该最大数量的事件进行删除。例如，如果统计1小时内满足3秒10个的事件，在该方法下，则只需要保存最新的10个事件，并判断这10个事件的最大时间和最小时间差是否在3秒内。如果在3秒之内，则进行统计，否则不进行统计。在这种方法中，虽然事件数量可控，但是如果最大数量很大时，要创建和销毁的存储空间依然非常大，尤其在数据量多的时候，甚至比基于时间的事件统计方法要销毁的频率还高，从而效率低下。

发明内容

鉴于上述，本发明提供了一种基于时间切片的事件统计方法和装置，在该方法中，创建循环时间窗并将时间窗口分为多个时间切片，基于当前要统计的事件的发生时间和各时间切片中已记录的事件发生时间，对各时间切片进行存储处理，从而完成事件统计。利用该方法，可以仅仅需要一次性地创建存储开销，并且在创建后循环使用，而不需要频繁进行创建和销毁，由此可以节省存储开销，同时大大提高统计效率，加快处理速度。