一种网络流量监测方法和设备的制造方法
【技术领域】
[0001] 本发明涉及网络监测领域,具体地,涉及一种网络流量监测方法和设备。
【背景技术】
[0002] 随着互联网技术的发展,网络安全以及网络信息统计、行为分析越来越受到人们 的关注。通过对网络流量进行监测能够有效的获得用户的网络行为,从而便于监测人员实 时掌握网络动态。
[0003] 监测网络流量是否异常是网络流量监测的一个应用。判断网络流量是否异常,通 常是将检测到的网络流量与一基线值进行比较。如果所检测到的网络流量大于或等于该基 线值,则确定此时网络流量异常。可见,基线值的确定对于网络流量异常判断起至关重要的 作用。
[0004] 动态基线是指对于不同时刻使用不同的基线值来刻画该时刻的网络流量。例如, 时刻采用第一基线值作为流量上限,时刻t2采用第二基线值作为流量上限。对于当前检 测到的网络流量,可基于切比雪夫不等式、利用历史同时刻网络流量来确定当前网络流量 的基线值。所述历史同时刻网络流量是指在当前检测时间之前的历史日期中的同一时刻检 测到的网络流量。例如,假设当前检测时间是今天的时刻,那么所述历史同时刻网络流量 可包括在前天的时刻检测的网络流量、在昨天的时刻检测的网络流量,等等。确定当 前网络流量的基线值的方法如下所示:
[0005]
[0006] 其中,h表示所述基线值;D( 〇表示历史同时刻网络流量的方差;E( 〇表示历 史同时刻网络流量的期望;以及a表示信任度。
[0007] 使用切比雪夫不等式来预测下一个数据的基线值,是一个学习的过程。通过对历 史数据的学习,来得到下一个数据的基线值。然而,如果距离当前检测时间较近的历史同时 刻网络流量出现较大起伏时,而这种起伏又是正常的情况下,那么通过现有方法预测出的 基线值,有时不能敏感地反映出这些历史同时刻网络流量的这一起伏变化,这就容易导致 误报的情况。
【发明内容】
[0008] 本发明的目的是提供一种网络流量监测方法和设备,以在网络流量复杂多变的情 况下,提高网络流量异常判断的准确率,减少误报的情况。
[0009] 为了实现上述目的,本发明提供一种网络流量监测方法,该方法包括:检测当前网 络流量;将所述当前网络流量与一基线值进行比较;在所述当前网络流量大于或等于该基 线值的情况下,进行告警;其中,所述基线值是基于历史同时刻网络流量的加权平均值和方 差确定的,并且,每个历史同时刻网络流量的权重系数不全相等,所述历史同时刻网络流量 是指在当前检测时间之前的历史日期中的同一时刻检测到的网络流量。
[0010] 优选地,时间上距离所述当前网络流量越近的历史同时刻网络流量,具有越高的 权重。
[0011] 优选地,该方法还包括:仅在所述当前网络流量小于所述基线值的情况下,将所述 当前网络流量存储为历史同时刻网络流量。
[0012] 优选地,通过以下方式来确定所述基线值:
[0013]
[0014] 其中,h表示所述基线值;L表示第i个历史同时刻网络流量,其中i= 1,…,n; ki表示第i个历史同时刻网络流量的权重系数;n表示历史同时刻网络流量的总个数; E'U)表示历史同时刻网络流量的加权平均值;D(〇表示历史同时刻网络流量的方差; 以及a表不彳目任度,其中该彳目任度是预定的,并且0 <a < 1。
[0015] 本发明还提供一种网络流量监测设备,该设备包括:用于检测当前网络流量的装 置;用于将所述当前网络流量与一基线值进行比较的装置;用于在所述当前网络流量大于 或等于该基线值的情况下,进行告警的装置;其中,所述基线值是基于历史同时刻网络流量 的加权平均值和方差确定的,并且,每个历史同时刻网络流量的权重系数不全相等,所述历 史同时刻网络流量是指在当前检测时间之前的历史日期中的同一时刻检测到的网络流量。
[0016] 优选地,时间上距离所述当前网络流量越近的历史同时刻网络流量,具有越高的 权重。
[0017] 优选地,该设备还包括:用于仅在所述当前网络流量小于所述基线值的情况下,将 所述当前网络流量存储为历史同时刻网络流量。
[0018] 在上述技术方案中,针对某个时刻检测到的当前网络流量,可根据各个历史同时 刻网络流量对预测当前网络流量的基线值的不同影响程度,来为其设定各自的权重系数。 例如,对时间上距离当前网络流量较早的历史同时刻网络流量设定较小的权重,而对距离 当前网络流量较近的历史同时刻网络流量设定较大的权重。这样,在历史同时刻网络流量 变化明显的情况下,在确定基线值时能够及时地反映出这种流量的变化情况,避免由于赶 不上流量变化的节奏而造成误报的情况,从而提高网络流量异常判断的准确率。本发明提 供的网络流量监测方法和设备适用于流量复杂多变的网络。
[0019] 本发明的其他特征和优点将在随后的【具体实施方式】部分予以详细说明。
【附图说明】
[0020] 附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具 体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
[0021] 图1是根据本发明的实施方式的网络流量监测方法的流程图;
[0022] 图2是根据本发明的另一实施方式的网络流量监测方法的流程图。
【具体实施方式】
[0023] 以下结合附图对本发明的【具体实施方式】进行详细说明。应当理解的是,此处所描 述的【具体实施方式】仅用于说明和解释本发明,并不用于限制本发明。
[0024] 图1示出了根据本发明的实施方式的网络流量监测方法的流程图。如图1所示, 该方法包括:步骤S101,检测当前网络流量;步骤S102,将所述当前网络流量与一基线值进 行比较(即,判断当前网络流量是否大于或等于该基线值);步骤S103,在所述当前网络流量 大于或等于该基线值的情况下,进行告警。其中,所述基线值是基于历史同时刻网络流量的 加权平均值和方差确定的,并且,每个历史同时刻网络流量的权重系数不全相等,所述历史 同时刻网络流量是指在当前检测时间之前的历史日期中的同一时刻检测到的网络流量。
[0025] 每个历史同时刻网络流量的权重系数可以被预先设定。优选地,时间上距离所述 当前网络流量越近的历史同时刻网络流量,具有越高的权重。例如,在确定今天的网络流量 的基线值时,昨天的同时刻网络流量的权重应大于一周前的同时刻网络流量的权重。
[0026] 下面将详细描述基线值的确定方法。
[0027] 假设所要确定的是用于在时刻h检测的当前网络流量的基线值。首先,可以根据 与该时刻h对应的各个历史同时刻网络流量(例如,距离当前检测时间最近的7个历史同 时刻网络流量)和每个历史同时刻网络流量的权重系数,确定出这些历史同时刻网络流量 的加权平均值E'a),如下所示:
[0028]
[0029] 其中,€i表示第i个历史同时刻网络流量,其中i= 1,…,n也表示第i个历史 同时刻网络流量的权重系数;n表示历史同时刻网络流量的总个数。
[0030] 之后,确定所述历史同时刻网络流量的方差Da)。应该理解的是,计算方差 DU)的方法是本领域技术人员公知的,此处便不再赘述。
[0031] 如上所述,现有技术是通过等式(1)来确定基线值的。现有的基线值确定方法中采 用的是历史同时刻网络流量的期望EU),S卩,各个历史同时刻网络流量的算术平均值。也 就是说,在现有方法中,其没有考虑各个历史同时刻网络流量对当前网络流量的基线值的 不同的影响程度。因此,在网络中的流量正常出现起伏的时候,由于反应流量新情况的当前 数据的权重可能太低,从而不能在基线值预测时,敏感地反映出这种流量的变化情况,表现 为学习效率低下。容易因为赶不上流量变化的节奏而造成误报。
[0032] 为此,在本发明中,为了体现不同的历史同时刻网络流量对当前网络流量的基线 值确定的不同影响程度,