基于往返时延的时间序列的网络异常检测方法及相关装置与流程

1.本公开涉及互联网技术领域，尤其涉及一种基于往返时延的时间序列的网络异常检测方法及相关装置。


背景技术：

2.网络异常指的是当位于特定地理区域的一个或多个网络元素(链路、交换机、路由器等)，由于某种因素不能正常工作或服务不可达时，网络就处于异常状态。网络异常可以分为两类：1)由于正常的流量发生堵塞或者人为的控制大量流量的流入，导致网络状态偏离预期运行。例如，网络拥塞；2)由于自然灾害导致电缆、光缆破坏或者由于恶意流量的攻击，导致网络明显地偏离了正常的运行状态。例如，网络中断。
3.现有技术中，通过网络测量来进行网络异常检测，网络测量主要分为主动测量与被动测量。主动测量主要借助于传统的ping以及dig等测量工具。在分布式测量环境下获取不同地理位置到测量目标的性能指标如延迟、路径信息等来分析网络连接性问题，从而发现潜在故障。被动测量则主要通过对控制层面数据的检测来了解网络状况。通过网络测量，可以了解网络运行环境、网络应用和服务的实际工作状况。


技术实现要素：

4.有鉴于此，本公开的目的在于提出一种基于往返时延的时间序列的网络异常检测方法及相关装置。
5.基于上述目的，本公开提供了一种基于往返时延的时间序列的网络异常检测方法，包括：
6.对目标网络进行路由追踪，得到所述目标网络中的多个链路的第一往返时延的时间序列；所述第一往返时延的时间序列中包含多个第一往返时延；
7.根据所述第一往返时延的时间序列的相似度和所述链路之间的连接关系，对所述链路进行聚类，得到链路集合；
8.利用贝叶斯信息准则，确定所述链路集合对应的统计模型；
9.对于目标链路，基于所述目标链路属于的所述链路集合对应的所述统计模型，得到所述目标链路的所述第一往返时延的第一概率分布序列；所述目标链路为所述目标网络中的任一所述链路；所述第一概率分布序列中不包含重复的所述第一往返时延；
10.获取所述目标链路的第二往返时延的时间序列，并根据所述第一往返时延在所述第二往返时延的时间序列中分布的概率，得到所述目标链路的所述第一往返时延的第二概率分布序列；所述第二往返时延的时间序列中包含多个第二往返时延；所述第二概率分布序列中不包含重复的所述第一往返时延；
11.根据所述第一概率分布序列和所述第二概率分布序列的大偏差概率，得到网络异常检测结果。
12.基于同一发明构思，本公开提供了一种基于往返时延的时间序列的网络异常检测
装置，包括：
13.往返时延的时间序列获取模块，被配置为对目标网络进行路由追踪，得到所述目标网络中的多个链路的第一往返时延的时间序列；所述第一往返时延的时间序列中包含多个第一往返时延；
14.链路聚类模块，被配置为根据所述第一往返时延的时间序列的相似度和所述链路之间的连接关系，对所述链路进行聚类，得到链路集合；
15.统计模型确定模块，被配置为利用贝叶斯信息准则，确定所述链路集合对应的统计模型；
16.第一概率分布序列获取模块，被配置为对于目标链路，基于所述目标链路属于的所述链路集合对应的所述统计模型，得到所述目标链路的所述第一往返时延的第一概率分布序列；所述目标链路为所述目标网络中的任一所述链路；所述第一概率分布序列中不包含重复的所述第一往返时延；
17.第二概率分布序列获取模块，被配置为获取所述目标链路的第二往返时延的时间序列，并根据所述第一往返时延在所述第二往返时延的时间序列中分布的概率，得到所述目标链路的所述第一往返时延的第二概率分布序列；所述第二往返时延的时间序列中包含多个第二往返时延；所述第二概率分布序列中不包含重复的所述第一往返时延；
18.网络异常确定模块，被配置为根据所述第一概率分布序列和所述第二概率分布序列的大偏差概率，得到网络异常检测结果。
19.基于同一发明构思，本公开提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述的方法。
20.从上面所述可以看出，本公开提供的基于往返时延的时间序列的网络异常检测方法，包括：对目标网络进行路由追踪，得到目标网络中的多个链路的第一往返时延的时间序列；第一往返时延的时间序列中包含多个第一往返时延；根据第一往返时延的时间序列的相似度和链路之间的连接关系，对链路进行聚类，得到链路集合；利用贝叶斯信息准则，确定链路集合对应的统计模型；对于目标链路，基于目标链路属于的链路集合对应的统计模型，得到目标链路的第一往返时延的第一概率分布序列；目标链路为目标网络中的任一链路；第一概率分布序列中不包含重复的第一往返时延；获取目标链路的第二往返时延的时间序列，并根据第一往返时延在第二往返时延的时间序列中分布的概率，得到目标链路的第一往返时延的第二概率分布序列；第二往返时延的时间序列中包含多个第二往返时延；第二概率分布序列中不包含重复的第一往返时延；根据第一概率分布序列和第二概率分布序列的大偏差概率，得到网络异常检测结果。通过本公开，可以准确、快速的对网络异常进行检测。
附图说明
21.为了更清楚地说明本公开或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
22.图1为本公开实施例提供的基于往返时延的时间序列的网络异常检测方法的一种流程示意图；
23.图2为本公开实施例提供的基于往返时延的时间序列的网络异常检测装置的一种结构示意图；
24.图3为本公开实施例提供的更为具体的电子设备硬件的一种结构示意图。
具体实施方式
25.为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。
26.需要说明的是，除非另外定义，本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。
27.本公开认为，网络异常通常影响多个实体，研究它们之间的相关性可以更深入地了解网络状态以及评估网络异常的影响范围。具体来说，当某条链路发生网络异常时，会影响与其具有相似特征的相邻链路的网络状态。因此，如果能够通过研究链路之间的相关性，聚合具有相似特征的链路，可以通过检测少量链路来准确检测目标区域的网络异常情况，并评估网络异常的影响范围。进一步的，基于何种模型对于网络异常的检测数据进行处理，也会影响网络异常检测的效率。
28.有鉴于此，本公开提出一种基于往返时延的时间序列的网络异常检测方法及相关装置。
29.图1为本公开实施例提供的基于往返时延的时间序列的网络异常检测方法的一种流程示意图；基于往返时延的时间序列的网络异常检测方法，包括：
30.s110、对目标网络进行路由追踪，得到目标网络中的多个链路的第一往返时延的时间序列。
31.第一往返时延的时间序列中包含多个第一往返时延。
32.路由追踪(traceroute)可用于测量源端到目的端的路由器信息，traceroute命令能够遍历数据包传输路径上的所有路由器，其能够适应internet多网关互联体系结构，并实时跟踪数据包可能经过的任意一条路由路径。在traceroute的返回信息中，包括源地址、目的地址、数据包沿途经过的路由器地址和往返时延(rtt，round-trip time)。通过监测往返时延，可以检测链路的传输性能以及连通性。
33.往返时延是计算机网络中的一个性能指标，表示从发送端发送数据开始，到发送端收到来自接收端的确认(接收端收到数据后便立即发送确认)，总共经历的时延。往返时延由三个部分决定：即链路的传播时间、末端系统的处理时间以及路由器的缓存中的排队和处理时间。其中，前面两个部分的值作为一个tcp连接相对固定，路由器的缓存中的排队
和处理时间会随着整个网络拥塞程度的变化而变化。因此，往返时延的变化能够在一定程度上反映网络拥塞程度的变化。
34.在一些实施例中，s110，具体包括：
35.对目标网络进行路由追踪，得到目标网络中的链路在不同时刻的第一往返时延。
36.对于任一链路，在相同的时间间隔下，提取链路的第一往返时延，生成链路的第一往返时延的时间序列。
37.本公开所称第一往返时延并非指的是一个往返时延，而是指一类往返时延，具体的，指的是在执行本公开时第一次获取的多个往返时延，其中，所称第一次，并非指的是单次获取往返时延，而是指在某一时间段内多次获取往返时延；在执行本公开的过程中，会第二次进行路由追踪并获取往返时延，其中，所称第二次，也并非指的是单次获取往返时延，同样是指在某一时间段内多次获取往返时延，第二次获取的多个往返时延，称为第二返时延，同理，第二往返时延，并非指的是一个往返时延，而是指一类往返时延。因本公开中存在一些步骤方法的循环执行，因此本公开使用第一、第二等描述，仅为了起到区别作用，而不是对方案本身起到限定作用。
38.在一些实施例中，设置有多个不同位置的探针，对目标网络(被监测的网络区域)不断进行路由追踪，可以获得目标网络中的每条链路在不同时刻的往返时延。
39.作为一个示例，目标网络中任意两个节点vj和vj组成的链路表示为l
i，j
，测量得到的链路l
i，j
在t时刻的第一往返时延表示为
40.假设测量的总时长为t(1
→
t)，则链路l
i，j
的第一往返时延的时间序列表示为
41.s120、根据第一往返时延的时间序列的相似度和链路之间的连接关系，对链路进行聚类，得到链路集合。
42.在一些实施例中，s120，具体包括：
43.步骤1：将任一链路作为种子链路，并提取与种子链路相连的所有链路，加入初始链路集合。
44.步骤2：计算种子链路的第一往返时延的时间序列和初始链路集合中的每条链路的第一往返时延的时间序列的相似度，提取相似度大于等于相似度阈值的链路，将种子链路和相似度大于等于相似度阈值的链路加入备选链路集合。
45.步骤3：将备选链路集合中已经作为种子链路的链路过滤掉，对于备选链路集合中的剩余链路执行步骤1和步骤2，直到不存在相似度大于等于相似度阈值的链路，将备选链路集合作为链路集合。
46.步骤4：获取目标网络中的所有链路，将所有链路中的链路集合中的链路过滤掉，得到剩余链路。对剩余链路执行步骤1、步骤2和步骤3，直到将目标网络中的所有链路聚类为多个链路集合。
47.作为一个示例，随机选择一条链路l
i，j
作为种子链路，并提取与种子链路相连的所有链路，将与种子链路相连的所有链路加入初始链路集合
48.计算种子链路l
i，j
的第一往返时延的时间序列和初始链路集合中的每条链路的第一往返时延的时间序列的相似度，提取相似度大于等于相似度阈值的链路，将种子链
路和相似度大于等于相似度阈值的所有链路加入备选链路集合f
i，j
。
49.在一些实施例中，利用欧几里得距离，计算任意两条链路的往返时延的时间序列的相似度。
50.假设两条链路l
i，j
和l
k，1
的往返时延的时间序列分别是：
51.和
52.则它们的相似度的计算公式为：
[0053][0054]
计算目标网络中链路两两之间的往返时延的时间序列的相似度，得到相似度累积分布函数，选择相似度累积分布函数对应的累积分布图中的拐点作为相似度阈值，在这个标准下，当两条链路的往返时延的时间序列的相似度大于等于该相似度阈值，即认为这两条链路是相似的。
[0055]
以上实施例以利用欧几里得距离计算任意两条链路的往返时延的时间序列的相似度为例，但是本公开不限于此，例如在一些可能的实施方式中，可以利用其他相似度算法计算任意两条链路的往返时延的时间序列的相似度，如余弦相似度、汉明距离、曼哈顿距离、切比雪夫距离等相似度算法，本公开对此不做限制。
[0056]
将目标网络中的所有链路聚类为多个链路集合，每个链路集合为一个类别，记所有类别的集合为n，其中第k个类别记为nk。
[0057]
s130、利用贝叶斯信息准则，确定链路集合对应的统计模型。
[0058]
在一些实施例中，s130，具体包括：
[0059]
对于目标链路集合，分别利用不同类别的备选统计模型进行建模，并计算不同类别的备选统计模型的贝叶斯信息值。
[0060]
目标链路集合为任一链路集合。
[0061]
将贝叶斯信息值最低的备选统计模型作为链路集合对应的统计模型。
[0062]
在一些实施例中，备选统计模型，包括：
[0063]
正态模型、对数正态模型、gev模型和burr type xii模型。
[0064]
正态模型：
[0065]
其中，μ是平均值，δ是方差。
[0066]
对数正态模型：
[0067]
其中，μ是平均值，δ是方差。
[0068]
gev模型：
[0069]
其中，μ是位置参数，δ是尺寸参数，ξ是形状参数。
[0070]
burr type xii模型：
[0071]
其中，a是尺度参数，c，k均是形状参数。
[0072]
在一些实施例中，利用贝叶斯信息准则评估备选统计模型的拟合度以及复杂性，贝叶斯信息准则的表达式如下：
[0073][0074]
其中，n表示样本量，k表示参数的个数，i表示目标网络中节点的数量，表示第一往返时延的时间序列的似然函数的最大值。
[0075]
其中，bic的值越小，表明备选统计模型的拟合度越高以及复杂性越低，即该备选统计模型越优。
[0076]
对于任意类别nk的链路集合，利用上述公式，计算出4种备选统计模型的bic值。然后选择bic值最低的备选模型对该类别下的链路进行建模。
[0077]
在对网络进行测量和测试的基础上建立网络行为模型，是理解网络行为的有效的途径，然而，相关技术中，在对网络测量数据进行建模时，并没有考虑统计模型的拟合度以及复杂性。本公开认为，由于网络测量具有随机性，需要一个适当的统计模型来描述网络性能。其中，拟合优度较高的模型可以优化对数据的分析，为网络管理者提供对当前网络状况的准确理解。此外，模型复杂度较低，可以减少计算时间，避免不必要的计算成本。因此，本公开通过以上技术手段考虑了模型拟合度以及复杂度对第一往返时延的时间序列建模的影响，选择合适的统计模型对第一往返时延的时间序列进行建模来检测网络异常，相对于相关技术中的检测方法，本公开可以准确、快速地对网络异常进行检测。
[0078]
s140、对于目标链路，基于目标链路属于的链路集合对应的统计模型，得到目标链路的第一往返时延的第一概率分布序列。
[0079]
目标链路为目标网络中的任一链路；第一概率分布序列中不包含重复的第一往返时延。
[0080]
在一些实施例中，s140，具体包括：
[0081]
对于目标链路的第一往返时延的时间序列中的第一往返时延，按照大小顺序进行排序，得到按照大小顺序排序的第一往返时延的序列；其中，按照大小顺序排序的第一往返时延的序列中不包含重复的第一往返时延；
[0082]
对于按照大小顺序排序的第一往返时延的序列，基于目标链路属于的链路集合对应的统计模型，得到目标链路的第一往返时延的第一概率分布序列。
[0083]
作为一个示例，提取任意一条链路l
i，j
的第一往返时延的时间序列可选的，对于其中的第一往返时延，按照从小到大的顺序(即升序)进行排序，得到按照大小顺序排序的第一往返时延的序列其中，是中的最小值，n为第一往返时延的时间序列中第一往返时延的值的数量，值相等的第一往返时延算作一个。
[0084]
确定链路l
i,j
属于的链路集合f
i,j
对应的统计模型，将按照大小顺序排序的第一往返时延的序列输入该统计模型，得到链路l
i,j
的第一往返时延的概率分布序列其中，表示的概率密度。
[0085]
s150、获取目标链路的第二往返时延的时间序列，并根据第一往返时延在第二往返时延的时间序列中分布的概率，得到目标链路的第一往返时延的第二概率分布序列。
[0086]
第二往返时延的时间序列中包含多个第二往返时延；第二概率分布序列中不包含重复的第一往返时延。
[0087]
在一些实施例中，s150，具体包括：
[0088]
计算按照大小顺序排序的第一往返时延的序列中的每个第一往返时延在第二往返时延的时间序列中的出现次数，并进一步计算得到每个第一往返时延在第二往返时延的时间序列中分布的概率，得到目标链路的第一往返时延的第二概率分布序列。
[0089]
作为一个示例，得到链路l
i,j
的第二往返时延的时间序列确定中的第一往返时延至在中的概率，得到的第二概率分布序列表示为：
[0090]
其中，
[0091][0092]
s160、根据第一概率分布序列和第二概率分布序列的大偏差概率，得到网络异常检测结果。
[0093]
在一些实施例中，s160，具体包括：
[0094]
计算第一概率分布序列和第二概率分布序列的相对熵；
[0095]
根据相对熵，计算第一概率分布序列和第二概率分布序列的大偏差概率；
[0096]
响应于确定大偏差概率低于大偏差概率阈值，确定目标网络存在网络异常。
[0097]
作为一个示例，在网络未发生异常的情况下，第一往返时延至在中的概率(通过εy(i，j)体现)应该近似等于其在中的概率(通过u(i，j)体现)。当网络发生异常时，会导致出现εy(i，j)与u(i，j)不一致的现象，但是这种现象属于小概率事件，进一步的，根据sanov定理，这类小概率事件发生的概率计算如下：
[0098][0099][0100]
其中，相对熵h(εy(i，j)/u(i，j))用来描述εy(i，j)与u(i，j)之间的相似度。
[0101]
相对熵越大，表明网络实际状态与正常状态偏差较大。由于这种现象属于小概率事件，因此其发生的可能性即大偏差概率p(i，j)较低。实际上，链路的往返时延在较长一段
时间内处于稳定状态。因此，对于每个链路，实际测量值(基于第二概率分布序列)与参考值(基于第一概率分布序列)之间的偏差都较小。只有当网络出现异常时，相对熵才会增加，导致p(i，j)变小。
[0102]
对于任意一条链路l
i，j
，计算其真实值(基于第二概率分布序列)与参考值(基于第一概率分布序列)之间的相对熵，得到其大偏差概率p(i，j)。当大偏差概率p(i，j)低于预设的概率阈值时，即判定链路l
i，j
发生异常。链路l
i，j
发生异常，会影响其所在类别的其他链路，从而导致网络异常。
[0103]
从上面可以看出，本公开提供的基于往返时延的时间序列的网络异常检测方法及相关装置，对目标网络进行路由追踪，得到目标网络中的链路的第一往返时延的时间序列；根据第一往返时延的时间序列的相似度和链路之间的连接关系，对链路进行聚类，得到链路集合；利用贝叶斯信息准则，确定链路集合对应的统计模型；将任一链路作为目标链路，并基于目标链路属于的链路集合对应的统计模型，得到目标链路的第一往返时延的第一概率分布序列；获取目标链路的第二往返时延的时间序列，并基于第二往返时延的时间序列，得到目标链路的第一往返时延的第二概率分布序列；根据第一概率分布序列和第二概率分布序列的大偏差概率，得到网络异常检测结果。通过本公开，可以准确、快速的对网络异常进行检测。
[0104]
本公开通过研究链路之间的相关性，得到具有相似特征的多组链路(即链路集合)，可以通过检测少量链路来准确检测网络异常，并评估网络异常的影响范围。
[0105]
本公开通过以上技术手段考虑了模型拟合度以及复杂度对往返时延的时间序列建模的影响，选择合适的统计模型对往返时延的时间序列进行建模来检测网络异常，相对于相关技术中的检测方法，本公开可以准确、快速地对网络异常进行检测。
[0106]
需要说明的是，本公开实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
[0107]
需要说明的是，上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
[0108]
基于同一发明构思，与上述任意实施例方法相对应的，本公开还提供了一种基于往返时延的时间序列的网络异常检测装置。
[0109]
参考图2，所述基于往返时延的时间序列的网络异常检测装置，包括：
[0110]
往返时延的时间序列获取模块210，被配置为对目标网络进行路由追踪，得到目标网络中的多个链路的第一往返时延的时间序列。第一往返时延的时间序列中包含多个第一往返时延。
[0111]
链路聚类模块220，被配置为根据第一往返时延的时间序列的相似度和链路之间的连接关系，对链路进行聚类，得到链路集合。
[0112]
统计模型确定模块230，被配置为利用贝叶斯信息准则，确定链路集合对应的统计
模型。
[0113]
第一概率分布序列获取模块240，被配置为对于目标链路，基于目标链路属于的链路集合对应的统计模型，得到目标链路的第一往返时延的第一概率分布序列。目标链路为目标网络中的任一链路。第一概率分布序列中不包含重复的第一往返时延。
[0114]
第二概率分布序列获取模块250，被配置为获取目标链路的第二往返时延的时间序列，并根据第一往返时延在第二往返时延的时间序列中分布的概率，得到目标链路的第一往返时延的第二概率分布序列。第二往返时延的时间序列中包含多个第二往返时延。第二概率分布序列中不包含重复的第一往返时延。
[0115]
网络异常确定模块260，被配置为根据第一概率分布序列和第二概率分布序列的大偏差概率，得到网络异常检测结果。
[0116]
为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本公开时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
[0117]
上述实施例的装置用于实现前述任一实施例中相应的基于往返时延的时间序列的网络异常检测方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0118]
基于同一发明构思，与上述任意实施例方法相对应的，本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的基于往返时延的时间序列的网络异常检测方法。
[0119]
图3示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
[0120]
处理器1010可以采用通用的cpu(central processing unit，中央处理器)、微处理器、应用专用集成电路(application specific integrated circuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。
[0121]
存储器1020可以采用rom(read only memory，只读存储器)、ram(random access memory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。
[0122]
输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入/输出模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
[0123]
通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
[0124]
总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
[0125]
需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。
[0126]
上述实施例的电子设备用于实现前述任一实施例中相应的基于往返时延的时间序列的网络异常检测方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0127]
基于同一发明构思，与上述任意实施例方法相对应的，本公开还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一实施例所述的基于往返时延的时间序列的网络异常检测方法。
[0128]
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。
[0129]
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的基于往返时延的时间序列的网络异常检测方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0130]
需要说明的是，本公开的实施例还可以以下方式进一步描述：
[0131]
一种基于往返时延的时间序列的网络异常检测方法，包括：
[0132]
对目标网络进行路由追踪，得到目标网络中的多个链路的第一往返时延的时间序列；第一往返时延的时间序列中包含多个第一往返时延；
[0133]
根据第一往返时延的时间序列的相似度和链路之间的连接关系，对链路进行聚类，得到链路集合；
[0134]
利用贝叶斯信息准则，确定链路集合对应的统计模型；
[0135]
对于目标链路，基于目标链路属于的链路集合对应的统计模型，得到目标链路的第一往返时延的第一概率分布序列；目标链路为目标网络中的任一链路；第一概率分布序列中不包含重复的第一往返时延；
[0136]
获取目标链路的第二往返时延的时间序列，并根据第一往返时延在第二往返时延的时间序列中分布的概率，得到目标链路的第一往返时延的第二概率分布序列；第二往返时延的时间序列中包含多个第二往返时延；第二概率分布序列中不包含重复的第一往返时延；
[0137]
根据第一概率分布序列和第二概率分布序列的大偏差概率，得到网络异常检测结果。
[0138]
可选的，其中，对目标网络进行路由追踪，得到目标网络中的多个链路的第一往返时延的时间序列，包括：
[0139]
对目标网络进行路由追踪，得到目标网络中的链路在不同时刻的第一往返时延；
[0140]
对于任一链路，在相同的时间间隔下，提取链路的第一往返时延，生成链路的第一往返时延的时间序列。
[0141]
可选的，其中，根据第一往返时延的时间序列的相似度和链路之间的连接关系，对链路进行聚类，得到链路集合，包括：
[0142]
步骤1：将任一链路作为种子链路，并提取与种子链路相连的所有链路，加入初始链路集合；
[0143]
步骤2：计算种子链路的第一往返时延的时间序列和初始链路集合中的每条链路的第一往返时延的时间序列的相似度，提取相似度大于等于相似度阈值的链路，将种子链路和相似度大于等于相似度阈值的链路加入备选链路集合；
[0144]
步骤3：将备选链路集合中已经作为种子链路的链路过滤掉，对于备选链路集合中的剩余链路执行步骤1和步骤2，直到不存在相似度大于等于相似度阈值的链路，将备选链路集合作为链路集合；
[0145]
步骤4：获取目标网络中的所有链路，将所有链路中的链路集合中的链路过滤掉，得到剩余链路；对剩余链路执行步骤1、步骤2和步骤3，直到将目标网络中的所有链路聚类为多个链路集合。
[0146]
可选的，其中，利用贝叶斯信息准则，确定链路集合对应的统计模型，包括：
[0147]
对于目标链路集合，分别利用不同类别的备选统计模型进行建模，并计算不同类别的备选统计模型的贝叶斯信息值；目标链路集合为任一链路集合；
[0148]
将贝叶斯信息值最低的备选统计模型作为链路集合对应的统计模型。
[0149]
可选的，其中，备选统计模型，包括：
[0150]
正态模型、对数正态模型、gev模型和burr type xii模型。
[0151]
可选的，其中，对于目标链路，基于目标链路属于的链路集合对应的统计模型，得到目标链路的第一往返时延的第一概率分布序列，包括：
[0152]
对于目标链路的第一往返时延的时间序列中的第一往返时延，按照大小顺序进行排序，得到按照大小顺序排序的第一往返时延的序列；其中，按照大小顺序排序的第一往返时延的序列中不包含重复的第一往返时延；
[0153]
对于按照大小顺序排序的第一往返时延的序列，基于目标链路属于的链路集合对应的统计模型，得到目标链路的第一往返时延的第一概率分布序列。
[0154]
可选的，其中，获取目标链路的第二往返时延的时间序列，并根据第一往返时延在第二往返时延的时间序列中分布的概率，得到目标链路的第一往返时延的第二概率分布序列，包括：
[0155]
计算按照大小顺序排序的第一往返时延的序列中的每个第一往返时延在第二往返时延的时间序列中的出现次数，并进一步计算得到每个第一往返时延在第二往返时延的时间序列中分布的概率，得到目标链路的第一往返时延的第二概率分布序列。
[0156]
可选的，其中，根据第一概率分布序列和第二概率分布序列的大偏差概率，得到网络异常检测结果，包括：
[0157]
计算第一概率分布序列和第二概率分布序列的相对熵；
[0158]
根据相对熵，计算第一概率分布序列和第二概率分布序列的大偏差概率；
[0159]
响应于确定大偏差概率低于大偏差概率阈值，确定目标网络存在网络异常。
[0160]
一种基于往返时延的时间序列的网络异常检测装置，包括：
[0161]
往返时延的时间序列获取模块，被配置为对目标网络进行路由追踪，得到目标网络中的多个链路的第一往返时延的时间序列；第一往返时延的时间序列中包含多个第一往返时延；
[0162]
链路聚类模块，被配置为根据第一往返时延的时间序列的相似度和链路之间的连接关系，对链路进行聚类，得到链路集合；
[0163]
统计模型确定模块，被配置为利用贝叶斯信息准则，确定链路集合对应的统计模型；
[0164]
第一概率分布序列获取模块，被配置为对于目标链路，基于目标链路属于的链路集合对应的统计模型，得到目标链路的第一往返时延的第一概率分布序列；目标链路为目标网络中的任一链路；第一概率分布序列中不包含重复的第一往返时延；
[0165]
第二概率分布序列获取模块，被配置为获取目标链路的第二往返时延的时间序列，并根据第一往返时延在第二往返时延的时间序列中分布的概率，得到目标链路的第一往返时延的第二概率分布序列；第二往返时延的时间序列中包含多个第二往返时延；第二概率分布序列中不包含重复的第一往返时延；
[0166]
网络异常确定模块，被配置为根据第一概率分布序列和第二概率分布序列的大偏差概率，得到网络异常检测结果。
[0167]
一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述的方法。
[0168]
所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本公开实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。
[0169]
另外，为简化说明和讨论，并且为了不会使本公开实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本公开实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开实施例。因此，这些描述应被认为是说明性的而不是限制性的。
[0170]
尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。
[0171]
本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本公开实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。