经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
[0124]结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
[0125]对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【主权项】
1.一种数据监控方法,其特征在于,包括: 确定所要检测的数据异常类型; 获取服务器向当前用户IP地址发送的数据流量; 按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合; 按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。2.根据权利要求1所述的数据监控方法,其特征在于,在所述数据异常类型与所述决策树之间为一对一的关系时,所述决策树的建立过程包括: 依据预设分组策略,将预设的与所述数据异常类型对应的流量因子进行分组; 依据预设的排序策略,对每组内的若干个流量因子进行先后顺序排序; 确定各组内流量因子的异常判断阈值; 将各个组确定为决策树中根节点的不同分支,其中,按照流量因子的先后顺序,分别将各分支中流量因子的阈值判断过程作为各分支中从上至下的若干个节点,每个节点在阈值判断异常时才执行下一节点的阈值判断过程,否则进入该节点的另一子节点,执行结束操作,直至各分支最后一个节点判断超过阈值时,确定数据流量满足所述数据异常类型。3.根据权利要求2所述的数据监控方法,其特征在于,在所述数据异常类型与所述决策树之间为多对一的关系时,所述决策树的建立过程包括: 按照数据异常类型与决策树之间是一对一的关系,针对多个数据异常类型中的每一个数据异常类型建立决策树,得到若干个子决策树; 将所有的子决策树组合为一个总决策树。4.根据权利要求1所述的数据监控方法,其特征在于,所述确定所要检测的数据异常类型,包括: 将用户指定的若干个数据异常类型确定为所要检测的数据异常类型; 或者, 将所有预先存储的数据异常类型均确定为所要检测的数据异常类型; 或者, 判断预设历史时间内确定的各个数据异常类型的比例,将其中比例最大的数据异常类型确定为所要检测的数据异常类型。5.根据权利要求1所述的数据监控方法,其特征在于,所述决策树还规定了所述数据流量所在的业务的当前活动状态对所述数据异常类型确定的影响。6.根据权利要求1所述的数据监控方法,其特征在于,在所述数据异常类型为SYNFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和SYN包速率; 在所述数据异常类型为GETFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和HTTPGet请求速率。7.一种数据监控装置,其特征在于,包括: 类型确定单元,用于确定所要检测的数据异常类型; 数据流量获取单元,用于获取服务器向当前用户IP地址发送的数据流量; 解析单元,用于按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合; 异常判断单元,用于按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。8.根据权利要求7所述的数据监控装置,其特征在于,在所述数据异常类型与所述决策树之间为一对一的关系时,还包括第一决策树建立单兀,其包括: 分组单元,用于依据预设分组策略,将预设的与所述数据异常类型对应的流量因子进行分组; 排序单元,用于依据预设的排序策略,对每组内的若干个流量因子进行先后顺序排序; 阈值确定单元,用于确定各组内流量因子的异常判断阈值; 转换单元,用于将各个组确定为决策树中根节点的不同分支,其中,按照流量因子的先后顺序,分别将各分支中流量因子的阈值判断过程作为各分支中从上至下的若干个节点,每个节点在阈值判断异常时才执行下一节点的阈值判断过程,否则进入该节点的另一子节点,执行结束操作,直至各分支最后一个节点判断超过阈值时,确定数据流量满足所述数据异常类型。9.根据权利要求8所述的数据监控装置,其特征在于,在所述数据异常类型与所述决策树之间为多对一的关系时,还包括第二决策树建立单元,其包括: 子树建立单元,用于按照数据异常类型与决策树之间是一对一的关系,针对多个数据异常类型中的每一个数据异常类型建立决策树,得到若干个子决策树; 组合单元,用于将所有的子决策树组合为一个总决策树。10.根据权利要求7所述的数据监控装置,其特征在于,所述类型确定单元包括: 第一类型确定子单元,用于将用户指定的若干个数据异常类型确定为所要检测的数据异常类型; 第二类型确定子单元,用于将所有预先存储的数据异常类型均确定为所要检测的数据异常类型; 第三类型确定子单元,用于判断预设历史时间内确定的各个数据异常类型的比例,将其中比例最大的数据异常类型确定为所要检测的数据异常类型。11.根据权利要求7所述的数据监控装置,其特征在于,在所述类型确定单元确定的所述数据异常类型为SYNFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和SYN包速率; 在所述类型确定单元确定的所述数据异常类型为GETFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和HTTPGet请求速率。12.一种服务器,其特征在于,包括权利要求7-11任意一项所述的数据监控装置。
【专利摘要】本申请公开了一种数据监控方法、装置及服务器,其中方法包括:确定所要检测的数据异常类型,依据预设的与该数据异常类型对应的决策树,对获取到的服务器向用户IP地址发送的数据流量进行解析,获取与数据异常类型对应的流量因子,按照预设的与数据异常类型对应的决策树,对流量因子进行异常判断,确定当前数据流量是否为数据异常类型的异常攻击。其中,预先建立的决策树规定了数据异常类型所对应的流量因子组合、组合中各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。本申请的方法,综合考虑了与所要检测的数据异常类型相关联的多个流量因子,使得最终检测结果更加准确,并且最终能够确定异常攻击的具体类型。
【IPC分类】H04L12/26, H04L29/06
【公开号】CN105530138
【申请号】CN201410509945
【发明人】陈曦, 白惊涛
【申请人】腾讯科技(深圳)有限公司
【公开日】2016年4月27日
【申请日】2014年9月28日