括W下之一:年、月、周、日、小时。
[0037] 图3是根据本发明实施例的优选网络流量异常数据的检测装置的结构框图,如图 3所示,在优选网络流量异常数据的检测装置(也可W称之为系统)中,构建模块10可W包 括:计算单元12,用于根据年、月、周、日、或小时的均值和方差W及权重信息计算由多个对 点构成的基带,其中,每个对点包括:上下两个点;构建单元14,用于根据基带构建相应预 设周期内的基带模型。
[0038] 在优选网络流量异常数据的检测装置中,检测模块20可W包括;第一处理单元 22,用于判断实时流量数据是否位于基带模型的基带内,如果判断结果为是,确定实时流量 数据是非异常数据,如果判断结果为否,则确定实时流量数据是疑似异常数据;第二处理单 元24,用于采用ARIM算法对疑似异常数据进行数据变化趋势预测,在疑似异常数据的数 据变化趋势符合ARIM算法的情况下,确定疑似异常数据是非异常数据,否则,确定疑似异 常数据是异常数据。
[0039] 采用上述实施例提供的网络流量异常数据的检测方法及装置,可W对网络流程历 史数据进行周期性分析,得到历史基带数据模型,根据基带数据模型检测网络流量中是否 存在异常数据,达到了提高网络流量异常数据的检测精度的效果。
[0040] 下面结合图4至图6W及优选实施例对上述实施例提供的网络流量异常数据的检 测方法及装置进行更加详细的描述和说明。
[0041] 图4是根据本发明优选实施例的网络流量异常数据的检测装置的结构示意图,女口 图4所示,本优选实施例提供的网络流量异常数据的检测装置包括W下几个组件(或称之 为板块);
[0042] (1)基带模型组件,用于通过对历史数据的学习得到流量数据的基带模型。具体 地,该模型可W先利用傅立叶变换分析数据的周期性,再根据周期内的数据抽样点的均值 和方差计算各周期的权重信息进行计算,w构建一个历史数据的基带模型。
[0043](2 )数据检测组件,用于输入一个待检测的数据,计算该数据是否穿越基带模型组 件根据基带模型中计算出来的历史基带,将超出基带范围的数据点认定为疑似异常数据点 (由于并不确定一定是异常数据点,需要进行进一步的综合判断,所W称之为疑似异常数据 点)。
[0044](3)预测组件,用于根据数据检测组件检测出的疑似异常数据对应的时间,查找出 对应的历史数据,再对该历史数据运用ARIM算法进行趋势预测,若预测结果与疑似异常 数据相近,则说明此数据非异常,否则,说明此数据异常。
[0045](4)告警组件,用于针对预测组件中检测出来的异常数据,W告警的方式上报给上 级网管。
[0046](5)模型自动增强组件,用于在数据检测组件、预测组件中检验的数据是非异常数 据的情况下,可W将此数据加入历史数据,该样可及时更新历史基带的模型参数,由预测组 件将此参数传给基带模型组件,W便确保基带模型组件的模型参数不断更新,更好地提高 数据检测组件的检测精度。
[0047]图5是根据本发明实施例的路由器异常数据点的基带模型检测示意图,如图5所 示,该路由器异常数据点的基带模型检测流程包括:
[0048] 步骤1,获取路由器等网络设备采集的历史流量数据(数据量越大效果越好),挖掘 数据的周期性和各周期比重,通过傅立叶变换找到最强的周期性。周期性也可W由使用者 自己定义,使用者如果了解数据的周期性规律,可W指定各周期的比重。针对大量已清洗的 历史数据,且历史数据的最细粒度为小时,可W通过傅立叶变换检测历史数据的周期,对历 史数据,需要按年、月、周、日对历史数据进行抽样,并统计抽样数据的均值及方差,根据统 计出来的年、月、周、日的方差可确定年、月、周、日的权重信息。周期性的权重计算通过按照 不同周期的抽样数据计算方差,方差小的权重高。如果使用者对数据的周期性非常了解,周 期的权重也可W通过人工输入。该里的历史数据可W是NetFlow流量数据,为了便于理解, 请参考表1。
[0049] 表1、NetFlow流量数据结构表
[0050]
【主权项】
1. 一种网络流量异常数据的检测方法,其特征在于,包括: 根据预设检测周期和历史数据,构建用于检测网络流量异常数据的基带模型; 根据所述基带模型对实时流量数据进行异常检测。
2. 根据权利要求1所述的方法,其特征在于,所述预设检测周期包括以下之一:年、月、 周、日、小时。
3. 根据权利要求2所述的方法,其特征在于,根据预设检测周期和历史数据,构建用于 检测网络流量异常数据的基带模型,包括: 根据年、月、周、日、或小时的均值和方差以及权重信息计算由多个对点构成的基带,其 中,每个对点包括:上下两个点; 根据所述基带构建所述相应预设周期内的所述基带模型。
4. 根据权利要求1所述的方法,其特征在于,根据所述基带模型对实时流量数据进行 异常检测,包括: 判断所述实时流量数据是否位于所述基带模型的基带内,如果判断结果为是,确定所 述实时流量数据是非异常数据,如果判断结果为否,则确定所述实时流量数据是疑似异常 数据; 采用ARIM算法对所述疑似异常数据进行数据变化趋势预测,在所述疑似异常数据的 数据变化趋势符合所述ARIMA算法的情况下,确定所述疑似异常数据是非异常数据,否则, 确定所述疑似异常数据是异常数据。
5. 根据权利要求4所述的方法,其特征在于,在确定所述实时流量数据是非异常数据 之后,还包括: 将所述实时流量数据作为新的历史数据以构建新的基带模型。
6. 根据权利要求4或5所述的方法,其特征在于,在确定所述实时流量数据是非异常数 据之后,还包括: 通过SNMP Trap接口上网络管理工作站上报异常告警信息。
7.-种网络流量异常数据的检测装置,其特征在于,包括: 构建模块,用于根据预设检测周期和历史数据,构建用于检测网络流量异常数据的基 带模型; 检测模块,用于根据所述基带模型对实时流量数据进行异常检测。
8. 根据权利要求7所述的装置,其特征在于,所述预设检测周期包括以下之一:年、月、 周、日、小时。
9. 根据权利要求8所述的装置,其特征在于,所述构建模块包括: 计算单元,用于根据年、月、周、日、或小时的均值和方差以及权重信息计算由多个对点 构成的基带,其中,每个对点包括:上下两个点; 构建单元,用于根据所述基带构建所述相应预设周期内的所述基带模型。
10. 根据权利要求7至8中任一项所述的装置,其特征在于,所述检测模块包括: 第一处理单元,用于判断所述实时流量数据是否位于所述基带模型的基带内,如果判 断结果为是,确定所述实时流量数据是非异常数据,如果判断结果为否,则确定所述实时流 量数据是疑似异常数据; 第二处理单元,用于采用ARIMA算法对所述疑似异常数据进行数据变化趋势预测,在 所述疑似异常数据的数据变化趋势符合所述ARIM算法的情况下,确定所述疑似异常数据 是非异常数据,否则,确定所述疑似异常数据是异常数据。
【专利摘要】本发明公开了一种网络流量异常数据的检测方法及装置。其中,该方法包括:根据预设检测周期和历史数据,构建用于检测网络流量异常数据的基带模型;根据基带模型对实时流量数据进行异常检测。通过本发明,可以为用户调整网络设备测量提供了技术支撑,提高了网络流量异常数据的检测精度。
【IPC分类】H04L12-26, H04L12-24
【公开号】CN104753733
【申请号】CN201310753088
【发明人】丁伟, 杨魁, 张凯
【申请人】中兴通讯股份有限公司
【公开日】2015年7月1日
【申请日】2013年12月31日