[发明专利]异常流量告警决策系统及方法

权利要求书

1.一种异常流量告警决策系统，该系统包括：

流量分类组件，按照至少包括数据报文的流量、协议比例和源IP数量的多个维度中的每一个维度，在一个统计周期内对所接收的数据报文进行分类统计，并将分类统计结果分别存储在存储器中；

打分组件，将针对每个维度所分类统计的结果归属到对应维度的不同阈值范围，并基于所归属的不同阈值范围赋予所接收的数据报文相应维度下的分数；以及

异常判定组件，累计所有维度对应的分数，并将累计分数超过正常阈值分数所对应的统计周期所接收的数据报文的流量状态判定为不同级别的异常流量状态。

2.根据权利要求1所述的异常流量告警决策系统，还包括自学习组件，被构造为每经过一定学习周期则基于流量分类组件针对每个维度连续几个统计周期内所获得统计结果，调整对应维度的不同阈值范围。

3.根据权利要求1所述的异常流量告警决策系统，还包括告警通知组件，被构造为根据所述异常判定组件得到的不同级别的异常流量状态，向用户呈现出当前统计周期的异常告警信息以及异常级别。

4.根据权利要求1所述的异常流量告警决策系统，其中所述协议比例的在TCP协议下的正常阈值范围为所接收到的数据报文中的ACK数据报文和SYN数据报文的比例大于或等于3:1。

5.根据权利要求1所述的异常流量告警决策系统，其中所述协议比例的在DNS协议下的正常阈值范围为所接收到的数据报文中的DNS请求数据报文和DNS应答数据报文的比例大于或等于1:1。

6.根据权利要求1所述的异常流量告警决策系统，其中所述源IP数目的正常阈值范围小于当前统计周期之前的3-5个统计周期内源IP数目峰值的平均值。

7.一种异常流量告警决策方法，包括：

通过流量分类组件按照至少包括数据报文的流量、协议比例和源IP数量的多个维度中的每一个维度，在一个统计周期内对所接收的数据报文进行分类统计，并将分类统计结果分别存储在存储器中；

通过打分组件将针对每个维度所分类统计的结果归属到对应维度的不同阈值范围，并基于所归属的不同阈值范围赋予所接收的数据报文相应维度下的分数；以及

通过异常判定组件累计所有维度对应的分数，并将累计分数超过阈值分数所对应的统计周期所接收的数据报文的流量状态判定为不同级别的异常流量状态。

8.根据权利要求7所述的异常流量告警决策方法，还包括通过自学习组件每经过一定学习周期则基于流量分类组件针对每个维度连续几个统计周期内所获得统计结果，调整对应维度的不同阈值范围。

9.根据权利要求7所述的异常流量告警决策方法，还包括告警通知组件，被构造为根据所述异常判定组件得到的不同级别的异常流量状态，向用户呈现出当前统计周期的异常告警信息以及异常级别。

10.根据权利要求7所述的异常流量告警决策方法，其中所述协议比例的在TCP协议下的正常阈值范围为所接收到的数据报文中的ACK数据报文和SYN数据报文的比例大于或等于3:1。

11.根据权利要求7所述的异常流量告警决策方法，其中所述协议比例的在DNS协议下的正常阈值范围为所接收到的数据报文中的DNS请求数据报文和DNS应答数据报文的比例大于或等于1:1。

12.根据权利要求7所述的异常流量告警决策方法，其中所述源IP数目的正常阈值范围小于当前统计周期之前的3-5个统计周期内源IP数目峰值的平均值。