一种监测方法、装置、设备及存储介质与流程

本申请涉及通信技术，尤其涉及一种监测方法、装置、设备及存储介质。

背景技术：

1、分布式拒绝服务攻击(distributed denial of service，ddos)主要是利用分布式的客户端，产生数量庞大的攻击数据包，向目标发起大量看上去合法的请求，消耗或者占用大量资源，从而达到拒绝服务的目的。ddos攻击已成为攻击者进行网络攻击的主要手段，近年来，攻击者利用僵尸网络作为攻击平台，发起更大规模的ddos攻击，攻击流量分布更广、危害更大，给当前互联网和用户带来非常大的威胁。因此，通过对ddos攻击的特征分析，研究攻击预测模型和方法，对防范ddos攻击有十分重要的意义。

2、现有技术中，基于ddos攻击检测的研究均利用有监督的机器学习算法进行模型训练，被动地进行定时的攻击监测。并且，现有的只是对单个区域进行监测，没有综合考虑整个监测网络的情况，监测的准确性受到限制，或者需要提前按照流量的协议类型分类，再分别进行监测判断，因此，其监测范围有一定的局限性，监测效率也受到限制。

3、因此，采用现有的方法存在无法对网络中的大规模流量攻击事件进行综合监测并提前预判情况。

技术实现思路

1、本申请提供一种监测方法、装置、设备及存储介质，用以解决对网络中的大规模流量攻击事件进行综合监测并提前预判的问题。

2、第一方面，本申请提供一种监测方法，包括：

3、获取路由器的网络流量变化量、以及数据包信息，网络流量变化量表征目标时间区间内网络流量的数值，数据包信息包括数据包，数据包包括目的地址、目的端口、以及协议类型；

4、根据网络流量变化量、预先设置的增量阈值区间、以及与增量阈值区间对应的增量变化率，确定网络流量增量、以及网络流量增量变化率，网络流量增量为单位时间内的网络流量变化量；

5、确定数据包信息中的目标数据包与所有数据包的占比，其中，目标数据包之间的目的地址、目的端口、以及协议类型均对应一致；

6、根据数据包信息中的目标数据包与所有数据包的占比、预先设置的占比阈值区间、以及占比阈值区间对应的初始发生率，确定目标发生率；

7、根据网络流量增量变化率、以及目标发生率，得到路由器的网络流量攻击发生率。

8、第二方面，本申请提供一种监测装置，包括：

9、获取模块，用于获取路由器的网络流量变化量、以及数据包信息，网络流量变化量表征目标时间区间内网络流量的数值，数据包信息包括数据包，数据包包括目的地址、目的端口、以及协议类型；

10、第一分析模块，用于根据网络流量变化量、预先设置的增量阈值区间、以及与增量阈值区间对应的增量变化率，确定网络流量增量、以及网络流量增量变化率，网络流量增量为单位时间内的网络流量变化量；

11、第二分析模块，用于确定数据包信息中的目标数据包与所有数据包的占比，其中，目标数据包之间的目的地址、目的端口、以及协议类型均对应一致；

12、第三分析模块，用于根据数据包信息中的目标数据包与所有数据包的占比、预先设置的占比阈值区间、以及占比阈值区间对应的初始发生率，确定目标发生率；

13、第四分析模块，用于根据网络流量增量变化率、以及目标发生率，得到路由器的网络流量攻击发生率。

14、第三方面，本申请提供一种电子设备，包括：处理器，以及与处理器通信连接的存储器；存储器存储计算机执行指令；处理器执行存储器存储的计算机执行指令，以执行本申请的报文处理方法。

15、第四方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现本申请的报文处理方法。

16、本申请提供的监测方法、装置、设备及存储介质，通过获取在目标时间区间内路由器的网络流量变化量，得到单位时间内的网络流量变化量，进而得到网络流量增量变化率，同时，获取目的地址、目的端口、协议类型，确定目的地址、目的端口、以及协议类型均对应一致的目标数据包与所有数据包的占比，进而得到目标发生率，将网络流量变化量以及目的地址、目的端口、以及协议类型作为预测参数，提高了预测的准确性，同时，根据网络流量增量变化率和目标发生率，得到路由器的网络流量攻击发生率，实现了综合考虑整个网络系统的情况，扩大了监测范围，并且提前预测网络中的流量攻击的发生率，避免遭受更严重的网络攻击，提高了网络系统安全性。

技术特征：

1.一种监测方法，其特征在于，应用于网络系统，所述网络系统配置有路由器，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，在所述获取所述路由器的网络流量变化量、以及数据包信息之前，所述方法还包括：

3.根据权利要求1所述的方法，其特征在于，所述根据所述网络流量变化量、预先设置的增量阈值区间、以及与所述增量阈值区间对应的增量变化率，确定网络流量增量、以及网络流量增量变化率，包括：

4.根据权利要求1所述的方法，其特征在于，所述确定所述数据包信息中的目标数据包与所有数据包的占比，包括：

5.根据权利要求1所述的方法，其特征在于，所述根据所述数据包信息中的目标数据包与所有数据包的占比、预先设置的占比阈值区间、以及所述占比阈值区间对应的初始发生率，确定目标发生率，包括：

6.根据权利要求1所述的方法，其特征在于，所述根据所述网络流量增量变化率、以及目标发生率，得到所述路由器的网络流量攻击发生率，包括：

7.根据权利要求1所述的方法，其特征在于，在根据所述网络流量增量变化率、以及目标发生率，得到所述路由器的网络流量攻击发生率之后，所述方法还包括：

8.根据权利要求7所述的方法，其特征在于，所述根据所述网络流量攻击发生率的平均值，对所述网络系统发生网络流量攻击进行评估，得到评估结果，包括：

9.一种监测装置，其特征在于，包括：

10.一种电子设备，其特征在于，包括：处理器，以及与所述处理器通信连接的存储器；

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1至8任一项所述的方法。

技术总结
本申请提供一种监测方法、装置、设备及存储介质。该方法包括：获取路由器的网络流量变化量、以及数据包信息；根据网络流量变化量、预先设置的增量阈值区间、以及与增量阈值区间对应的增量变化率，确定网络流量增量、以及网络流量增量变化率，网络流量增量为单位时间内的网络流量变化量；确定数据包信息中的目标数据包与所有数据包的占比；根据数据包信息中的目标数据包与所有数据包的占比、预先设置的占比阈值区间、以及占比阈值区间对应的初始发生率，确定目标发生率；根据网络流量增量变化率、以及目标发生率，得到路由器的网络流量攻击发生率。本申请的方法，提高了网络系统监测的准确性。

技术研发人员：杨双仕,徐雷,贾宝军
受保护的技术使用者：中国联合网络通信集团有限公司
技术研发日：
技术公布日：2024/1/16