[go: up one dir, main page]

TWI789271B - 封包資訊分析方法及網路流量監測裝置 - Google Patents

封包資訊分析方法及網路流量監測裝置 Download PDF

Info

Publication number
TWI789271B
TWI789271B TW111109585A TW111109585A TWI789271B TW I789271 B TWI789271 B TW I789271B TW 111109585 A TW111109585 A TW 111109585A TW 111109585 A TW111109585 A TW 111109585A TW I789271 B TWI789271 B TW I789271B
Authority
TW
Taiwan
Prior art keywords
mapping
network
value
sampling
packet
Prior art date
Application number
TW111109585A
Other languages
English (en)
Other versions
TW202339469A (zh
Inventor
賴裕昆
蔡承霖
張凱博
Original Assignee
中原大學
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中原大學 filed Critical 中原大學
Priority to TW111109585A priority Critical patent/TWI789271B/zh
Priority to US17/749,177 priority patent/US11863412B2/en
Application granted granted Critical
Publication of TWI789271B publication Critical patent/TWI789271B/zh
Publication of TW202339469A publication Critical patent/TW202339469A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種封包資訊分析方法及網路流量監測裝置。所述方法包括:獲得網路資料,其包括多個網路封包;根據所述網路封包中的第一網路封包的封包資訊產生索引參數;根據索引參數,從多個候選映射模型中決定目標映射模型,其中索引參數介於目標映射模型的第一取樣點與第二取樣點之間;根據索引參數、第一取樣點、第二取樣點及目標映射模型獲得內插映射值;以及根據內插映射值獲得評估值,其反映所述網路封包中的監測項目的分佈狀態。

Description

封包資訊分析方法及網路流量監測裝置
本發明是有關於一種網路即時流量監測技術,且特別是有關於一種封包資訊分析方法及網路流量監測裝置。
隨著資訊科技的進步,網際網路的規模快速增加。網際網路的資訊安全議題亦愈來愈受到關注。在骨幹網路環境中更出現多樣化的攻擊手段以及更加巨大的攻擊流量。這些巨大的網路流量使得以往的分析方法難以應付。
因網路流量就如河川中的流水般不斷地流過,若無法於當下立刻分析判斷是否有異常流量,就必須將巨大的網路流量全部儲存起來做事後分析。
事後分析成本極高且效率較低。當從事後分析中得知有異常流量時,往往早已造成損失。而且,巨量資料分析工作變得不易也意味著網路異常行為偵測的難度變高,亦即異常流量造成的損失變得難以預防。整體網路環境變得不穩定且網路品質下降,將使得相關行業付出更多成本。
依據背後的原理不同,每一種網路攻擊方式往往會有一些特別的行為使得網路流量有著特殊的分佈特徵。資訊熵值(Information Entropy)反映了資訊分佈的疏離與密集程度,藉由觀察特定封包標頭資訊項目的熵值變化,可有效辨別微量的異常流量,因此資訊熵值被運用在許多網路異常偵測系統來彌補基於流量大小變化為主體的異常行為偵測方法之不足。
目前多使用取樣、事後分析或速寫演算法的方式進行資訊熵值計算。速寫演算法犧牲少許但仍可接受的統計結果精確度以換取更高的效能與較少的資源使用。速寫演算法會將每筆封包資訊納入計算,不會遺漏掉任何潛在的異常封包,因此能反映出微量異常流量對資訊熵值所造成的影響。取樣的方式亦可提升效能與減少資源使用,但可能會失去關鍵封包的資訊。事後分析可以得到最精確的結果,但是無法即時統計出資訊熵值。
資訊熵值的精確計算需要統計觀測區間中的監測項目分別出現的次數,但是在高速流量下通常有動輒數百萬筆的監測項目,以當前網路交換器的記憶體與計算資源仍無法負荷即時的精確資訊熵值計算,因此要在高速網路環境下即時地得到精確的資訊熵值有一定的困難度。
有鑑於此,本發明提供一種封包資訊分析方法及網路流量監測裝置,可透過少量的記憶體空間來分析網路封包中監測項目的分佈狀態。
本發明的實施例提供一種封包資訊分析方法,其適用於網路流量監測裝置。所述封包資訊分析方法包括:獲得網路資料,其中所述網路資料包括多個網路封包;根據所述多個網路封包中的第一網路封包的封包資訊產生索引參數;根據所述索引參數,從多個候選映射模型中決定目標映射模型,其中所述索引參數介於所述目標映射模型的第一取樣點與第二取樣點之間;根據所述索引參數、所述第一取樣點、所述第二取樣點及所述目標映射模型獲得內插映射值;以及根據所述內插映射值獲得評估值,其中所述評估值反映所述多個網路封包中的監測項目的分佈狀態。
本發明的實施例另提供一種網路流量監測裝置,其包括網路流量擷取介面、儲存電路及處理器。所述網路流量擷取介面用以獲得網路資料,其中所述網路資料包括多個網路封包。所述儲存電路用以儲存多個候選映射模型。所述處理器耦接至所述網路流量擷取介面與所述儲存電路,所述處理器用以:根據所述多個網路封包中的第一網路封包的封包資訊產生索引參數;根據所述索引參數,從多個候選映射模型中決定目標映射模型,其中所述索引參數介於所述目標映射模型的第一取樣點與第二取樣點之間;根據所述索引參數、所述第一取樣點、所述第二取樣點及所述目標映射模型獲得內插映射值;以及根據所述內插映射值獲得評估值,其中所述評估值反映所述多個網路封包中的監測項目的分佈狀態。
基於上述,在獲得網路資料後,索引參數可根據第一網路封包的封包資訊產生。根據所述索引參數,目標映射模型可從多個候選映射模型中決定,且所述索引參數介於所述目標映射模型的第一取樣點與第二取樣點之間。根據所述索引參數、所述第一取樣點、所述第二取樣點及所述目標映射模型,內插映射值可被獲得,且評估值可根據所述內插映射值而獲得。所述評估值反映多個網路封包中的監測項目的分佈狀態。
藉此,相較於傳統上需使用大量記憶體空間來儲存所有可能的運算結果,本發明透過少量的記憶體空間即可即時分析網路封包中監測項目的分佈狀態。
本發明的部份實施例接下來將會配合附圖來詳細描述,以下的描述所引用的元件符號,當不同附圖出現相同的元件符號將視為相同或相似的元件。這些實施例只是本發明的一部份,並未揭示所有本發明的可實施方式。更確切的說,這些實施例只是本發明的專利申請範圍中的方法與裝置的範例。
圖1是依照本發明的實施例所繪示的網路流量監測裝置的功能方塊圖。請參照圖1,網路流量監測裝置10可包括處理器11、儲存電路12及網路流量擷取介面13。處理器11耦接至儲存電路12與網路流量擷取介面13。
處理器11用以負責網路流量監測裝置10的整體或部分運作。例如,處理器11可以是中央處理單元(central processing unit, CPU),或是其他可程式化之一般用途或特殊用途的微控制單元(micro control unit, MCU)、微處理器(microprocessor)、數位信號處理器(digital signal processor, DSP)、可程式化控制器、特殊應用積體電路(application specific integrated circuit, ASIC)、圖形處理器(graphics processing unit, GPU)、影像訊號處理器(image signal processor, ISP)、影像處理單元(image processing unit, IPU)、算數邏輯單元(arithmetic logic unit, ALU)、複雜可程式邏輯裝置(complex programmable logic device, CPLD)、現場可程式化邏輯閘陣列(field programmable gate array, FPGA)或其他類似元件或上述元件的組合。
儲存電路12用以儲存資料。儲存電路12可例如是任何型態的固定式或可移動式的隨機存取記憶體(random access memory, RAM)、唯讀記憶體(read-only memory, ROM)、快閃記憶體(flash memory)、硬碟(hard disk drive, HDD)、固態硬碟(solid state drive, SSD)或類似元件或上述元件的組合。儲存電路12亦可用於儲存可由處理器11執行的程式碼或各種應用程式。
網路流量擷取介面13可用以獲得網路資料。例如,所述網路資料可包括網路流量資料。例如,網路流量擷取介面13可包括以硬體實現的網路介面卡及/或以軟體實現的網路流量擷取程式(或網路流量監聽程式)。此外,所述網路資料可包括多個網路封包。
儲存電路12可用以儲存多個映射模型(亦稱為候選映射模型)101~103。映射模型101~103可供處理器11使用(例如查詢)以獲得所述多個網路封包中的至少一監測項目的分佈狀態。例如,所述監測項目可包括所述多個網路封包的來源網際網路協議(IP)位址、目的IP位址、來源通訊埠及目的通訊埠的至少其中之一或其組合。此外,映射模型101~103的總數可以是更多或更少,本發明不加以限制。
在一實施例中,處理器11可獲得一個三維映射模型。例如,所述三維映射模型的輸入可包括變數U1與U2,且所述三維映射模型的輸出可包括參數R(U1, U2)。變數U1與U2符合均勻分佈(Uniform Distribution)。變數U1與U2皆為大於0且小於1的數值。參數R(U1, U2)可為根據變數U1與U2計算的最大偏移穩定分佈(Maximally Skewed Stable Distribution)值。此外,參數R(U1, U2)亦可稱為R函數。例如,參數R(U1, U2)可根據以下方程式(1.1)至(1.3)所獲得。
Figure 02_image001
(1.1)
Figure 02_image003
(1.2)
Figure 02_image005
(1.3)
在一實施例中,參數R(U1, U2)亦可根據以下方程式(2.1)至(2.3)所獲得。
Figure 02_image007
(2.1)
Figure 02_image003
(2.2)
Figure 02_image009
(2.3)
在方程式(2.3)中,參數
Figure 02_image011
亦可用以表示R函數,且
Figure 02_image013
在一實施例中,處理器11可根據事先計算出來的參數R(U1, U2)的所有的可能結果建立所述三維映射模型。爾後,在監測網路流量的過程中,處理器11可根據當下獲得的變數U1與U2來查詢所述三維映射模型,以獲得相應的參數R(U1, U2),進而獲得所述監測項目的分佈狀態。但是,須注意的是,所述三維映射模型的資料量極為龐大。例如,當小數精度位數為4位時,所述三維映射模型是以64位元雙精度浮點數的資料型態來保存,故所述三維映射模型占用約2.5GB的記憶體空間,在使用上缺乏效率。
在一實施例中,處理器11可根據所述三維映射模型產生二維映射模型。例如,處理器11可採用逆概率積分變換法(Inverse Probability Integral Transform),將所述三維映射模型壓縮為二維映射模型。例如,處理器11可透過逆概率積分變換法來控制對所述三維映射模型的取樣並對取樣結果進行排序,從而產生所述二維映射模型。相較於所述三維映射模型,所述二維映射模型的資料量較小且可占用較少的記憶體空間。爾後,處理器11可根據所述二維映射模型的多個取樣區間產生映射模型101~103。
在一實施例中,所述二維映射模型的輸入可包括變數x,且所述二維映射模型的輸出可包括參數R(x)。變數x亦稱為所述二維映射模型的取樣點。不同的變數x可在所述二維映射模型上形成多個取樣點。每一個取樣點可經由所述二維映射模型映射至相應的參數R(x)。參數R(x)亦稱為變數x所對應的映射值。
圖2是根據本發明的實施例所繪示的根據三維映射模型產生二維映射模型的示意圖。請參照圖2,三維空間中的三維平面21可用以表現或描述所述三維映射模型。例如,三維空間中的三個軸向可分別對應於變數U1、U2及參數R(U1, U2)。在將變數U1與U2輸入至所述三維映射模型後,參數R(U1, U2)可根據所述三維映射模型的輸出而獲得。
在一實施例中,處理器11可將三維空間中的三維平面21壓縮為二維空間中的二維曲線22。例如,根據逆概率積分變換法,處理器11可使用預設數量的取樣點來對三維平面21進行取樣並對取樣結果進行排序。經排序的取樣結果可用以模擬或近似二維曲線22。二維曲線22可用以表現或描述所述二維映射模型。例如,二維空間中的兩個軸向可分別對應於變數x與參數R(x)。在將變數x輸入至所述二維映射模型後,參數R(x)可根據所述二維映射模型的輸出而獲得。
在一實施例中,處理器11可在二維曲線22上劃分出取樣區間201~203。例如,取樣區間201涵蓋二維曲線22上位於取樣點0至x(1)之間的取樣範圍,取樣區間202涵蓋二維曲線22上位於取樣點x(1)至x(2)之間的取樣範圍,且取樣區間203涵蓋二維曲線22上位於取樣點x(2)至x(3)之間的取樣範圍。
在一實施例中,取樣區間201亦稱為跨度(span)區,取樣區間202亦稱為頭部(head)區,及/或取樣區間203亦稱為尾部(tail)區。處理器11可根據取樣區間201~203中由二維曲線22的不同部分所反映的映射資訊,來產生圖1的映射模型101~103。
圖3是根據本發明的實施例所繪示的多個候選映射模型所對應的二維曲線的示意圖。請參照圖2與圖3,二維曲線301~303可用以表示位於取樣區間201~203內的二維曲線22的不同部分。
在一實施例中,處理器11可根據取樣區間201~203內的至少部分取樣點(亦稱為候選取樣點)來分別對二維曲線301~303進行取樣,以產生映射模型101~103。所產生的映射模型101~103可分別反映在取樣區間201~203內的多個候選取樣點與多個映射值(亦稱為候選映射值)之間的映射關係。
在一實施例中,假設映射模型101~103的其中之一為第一映射模型,且映射模型101~103的其中之另一為第二映射模型。第一映射模型可反映在第一取樣區間內的多個第一候選取樣點與多個第一候選映射值之間的映射關係(亦稱為第一映射關係)。第二映射模型可反映在第二取樣區間內的多個第二候選取樣點與多個第二候選映射值之間的映射關係(亦稱為第二映射關係)。
在一實施例中,一個取樣區間中的候選取樣點的總數可以被控制(例如減少)為少於該取樣區間中的預設取樣點的總數,以減少對應產生的映射模型的資料量。以圖2與圖3為例,假設x(1)的預設值為2的10次方(即1024),表示取樣區間201中預設具有1024個取樣點。根據二維曲線301的形態或數值分布,處理器11可將取樣區間201中的候選取樣點之總數設定為256個(或其他少於1024的數目),且這些候選取樣點皆位於二維曲線301中的關鍵位置。處理器11可根據所述候選取樣點來對二維曲線301進行取樣以獲得256個(或其他少於1024的數目)候選映射值。處理器11可根據這256個候選取樣點與候選映射值之間的映射關係來建立映射模型101。
類似的,假設x(2)的預設值為2的15次方(即32768)且x(3)的預設值為2的16次方(即65536),表示取樣區間202與203中預設皆具有3萬多個取樣點。根據二維曲線302與303的形態或數值分布,處理器11可將取樣區間202與203中的候選取樣點之總數分別設定為6個與15個,且這些候選取樣點分別位於二維曲線302與303中的關鍵位置。處理器11可根據所述候選取樣點來分別對二維曲線302與303進行取樣以建立映射模型102與103。透過大幅減少取樣點的總數,映射模型101~103的資料量可被對應減少。
在一實施例中,處理器11可根據所述多個網路封包中的某一網路封包(亦稱為第一網路封包)的封包資訊產生一個索引參數。所述封包資訊可包括網路封包中的標頭(header)資訊。在一實施例中,響應於所述監測項目為所述多個網路封包的來源IP位址,所述第一網路封包的封包資訊可包括第一網路封包的來源IP位址之資訊。在一實施例中,響應於所述監測項目為所述多個網路封包的目的IP位址,所述第一網路封包的封包資訊可包括第一網路封包的目的IP位址之資訊。在一實施例中,響應於所述監測項目為所述多個網路封包的來源通訊埠,所述第一網路封包的封包資訊可包括第一網路封包的來源通訊埠之資訊。在一實施例中,響應於所述監測項目為所述多個網路封包的目的通訊埠,所述第一網路封包的封包資訊可包括第一網路封包的目的通訊埠之資訊。
在一實施例中,處理器11可將所述第一網路封包的封包資訊(例如來源IP位址、目的IP位址、來源通訊埠或目的通訊埠)輸入至一個隨機數產生器。此隨機數產生器可用以產生隨機數。處理器11可根據此隨機數產生器的輸出,獲得所述索引參數。所述索引參數可包括變數x。例如,此隨機數產生器可對第一網路封包的封包資訊執行雜湊(hash)運算並根據此雜湊運算的運算結果產生所述索引參數。藉此,所述索引參數可具有(接近)隨機數之特性。此外,在一實施例中,處理器11也可藉由其他軟/硬體方式或其他演算法來產生具有(接近)隨機數之特性的所述索引參數。
根據所述索引參數,處理器11可從映射模型101~103中選擇其中之一並將所選擇的映射模型決定為待使用的映射模型(亦稱為目標映射模型)。特別是,所述索引參數可介於目標映射模型的兩個相鄰的取樣點(亦稱為第一取樣點與第二取樣點)之間。然後,處理器11可根據所述索引參數、所述第一取樣點、所述第二取樣點及目標映射模型獲得一個參考值(亦稱為內插映射值)。
在一實施例中,處理器11可根據目標映射模型獲得對應於第一取樣點的映射值(亦稱為第一映射值)與對應於第二取樣點的映射值(亦稱為第一映射值)。然後,處理器11可根據所述索引參數、第一取樣點、第二取樣點、第一映射值及第二映射值執行一個內插操作,以獲得內插映射值。
圖4是根據本發明的實施例所繪示的內插操作的示意圖。請參照圖2至圖4,假設所述索引參數為x(key)(或x(key t)),且x(key)介於取樣區域202中。特別是,x(key)介於取樣區域202中的兩個相鄰的取樣點(即候選取樣點)x(i)與x(j)之間,且取樣點x(i)與x(j)皆屬於取樣區域202中的候選取樣點。因此,處理器11可將二維曲線302所對應的映射模型102決定為目標映射模型。然後,處理器11可根據映射模型102獲得取樣點x(i)所對應的映射值R(i)與取樣點x(j)所對應的映射值R(j)。
在一實施例中,處理器11可根據以下方程式(3.1)執行內插操作,以獲得內插映射值。
Figure 02_image015
(3.1)
在方程式(3.1)中,參數R(key t)表示索引參數x(key t)所對應的內插映射值。參數R(key t)介於映射值R(i)與映射值R(j)之間。透過執行內插操作,即便所述索引參數不屬於任一個候選取樣點,所述索引參數所對映的內插映射值也可被快速取得。
在獲得內插映射值後,處理器11可根據所述內插映射值獲得一個評估值。特別是,此評估值可反映所述多個網路封包中的所述監測項目的分佈狀態。例如,此評估值可包括與所述多個網路封包中的所述監測項目有關的熵(entropy)值的估計值。例如,當所述監測項目為所述多個網路封包的來源IP位址時,此評估值可反映所述多個網路封包的來源IP位址的分佈狀態等,依此類推。
在一實施例中,處理器11可根據以下方程式(4.1)至(4.3)獲得所述評估值。
Figure 02_image017
(4.1)
Figure 02_image019
(4.2)
Figure 02_image021
(4.3)
在方程式(4.1)~(4.3)中,參數
Figure 02_image023
表示對應於時間點t所接收到的網路封包所計算出的內插映射值,參數
Figure 02_image025
可用以表示與所述多個網路封包有關的熵值的估計值,
Figure 02_image027
代表在時間 t接收到一個網路封包(即所述第一網路封包),而 Y表示在監測時間ΔT內接收到的網路封包之總數。
在一實施例中,上述方程式(4.1)亦可以由以下方程式(5.1)與(5.2)取代。
Figure 02_image029
(5.1)
Figure 02_image031
(5.2)
須注意的是,以上的實施例皆是以一個隨機數產生器搭配一組的映射模型101~103使用,以進行網路封包的熵值估計。然而,在一實施例中,處理器11亦可配置多個隨機數產生器及/或多個映射模型101~103之組合。特別是,所述多個隨機數產生器可根據相同的種子(例如封包資訊)產生不同的索引參數。處理器11可根據所述多個隨機數產生器輸出的索引參數搭配多組的映射模型101~103分別進行上述內插操作以取得多個內插映射值。例如,某一組的映射模型101~103可反映某一個二維曲線的不同部分,而另一組的映射模型101~103則可反映另一個二維曲線的不同部分。然後,處理器11可根據此些內插映射值進行網路封包的熵值估計。
在一實施例中,處理器11可根據以下方程式(6.1)至(6.3)獲得所述評估值。
Figure 02_image033
(6.1)
Figure 02_image035
(6.2)
Figure 02_image037
(6.3)
在方程式(6.1)至(6.3)中,mp表示所配置的隨機數產生器之總數,kp表示所配置的映射模型101~103之組合的總數。例如,假設mp=4,且kp=5,表示處理器11已配置4個隨機數產生器以及5個映射模型101~103之組合。此外,
Figure 02_image039
表示根據第i個隨機數產生器產生的索引參數搭配第j個映射模型101~103之組合所算出內插映射值,且pkt count表示在監測時間ΔT內接收到的網路封包之總數。
在一實施例中,上述方程式(6.1)亦可以由以下方程式(7.1)與(7.2)取代。
Figure 02_image041
(7.1)
Figure 02_image043
(7.2)
須注意的是,前述各實施例所提及的方程式皆為範例,非用以限定本發明。此外,前述各實施例所提及的方程式皆可根據實務需求進行調整,本發明不加以限制。
圖5是依照本發明的實施例所繪示的封包資訊分析方法的流程圖。請參照圖5,本實施例的方法適用如圖1所示的網路流量監測裝置10。在步驟S501中,獲得網路資料,其中所述網路資料包括多個網路封包。在步驟S502中,根據所述多個網路封包中的第一網路封包的封包資訊產生索引參數。在步驟S503中,根據所述索引參數,從多個候選映射模型中決定目標映射模型,其中所述索引參數介於所述目標映射模型的第一取樣點與第二取樣點之間。在步驟S504中,根據所述索引參數、所述第一取樣點、所述第二取樣點及所述目標映射模型獲得內插映射值。在步驟S505中,根據所述內插映射值獲得評估值,其中所述評估值反映所述多個網路封包中的監測項目的分佈狀態。
然而,圖5中各步驟已詳細說明如上,在此便不再贅述。值得注意的是,圖5中各步驟可以實作為多個程式碼或是電路,本發明不加以限制。此外,圖5的方法可以搭配以上範例實施例使用,也可以單獨使用,本發明不加以限制。
綜上所述,本發明的實施例提供的封包資訊分析方法及網路流量監測裝置,可應用在高速網路分析及網路安全監測,並且可達到快速估算網路流量的熵值、耗用極小的記憶體空間以及易於實現於硬體的功效。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
10:網路流量監測裝置
11:處理器
12:儲存電路
13:網路流量擷取介面
101~103:映射模型
21:三維平面
U1,U2,x:變數
R(U1,U2),R(x):參數
22,301~303:二維曲線
201~203:取樣區間
x(1),x(2),x(3):取樣點
R(i),R(j):映射值
R(key):內插映射值
x(i),x(j):候選取樣點
x(key):索引參數
S501~S505:步驟
圖1是依照本發明的實施例所繪示的網路流量監測裝置的功能方塊圖。 圖2是根據本發明的實施例所繪示的根據三維映射模型產生二維映射模型的示意圖。 圖3是根據本發明的實施例所繪示的多個候選映射模型所對應的二維曲線的示意圖。 圖4是根據本發明的實施例所繪示的內插操作的示意圖。 圖5是依照本發明的實施例所繪示的封包資訊分析方法的流程圖。
S501~S505:步驟

Claims (16)

  1. 一種封包資訊分析方法,適用於網路流量監測裝置,該封包資訊分析方法包括:獲得網路資料,其中該網路資料包括多個網路封包;根據該多個網路封包中的第一網路封包的封包資訊產生索引參數;根據該索引參數,從多個候選映射模型中決定目標映射模型,其中該索引參數介於該目標映射模型的第一取樣點與第二取樣點之間;根據該索引參數、該第一取樣點、該第二取樣點及該目標映射模型獲得內插映射值;以及根據該內插映射值獲得評估值,其中該評估值反映該多個網路封包中的監測項目的分佈狀態,其中該多個候選映射模型至少包括第一映射模型與第二映射模型,該第一映射模型反映在多個取樣區間中的第一取樣區間內的多個第一候選取樣點與多個第一候選映射值之間的第一映射關係,該第二映射模型反映在該多個取樣區間中的第二取樣區間內的多個第二候選取樣點與多個第二候選映射值之間的第二映射關係,並且該第一取樣區間不同於該第二取樣區間。
  2. 如請求項1所述的封包資訊分析方法,其中該監測項目包括來源網際網路協議位址、目的網際網路協議位址、來源通訊埠及目的通訊埠的至少其中之一。
  3. 如請求項1所述的封包資訊分析方法,其中該第一網路封包的該封包資訊包括該第一網路封包的來源網際網路協議位址、該第一網路封包的目的網際網路協議位址、該第一網路封包的來源通訊埠及該第一網路封包的目的通訊埠的至少其中之一。
  4. 如請求項1所述的封包資訊分析方法,其中根據該多個網路封包中的該第一網路封包的該封包資訊產生該索引參數的步驟包括:將該第一網路封包的該封包資訊輸入至一隨機數產生器;以及根據該隨機數產生器的輸出,獲得該索引參數。
  5. 如請求項1所述的封包資訊分析方法,其中根據該索引參數、該第一取樣點、該第二取樣點及該目標映射模型獲得該內插映射值的步驟包括:根據該目標映射模型獲得對應於該第一取樣點的第一映射值與對應於該第二取樣點的第二映射值;以及根據該索引參數、該第一取樣點、該第二取樣點、該第一映射值及該第二映射值執行內插操作,以獲得該內插映射值。
  6. 如請求項5所述的封包資訊分析方法,其中該內插映射值介於該第一映射值與該第二映射值之間。
  7. 如請求項1所述的封包資訊分析方法,更包括根據三維映射模型產生二維映射模型;以及根據該二維映射模型的多個取樣區間產生該多個候選映射模型。
  8. 如請求項1所述的封包資訊分析方法,其中該評估值包括與該多個網路封包中的該監測項目有關的熵值的估計值。
  9. 一種網路流量監測裝置,包括:網路流量擷取介面,用以獲得網路資料,其中該網路資料包括多個網路封包;儲存電路,用以儲存多個候選映射模型;以及處理器,耦接至該網路流量擷取介面與該儲存電路,其中該處理器用以:根據該多個網路封包中的第一網路封包的封包資訊產生索引參數;根據該索引參數,從多個候選映射模型中決定目標映射模型,其中該索引參數介於該目標映射模型的第一取樣點與第二取樣點之間;根據該索引參數、該第一取樣點、該第二取樣點及該目標映射模型獲得內插映射值;以及根據該內插映射值獲得評估值,其中該評估值反映該多個網路封包中的監測項目的分佈狀態,其中該多個候選映射模型至少包括第一映射模型與第二映射 模型,該第一映射模型反映在多個取樣區間中的第一取樣區間內的多個第一候選取樣點與多個第一候選映射值之間的第一映射關係,該第二映射模型反映在該多個取樣區間中的第二取樣區間內的多個第二候選取樣點與多個第二候選映射值之間的第二映射關係,並且該第一取樣區間不同於該第二取樣區間。
  10. 如請求項9所述的網路流量監測裝置,其中該監測項目包括來源網際網路協議位址、目的網際網路協議位址、來源通訊埠及目的通訊埠的至少其中之一。
  11. 如請求項9所述的網路流量監測裝置,其中該第一網路封包的該封包資訊包括該第一網路封包的來源網際網路協議位址、該第一網路封包的目的網際網路協議位址、該第一網路封包的來源通訊埠及該第一網路封包的目的通訊埠的至少其中之一。
  12. 如請求項9所述的網路流量監測裝置,其中根據該多個網路封包中的該第一網路封包的該封包資訊產生該索引參數的操作包括:將該第一網路封包的該封包資訊輸入至一隨機數產生器;以及根據該隨機數產生器的輸出,獲得該索引參數。
  13. 如請求項9所述的網路流量監測裝置,其中根據該索引參數、該第一取樣點、該第二取樣點及該目標映射模型獲得該內插映射值的操作包括:根據該目標映射模型獲得對應於該第一取樣點的第一映射值與對應於該第二取樣點的第二映射值;以及根據該索引參數、該第一取樣點、該第二取樣點、該第一映射值及該第二映射值執行內插操作,以獲得該內插映射值。
  14. 如請求項13所述的網路流量監測裝置,其中該內插映射值介於該第一映射值與該第二映射值之間。
  15. 如請求項9所述的網路流量監測裝置,其中該處理器更用以:根據三維映射模型產生二維映射模型;以及根據該二維映射模型的多個取樣區間產生該多個候選映射模型。
  16. 如請求項9所述的網路流量監測裝置,其中該評估值包括與該多個網路封包中的該監測項目有關的熵值的估計值。
TW111109585A 2022-03-16 2022-03-16 封包資訊分析方法及網路流量監測裝置 TWI789271B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW111109585A TWI789271B (zh) 2022-03-16 2022-03-16 封包資訊分析方法及網路流量監測裝置
US17/749,177 US11863412B2 (en) 2022-03-16 2022-05-20 Packet information analysis method and network traffic monitoring device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW111109585A TWI789271B (zh) 2022-03-16 2022-03-16 封包資訊分析方法及網路流量監測裝置

Publications (2)

Publication Number Publication Date
TWI789271B true TWI789271B (zh) 2023-01-01
TW202339469A TW202339469A (zh) 2023-10-01

Family

ID=86670034

Family Applications (1)

Application Number Title Priority Date Filing Date
TW111109585A TWI789271B (zh) 2022-03-16 2022-03-16 封包資訊分析方法及網路流量監測裝置

Country Status (2)

Country Link
US (1) US11863412B2 (zh)
TW (1) TWI789271B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106972966A (zh) * 2017-03-28 2017-07-21 国网辽宁省电力有限公司阜新供电公司 一种通信网络中网络流量异常的实时检测方法
US20180367555A9 (en) * 2015-09-05 2018-12-20 Mastercard Technologies Canada ULC Systems and methods for detecting and scoring anomalies
TWI747742B (zh) * 2021-02-22 2021-11-21 中原大學 封包資訊分析方法及網路流量監測裝置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2358284A1 (en) * 2001-10-04 2003-04-04 Tropic Networks Inc. Method and system for traffic management in packet networks using random early marking
US8069484B2 (en) 2007-01-25 2011-11-29 Mandiant Corporation System and method for determining data entropy to identify malware
CN101980506B (zh) 2010-10-29 2013-08-14 北京航空航天大学 一种基于流量特征分析的分布式入侵检测方法
TWI437850B (zh) 2012-05-30 2014-05-11 中原大學 網路流量異常偵測系統及其方法
CN104202336A (zh) 2014-09-22 2014-12-10 浪潮电子信息产业股份有限公司 一种基于信息熵的DDoS攻击检测方法
US10412005B2 (en) * 2016-09-29 2019-09-10 International Business Machines Corporation Exploiting underlay network link redundancy for overlay networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180367555A9 (en) * 2015-09-05 2018-12-20 Mastercard Technologies Canada ULC Systems and methods for detecting and scoring anomalies
CN106972966A (zh) * 2017-03-28 2017-07-21 国网辽宁省电力有限公司阜新供电公司 一种通信网络中网络流量异常的实时检测方法
TWI747742B (zh) * 2021-02-22 2021-11-21 中原大學 封包資訊分析方法及網路流量監測裝置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
網路文獻 Yin Zhang, Matthew Roughan, Walter Willinger, and Lili Qiu., "Spatio-temporal compressive sensing and internet traffic matrices", SIGCOMM Comput. Commun. Rev. 39, 4 (October 2009), 267–278. [https://doi.org/10.1145/1594977.1592600] *

Also Published As

Publication number Publication date
TW202339469A (zh) 2023-10-01
US20230300046A1 (en) 2023-09-21
US11863412B2 (en) 2024-01-02

Similar Documents

Publication Publication Date Title
US8406132B2 (en) Estimating cardinality distributions in network traffic
US11218395B2 (en) Latency monitoring for network devices
CN110535825B (zh) 一种特征网络流的数据识别方法
CN108650218A (zh) 网络流量监测方法、装置、计算机设备及存储介质
CN107483487B (zh) 一种基于topsis的多维网络安全度量方法
US20210152454A1 (en) Network Flow Measurement Method, Network Measurement Device, and Control Plane Device
WO2014205369A1 (en) Signal transition analysis of a circuit
CN112187710A (zh) 威胁情报数据的感知方法、装置、电子装置和存储介质
CN103716187A (zh) 网络拓扑结构确定方法和系统
CN113746798B (zh) 基于多维度分析的云网络共享资源异常根因定位方法
CN108923962B (zh) 一种基于半监督聚类的局部网络拓扑测量任务选择方法
Wang et al. Randomized error removal for online spread estimation in high-speed networks
TWI789271B (zh) 封包資訊分析方法及網路流量監測裝置
Tang et al. Towards memory-efficient streaming processing with counter-cascading sketching on FPGA
Lai et al. Implementing on-line sketch-based change detection on a NetFPGA platform
CN115480917A (zh) 一种基于可编程交换机的差分隐私大数据处理方法
TWI747742B (zh) 封包資訊分析方法及網路流量監測裝置
CN109257384A (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
CN115987631A (zh) 基于深度学习的恶意流量识别方法及系统
CN113378483A (zh) 一种电网数据的预警方法、装置、设备及存储介质
Barrionuevo et al. Secure computer network: Strategies and challengers in big data era
CN112291193A (zh) 一种基于NCS-SVM的LDoS攻击检测方法
Zhang et al. Comparative analysis of different sketch methods in practical use
Kachynsky et al. Principal Component Analysis as a Tool of Network Traffic Analysis for Detection of DDoS Attacks
JP4347333B2 (ja) フロー統計推定方法、その装置およびプログラム