亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

網(wǎng)絡(luò)異常流量監(jiān)測方法和監(jiān)測系統(tǒng)的制作方法

文檔序號(hào):7920758閱讀:171來源:國知局
專利名稱:網(wǎng)絡(luò)異常流量監(jiān)測方法和監(jiān)測系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種網(wǎng)絡(luò)監(jiān)測技術(shù),尤其涉及一種網(wǎng)絡(luò)異常流量監(jiān)測方法和監(jiān)測系統(tǒng)。
背景技術(shù)
隨著軟交換信令業(yè)務(wù)和話務(wù)、語音業(yè)務(wù)采用IP承載網(wǎng)承載,軟交換與IP的聯(lián)系日 益緊密。IP承載網(wǎng)的服務(wù)質(zhì)量保證將與軟交換業(yè)務(wù)息息相關(guān),同時(shí)IP網(wǎng)絡(luò)的引入也帶來了 諸多安全問題,通過IP承載網(wǎng)承載的軟交換信令流量和語音流量監(jiān)測,可以為融合后的網(wǎng) 絡(luò)提供一種有效的監(jiān)控手段。 現(xiàn)有IP流量分析儀采用的技術(shù)存在如下缺陷流量分析儀采用固定閾值監(jiān)測異 常流量,對(duì)于具有復(fù)雜的非線性特性和隨機(jī)性,且隨時(shí)間、事件、用戶行為等因素影響較大 的軟交換信令流量或語音流量,固定閾值的方法并不適用。由于軟交換信令流量或語音流 量并不是恒定不變的一個(gè)常數(shù),如果采用固定閾值監(jiān)測異常流量,當(dāng)閾值定義范圍過小會(huì) 頻繁產(chǎn)生虛警,造成維護(hù)人員不必要的工作量;當(dāng)閾值定義范圍過大將無法迅速捕捉到IP 異常流量,造成漏警,影響用戶業(yè)務(wù)。

發(fā)明內(nèi)容
本發(fā)明的目的在于,針對(duì)現(xiàn)有技術(shù)中IP流量分析儀在使用中出現(xiàn)虛警和漏警的 缺陷,提供一種準(zhǔn)確監(jiān)測網(wǎng)絡(luò)中異常流量數(shù)據(jù),避免虛警和漏警問題的網(wǎng)絡(luò)異常流量監(jiān)測 方法和監(jiān)測系統(tǒng)。 該網(wǎng)絡(luò)異常流量監(jiān)測方法包括計(jì)算短時(shí)采樣點(diǎn)與其之前的k個(gè)采樣點(diǎn)的IP流量 數(shù)據(jù)的相關(guān)系數(shù),將采樣點(diǎn)的相關(guān)系數(shù)與預(yù)設(shè)的第一相關(guān)系數(shù)閾值進(jìn)行比較,確定大于第 一相關(guān)系數(shù)閾值的采樣點(diǎn)為第一樣本空間的樣本;根據(jù)第一樣本空間計(jì)算IP流量數(shù)據(jù)的 短時(shí)預(yù)測值;根據(jù)短時(shí)預(yù)測值對(duì)新IP流量數(shù)據(jù)進(jìn)行監(jiān)測。 該網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)包括監(jiān)測控制模塊,用于從網(wǎng)絡(luò)采樣IP流量數(shù)據(jù),并 生成短時(shí)預(yù)測請(qǐng)求;IP流量數(shù)據(jù)庫,用于存儲(chǔ)IP流量數(shù)據(jù);樣本空間選擇模塊,用于計(jì)算短 時(shí)采樣點(diǎn)與其之前的k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù),將采樣點(diǎn)的相關(guān)系數(shù)與預(yù)設(shè) 的第一相關(guān)系數(shù)閾值進(jìn)行比較,確定大于第一相關(guān)系數(shù)閾值的采樣點(diǎn)為第一樣本空間的樣 本;短時(shí)預(yù)測模塊,用于根據(jù)短時(shí)預(yù)測請(qǐng)求及第一樣本空間生成短時(shí)預(yù)測值反饋到監(jiān)測控 制模塊;監(jiān)測控制模塊還用于將接收到的新IP流量數(shù)據(jù)與短時(shí)預(yù)測值進(jìn)行比較,判斷新IP 流量數(shù)據(jù)是否為異常數(shù)據(jù)。 本發(fā)明的網(wǎng)絡(luò)異常流量監(jiān)測方法和監(jiān)測系統(tǒng),通過短時(shí)預(yù)測值和長時(shí)預(yù)測值對(duì)IP 流量進(jìn)行監(jiān)測,不僅能夠跟蹤IP流量的異常隨機(jī)變化情況;還能夠隨時(shí)間推移跟蹤到IP流 量變化,捕捉到IP流量的異常緩慢變化。從而實(shí)現(xiàn)避免虛警和漏警,準(zhǔn)確監(jiān)測網(wǎng)絡(luò)中異常 流量數(shù)據(jù)。


1是本發(fā)明第
2是本發(fā)明第一 3是本發(fā)明第 4是本發(fā)明第二 5是本發(fā)明第二 6是本發(fā)明第二 7是本發(fā)明第二 8a是本發(fā)明第 8b是本發(fā)明第 9a是本發(fā)明第 9b是本發(fā)明第 IO是本發(fā)明第
實(shí)施例網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)的結(jié)構(gòu)圖; 實(shí)施例網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)中監(jiān)測控制模塊的結(jié)構(gòu)圖; 實(shí)施例網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)中樣本空間選擇模塊的結(jié)構(gòu)圖 實(shí)施例網(wǎng)絡(luò)異常流量監(jiān)測方法流程圖; 實(shí)施例同一端局IP流量的日變化曲線圖; 實(shí)施例一日內(nèi)每個(gè)趨勢段內(nèi)每個(gè)采樣點(diǎn)的相關(guān)系數(shù)曲線圖; 實(shí)施例每日IP流量的相關(guān)系數(shù)曲線圖; 二實(shí)施例正常情況下實(shí)測IP流量與短時(shí)預(yù)測值的曲線值 二實(shí)施例正常情況下實(shí)測IP流量及長時(shí)預(yù)測值的曲線值 二實(shí)施例異常情況下實(shí)測IP流量與短時(shí)預(yù)測值的曲線值 二實(shí)施例異常情況下實(shí)測IP流量與長時(shí)預(yù)測值的曲線值, 三實(shí)施例網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)中監(jiān)測控制模塊的結(jié)構(gòu)圖。
具體實(shí)施例方式
以下結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)說明。
如圖1所示,本發(fā)明第一實(shí)施例中網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)包括 監(jiān)測控制模塊11,用于從網(wǎng)絡(luò)監(jiān)測IP流量,生成IP流量數(shù)據(jù),并生成短時(shí)預(yù)測請(qǐng)
求和長時(shí)預(yù)測請(qǐng)求; IP流量數(shù)據(jù)庫12,接收并存儲(chǔ)IP流量數(shù)據(jù); 樣本空間選擇模塊13,讀取IP流量數(shù)據(jù)庫12中存儲(chǔ)的IP流量數(shù)據(jù),計(jì)算短時(shí)采 樣點(diǎn)與其之前的k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù),將采樣點(diǎn)的相關(guān)系數(shù)與預(yù)設(shè)的第一 相關(guān)系數(shù)閾值進(jìn)行比較,確定大于第一相關(guān)系數(shù)閾值的采樣點(diǎn)為第一樣本空間的樣本;
短時(shí)預(yù)測模塊14,根據(jù)短時(shí)預(yù)測請(qǐng)求從IP流量數(shù)據(jù)庫讀取第一樣本空間對(duì)應(yīng)的 IP流量數(shù)據(jù),并生成短時(shí)預(yù)測值反饋到監(jiān)測控制模塊11 ; 監(jiān)測控制模塊11根據(jù)短時(shí)預(yù)測值對(duì)接收到的新IP流量數(shù)據(jù)進(jìn)行監(jiān)測,判斷新IP 流量數(shù)據(jù)是否為異常數(shù)據(jù)。 優(yōu)選地,如圖1和圖2所示,第一實(shí)施例中網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng)還包括長時(shí)預(yù)測 模塊15。其中,監(jiān)測控制模塊11還包括長時(shí)預(yù)測請(qǐng)求生成子模塊,用于生成長時(shí)預(yù)測請(qǐng)求。 樣本空間選擇模塊13還包括第二樣本空間選擇子模塊,用于確定第二樣本空間的樣本。長 時(shí)預(yù)測模塊15,根據(jù)長時(shí)預(yù)測請(qǐng)求從IP流量數(shù)據(jù)庫讀取第二樣本空間對(duì)應(yīng)的IP流量數(shù)據(jù), 并生成長時(shí)預(yù)測值反饋到監(jiān)測控制模塊11。監(jiān)測控制模塊11將接收到的新IP流量數(shù)據(jù)與 長時(shí)預(yù)測值進(jìn)行比較,判斷新IP流量數(shù)據(jù)是否為異常數(shù)據(jù)。
其中,如圖2所示,監(jiān)測控制模塊11包括 采樣子模塊112,從網(wǎng)絡(luò)監(jiān)測IP流量,等時(shí)間間隔采樣IP流量,生成IP流量數(shù)據(jù); 本實(shí)施例中,采樣的時(shí)間間隔為5分鐘; 短時(shí)預(yù)測請(qǐng)求生成子模塊114,生成短時(shí)預(yù)測請(qǐng)求,第一實(shí)施例中,生成短時(shí)預(yù)測 請(qǐng)求的周期為5分鐘; 長時(shí)預(yù)測請(qǐng)求生成子模塊116,生成長時(shí)預(yù)測請(qǐng)求,第一實(shí)施例中,生成長時(shí)預(yù)測
6請(qǐng)求的周期為24小時(shí); 比較子模塊118,將接收到的新IP流量數(shù)據(jù)與短時(shí)預(yù)測值和長時(shí)預(yù)測值進(jìn)行比
較,判斷新IP流量數(shù)據(jù)是否為異常數(shù)據(jù)。 如圖3所示,樣本空間選擇模塊13包括 趨勢段劃分子模塊132,用于按時(shí)間及流量變化對(duì)每日的采樣點(diǎn)劃分趨勢段,每個(gè)趨勢段內(nèi)采樣點(diǎn)的IP流量數(shù)據(jù)整體呈上升或下降趨勢; 相關(guān)系數(shù)計(jì)算子模塊134,用于計(jì)算第n個(gè)趨勢段內(nèi)每個(gè)短時(shí)采樣點(diǎn)與其滯后k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù),第n個(gè)趨勢段內(nèi)第i個(gè)采樣點(diǎn)與第i-k個(gè)采樣點(diǎn)的相關(guān)
系數(shù)<formula>formula see original document page 7</formula>其中m為第n個(gè)趨勢段內(nèi)采樣點(diǎn)個(gè)數(shù),為第n個(gè)趨
勢段內(nèi)采樣點(diǎn)IP流量數(shù)據(jù)平均值; 第一樣本空間選擇子模塊136,包括第一比較器,將趨勢段內(nèi)每個(gè)采樣點(diǎn)的相關(guān)系數(shù)r(i,i-k)與預(yù)設(shè)的相關(guān)系數(shù)閾值r'進(jìn)行比較,當(dāng)r(i,i-k) >r'時(shí),確定該采樣點(diǎn)為第一樣本空間的樣本,確定該趨勢段的第一樣本空間大小為K ; 第二樣本空間選擇子模塊138,包括第二比較器,用于將相關(guān)系數(shù)r(i,i-k)與預(yù)設(shè)的第二相關(guān)系數(shù)閾值r〃進(jìn)行比較,當(dāng)r(i,i-k) >r〃時(shí),確定該采樣點(diǎn)為第二樣本空間的樣本;選擇器,在多個(gè)日子中的同一趨勢段內(nèi)選取的相同的采樣點(diǎn)作為所述第二樣本空間的樣本。 優(yōu)選地,為保證樣本的準(zhǔn)確性,第一樣本空間選擇子模塊136還包括第一濾波器,用于對(duì)該K個(gè)樣本取平均值,濾除其中大于該平均值80%的樣本數(shù)據(jù)以及小于該平均值80%的樣本數(shù)據(jù)。 優(yōu)選地,為保證樣本的準(zhǔn)確性,第二樣本空間選擇子模塊138還包括第二濾波器,用于對(duì)該K*M個(gè)樣本取平均值,濾除K*M個(gè)樣本中大于該平均值80%的樣本數(shù)據(jù)以及小于該平均值80%的樣本數(shù)據(jù)。 第一實(shí)施例中,短時(shí)預(yù)測模塊14根據(jù)短時(shí)預(yù)測請(qǐng)求和第一樣本空間計(jì)算在第n個(gè)
趨勢段內(nèi),第i點(diǎn)的短時(shí)預(yù)測值為<formula>formula see original document page 7</formula>K為第一樣本空間中樣本的個(gè)數(shù)。例如,
通過第一樣本空間選擇模塊136得到第一樣本空間中樣本個(gè)數(shù)K = 5,要預(yù)測趨勢段內(nèi)第IO個(gè)點(diǎn)的值時(shí),S卩i = 10時(shí),該第IO個(gè)點(diǎn)的短時(shí)預(yù)測值為取第九個(gè)點(diǎn)(j = l,i-j = 10-1=9),第八個(gè)點(diǎn)(j = 2, i-j = 10-2 = 8) , ,第五個(gè)點(diǎn)(j = 5, i-j = 10-5 = 5),這五個(gè)點(diǎn)的算術(shù)平均。 優(yōu)選地,短時(shí)預(yù)測模塊14還對(duì)短時(shí)預(yù)測值進(jìn)行容錯(cuò)計(jì)算Sni* (1 ± tn% ) , tn —般取值為20 30,可得第i個(gè)點(diǎn)的短時(shí)預(yù)測區(qū)域。 第一實(shí)施例中,長時(shí)預(yù)測模塊15根據(jù)長時(shí)預(yù)測請(qǐng)求和第二樣本空間計(jì)算長時(shí)預(yù)測值,第二樣本空間表示為Zi = {Zl, z2, ... , Zl}, i為第i個(gè)時(shí)間點(diǎn),l為該時(shí)間點(diǎn)的樣本空間大小,則第i點(diǎn)的長時(shí)預(yù)測值為T^ 7即,第二樣本空間中樣本的算術(shù)平均值。
7,. = ^-,
, / 更優(yōu)地,長時(shí)預(yù)測模塊15還對(duì)長時(shí)預(yù)測值進(jìn)行容錯(cuò)計(jì)算Ti*(l±tn% ) , k一般取值為20 30,可得第i個(gè)點(diǎn)的長時(shí)預(yù)測區(qū)域。以上長時(shí)預(yù)測同樣適用于節(jié)假日,即樣本選取節(jié)假日的歷史數(shù)據(jù)。 監(jiān)測控制模塊11中的比較子模塊128根據(jù)以上計(jì)算的短時(shí)預(yù)測區(qū)域和長時(shí)預(yù)測區(qū)域和新IP流量數(shù)據(jù)進(jìn)行比較,判斷新IP流量數(shù)據(jù)是否為異常數(shù)據(jù)。
如圖4所示,本發(fā)明第二實(shí)施例的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,包括
步驟402,計(jì)算短時(shí)采樣點(diǎn)與其之前的k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù)r(i,i-k); 步驟404,比較采樣點(diǎn)的相關(guān)系數(shù)是否大于預(yù)設(shè)的第一相關(guān)系數(shù)閾值r',如果是,執(zhí)行步驟406 ; 步驟406,確定大于第一相關(guān)系數(shù)閾值r'的采樣點(diǎn)為第一樣本空間的樣本;
步驟408,根據(jù)第一樣本空間計(jì)算IP流量數(shù)據(jù)的短時(shí)預(yù)測值;
步驟410,;根據(jù)短時(shí)預(yù)測值對(duì)新IP流量數(shù)據(jù)進(jìn)行監(jiān)測。
其中,步驟402之前還包括 步驟402a,對(duì)IP流量數(shù)據(jù)進(jìn)行等時(shí)間間隔的采樣; 步驟402b,根據(jù)時(shí)間將每日的采樣點(diǎn)劃分為多個(gè)趨勢段,每個(gè)趨勢段內(nèi)采樣點(diǎn)的IP流量數(shù)據(jù)整體呈上升或下降趨勢。 以某一端局的IP流量數(shù)據(jù)為例,將某一端局一天的IP流量數(shù)據(jù)按時(shí)間排列,數(shù)據(jù)采樣間隔取5分鐘,得到一組時(shí)間序列。如圖5所示,在同一端局下每天某一時(shí)間段內(nèi)IP流量的變化規(guī)律有著近似的上升或下降規(guī)律,因此IP流量數(shù)據(jù)序列是具有趨勢性的。
將全天劃分為多個(gè)趨勢段,在每一分段內(nèi)IP流量變化趨勢近似線性,并且趨勢段內(nèi)數(shù)據(jù)具有相似的短時(shí)相關(guān)性。第二實(shí)施例中,將全天劃分為5個(gè)趨勢段,第一趨勢段23:00 5:00,第二趨勢段5:00 11:00,第三趨勢段11:00 14:00,第四趨勢段14:00 19:00,第五趨勢段19:00 23:00。同一趨勢段內(nèi)數(shù)據(jù)整體呈線性上升(或下降)趨勢。
步驟402中,計(jì)算短時(shí)采樣點(diǎn)與其之前的k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù)具體包括 計(jì)算第n個(gè)趨勢段內(nèi)每個(gè)采樣點(diǎn)與其滯后k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù),趨勢段內(nèi)第i個(gè)采樣點(diǎn)與第i-k個(gè)采樣點(diǎn)的相關(guān)系數(shù)r(i, i-k)計(jì)算公式如下
m-A
-i)(x,一廣?)r(/,/-" = ^^-,其中m為趨勢段內(nèi)采樣點(diǎn)個(gè)數(shù),為趨勢段內(nèi)采
,-=i x
樣點(diǎn)IP流量數(shù)據(jù)平均值; 如圖6所示,為該端局一天內(nèi)各趨勢段內(nèi)IP流量數(shù)據(jù)相關(guān)系數(shù)分布圖。相同趨勢段內(nèi)的數(shù)據(jù)相關(guān)系數(shù)rk曲線形式相似,時(shí)間上越接近的數(shù)據(jù)相關(guān)性越大。同時(shí)不同趨勢段之間相關(guān)系數(shù)有所差別,23:00 5:00和5:00 11:00這兩個(gè)趨勢段內(nèi)數(shù)據(jù)相關(guān)性較強(qiáng),
8而其他趨勢段內(nèi)數(shù)據(jù)相關(guān)性相對(duì)較弱。 第二實(shí)施例中,為保證樣本的準(zhǔn)確性,步驟404確定IP流量數(shù)據(jù)的第一樣本空間還包括濾除其中大于該平均值80%以及小于該平均值80%的樣本數(shù)據(jù)。
步驟4Q6中,在第n個(gè)趨勢段內(nèi),第i點(diǎn)的短時(shí)預(yù)測值為
<formula>formula see original document page 9</formula> 通過選定第n個(gè)趨勢段內(nèi)與第i個(gè)點(diǎn)相關(guān)性較強(qiáng)的K個(gè)點(diǎn),并進(jìn)行平滑濾波,得到了第i個(gè)點(diǎn)的短時(shí)預(yù)測值Sni,再進(jìn)行容錯(cuò)計(jì)算Sni*(l±tn% ) ,tn—般取值為20 30,可得第i個(gè)點(diǎn)的短時(shí)預(yù)測區(qū)域。 通過短時(shí)跟蹤算法,我們能夠較為準(zhǔn)確的跟蹤到IP流量的變化,并利用控制窗口監(jiān)測IP流量突變。但是僅利用短時(shí)跟蹤算法無法捕捉到由于網(wǎng)絡(luò)設(shè)備問題帶來的流量緩慢惡化情況,因此我們還需要通過歷史數(shù)據(jù)來確定長時(shí)預(yù)測值,在流量出現(xiàn)緩慢惡化,即連續(xù)多點(diǎn)超出長時(shí)預(yù)測窗口時(shí),提示流量異常告警。 優(yōu)選地,第二實(shí)施例網(wǎng)絡(luò)異常流量監(jiān)測方法步驟410之后還包括 步驟al,計(jì)算與長時(shí)采樣點(diǎn)處于同一趨勢段內(nèi)的之前k個(gè)采樣點(diǎn)與長時(shí)采樣點(diǎn)的
IP流量數(shù)據(jù)的相關(guān)系數(shù),例如,計(jì)算趨勢段內(nèi)第i個(gè)采樣點(diǎn)與第i+k個(gè)采樣點(diǎn)的相關(guān)系數(shù)
'〃 rv.
Z(x,. - i)(x,—「i)
r (i , i-k)計(jì)算公式如下卜A)=
to, -W
,其中m為趨勢段內(nèi)采樣點(diǎn)個(gè)數(shù),
/=1
^為趨勢段內(nèi)采樣點(diǎn)IP流量數(shù)據(jù)平均值; 步驟a2,比較采樣點(diǎn)的相關(guān)系數(shù)是否大于預(yù)設(shè)的第二相關(guān)系數(shù)閾值r〃 ,如果是,執(zhí)行步驟a4 步驟a3,確定大于第二相關(guān)系數(shù)閾值r〃的采樣點(diǎn)為第二樣本空間的樣本;
步驟a4,在多個(gè)日子中的同一趨勢段內(nèi)選取的相同的采樣點(diǎn)作為第二樣本空間的樣本; 步驟a5,根據(jù)第二樣本空間計(jì)算長時(shí)預(yù)測值; 步驟a6,根據(jù)長時(shí)預(yù)測值對(duì)新IP流量數(shù)據(jù)進(jìn)行監(jiān)測。 將該端局每天的IP流量數(shù)據(jù)作為一組隨機(jī)變量,分析每天IP流量之間的相關(guān)性。當(dāng)天IP流量變化與歷史IP流量相關(guān)程度的大小,可以用相關(guān)系數(shù)Rij表示,對(duì)于給定的樣本X二 1,&,...^11},其中乂1為該端局每天的1 流量,1 = 1,2,...,n;Xi GRn,iXi ={Xu, Xi2, . . . , Xim} , Xi和Xj之間的相關(guān)系數(shù)為Rij,通過下式計(jì)算 <formula>formula see original document page 9</formula> 式中X<formula>formula see original document page 9</formula>
相關(guān)系數(shù)越接近1,說明兩組隨機(jī)變量的相關(guān)程度越高。如圖7所示,選取26天的IP流量數(shù)據(jù)進(jìn)行相關(guān)性分析,可以看出數(shù)據(jù)間的相關(guān)程度表現(xiàn)出了一定的規(guī)律性,即工作日之間的相關(guān)系數(shù)高于工作日與節(jié)假日之間的相關(guān)系數(shù)。 第二實(shí)施例中,選取歷史M個(gè)工作日,每個(gè)工作日中同一時(shí)間點(diǎn)前后相關(guān)性較強(qiáng)的K個(gè)IP流量數(shù)據(jù)作為樣本,即共WM個(gè)樣本。本實(shí)施例中,為保證樣本的準(zhǔn)確性,對(duì)該K*M個(gè)樣本取平均值,濾除其中大于該平均值80%以及小于該平均值80%的樣本數(shù)據(jù)。長時(shí)預(yù)測樣本表示為Zi = {Zl, z2, . . . , Zl} , i為第i個(gè)時(shí)間點(diǎn),1為該時(shí)間點(diǎn)的樣本空間大小。則第i點(diǎn)的長時(shí)預(yù)測值為Ti
, / 通過長時(shí)預(yù)測值Ti,再進(jìn)行不同時(shí)段的容錯(cuò)計(jì)算T^(l士tn^ ), tn—般取值為20 30,可得第i個(gè)點(diǎn)的長時(shí)預(yù)測區(qū)域。以上長時(shí)預(yù)測算法同樣適用于節(jié)假日,即樣本選取節(jié)假日的歷史數(shù)據(jù)。 如圖8a和圖8b所示,短時(shí)預(yù)測上曲線80a和短時(shí)預(yù)測下曲線80b所組成短時(shí)預(yù)測區(qū)域,長時(shí)預(yù)測上曲線90a和長時(shí)預(yù)測下曲線90b所組成長時(shí)預(yù)測區(qū)域。當(dāng)實(shí)測的新IP流量數(shù)據(jù)曲線70在短時(shí)預(yù)測區(qū)域及長時(shí)預(yù)測區(qū)域內(nèi),則該新IP流量數(shù)據(jù)為正常數(shù)據(jù)。
如圖9a和圖9b所示,短時(shí)預(yù)測上曲線80a'和短時(shí)預(yù)測下曲線80b'所組成短時(shí)預(yù)測區(qū)域,長時(shí)預(yù)測上曲線90a'和長時(shí)預(yù)測下曲線90b'所組成長時(shí)預(yù)測區(qū)域。如果實(shí)測的新IP流量數(shù)據(jù)曲線70'不在該短時(shí)預(yù)測區(qū)域或長時(shí)預(yù)測區(qū)域內(nèi),則該IP流量數(shù)據(jù)為異常數(shù)據(jù)。 如圖10所示,本發(fā)明第三實(shí)施例的監(jiān)測控制模塊11還包括告警子模塊119,當(dāng)接收到新的IP流量數(shù)據(jù)為異常數(shù)據(jù)時(shí),生成告警信號(hào)。 監(jiān)測控制模塊11還包括告警閾值存儲(chǔ)子模塊117,存儲(chǔ)不同時(shí)段的短時(shí)告警閾值表和長時(shí)告警閾值表,表中記錄不同時(shí)段超過窗口的閾值和超過閾值對(duì)應(yīng)的告警。比較子模塊118根據(jù)短時(shí)告警閾值表和長時(shí)告警閾值表判斷接收到的新IP流量數(shù)據(jù)是否為異常數(shù)據(jù)。 對(duì)于短時(shí)預(yù)測,如圖9a所示,以14:00 19:00為例,當(dāng)新的IP流量數(shù)據(jù)一次超越短時(shí)預(yù)測區(qū)域50%的數(shù)據(jù),或連續(xù)兩次超越短時(shí)預(yù)測區(qū)域30% _50%的數(shù)據(jù),比較子模塊判斷該新的IP流量數(shù)據(jù)為異常數(shù)據(jù)。 對(duì)于長時(shí)預(yù)測,如圖9b所示,同樣以14:00 19:00時(shí)段閾值為例,當(dāng)有第一個(gè)IP流量數(shù)據(jù)數(shù)據(jù)超過長時(shí)預(yù)測區(qū)域30%時(shí),系統(tǒng)開始計(jì)數(shù),當(dāng)連續(xù)有u個(gè)IP流量數(shù)據(jù)越限時(shí),則會(huì)產(chǎn)生異常流量告警。u取值一般小于4,即20分鐘以內(nèi)可以發(fā)現(xiàn)緩變異常流量。
本發(fā)明的網(wǎng)絡(luò)異常流量監(jiān)測方法和監(jiān)測系統(tǒng),通過短時(shí)預(yù)測能夠跟蹤IP流量的隨機(jī)變化情況;且通過長時(shí)預(yù)測值還能夠隨時(shí)間推移跟蹤到IP流量變化,捕捉到IP流量的異常緩慢變化。 由于利用交換機(jī)自身歷史數(shù)據(jù),自適應(yīng)不同時(shí)段流量變化規(guī)律,因此可以保證算法通用性。通過設(shè)置短時(shí)告警閾值表和長時(shí)告警閾值表,可以動(dòng)態(tài)調(diào)整告警產(chǎn)生的條件,當(dāng)設(shè)備和業(yè)務(wù)的實(shí)際運(yùn)行環(huán)境改變,僅需要調(diào)整告警閾值表,就可以方便簡單的定制。
10
本發(fā)明的網(wǎng)絡(luò)異常流量監(jiān)測方法和監(jiān)測系統(tǒng)復(fù)雜度較低,實(shí)現(xiàn)簡單,成本較低。
應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明而非限制,本發(fā)明也并不僅限于上述舉例,一切不脫離本發(fā)明的精神和范圍的技術(shù)方案及其改進(jìn),其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍中。
權(quán)利要求
一種網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,包括計(jì)算短時(shí)采樣點(diǎn)與其之前的k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù),將所述采樣點(diǎn)的相關(guān)系數(shù)與預(yù)設(shè)的第一相關(guān)系數(shù)閾值進(jìn)行比較,確定大于所述第一相關(guān)系數(shù)閾值的所述采樣點(diǎn)為第一樣本空間的樣本;根據(jù)所述第一樣本空間計(jì)算所述IP流量數(shù)據(jù)的短時(shí)預(yù)測值;根據(jù)所述短時(shí)預(yù)測值對(duì)新IP流量數(shù)據(jù)進(jìn)行監(jiān)測。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述方法還包括 對(duì)IP流量數(shù)據(jù)進(jìn)行等時(shí)間間隔的采樣;根據(jù)時(shí)間將每日的采樣點(diǎn)劃分為多個(gè)趨勢段,每個(gè)趨勢段內(nèi)所述采樣點(diǎn)的IP流量數(shù) 據(jù)整體呈上升或下降趨勢;在同一趨勢段內(nèi)選擇所述短時(shí)采樣點(diǎn)與其之前的k個(gè)采樣點(diǎn)。
3. 根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述計(jì)短時(shí)采樣點(diǎn)與 其之前的k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù)的操作具體包括計(jì)算短時(shí)采樣點(diǎn)與其之前的同一趨勢段內(nèi)k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù),所述趨勢段內(nèi)第i個(gè)采樣點(diǎn)與第i-k個(gè)采樣點(diǎn)的相關(guān)系數(shù)KW-A:)二"1^^-,其,-=i中m為所述趨勢段內(nèi)采樣點(diǎn)個(gè)數(shù),;為所述趨勢段內(nèi)采樣點(diǎn)IP流量數(shù)據(jù)平均值。
4. 根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述確定大于第一相 關(guān)系數(shù)閾值的所述采樣點(diǎn)為第一樣本空間的樣本的操作后還包括對(duì)所述第一樣本空間中的IP流量數(shù)據(jù)取平均值;刪除所述第一樣本空間中IP流量數(shù)據(jù)大于所述平均值80%的采樣點(diǎn)以及小于所述平 均值80%的采樣點(diǎn)。
5. 根據(jù)權(quán)利要求1至4中任意一項(xiàng)所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述短時(shí)預(yù)測值通過以下公式計(jì)算|jX'—; K為第一樣本空間中樣本的個(gè)數(shù)。
6. 根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,還包括 計(jì)算與長時(shí)采樣點(diǎn)處于同一趨勢段內(nèi)的之前k個(gè)采樣點(diǎn)與所述長時(shí)采樣點(diǎn)的相關(guān)系數(shù),將所述相關(guān)系數(shù)與預(yù)設(shè)的第二相關(guān)系數(shù)閾值進(jìn)行比較,確定大于所述第二相關(guān)系數(shù)閾 值的所述采樣點(diǎn)為第二樣本空間的樣本;在多個(gè)日子中的同一趨勢段內(nèi)選取的相同的采樣點(diǎn)作為所述第二樣本空間的樣本;根據(jù)所述第二樣本空間計(jì)算IP流量數(shù)據(jù)的長時(shí)預(yù)測值; 根據(jù)所述長時(shí)預(yù)測值對(duì)新IP流量數(shù)據(jù)進(jìn)行監(jiān)測。
7. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述計(jì)算與長時(shí)采樣 點(diǎn)處于同一趨勢段內(nèi)的之前k個(gè)采樣點(diǎn)與所述長時(shí)采樣點(diǎn)的相關(guān)系數(shù)的操作具體包括計(jì)算所述趨勢段內(nèi)第i個(gè)采樣點(diǎn)與第i_k個(gè)采樣點(diǎn)的相關(guān)系數(shù)<formula>formula see original document page 3</formula>KW-W = ^^-,其中m為所述趨勢段內(nèi)采樣點(diǎn)個(gè)數(shù),為所述趨勢段內(nèi)采 <formula>formula see original document page 3</formula>樣點(diǎn)IP流量數(shù)據(jù)平均值。
8. 根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述選取多個(gè)日子的同一趨勢段內(nèi)的相同采樣點(diǎn)作為所述第二樣本空間的樣本的具體操作包括選取工作日的同一趨勢段內(nèi)的采樣點(diǎn),或選取休息日的同一趨勢段內(nèi)的采樣點(diǎn)。
9. 根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述確定第二樣本空間的操作后還包括對(duì)第二樣本空間中的IP流量數(shù)據(jù)取平均值;刪除IP流量數(shù)據(jù)大于所述平均值80%的采樣點(diǎn)以及小于所述平均值80%的采樣點(diǎn)。
10. 根據(jù)權(quán)利要求6至9中任意一項(xiàng)所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述 長時(shí)預(yù)測值通過以下公式計(jì)算第二樣本空間表示為Zi = {Zl, z2, . . . , Zl} , i為第i個(gè)時(shí)》間點(diǎn),1為該時(shí)間點(diǎn)的樣本空間大小,則第i點(diǎn)的長時(shí)預(yù)測值為 <formula>formula see original document page 3</formula>
11. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述根據(jù)所述短時(shí)預(yù)測值和所述長時(shí)預(yù)測值對(duì)新IP流量數(shù)據(jù)進(jìn)行監(jiān)測的具體操作包括根據(jù)所述短時(shí)預(yù)測值和所述長時(shí)預(yù)測值判斷所述新IP流量數(shù)據(jù)是否為異常數(shù)據(jù); 當(dāng)所述新IP流量數(shù)據(jù)為異常數(shù)據(jù)時(shí),進(jìn)行告警。
12. 根據(jù)權(quán)利要求11所述的網(wǎng)絡(luò)異常流量監(jiān)測方法,其特征在于,所述進(jìn)行告警的操 作前還包括根據(jù)預(yù)設(shè)的不同時(shí)段的短時(shí)告警閾值表和長時(shí)告警閾值表判斷所述異常數(shù)據(jù)是否為 需要告警的異常數(shù)據(jù)。
13. —種網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng),其特征在于,包括 監(jiān)測控制模塊,用于從網(wǎng)絡(luò)采樣IP流量數(shù)據(jù),并生成短時(shí)預(yù)測請(qǐng)求; IP流量數(shù)據(jù)庫,用于存儲(chǔ)所述IP流量數(shù)據(jù);樣本空間選擇模塊,用于計(jì)算短時(shí)采樣點(diǎn)與其之前的k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān) 系數(shù),將所述采樣點(diǎn)的相關(guān)系數(shù)與預(yù)設(shè)的第一相關(guān)系數(shù)閾值進(jìn)行比較,確定大于所述第一 相關(guān)系數(shù)閾值的所述采樣點(diǎn)為第一樣本空間的樣本;短時(shí)預(yù)測模塊,用于根據(jù)所述短時(shí)預(yù)測請(qǐng)求及所述第一樣本空間生成短時(shí)預(yù)測值反饋 到所述監(jiān)測控制模塊;所述監(jiān)測控制模塊還用于將接收到的新IP流量數(shù)據(jù)與所述短時(shí)預(yù)測值進(jìn)行比較,判 斷新IP流量數(shù)據(jù)是否為異常數(shù)據(jù)。
14. 根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng),其特征在于,所述監(jiān)測控制模塊 包括采樣子模塊,用于從網(wǎng)絡(luò)等時(shí)間間隔采樣IP流量數(shù)據(jù); 短時(shí)預(yù)測請(qǐng)求生成子模塊,用于生成所述短時(shí)預(yù)測請(qǐng)求;比較子模塊,用于將接收到的新IP流量數(shù)據(jù)與所述短時(shí)預(yù)測值進(jìn)行比較,判斷新IP流 量數(shù)據(jù)是否為異常數(shù)據(jù)。
15. 根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng),其特征在于,所述樣本空間選擇 模塊包括趨勢段劃分子模塊,用于按時(shí)間及流量變化對(duì)每日的采樣點(diǎn)劃分趨勢段; 相關(guān)系數(shù)計(jì)算子模塊,用于計(jì)算第n個(gè)趨勢段內(nèi)每個(gè)短時(shí)采樣點(diǎn)與其之前的k個(gè)采樣 點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù),第n個(gè)趨勢段內(nèi)第i個(gè)采樣點(diǎn)與第i-k個(gè)采樣點(diǎn)的相關(guān)系數(shù)<formula>formula see original document page 4</formula>其中m為第n個(gè)趨勢段內(nèi)采樣點(diǎn)個(gè)數(shù),為第n個(gè)趨勢段<formula>formula see original document page 4</formula>內(nèi)采樣點(diǎn)IP流量數(shù)據(jù)平均值;第一樣本空間選擇子模塊,用于將每個(gè)采樣點(diǎn)的相關(guān)系數(shù)與預(yù)設(shè)的第一相關(guān)系數(shù)閾值進(jìn)行比較,當(dāng)采樣點(diǎn)的相關(guān)系數(shù)大于所述第一相關(guān)系數(shù)閾值時(shí),確定所述采樣點(diǎn)為第一樣 本空間的樣本。
16. 根據(jù)權(quán)利要求15所述的網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng),其特征在于,還包括長時(shí)預(yù)測模塊,所述監(jiān)測控制模塊還包括長時(shí)預(yù)測請(qǐng)求生成子模塊,用于生成所述長時(shí)預(yù)測請(qǐng)求; 所述樣本空間選擇模塊還包括第二樣本空間選擇子模塊,用于計(jì)算與長時(shí)采樣點(diǎn)處于 同一趨勢段內(nèi)的之前k個(gè)采樣點(diǎn)與所述長時(shí)采樣點(diǎn)的相關(guān)系數(shù),將所述相關(guān)系數(shù)與預(yù)設(shè)的 第二相關(guān)系數(shù)閾值進(jìn)行比較,確定大于所述第二相關(guān)系數(shù)閾值的所述采樣點(diǎn)為第二樣本空 間的樣本,并在多個(gè)日子中的同一趨勢段內(nèi)選取的相同的采樣點(diǎn)作為所述第二樣本空間的 樣本;所述長時(shí)預(yù)測模塊用于根據(jù)所述長時(shí)預(yù)測請(qǐng)求及第二樣本空間生成長時(shí)預(yù)測值反饋 到所述監(jiān)測控制模塊;所述監(jiān)測控制模塊還用于將接收到的新IP流量數(shù)據(jù)與所述長時(shí)預(yù)測值進(jìn)行比較,判 斷新IP流量數(shù)據(jù)是否為異常數(shù)據(jù)。
17. 根據(jù)權(quán)利要求13至16中任意一項(xiàng)所述的網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng),其特征在于,還 包括所述監(jiān)測控制模塊還包括告警子模塊,用于當(dāng)新IP流量數(shù)據(jù)為異常數(shù)據(jù)時(shí),生成告 警信號(hào)。
18. 根據(jù)權(quán)利要求17所述的網(wǎng)絡(luò)異常流量監(jiān)測系統(tǒng),其特征在于,所述監(jiān)測控制模塊 還包括告警閾值存儲(chǔ)子模塊,用于存儲(chǔ)不同時(shí)段的短時(shí)告警閾值表和長時(shí)告警閾值表; 所述比較子模塊根據(jù)所述短時(shí)告警閾值表和所述長時(shí)告警閾值表判斷所述新IP流量 數(shù)據(jù)是否為異常數(shù)據(jù)。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)異常流量監(jiān)測方法和監(jiān)測系統(tǒng)。其中網(wǎng)絡(luò)異常流量監(jiān)測方法包括計(jì)算短時(shí)采樣點(diǎn)與其之前的k個(gè)采樣點(diǎn)的IP流量數(shù)據(jù)的相關(guān)系數(shù),將采樣點(diǎn)的相關(guān)系數(shù)與預(yù)設(shè)的第一相關(guān)系數(shù)閾值進(jìn)行比較,確定大于第一相關(guān)系數(shù)閾值的采樣點(diǎn)為第一樣本空間的樣本;根據(jù)第一樣本空間計(jì)算IP流量數(shù)據(jù)的短時(shí)預(yù)測值;根據(jù)短時(shí)預(yù)測值對(duì)新IP流量數(shù)據(jù)進(jìn)行監(jiān)測。本發(fā)明的網(wǎng)絡(luò)異常流量監(jiān)測方法和監(jiān)測系統(tǒng),通過短時(shí)預(yù)測值和長時(shí)預(yù)測值對(duì)IP流量進(jìn)行監(jiān)測,不僅能夠跟蹤IP流量的異常隨機(jī)變化情況;還能夠隨時(shí)間推移跟蹤到IP流量變化,捕捉到IP流量的異常緩慢變化。從而實(shí)現(xiàn)避免虛警和漏警,準(zhǔn)確監(jiān)測網(wǎng)絡(luò)中異常流量數(shù)據(jù)。
文檔編號(hào)H04L29/06GK101729301SQ200810172259
公開日2010年6月9日 申請(qǐng)日期2008年11月3日 優(yōu)先權(quán)日2008年11月3日
發(fā)明者周江偉, 譚暉, 郭穎麗, 陳昊 申請(qǐng)人:中國移動(dòng)通信集團(tuán)湖北有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1