[发明专利]用于网络安全性的装置和方法

权利要求书

1.一种用于网络安全性的装置，包括：

至少一个处理器；以及

包括计算机程序代码的至少一个存储器；

其中所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起致使所述装置至少：

从通信网络的一组边缘设备中的每个边缘设备接收各自的网络流量信息集合，所述各自的网络流量信息集合包括第一流量记录和第二流量记录，所述第一流量记录指示针对各个数据流经由各个边缘设备离开所述通信网络的请求分组的各个测量，所述第二流量记录指示针对各个数据流经由各个边缘设备进入所述通信网络的响应分组的各个测量；以及

基于所述边缘设备的网络流量信息集合，确定是否检测到指示对所述通信网络的攻击的流量异常，其中确定是否检测到指示对所述通信网络的攻击的流量异常包括：

聚合所述边缘设备的第一流量记录和所述边缘设备的第二流量记录以从而形成聚合的流量记录；以及

基于所述聚合的流量记录，确定是否检测到指示对所述通信网络的攻击的流量异常；

其中，聚合所述边缘设备的所述第一流量记录和所述边缘设备的所述第二流量记录以形成所述聚合的流量记录包括：

将第一权重集合应用于所述边缘设备的第一流量记录的值，以提供各个加权的第一流量记录；

将第二权重集合应用于所述边缘设备的第二流量记录的值，以提供各个加权的第二流量记录；以及

聚合所述边缘设备的加权的第一流量记录和所述边缘设备的加权的第二流量记录，以从而形成所述聚合的流量记录。

2.根据权利要求1所述的装置，其中，对于至少一个边缘设备，所述第一流量记录包括第一可逆草图，并且所述第二流量记录包括第二可逆草图。

3.根据权利要求1所述的装置，其中，基于目的地地址信息来对所述第一流量记录取关键字，并且基于源地址信息来对所述第二流量记录取关键字。

4.根据权利要求1所述的装置，其中，针对所述各个数据流由所述边缘设备发送的请求分组的各个测量以及针对所述各个数据流由所述边缘设备接收的响应分组的各个测量包括流大小信息。

5.根据权利要求1所述的装置，其中，为了聚合所述边缘设备的所述第一流量记录和所述边缘设备的所述第二流量记录以形成所述聚合的流量记录，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起致使所述装置至少：

以这样的方式聚合所述边缘设备的所述第一流量记录和所述边缘设备的所述第二流量记录，所述方式用于取消针对各个数据流经由所述各个边缘设备离开所述通信网络的请求分组的各个测量以及针对各个数据流经由相应所述各个边缘设备进入所述通信网络的响应分组的各个测量。

6.根据权利要求1所述的装置，其中，为了基于所述聚合的流量记录来确定是否检测到指示对所述通信网络的攻击的流量异常，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起致使所述装置至少：

对于所述聚合的流量记录的多个关键字中的每个关键字，确定与各个关键字相关联的值是否满足阈值。

7.根据权利要求1所述的装置，其中，为了基于所述聚合的流量记录来确定是否检测到指示对所述通信网络的攻击的流量异常，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起致使所述装置至少：

基于所述聚合的流量记录生成异常关键字列表，所述异常关键字列表包括这样的聚合的流量记录的关键字，对于所述这样的聚合的流量记录的各自的值满足阈值；以及

从异常关键字列表中确定所述异常关键字中的任何一个是否被包括在所述异常关键字列表中至少阈值数量的次数。

8.根据权利要求1至7中的任一项所述的装置，其中，所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起致使所述装置至少：

响应于确定针对数据流检测到指示对所述通信网络的攻击的流量异常，发起对所述数据流的攻击缓解。