[发明专利]用于分析网络中非平稳数据的双端口镜像系统

说明书

在与网络中的计算机化单元中一个或多个进行数据通信的交换机上所见的不同的非平稳数据集经由两个交换机端口镜像，这两个端口包括第一端口和第二端口。在镜像所述不同数据集的同时执行双分析。分析从在第一端口处镜像的数据获得的第一数据(例如，使用训练的机器学习模型)，并且基于分析的第一数据，针对第二端口，交换机被重新配置，以镜像第二数据，第二数据选自交换机上所见的非平稳数据(例如，交换机接收和/或发送的数据)。分析在第二端口处镜像的第二数据(例如，使用适合于所选择的数据的不同分析方案)。

技术领域

本公开总体上涉及用于分析计算机化单元的网络中的非平稳数据的方法和系统的领域，以及涉及相关的计算机程序产品。具体而言，其针对机器学习驱动的流量镜像系统。

背景技术

存在有效检测网络流量中的异常的需求，尤其是数据中心网络中的异常。已知设计异常检测系统的两种普遍方法，这两种方法基于数据流量的特征(signature)或行为。

基于特征的检测依赖于每次发现新的攻击时都会更新的已知攻击特征集合的存在。通过检查可疑流量的特征是否与可用集合中的特征相匹配来执行检测。行为检测可能有助于防范新的恶意行为，因为目前还没有针对这些行为的特征。这种检测通常依赖于机器学习来创建正常网络流量行为的简档。这些简档用于检测异常，即具有明显偏离正常的行为的流量。这种方法的一个优点是，它可以在没有先验知识或流量假设的情况下运行，通常在本质上不受监督。

在这两种情况下，都需要监控网络数据流量。然而，由于现代链路和交换机的高速和高容量，实际监控的数据量通常仅代表网络全部流量的小的子集。因此，只有低分辨率(或粗粒度)视图可用，这削弱了系统在可接受的时间内检测威胁的能力。

发明内容

根据第一方面，本发明体现为一种分析网络中非平稳数据的方法。假设网络包括几个计算机化单元，它们在整个网络中传送数据。假设给定的交换机与所述计算机化单元中的一个或多个进行数据通信，因此可以被视为构成网络的一部分。本方法依赖于分析通过镜像由给定交换机接收和/或发送的数据而获得的数据。更详细地说，在所述交换机上所见的不同的非平稳数据集经由两个交换机端口镜像，这两个端口包括第一端口和第二端口。然后，在镜像所述不同数据集的同时执行双分析。即，分析从在第一端口处镜像的数据获得的第一数据，并且基于分析的第一数据，针对第二端口，交换机被重新配置，以镜像第二数据，第二数据选自交换机上所见的非平稳数据(即，由交换机接收和/或发送的数据)。也分析在第二端口处镜像的第二数据。然而，使用不同的分析方案来分析第一和第二数据，包括用于分析所述第一数据的第一分析方案和用于分析所述第二数据的第二分析方案。

特别感兴趣的是实现训练的机器学习模型(作为所述第一分析方案的一部分)，以便分析所述第一数据，如在实施例中那样。也就是说，运行机器学习模型以从分析的第一数据中识别特定数据特性(例如异常数据)。因此，针对第二端口，交换机可以被重新配置，以基于由于训练的模型而识别的特定数据特性选择性地镜像所述第二数据。

根据另一方面，本发明体现为用于分析计算机化单元的网络中的非平稳数据的双端口镜像系统。该系统基本上包括交换机、观察实体和数据分析器。交换机通常被配置成能够与网络的计算机化单元中的一个或多个进行数据通信。观察实体连接到两个端口，包括第一端口和第二端口，其中两个端口与交换机一起被配置成镜像由交换机接收和/或发送的不同数据集。与观察实体进行数据通信的数据分析器被设计成在数据在两个端口镜像时采取特定的措施，与上述方法一致。即，分析器被配置成分析从在第一端口处镜像的数据获得的第一数据；针对第二端口重新配置交换机(基于分析的第一数据)，以镜像从交换机接收和/或发送的数据中选择的第二数据；并且分析在第二端口处镜像的第二数据。

根据另一方面，本发明体现为计算机程序产品，其中该计算机程序产品包括计算机可读存储介质，该计算机可读存储介质具有体现在其中的程序指令。程序指令可由一个或多个处理器执行，以使得实现根据上述方法的步骤。