本公開涉及網(wǎng)絡中的異常檢測方法，并且更具體地，涉及利用概率統(tǒng)計模型檢測網(wǎng)絡協(xié)議處理中的異常的方法。

背景技術：

在運行大量交換機的數(shù)據(jù)中心或大型網(wǎng)絡中，通常難以檢測特定交換機是否正在不規(guī)律地運行。例如，可能難以檢測交換機是否在協(xié)議實現(xiàn)方面遇到問題、或者交換機是否由于對系統(tǒng)的攻擊而顯示出發(fā)生故障的跡象。通常情況下，對這些問題的檢測不能被正確執(zhí)行，并且到一定時候，如果問題未得以解決，則交換機可能會關閉或者導致網(wǎng)絡其它部分的進一步中斷，最終導致主要網(wǎng)絡中斷。

附圖說明

在附圖中示出了當前優(yōu)選的實施例，應當理解本公開不限于所示的布置和設施，其中：

圖1示出了根據(jù)本公開的一些方面的示例性網(wǎng)絡設備；

圖2示出了利用本公開的原理的網(wǎng)絡結構的示例性架構的示意性框圖；

圖3示出了本公開的示例性方法實施例；

圖4a示出了相關變量的二維圖形表示；

圖4b示出了使用pca后的圖4a的表示的一維圖形表示；并且

圖5示出了本公開的替代方法實施例。

具體實施方式

下面詳細討論本公開的各種實施例。盡管討論了具體實現(xiàn)方式，但是應當理解這僅僅是為了說明的目的。相關領域的技術人員將認識到，可以在不脫離本公開的精神和范圍的情況下使用其它組件和配置。

概述

在本公開的一個方面，提供了一種方法，其中方法包括：收集數(shù)據(jù)采樣點以形成第一數(shù)據(jù)集合，每個數(shù)據(jù)采樣點表示網(wǎng)絡特征變量，每個網(wǎng)絡特征變量與相應的網(wǎng)絡特征相關聯(lián)；計算每個網(wǎng)絡特征的網(wǎng)絡特征變量的標準差和平均值；對網(wǎng)絡特征變量執(zhí)行歸一化以獲得歸一化的網(wǎng)絡特征變量；使用每個網(wǎng)絡特征的標準差和平均值來計算每個歸一化的網(wǎng)絡特征變量的概率值(p值)；并且至少基于每個歸一化網(wǎng)絡特征變量的p值來確定是否存在關于每個網(wǎng)絡特征的異常。

另一方面提供了一種系統(tǒng)，其中系統(tǒng)包括處理器，以及其中存儲有指令的計算機可讀存儲介質，當所述指令由處理器執(zhí)行時使得處理器執(zhí)行一系列操作。這些操作包括：收集數(shù)據(jù)采樣點以形成第一數(shù)據(jù)集合，每個數(shù)據(jù)采樣點表示網(wǎng)絡特征變量，每個網(wǎng)絡特征變量與相應的網(wǎng)絡特征相關聯(lián)；計算每個網(wǎng)絡特征的網(wǎng)絡特征變量的標準差和平均值；對網(wǎng)絡特征變量執(zhí)行歸一化以獲得歸一化的網(wǎng)絡特征變量；使用每個網(wǎng)絡特征的標準差和平均值來計算每個歸一化的網(wǎng)絡特征變量的概率值(p值)；并且至少基于每個歸一化網(wǎng)絡特征變量的p值來確定是否存在關于每個網(wǎng)絡特征的異常。

又另一方面提供了一種其中存儲有指令的非暫態(tài)計算機可讀存儲介質，當所述指令由處理器執(zhí)行時使處理器執(zhí)行一系列操作。操作包括：收集數(shù)據(jù)采樣點以形成第一數(shù)據(jù)集合，每個數(shù)據(jù)采樣點表示網(wǎng)絡特征變量，每個網(wǎng)絡特征變量與相應的網(wǎng)絡特征相關聯(lián)；計算每個網(wǎng)絡特征的網(wǎng)絡特征變量的標準差和平均值；使用每個網(wǎng)絡特征的標準差和平均值來計算每個歸一化的網(wǎng)絡特征變量的概率值(p值)；并且至少基于每個歸一化網(wǎng)絡特征變量的p值來確定是否存在關于每個網(wǎng)絡特征的異常。

詳細說明

計算機網(wǎng)絡是通過通信鏈路和段互連的、用于在諸如個人計算機和工作站的端點之間傳送數(shù)據(jù)的節(jié)點或交換機的地理分布集合。許多類型的網(wǎng)絡是可用的，類型的范圍是從局域網(wǎng)(lan)和廣域網(wǎng)(wan)到覆蓋網(wǎng)絡和軟件定義的網(wǎng)絡，例如虛擬可擴展局域網(wǎng)(vxlan)。

lan通常通過位于相同通用物理位置(例如建筑物或校園)的專用私人通信鏈路來連接節(jié)點。另一方面，wan通常通過長距離通信鏈路(例如公共載波電話線、光學光路、同步光網(wǎng)絡(sonet)或同步數(shù)字體系(sdh))鏈路來連接在地理上分散的節(jié)點。lan和wan可以包括第2層(l2)和/或第3層(l3)網(wǎng)絡和設備。

互聯(lián)網(wǎng)是連接遍及世界的不同網(wǎng)絡的wan的示例，其提供各種網(wǎng)絡上的節(jié)點之間的全球通信。節(jié)點通常通過根據(jù)預定義協(xié)議(例如，傳輸控制協(xié)議/因特網(wǎng)協(xié)議(tcp/ip))交換離散幀或分組來在網(wǎng)絡上進行通信。在這種情況下，協(xié)議可以涉及定義節(jié)點或交換機如何相互交互的一組規(guī)則。計算機網(wǎng)絡可以通過中間網(wǎng)絡節(jié)點(例如路由器)進一步互連，以擴展每個網(wǎng)絡的有效“尺寸”。此外，諸如結構控制器(“fc”)之類的控制器可以被配置為控制節(jié)點/交換機之間的交互。

圖1示出了適于實現(xiàn)本公開的示例性網(wǎng)絡設備110。網(wǎng)絡設備110可以是例如結構控制器，其被配置為使用本文公開的原理對結構中的各種網(wǎng)絡特征進行異常檢測。因此，術語“結構控制器”、“fc”和“網(wǎng)絡設備”在本公開通篇可互換使用，并由標識符“110”標識。網(wǎng)絡設備110包括主中央處理單元(cpu)162、接口168和總線115(例如，pci總線)。當在適當?shù)能浖蚬碳目刂葡虏僮鲿r，cpu162負責執(zhí)行例如分組管理、錯誤檢測和/或路由功能(例如，布線錯誤(miscabling)檢測功能)。cpu162優(yōu)選地在包括操作系統(tǒng)和任何適當?shù)膽密浖能浖目刂葡峦瓿伤羞@些功能。cpu162可以包括一個或多個處理器163，例如來自motorola微處理器系列或mips系列微處理器的處理器。在替代的實施例中，處理器163是用于控制路由器110的操作的專門設計的硬件。在具體實施例中，存儲器161(例如，非易失性ram和/或rom)也構成cpu162的一部分。然而，存在可以將存儲器耦接到系統(tǒng)的許多不同的方式。

接口168通常作為接口卡(有時稱為“線卡”)被提供。通常，它們控制網(wǎng)絡上的數(shù)據(jù)分組的發(fā)送和接收，并且有時支持與路由器110一起使用的其它外圍設備。可以提供的接口包括以太網(wǎng)接口、幀中繼接口、電纜接口、dsl接口、令牌環(huán)接口等。此外，可以提供各種非常高速的接口，例如快速令牌環(huán)接口、無線接口、以太網(wǎng)接口、千兆以太網(wǎng)接口、atm接口、hssi接口、pos接口、fddi接口等。通常，這些接口可以包括適于與適當介質通信的端口。在某些情況下，它們還可以包括獨立的處理器，在一些實例下包括易失性ram。獨立處理器可以控制諸如分組交換、媒體控制和管理之類的通信密集型任務。通過為通信密集型任務提供單獨的處理器，這些接口允許主微處理器162有效地執(zhí)行路由計算、網(wǎng)絡診斷、安全功能等。

盡管圖1中所示的系統(tǒng)是本公開的一個特定網(wǎng)絡設備，但其絕不是可以在其上實現(xiàn)本公開的唯一網(wǎng)絡設備架構。例如，經(jīng)常使用具有處理通信以及路由計算等的單個處理器的架構。此外，其它類型的接口和介質也可以與路由器一起使用。

不管網(wǎng)絡設備的配置如何，它都可以采用被配置為存儲程序指令(用于通用網(wǎng)絡操作，以及針對本文所述的漫游、路由優(yōu)化和路由功能的機制)的一個或多個存儲器或存儲器模塊(包括存儲器161)。例如，程序指令可以控制操作系統(tǒng)和/或一個或多個應用的操作。一個或多個存儲器還可以被配置為存儲諸如移動性綁定、注冊和關聯(lián)表等的表。

在數(shù)據(jù)中心交換機或運行網(wǎng)絡協(xié)議的任何網(wǎng)絡交換機中，部署在同一集群中的交換機的活動級別通常會有一定程度的相關性。此外，每個協(xié)議的實例的處理與正在處理或生成的協(xié)議數(shù)據(jù)單元的數(shù)量相關?？梢詮闹醒虢Y構控制器(fc)110發(fā)起使用分布式機制的對樣本統(tǒng)計信息的周期性地收集。雖然本公開聚焦分析從路由協(xié)議收集的統(tǒng)計信息，但是本文公開的概念可以應用于任何其它協(xié)議過程。

本公開檢測協(xié)議處理中的異常，這些異?？赡茉诰W(wǎng)絡結構中的交換機處或交換機之間發(fā)生。圖2示出了網(wǎng)絡結構212的示例架構200的示意性框圖。網(wǎng)絡結構212可以包括連接到網(wǎng)絡結構212中的葉交換機(leafswitch，也稱為“tor”)204a、204b、204c、...、204n(統(tǒng)稱為“204”)的脊交換機(spineswitch)202a、202b、...、202n(統(tǒng)稱為“202”)。在本公開中，當整體討論交換機(無論它們是脊交換機還是葉交換機)時，都應使用參考標號“203”。脊交換機202可以是結構212中的l3交換機。然而在一些情況下，脊交換機202也可以(或以其它方式)執(zhí)行l(wèi)2功能。每個葉節(jié)點204經(jīng)由鏈路連接到連接在結構212中的每個脊節(jié)點202。葉節(jié)點204可以包括接入端口(或非結構端口)和結構端口。結構端口可以向脊交換機202提供上行鏈路，而接入端口可以提供設備、主機、端點、虛擬機(“vm”)或外部網(wǎng)絡到結構212的連接。

葉節(jié)點204可以駐留在結構212的邊緣處，并且因此可以表示物理網(wǎng)絡邊緣。在一些情況下，葉節(jié)點204可以是根據(jù)tor架構配置的頂架(topofrack，“tor”)交換機。在其它情況下，葉節(jié)點204可以是任何特定拓撲(例如列末(endofrow，eor)或列間(middleofrow，mor)拓撲)中的聚合交換機。葉節(jié)點204例如也可以表示聚合交換機。

結構212中的網(wǎng)絡連接可以流經(jīng)葉節(jié)點204。這里，葉節(jié)點204可以提供服務器、資源、端點、外部網(wǎng)絡或vm到結構212的訪問，并且可以將葉節(jié)點104彼此連接。在一些情況下，葉節(jié)點204可以將epg連接到結構212和/或任何外部網(wǎng)絡。每個epg可以例如經(jīng)由葉節(jié)點204中的一個葉節(jié)點連接到結構212。

端點210a-e(統(tǒng)稱為“210”)可以經(jīng)由葉節(jié)點204連接到結構212。例如，端點210a和210b可以直接連接到葉節(jié)點204a，葉節(jié)點204a可以將端點210a和210b連接到結構212和/或葉節(jié)點204中的其它任何一個葉節(jié)點。類似地，端點210e可以直接連接到葉節(jié)點204c，葉節(jié)點204c可以將端點210e連接到結構212和/或葉節(jié)點204中的任何其它葉節(jié)點。另一方面，端點210c和210d可以經(jīng)由l2網(wǎng)絡206連接到葉節(jié)點204b。類似地，廣域網(wǎng)(wan)可以經(jīng)由l3網(wǎng)絡208連接到葉節(jié)點204c或任何其它葉節(jié)點204。

端點210可以包括諸如計算機、服務器、交換機、路由器等的任何通信設備。盡管本文將結構212示出為和描述為示例性葉結構，但是本領域普通技術人員將容易地認識到可以基于包括任何數(shù)據(jù)中心或云網(wǎng)絡結構的任何網(wǎng)絡結構來實現(xiàn)主題技術。實際上，本文考慮了其它架構、設計、基礎設施和變型。

每個葉節(jié)點204在結構212中被連接到每個脊節(jié)點202。在鏈路狀態(tài)路由協(xié)議更新的實例期間，一個或多個葉節(jié)點204可以檢測網(wǎng)絡轉換的發(fā)生，例如一個或多個脊節(jié)點202的故障。鏈路狀態(tài)路由協(xié)議更新的示例可以是，例如中間系統(tǒng)到中間系統(tǒng)(“is-is”)或其它域內鏈路狀態(tài)路由協(xié)議更新，例如開放最短路徑優(yōu)先(“ospf”)更新。本公開不限于任何特定類型的路由更新協(xié)議。

網(wǎng)絡結構212中的控制器(即，結構控制器110)可以被配置為使用本文所述的方法來檢測在在結構212中的交換機處或交換機之間出現(xiàn)的各種網(wǎng)絡特征中的異常。網(wǎng)絡特征可以包括任何網(wǎng)絡處理，包括路由處理，下述各項是示例性的：(1)最后采樣的窗口中協(xié)議的cpu百分比；(ii)產(chǎn)生的新協(xié)議數(shù)據(jù)單元的字節(jié)數(shù)；(iii)新的最短路徑優(yōu)先(spf)計算的數(shù)量；(iv)生成的鏈路狀態(tài)分組(lsp)的數(shù)量；(v)洪泛的lsp數(shù)量；(vi)鏈路狀態(tài)轉換的數(shù)量；(vii)處理所使用的存儲器的量；(viii)交換機的作用(即葉交換機或脊交換機)；(ix)最后采樣窗口中的歷史平均cpu使用率；以及(x)最后采樣的窗口中的歷史平均存儲器使用量。如上所述，這些過處理僅僅是示例性的，并且本文公開的方法可以用于確定針對任何其它網(wǎng)絡處理發(fā)生的異常。此外，雖然本公開側重于確定是否在路由處理期間在交換機處存在異常，但本文公開的方法也可以應用于其它非路由處理。

使用本文公開的方法，fc110可以周期性地接收和存儲表示這些各種協(xié)議變量的數(shù)據(jù)，并且分析數(shù)據(jù)以確定在特定交換機203處是否存在任何異常。通常，這些變量中的任何變量的尖峰或反常都表示某種異常。例如，如果lsp洪泛存在任何問題，則路由協(xié)議通常會以極端的速率進行重新發(fā)送，從而導致產(chǎn)生過多的流量。在本文公開的方法的一個實施例中，關于網(wǎng)絡特征變量的統(tǒng)計信息在結構212中的每個交換機203處被收集，其中考慮了交換機203的作用。這樣做的原因是脊交換機202處的特征變量行為與葉交換機204處的特征變量行為不同。

在一個實施例中，fc110以周期性間隔從網(wǎng)絡結構212中的一些或全部交換機203中收集表示各種網(wǎng)絡特征變量的數(shù)據(jù)。收集數(shù)據(jù)的時間段可以是任何時間段。例如，可以每60秒收集一次來自每個交換機203的數(shù)據(jù)。或者可以每30秒收集一次來自脊交換機202的數(shù)據(jù)，并且可以每60秒收集一次來自葉交換機204的數(shù)據(jù)。在一個實施例中，fc110可被配置為運行兩種類型的異常檢測處理。第一異常檢測處理確定對數(shù)據(jù)實例具有相同或相似作用的交換機203之間的異常，從而在與其它具有相同或相似作用的交換機203(即，脊交換機202中的一個或多個，或葉交換機204中的一個或多個)相比較時找出是否有任何一個交換機203行為異常。另一異常檢測處理確定在給定交換機203的歷史模式之間是否存在任何異常。在數(shù)據(jù)收集期間，fc110可以計算歸一化參數(shù)向量，并將所有非異常實例作為訓練集收集以學習概率模型?；谶@些變量的分布正常的事實，與平均值的高偏差將表明存在異常。

圖3是示出了由本公開的異常檢測方法300的實施例所采取的步驟的流程圖。在步驟310，fc110周期性地從網(wǎng)絡結構中的交換機203中收集數(shù)據(jù)采樣點。例如，fc110可以在預定時間段(即60秒)期間收集和存儲一系列網(wǎng)絡特征值，并將收集的值作為形成第一數(shù)據(jù)模式的數(shù)據(jù)采樣點進行存儲。這些數(shù)據(jù)采樣點表示特定情況下的網(wǎng)絡特征的變量，例如存儲器利用率、cpu利用率或在交換機203處生成的lsp的數(shù)量。本公開不限于任何特定的網(wǎng)絡特征，因此fc110可以收集針對正在結構212中的給定交換機203處執(zhí)行的任何網(wǎng)絡特征的數(shù)據(jù)。隨后在步驟320確定每個網(wǎng)絡特征的平均值和標準差。例如，針對cpu百分比網(wǎng)絡特征，接收并存儲以各種時間間隔收集的多個數(shù)據(jù)點(每個數(shù)據(jù)點表示特定交換機203處的網(wǎng)絡協(xié)議的cpu百分比)。根據(jù)這些數(shù)據(jù)點計算平均值和標準差值。隨后，針對在交換機203處分析的其它網(wǎng)絡特征(例如在交換機203處生成的lsp的數(shù)量、或由交換機203洪泛的lsp的數(shù)量)計算平均值和標準差值。在一個實施例中，可以基于被檢測值是否落在特定范圍之外來將被視為“離群值(outlier)”的被檢測值丟棄。例如，在一個實施例中，僅使用特定網(wǎng)絡特征的平均值的5％至95％之間的數(shù)據(jù)點，并且將其余部分丟棄。

fc110隨后在步驟330對每個網(wǎng)絡特征變量執(zhí)行歸一化處理。針對每個網(wǎng)絡特征對每個變量執(zhí)行歸一化，這是因為某些變量的速率不同。例如，lsp速率與“hellopacket”速率不同。對這些變量進行歸一化將針對網(wǎng)絡特征值中的任何特征值是否表示異常提供更準確的判定，即，它們是否落在預期的范圍內或閾值之外。在一個實施例中，對每個網(wǎng)絡特征變量的歸一化是通過以下公式來實現(xiàn)的：

(x(i，j)-mean(x(j))/stddev(x(j))，其中x(i，j)是第i次觀察(數(shù)據(jù)采樣點)的第j個特征值的值。

fc110隨后在步驟340計算每個網(wǎng)絡特征的概率值(p值)。計算將每個網(wǎng)絡特征的每個歸一化的變量與針對該網(wǎng)絡特征計算的平均值和標準差值進行比較，以確定是否存在任何歸一化的變量落在預期值之外(這可以指示存在關于該網(wǎng)絡特征的異常)。在一個實施例中，使用多變量分布函數(shù)來確定p值。多變量分布函數(shù)假設在至少兩個網(wǎng)絡協(xié)議變量之間存在一定相關性。例如在一種情況下，交換機203處的cpu利用率可能與由該交換機203生成的lsp的數(shù)量相關。這些變量也可以與由交換機203洪泛的lsp的數(shù)量相關。由于一個網(wǎng)絡特征的一些變量可能與另一網(wǎng)絡特征的變量有相關性，所以使用多變量分布函數(shù)來確定每個歸一化的變量的p值。

在一個實施例中，所使用的多元分布函數(shù)是高斯乘法分布函數(shù)，其中x[i]表示第i個網(wǎng)絡特征，mu[i]表示該特征的平均值，而stddev[i]是特征的標準差。例如，網(wǎng)絡特征可以是在采樣實例期間與特定協(xié)議相關的、特定交換機203處的cpu負載。隨后，該特征的所測量的(歸一化的)值落在可接受范圍內的概率由以下等式?jīng)Q定：

給定mu[i]和stddev[i]的x[i]的概率＝(1/(sqrt(2*pi)*stddev[i]))*(e^-((x[i]-mu[i]^2/2(stddev[i]∧2)))

可以通過基于特征變量的乘法概率檢查特定交換機203處的特征(在這種情況下，cpu負載)的歸一化采樣實例是否落在可接受的范圍內，來訓練fc110內部或外部的計算機程序以識別異常。以這種方式，異常可得以識別。可以對所有其它歸一化的網(wǎng)絡特征值執(zhí)行p值計算。基于上述內容，fc110可以通過檢查每個特征值的歸一化的采樣實例是否落在可接受的范圍內來標記異常。如上所述，對偶算法可以被建模為用于異常檢測的兩個獨立模型(檢測所有交換機的當前行為以查看一個交換機是否表現(xiàn)異常，并且檢測同一交換機的歷史行為)。在一個實施例中，針對給定交換機的協(xié)議參數(shù)向量，在兩個模型中檢測到的異?？梢员挥米鲗Ξ惓５拇嬖诘母_定的測量。

一旦檢測到異常，在步驟350就可以采取補救程序來解決異常。例如，可以收集更詳細的內部調試日志和/或事件歷史信息，從而可以幫助分析導致異常的問題?？梢陨删瘓蟛l(fā)送給網(wǎng)絡運營商，或者可以自動生成警報，使得發(fā)生異常的交換機可以通過使用排出(draining)機制進行隔離，其中鏈路開銷略微增加以減少其偏好從而引導流量遠離該鏈路。本公開不限于任何特定類型的補救程序。

參考圖4a和圖4b，現(xiàn)在將討論本公開的替代實施例。如上所述，存在至少兩個網(wǎng)絡特征變量彼此相關的情況。在上面給出的示例中，交換機203處的cpu利用率可能與由該交換機203生成的lsp的數(shù)量相關。這些變量也可以與由交換機203洪泛的lsp的數(shù)量相關。因此，例如如果交換機生成的lsp的數(shù)量增加，則交換機203的cpu利用率可能相應地增加。為了確定關于某些網(wǎng)絡特征變量是否存在異常，可能希望基于考慮到這些變量之間的相關性的統(tǒng)計模型來計算概率值。

如上所述，通過針對每個歸一化的網(wǎng)絡特征值運行多變量分布模型來確定每個網(wǎng)絡特征值的概率值，以確定這些值中是否有任何值落在預期范圍之外，落在預期范圍之外可指示存在異常。在希望分析許多(即20或30)網(wǎng)絡特征的情況下，可能期望減少計算次數(shù)，因為這樣的計算可能加重計算所牽涉的計算機和處理資源的負擔。減少計算次數(shù)的一種方法是通過識別彼此具有相關性的變量來減少收集的數(shù)據(jù)中的冗余。圖4a和圖4b示出了減少收集的數(shù)據(jù)中的冗余的示例性技術，從而減少了為了精確地檢測異常而需要執(zhí)行的計算的數(shù)量。

圖4a示出了由fc110以上述方式收集的各種數(shù)據(jù)點的二維表示。在該示例中，x軸表示特定交換機203處的cpu利用率，y軸表示在該交換機203處生成的lsp的數(shù)量。該圖稱為“二維”表示，是因為正在測量的是兩個不同的網(wǎng)絡特征(cpu利用率和lsp生成)。以周期性間隔收集每個特征的各種數(shù)據(jù)采樣點。結果是圖4a所示的第一數(shù)據(jù)模式。二維表示示出了在交換機203處生成的lsp與該交換機203處的cpu利用率之間的關系。例如，當交換機203生成一個lsp時，該交換機203的cpu利用率約為40％。當生成2個lsp時，cpu利用率為45％。當生成3個lsp時，cpu利用率約為60％，依此類推。因此，圖4a示出了兩個變量(例如，在交換機203處產(chǎn)生的lsp的數(shù)量、以及該交換機203處的cpu利用率)之間的直接相關性。圖4a所示的場景是簡化的，即它僅示出兩個變量及其相關性。然而，本文公開的異常檢測方法可以被設計為在特定交換機203處檢測10個或20個甚至30個不同網(wǎng)絡特征的異常。因此，圖4a的二維表示可以外推到10維、20維或甚至30維表示，其中一些或全部網(wǎng)絡特征變量彼此具有一定相關性。

再次參考圖4a，可以看出兩個變量(即生成的lsp和cpu利用率)之間存在直接的相關性；當在特定交換機203處產(chǎn)生的lsp的數(shù)量增加時，該交換機203處的cpu利用率也增加。為了利用這種關系并減少需要通過概率模型進行分析的變量的數(shù)量，可以采用維數(shù)降低機制?？梢允褂玫囊环N這樣的機制是主組分分析(“pca”)。pca是將包含可能相關的變量的一組數(shù)據(jù)觀察轉換為一組不相關變量(被稱為主組分)的一種統(tǒng)計方法。在圖4a中示出了第一數(shù)據(jù)模式，其中第一數(shù)據(jù)模式表示針對兩個不同變量的數(shù)據(jù)采樣點。因此，圖4a示出了兩個“維度”。如圖所示，由于這兩個變量之間存在相關性，可以采用pca來降低維數(shù)，從而得到捕獲這兩個變量的相關性的單維表示。

圖4b示出了在對兩個變量執(zhí)行pca之后的圖4a的二維表示的一維表示。由于生成的lsp數(shù)量與cpu利用率之間存在相關性，所以可以呈現(xiàn)新的表示形式來捕獲這種關系。如本領域已知的，pca通過將變量之間的相關性并入具有比原始變量的數(shù)量更少的變量或分量的新關系來降低維度。例如，圖4b示出了僅具有一個主組分的一維表示。該主組分捕獲圖4a所示的二維(所生成的lsp和cpu利用率)之間的相關性。在執(zhí)行pca之后，隨后在統(tǒng)計模型中使用所產(chǎn)生的主組分來確定該組分在特定范圍之外的概率，并且因此指示存在異常。有利地，在該示例中，通過使用pca，不再需要針對每個歸一化的cpu利用率變量和每個生成的lsp變量計算p值。替代的，單個變量被用作到確定概率值的統(tǒng)計模型的輸入，其中該單個變量由于cpu利用率和lsp生成與彼此的相關性而捕獲它們。外推這種技術，可以看出通過使用pca，維度的數(shù)量(即，網(wǎng)絡特征的數(shù)量)可以被大幅降低，從而減少用于執(zhí)行概率模型以便確定確定異常的存在而所需的處理量。

pca不僅可以用于降低維度，還可以產(chǎn)生一系列彼此不關聯(lián)的主組分。換言之，輸入到概率模型中的組分或變量是不相關的，因為實質上pca已經(jīng)考慮了各種變量之間的相關性。因此，可以使用獨立的分布函數(shù)，而不是使用多元高斯分布函數(shù)來確定每個歸一化網(wǎng)絡特征變量的p值。獨立的高斯函數(shù)是可以使用的一個示例。獨立的高斯模型假設變量輸入是相互獨立的。通過乘以由獨立的高斯模型計算的每個p值，可以獲得聚合概率。將聚合概率與閾值進行比較，并且如果聚合概率低于閾值則可以標記異常。

圖5示出了由本公開的實施例執(zhí)行的示例性方法500，其中使用了pca。步驟510、520和530類似于圖3的步驟310、320和330。在這些步驟中，在步驟510處收集針對各種網(wǎng)絡特征的數(shù)據(jù)采樣點，隨后在步驟520處，計算每個網(wǎng)絡特征的平均值和標準差，在步驟530對每個網(wǎng)絡特征變量執(zhí)行歸一化。如果確定網(wǎng)絡特征中的至少兩個特征是相關的，則執(zhí)行pca從而基于相關性來降低維度，如步驟540那樣。隨后在步驟550執(zhí)行獨立的高斯概率函數(shù)。這個僅使用獨立變量執(zhí)行的函數(shù)相比于使用相關變量的概率函數(shù)可以執(zhí)行更少的次數(shù)，因為pca將原始變量的數(shù)量減少到較少的主組分。這使得要分析的變量更少、計算量變少，因此處理要求也更少。在步驟560，通過乘以每個p值來獲得總概率值。隨后在步驟570將該聚合概率值與閾值進行比較，并且如果聚合概率值低于閾值則在步驟580標記異常。如上所述，可以采取補救措施來解決異常。

在另一實施例中，每個數(shù)據(jù)點可以表示時間窗內的多個網(wǎng)絡變量測量，而不是每個數(shù)據(jù)采樣點表示時間實例處網(wǎng)絡變量的離散測量。這在以下情形中可能是期望的：不只是基于一次性的發(fā)生或“尖峰”來檢測異常的發(fā)生，而是基于一段時間來檢測異常的發(fā)生。因此，例如可以在給定交換機203處對cpu利用率進行10次測量。這些測量可以共同表示概率計算中cpu利用率變量的“樣本數(shù)據(jù)點”。這也可以對一些或所有其它網(wǎng)絡變量來進行。因此，例如如果有30個網(wǎng)絡特征變量，并且對每個網(wǎng)絡特征變量進行10次測量，則可以使用300個變量的樣本大小來形成數(shù)據(jù)集合。這允許確定每個網(wǎng)絡特征的情境異常(contextualanomaly，即在一段時間內的一系列異常測量)的發(fā)生，而不是點異常(即單個異常測量的發(fā)生，其在有些情況下可能是異常存在以外的原因造成的)的發(fā)生。本公開不限于在任何特定的時間窗口上或針對任何特定數(shù)量的測量收集每個網(wǎng)絡特征變量的數(shù)據(jù)。

為了清楚說明，在一些情況下本技術可以被呈現(xiàn)為包括單獨的功能塊，其包括含有設備、設備組件、在軟件或硬件和軟件的組合中實現(xiàn)的方法中的步驟或例程的功能塊。

在一些實施例中，計算機可讀存儲設備、介質和存儲器可以包括包含比特流等的電纜或無線信號。然而當提及時，非暫態(tài)計算機可讀存儲介質明確排除諸如能量、載波信號、電磁波和信號本身之類的介質。

根據(jù)上述示例的方法可以使用從計算機可讀介質存儲或以其它方式獲得的計算機可執(zhí)行指令來實現(xiàn)。這樣的指令可以包括，例如使得或以其它方式配置通用計算機、專用計算機或專用處理設備來執(zhí)行某些功能或功能組的指令和數(shù)據(jù)。所使用的計算機資源的部分可以通過網(wǎng)絡訪問。計算機可執(zhí)行指令可以是例如二進制文件、中間格式指令(例如，匯編語言、固件或源代碼)?？捎糜诖鎯υ诟鶕?jù)所描述的示例的方法期間所創(chuàng)建的信息、所使用的信息和/或指令的計算機可讀介質的示例包括：磁盤或光盤、閃存、具有非易失性存儲器的usb設備、網(wǎng)絡存儲設備等。

實現(xiàn)根據(jù)這些公開內容的方法的設備可以包括硬件、固件和/或軟件，并且可以采用各種形式因素中的任何一種。這種形式因素的典型示例包括：膝上型電腦、智能電話、小型個人計算機、個人數(shù)字助理、機架安裝設備、獨立設備等。這里描述的功能也可以在外圍設備或附加卡中實現(xiàn)。通過進一步的示例，這種功能還可以在不同的芯片之間的電路板上實現(xiàn)或者在單個設備執(zhí)行的不同處理中實現(xiàn)。

指令、用于傳送這些指令的介質、用于執(zhí)行它們的計算資源、以及用于支持這種計算資源的其它結構是用于提供在這些公開內容中所描述的功能的手段。

盡管使用了各種示例和其它信息來解釋所附權利要求的范圍內的各方面，但是不應基于這些示例中的特定特征或布置來暗示對權利要求的限制，因為普通技術人員將能夠使用這些示例得到更廣泛的實現(xiàn)方式。此外，雖然某些主題可能已經(jīng)針對結構特征和/或方法步驟的示例用語言進行了描述，但應當理解，所附權利要求中限定的主題不必限于這些所描述的特征或動作。例如，這樣的功能可以被不同地分布或在除了本文所標識的組件之外的組件中執(zhí)行。而所描述的特征和步驟是作為在所附權利要求的范圍內的系統(tǒng)和方法的組件的示例被公開的。