[发明专利]异常流量告警决策系统及方法

说明书

本公开提供一种异常流量告警决策系统，该系统包括：流量分类组件，按照至少包括数据报文的流量、协议比例和源IP数量的多个维度中的每一个维度，在一个统计周期内对所接收的数据报文进行分类统计，并将分类统计结果分别存储在存储器中；打分组件，将针对每个维度所分类统计的结果归属到对应维度的不同阈值范围，并基于所归属的不同阈值范围赋予所接收的数据报文相应维度下的分数；以及异常判定组件，累计所有维度对应的分数，并将累计分数超过正常阈值分数所对应的统计周期所接收的数据报文的流量状态判定为不同级别的异常流量状态。

技术领域

本公开涉及用于进行异常流量告警决策系统及其方法，尤其涉及利用多维度异常流量告警判决的系统及其方法。

背景技术

随着网络通信技术的进步与发展，网络用户与接入设备的数量迅速增长，各种网络攻击如DDOS、数据窃取、数据篡改、暴力破解等网络攻击频繁发生，从而导致网络安全受到越来越多的威胁。

异常流量是对于互联网而言非正常的流量，包括网络攻击流量、网络病毒流量、异常服务流量等。网络异常流量通常会对整个互联网系统造成影响，甚至导致服务中断，产生不可挽回的损失。部署合适的异常流量检测系统不仅仅保证网络正常运营，也是保证整个互联网系统的稳定运行。在互联网的日常维护过程中，有时需要获得详细的网络管理报告，如现有IP地址分配情况、目前正在运行的服务及其开放的端口、目前网络环境中运行的网络协议及实时的流量分布，从而保证整个IT系统安全、可靠和稳定的运行，并且为后期可能涉及的系统扩容提供数据参考。

当前用于异常流量检测的检测设备，主要是以阈值为主进行异常流量判定，尤其是对于DDoS攻击流量来说，用户给多种类型的流量设置阈值，通过流量在一定流量统计周期内是否超过阈值来确认是否发生这种类型的攻击，例如判断SYN FLood攻击，就设定SYN报文数目达到1000PPS算低级异常事件，超过3000PPS算中级异常事件，超过5000PPS算高级异常事件，达到相应的阈值就会产生对应级别的异常事件告警。在现有的技术方案中，这个阈值可以使用基线自学习等方案进行优化，也就是由设备自动根据历史流量进行学习产生阈值，用户无需再进行手动配置，这种方案使阈值的配置更准确，减少了误告警和漏告警情况。

然而，通过阈值进行攻击判定太过于简单，导致在很多场景下会出现误报和漏报的现象，例如，用户设置的SYN报文阈值是100pps，正常流量是50pps，但是用户的流量可能在某一时刻有所上升，此时SYN报文的流量超过100pps，但是它并不意味着攻击，只是单纯的正常流量上升，而用阈值的方法进行判定就会误认为是发生了SYN攻击。

因此，需要一种技术方案来通过将数据报文的流量、协议比例、源IP数目趋势等多个维度的异常事件判决结果结合起来，形成统一的判定标准来确定是否是当前数据报文是否发生异常事件以及所发生的异常事件的级别，并在适当的显示装置上展示判决结果。

发明内容

本公开就是针对上述技术问题而提出的技术方案，其目的是通过将数据报文的流量、协议比例、源IP数目趋势等多个维度的异常事件判决结果结合起来，形成统一的判定标准来确定是否是当前数据报文是否发生异常事件以及所发生的异常事件的级别，以提升异常告警的准确度，减少异常事件的误判和漏判。

根据本公开的一个方面，提供了一种异常流量告警决策系统，该系统包括：流量分类组件，按照至少包括数据报文的流量、协议比例和源IP数量的多个维度中的每一个维度，在一个统计周期内对所接收的数据报文进行分类统计，并将分类统计结果分别存储在存储器中；打分组件，将针对每个维度所分类统计的结果归属到对应维度的不同阈值范围，并基于所归属的不同阈值范围赋予所接收的数据报文相应维度下的分数；以及异常判定组件，累计所有维度对应的分数，并将累计分数超过正常阈值分数所对应的统计周期所接收的数据报文的流量状态判定为不同级别的异常流量状态。