网络业务规则识别的制作方法

网络业务规则识别


背景技术：

1.本发明总体上涉及网络分析领域，并且更具体地涉及检测网络中的底层规则。
2.深度学习提供用于资产库存、资产监视和其他网络业务分析的高性能解决方案。企业的资产管理包括若干关键任务，包括资产库存、资产生命周期管理和资产监视。深度模型提供了关于诸如精度、召回率(recall)、f1得分等度量的高得多的性能的能力。
3.显著性图是用于区分图像中的视觉特征的图像处理技术。例如，全彩色图像被转换成黑白图像，以便分析和描绘图像中存在的最强颜色。其他示例可包括使用夜视技术来检测和描绘光源，其中绿色可用以描绘亮度，而黑色描绘黑暗区域。显著性图概念在本文中被描述为扩展到图像分析之外的应用，并且基于可用于描述除严格图像数据之外的数据的特征。


技术实现要素：

4.如本文中所公开的，一种用于分析网络连接的计算机实现的方法包括识别感兴趣的连接和对应的连接数据集合。所述方法附加地包括生成与感兴趣的连接相对应的一个或多个显著性图。所述方法附加地包括将所生成的一个或多个显著性图映射到底层协议和字段，并且识别与底层协议和字段中的每一个相对应的一个或多个值。所述方法附加地包括从与底层协议和字段中的每一个相对应的所识别的一个或多个值中提取通用对应关系。还公开了对应于所述方法的计算机程序产品和计算机系统。
附图说明
5.图1是描绘根据本发明的至少一个实施例的网络业务分析系统的框图；
6.图2是描绘根据本发明的至少一个实施例的网络业务分析方法的流程图；
7.图3描绘根据本发明的至少一个实施例的示例字节流映射；以及
8.图4是根据本发明的实施例的执行图像分析系统的计算系统的组件的框图。
具体实施方式
9.如关于深度学习所描述的，显著性图对应于用于计算图像的可视化技术。该技术是从图像中的显著性的概念导出的，显著性在视觉处理的上下文中指代图像的唯一特征，例如像素、分辨率等。所述唯一特征唯一地描绘图像内的感兴趣的位置，并且显著性图是关于图像的感兴趣的位置的地形表示。具体地，显著性图经由标量表示视野中的每个位置的显着性或显著性，且最终基于显著性的空间分布来指导唯一位置的选择。
10.图1是描绘根据本发明的至少一个实施例的网络业务分析系统100的框图。如图所示，网络业务分析系统100包括计算系统110、网络120和计算系统130。网络业务分析系统100可使得能够分析和识别关于系统内的连接的规则和依赖关系。
11.计算系统110可以是台式计算机、膝上型计算机、专用计算机服务器、或本领域中已知的任何其他计算机系统。在一些实施例中，计算系统110表示利用集群计算机来充当单
个无缝资源池的计算机系统。一般而言，计算系统110表示能够接收和发送数据的任何电子设备或电子设备的组合，如关于图4更详细地描述的。计算系统110可以包括内部和外部硬件组件，如关于图4进一步详细描绘和描述的。
12.如所描绘的，计算系统110包括连接分析应用115。连接分析应用115可被配置为执行网络业务分析方法，诸如关于图2所描述的方法。连接分析应用115可以能够执行以上或以下详述的任何操作步骤。在至少一些实施例中，连接分析应用115被配置成分析计算系统110与计算系统130a和130b中的任一个之间的连接。
13.计算系统130可以各自是台式计算机、膝上型计算机、专用计算机服务器、或本领域中已知的任何其他计算机系统。在一些实施例中，计算系统130表示利用集群计算机充当单个无缝资源池的计算机系统。一般而言，计算系统130表示能够接收和发送数据的任何电子设备或电子设备的组合，如关于图4更详细地描述的。计算系统130可以包括内部和外部硬件组件，如关于图4进一步详细描绘和描述的。
14.网络120可以是例如局域网(lan)、诸如因特网之类的广域网(wan)或两者的组合，并且包括有线、无线或光纤连接。一般而言，网络120可以是将支持计算系统110与计算系统130之间的通信的连接和协议的任何组合。
15.图2是描绘根据本发明的至少一个实施例的网络业务分析方法200的流程图。如所描绘的，网络业务分析方法200包括：识别(210)感兴趣的连接；生成(220)与感兴趣的连接相对应的显著性图；将所生成的显著性图映射(230)到底层协议和字段；识别(240)与底层协议和字段中的每一个相对应的一个或多个值；从与底层协议和字段中的每一个相对应的所识别的一个或多个值中提取(250)通用对应关系；以及生成(260)表示所提取的对应关系的通用规则。
16.识别(210)感兴趣的连接或网络可包括接收对要分析的连接或连接集合的指示。在至少一些实施例中，识别(210)感兴趣的连接包括识别网络业务数据集合。网络业务数据可包括一个或多个字节流。在至少一些实施例中，识别(210)感兴趣的连接包括识别一个或多个明确定义的协议，通过所述协议将数据分别发送到所述感兴趣的连接。
17.生成(220)与感兴趣的连接相对应的显著性图可包括对与感兴趣的连接相对应的数据实施基于注意力的建模。在至少一些实施例中，生成(220)与感兴趣的连接相对应的显著性图包括将基于注意力的模型应用于与感兴趣的连接相对应的一个或多个字节流。基于注意力的模型可以被配置成将注意力权重归因于字节流的各个部分。在至少一些实施例中，应用注意力权重以准确地反映字节流的所分析的部分的重要性。注意力模型可以将注意力分成两种类型，全局注意力和局部注意力。在实现全局注意力的情况下，将注意力置于字节流内的所有源位置上；在实现局部注意力的情况下，将注意力仅置于字节流内的几个源位置中。对于局部注意力，被给予注意力的位置对应于最可能包含有影响的字节的位置。对于全局注意力，将注意力置于某些字节或其他字节上可能是不可行的或不准确的，因此可将注意力均匀地置于所有字节位置上。在附加实施例中，局部和全局注意力可以是指对字节位置给予多少注意力的多样化。例如，字节流可被分解成各种更大的块或段。对于这些段中的每个段，字节位置可以具有唯一的“重要性”或权重。因此，在这样的情形下，可应用局部注意力，使得针对第一段的字节位置具有第一权重，而针对第二段的该相同位置中的字节具有第二权重。在这样的段的识别不适用的实施例中，或者在分析字节流之前不能完
成各个字节位置的识别的实施例中，可以替代地实现全局注意力，以便不会不恰当地表征字节流中的值。在至少一些实施例中，在原始tcp/udp流上训练所使用的基于注意力的模型。模型的注意力权重通过突出显示在预测中起重要作用的字节序列来提供显著性图。
18.生成(220)与感兴趣的连接相对应的显著性图可附加地包括创建高斯金字塔以针对与感兴趣的连接相对应的一个或多个感兴趣的特征创建特征图。金字塔表示是一种多尺度信号表示，其中信号或图像经受重复的平滑和子采样。金字塔表示可分成两种主要类型：低通和带通。创建低通金字塔包括对图像或信号进行平滑并且有时沿着每个坐标方向通过因子2对经平滑的图像进行子采样。然后，对作为结果的图像或信号进行相同的过程，并且重复地执行循环。每个循环导致具有增加的平滑但具有减小的空间采样密度的更小的作为结果的图像或信号。当针对图像执行时，这些结果的图形表示产生金字塔，其中原始图像在顶部并且作为结果的图像从那里起堆叠在彼此的顶部。具体地，高斯金字塔使用高斯平均值被向下加权并且被相应地按比例缩小。含有局部平均值的每一个像素或字节对应于金字塔的较低层级上的邻域像素或字节。
19.在一些实施例中，生成(220)与感兴趣的连接相对应的显著性图包括将一个或多个所生成的显著性图聚合到类中以形成用于该类的规则。为了说明这一点，可能想要查看来自特定供应商的设备的所有连接。跨连接的聚集结果可揭示在字段k中具有值v可以与所述特定供应商非常不同。对于每个输入，滑动窗口对序列的注意力权重进行求和。然后跨各实例计算每个序列的权重并对其进行求和，其中每个实例可对应于单独的连接。窗口的目标是学习重要的序列。继续以上示例，可以揭示字段k中的“abcd”序列可以与其他供应商非常不同。本发明的实施例根据字节值来构建显著性图；换句话说，对于字节流，每一个字节将具有值，并且显著性方法将相关度得分分配给每一个字节。应该理解，值相对于字节的重要性完全取决于字节流的上下文，因此尝试概括哪些值可能被评分为重要而哪些值可能不重要是不切实际的。鉴于针对接收到的字节流的上下文所理解的重要性，可以在接收字节流之前向字节值分配相关度得分。
20.将所生成的显著性图映射(230)到底层协议和字段可包括建立针对感兴趣的连接而接收到的字节流的部分与由字节流的所述部分指示的底层协议之间的关联。例如，对于tcp连接，位置x和x+k的字节x到(x+k)可通过显著性图来突出显示。在基于显著性图的结果确定这些字节或部分是特别感兴趣的时候，通过识别所述字节的位置并且处理所述位置是否对应于特定字段来继续进行将所生成的显著性图映射(230)到底层协议。参考先前描述的tcp连接示例，关于tcp连接的字节x到x+k的分析可产生所述字节对应于相应的http协议的用户代理字段。在此情况下，将所生成的显著性图映射(230)到底层协议和字段包括将显著性图的相关部分(即，例如与字节x到x+k相对应的部分)关联到所述部分所影响的用户代理字段。
21.图3描绘了用于将字节流的各部分映射到底层协议结构和字段的处理的一个示例。如所描绘的，字节流被分段成多个部分，如由灰度级所指示的。这些部分中的每一个部分被标识为对应于所描绘的协议结构内的一个或多个字段。如所描绘的，字节流的各个部分对应于多个协议结构类型。这些对应关系由将字节流的每个部分连接到底层协议结构中的一个或多个中的一个或多个字段的线来描绘。应该理解，图3仅对应于从显著性图(或字节流)到底层字段和协议的映射的单个实例。可以存在一些实施例。
22.识别(240)与底层协议和字段中的每一个相对应的一个或多个值可包括识别与关于所生成的显著性图与感兴趣的连接之间的关联而识别的字段中的每一个相对应的至少一个值。
23.从与底层协议和字段中的每一个相对应的所识别的一个或多个值中提取(250)通用对应关系可以包括识别由与底层协议和字段中的每一个相对应的一个或多个值所指示的一个或多个实体或特征。例如，在一些情况下，关于某些字段的值可指示网络地址，该网络地址指示可提供或接收与适当字段或底层协议相对应的数据的实体或设备。换言之，所识别的一个或多个值可指示一个或多个实体、设备或地址，所述一个或多个实体、设备或地址影响或有助于根据注意力建模最重要的跨感兴趣的连接而传送的字节流中的部分。例如，考虑根据相应的基于注意力的模型将字节流中的五个部分识别为高重要性的情况。这些部分可以是被给予最多注意力的部分，即，被查看或交互最多的部分。在该实施例中，字节流中的所识别的部分中的四个部分对应于网络地址x。换言之，以一种方式或另一种方式，字节流中的这些部分影响位于网络地址x处的设备或受其影响。在这样的情况下，可以认为由与网络地址x相对应的设备提供或提供给与网络地址x相对应的设备的数据是高度重要的。
24.在附加的实施例中，从与底层协议和字段中的每一个相对应的所识别的一个或多个值中提取(250)通用对应关系附加地包括确定所识别的一个或多个值是否彼此共享关系。例如，字节流中的两个部分可对应于彼此依赖的请求或命令。简单的示例性实施例将是这样的实施例，其中字节流中的初始的所识别的部分提供某个数据x，并且字节流中的稍后部分利用数据x中的某个部分。这样的部分可以被标注或标记为对应于或依赖于彼此。
25.生成(260)表示所提取的对应关系的通用规则可包括确定在字节流中的所识别的部分、关于所识别的部分而识别的值、和对应关系之间是否存在趋势。例如，生成(260)表示所提取的对应关系的通用规则可以包括确定指示x值的字节流中的每个部分已经被识别为重要的。然后可生成相应的规则，使得一旦确定字节流中的一部分对应于所述值x，就可在任何附加分析之前立即将所述部分标记为重要的。例如，可确定如果字节流在位置k中具有某个值v，那么相应的设备正建立到服务器x的连接。识别这样的对应关系可以使得还能够基于可以根据所述对应关系做出的假设来创建后续规则。在其他实施例中，生成(260)表示所提取的对应关系的通用规则包括确定值的所有实例是否对应于从特定位置接收的数据；在这样的实施例中，规则可指示在特定字段中具有值x的任何字节流部分对应于由特定设备提供的数据。生成这样的规则可消除对关于后续连接的前沿分析的需要，从而消除对附加处理的需要。
26.图4描绘了根据本发明的示例性实施例的计算系统110的组件的框图。应当理解，图4仅提供对一个实施方式的说明，并且不暗示关于可实施不同实施例的环境的任何限制。可以对所描绘的环境进行许多修改。
27.如所描绘的，计算机400包括通信结构402，通信结构402提供计算机处理器404、存储器406、永久性贮存器408、通信单元412和输入/输出(i/o)接口414之间的通信。通信结构402可用任何架构来实现，该架构被设计用于在处理器(诸如微处理器、通信和网络处理器等)、系统存储器、外围设备和系统内的任何其他硬件组件之间传递数据和/或控制信息。例如，通信结构402可以用一个或多个总线来实现。
28.存储器406和永久性贮存器408是计算机可读存储介质。在该实施例中，存储器406包括随机存取存储器(ram)416和高速缓存存储器418。通常，存储器406可包括任何合适的易失性或非易失性计算机可读存储介质。
29.一个或多个程序可以存储在永久性贮存器408中，用于经由存储器406中的一个或多个存储器由相应计算机处理器404中的一个或多个来访问和/或执行。在该实施例中，永久性贮存器408包括磁性硬盘驱动器。可替选地，或附加到磁性硬盘驱动器，永久性贮存器408可以包括固态硬盘驱动器、半导体存储设备、只读存储器(rom)、可擦除可编程只读存储器(eprom)、闪存、或能够存储程序指令或数字信息的任何其他计算机可读存储介质。
30.由永久性贮存器408使用的介质也可以是可移动的。例如，可移动硬盘驱动器可以用于永久贮存器408。其他示例包括光盘和磁盘、拇指驱动器和智能卡，其被插入到驱动器中以便转移到也作为永久性贮存器408的一部分的另一计算机可读存储介质上。
31.在这些实例中，通信单元412提供与其他数据处理系统或设备的通信。在这些示例中，通信单元412包括一个或多个网络接口卡。通信单元412可以通过使用物理和无线通信链路之一或两者来提供通信。
32.i/o接口414允许与可以连接到计算机400的其他设备进行数据的输入和输出。例如，i/o接口414可以提供与外部设备420(诸如键盘、小键盘、触摸屏和/或一些其他合适的输入设备)的连接。外部设备420还可包括便携式计算机可读存储介质，诸如例如拇指驱动器、便携式光盘或磁盘、以及存储卡。用于实施本发明的实施例的软件和数据可存储在这样的便携式计算机可读存储介质上，并且可经由i/o接口414加载到永久性贮存器408上。i/o接口414还连接到显示器422。
33.显示器422提供向用户显示数据的机制，并且可以是例如计算机监视器。
34.本文中所描述的程序是基于其在本发明的特定实施例中实现的应用来识别的。然而，应当理解，本文中的任何特定程序命名法仅为了方便而使用，因此本发明不应限于仅在由这样的命名法标识和/或暗示的任何特定应用中使用。
35.本发明可以是任何可能的集成技术细节水平的系统、方法和/或计算机程序产品。计算机程序产品可包括其上具有计算机可读程序指令的计算机可读存储介质(或多个介质)，所述计算机可读程序指令用于使得处理器执行本发明的方面。
36.计算机可读存储介质可以是可以保留和存储指令以供指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述各项的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式紧凑盘只读存储器(cd-rom)、数字通用盘(dvd)、记忆棒、软盘、机械编码设备(诸如穿孔卡或凹槽中的凸起结构，具有记录在其上的指令)、以及前述各项的任何合适的组合。如本文中所使用的计算机可读存储介质不应被解释为瞬态信号本身，诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如，通过光纤电缆的光脉冲)、或通过电线传输的电信号。
37.本文中所述的计算机可读程序指令可从计算机可读存储介质下载到相应的计算/处理设备，或经由网络(例如，因特网、局域网、广域网和/或无线网络)下载到外部计算机或
外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口从网络接收计算机可读程序指令，并且转发计算机可读程序指令以存储在相应的计算/处理设备内的计算机可读存储介质中。
38.用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设定数据、集成电路的配置数据、或以一种或多种编程语言(包括面向对象的编程语言(诸如smalltalk、c++等)和过程式编程语言(诸如“c”编程语言或类似的编程语言))的任何组合编写的源代码或目标代码。计算机可读程序指令可完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立软件包执行、部分在用户的计算机上且部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情形中，远程计算机可以通过任何类型的网络(包括局域网(lan)或广域网(wan))连接到用户的计算机，或者可以连接到外部计算机(例如，通过使用因特网服务提供商的因特网)。在一些实施例中，电子电路(包括例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla))可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化，以便执行本发明的方面。
39.本文中参考根据本发明的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图来描述本发明的方面。应当理解，流程图说明和/或框图中的每个方框以及流程图说明和/或框图中的各方框的组合都可以由计算机可读程序指令来实现。
40.这些计算机可读程序指令可以被提供给计算机或其他可编程数据处理装置的处理器以产生机器，使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图中的一个或多个方框中指定的功能/动作的装置。这些计算机可读程序指令还可以存储在计算机可读存储介质中，所述计算机可读存储介质可以指引计算机、可编程数据处理装置和/或其他设备以特定方式起作用，使得其中存储有指令的计算机可读存储介质包括制品，所述制品包括实现流程图和/或框图中的一个或多个方框中指定的功能/动作的各方面的指令。
41.计算机可读程序指令还可以被加载到计算机、其他可编程数据处理装置或其他设备上，以使得一系列操作步骤在计算机、其他可编程装置或其他设备上执行以产生计算机实现的处理，使得在计算机、其他可编程装置或其他设备上执行的指令实现在流程图和/或框图中的一个或多个方框中指定的功能/动作。
42.附图中的流程图和框图图示了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。在这方面，流程图或框图中的每个方框可以代表模块、段或指令的一部分，其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些替选实施例中，方框中所标注的功能可以不以图中所标注的次序发生。例如，取决于所涉及的功能，连续示出的两个方框实际上可以作为一个步骤完成、同时执行、基本同时地、以部分或全部时间上重叠的方式执行，或者这些方框有时可以以相反的顺序执行。还将注意的是，框图和/或流程图说明中的每个方框、以及框图和/或流程图说明中的各方框的组合可以由基于专用硬件的系统来实现，所述基于专用硬件的系统执行指定的功能或动作或执行专用硬件与计算机指令的组合。
43.已经出于说明的目的呈现了对本发明的各种实施例的描述，但并不旨在是穷举性
的或限于所公开的实施例。在不偏离本发明的范围和精神的情况下，许多修改和变型对本领域的普通技术人员将是明显的。选择在本文中使用的术语以最佳地解释实施例的原理、实际应用或在市场中发现的技术上的技术改进，或使得本领域中的其他普通技术人员能够理解在本文中公开的实施例。