值或小于第二閾值;所述第二條件包括所述差值小于所述第一閾值且大于所述第二閾值��;其中��,所述第一閾值大于所述第二閾值�����。
[0037]由于可見(jiàn)���,由于本實(shí)施例中���,通過(guò)計(jì)算網(wǎng)絡(luò)設(shè)備在當(dāng)前時(shí)段的流量值和第一參考時(shí)段的流量值的差值,所述第一參考時(shí)段的流量值為當(dāng)前流量基線中記錄的與所述當(dāng)前時(shí)段具有映射關(guān)系的時(shí)段的網(wǎng)絡(luò)設(shè)備在流量值���,基于所述差值來(lái)確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值是否異常�。由于流量基線記錄的在監(jiān)控周期中各時(shí)段的流量值與相應(yīng)時(shí)段近期的歷史流量值有關(guān)����,而流量基線記錄的在監(jiān)控周期中各時(shí)段的流量值并非固定不變,而是可在一定程度上體現(xiàn)該時(shí)段的可能流量值�����,因此���,相對(duì)于現(xiàn)有技術(shù)而言�����,本發(fā)明上述技術(shù)方案有利于降低流量異常誤判的可能性�����。
[0038]在本發(fā)明的一些可能的實(shí)施方式中���,所述確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值異常�����,可以包括:在將所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值帶入決策樹(shù)��,且所述決策樹(shù)指示所述當(dāng)前時(shí)段的流量值處于異常狀態(tài)時(shí)����,確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值異常�����。其中�,通過(guò)利用決策樹(shù)和流量基線進(jìn)行雙重判決,有利于進(jìn)一步提高確定對(duì)所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值是否異常的準(zhǔn)確性��。
[0039]在本發(fā)明的一些可能的實(shí)施方式中��,所述決策樹(shù)例如可以基于有監(jiān)督機(jī)器學(xué)習(xí)算法���、Μ個(gè)監(jiān)控周期(例如最近的Μ個(gè)監(jiān)控周期)中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的Μ個(gè)歷史時(shí)段的流量值�、用于指示所述網(wǎng)絡(luò)設(shè)備在所述Μ個(gè)歷史時(shí)段的流量值是否異常的狀態(tài)指示而得到����,其中,所述Μ為正整數(shù)�,例如所述Μ可以等于1、2��、3��、10�����、20或50或其他值��。
[0040]其中�,所述流量值可為流量類型相同的流量的流量值。例如所述流量值可為傳輸控制協(xié)議或用戶數(shù)據(jù)報(bào)協(xié)議對(duì)應(yīng)的流量���,具體例如����,所述流量值可為基于傳輸控制協(xié)議的確認(rèn)字符(ACK, Acknowledgement)即對(duì)應(yīng)的流量,或所述流量值可以為基于傳輸控制協(xié)議的SYN((synchronize))對(duì)應(yīng)的流量�����,或者所述流量值可以為基于傳輸控制協(xié)議的PSH對(duì)應(yīng)的流量���,或者�����,所述流量值可以為基于傳輸控制協(xié)議的URG對(duì)應(yīng)的流量�。
[0041]在本發(fā)明的一些可能的實(shí)施方式中���,所述方法還包括:
[0042]若所述差值符合第二條件�,利用最近N-1個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的N-1個(gè)歷史時(shí)段的流量值和所述當(dāng)前時(shí)段的流量值��,計(jì)算得到第一參考時(shí)段的第三期望流量值�����,利用所述第三期望流量值更新所述當(dāng)前流量基線中記錄的第一參考時(shí)段的流量值����。
[0043]或者�,若所述差值符合所述第一條件�,則利用最近N個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的N個(gè)歷史時(shí)段的流量值,計(jì)算得到當(dāng)前時(shí)段的第一期望流量值����,利用所述第一期望流量值更新所述當(dāng)前流量基線中記錄的第一參考時(shí)段的流量值��。
[0044]或者���,
[0045]若所述差值符合第一條件�����,則利用最近N個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的N個(gè)歷史時(shí)段的流量值���,計(jì)算得到當(dāng)前時(shí)段的第一期望流量,利用所述第一期望流量和所述N個(gè)歷史時(shí)段中的N-1個(gè)歷史時(shí)段的流量值��,計(jì)算得到第一參考時(shí)段的第二期望流量值����,利用所述第二期望流量值更新所述當(dāng)前流量基線中記錄的第一參考時(shí)段的流量值,其中�����,所述N個(gè)歷史時(shí)段為與所述當(dāng)前時(shí)段相鄰的歷史時(shí)段,所述N-1個(gè)歷史時(shí)段與所述當(dāng)前時(shí)段的時(shí)差�,小于所述N個(gè)歷史時(shí)段中除所述N-1個(gè)歷史時(shí)段之外的剩余時(shí)段與所述當(dāng)前時(shí)段的時(shí)差。
[0046]可以看出���,上述流量基線更新方法是一種基于無(wú)監(jiān)督學(xué)習(xí)方法的流量基線更新方法�����,通過(guò)對(duì)比當(dāng)前時(shí)段流量與流量基線相應(yīng)時(shí)段流量值����,有利于盡量消除流量突增�、銳減帶來(lái)的影響,進(jìn)而有利于進(jìn)一步提高基于流量基線進(jìn)行流量異常判決的靈活性���。
[0047]下面通過(guò)一些具體的應(yīng)用場(chǎng)景進(jìn)行舉例說(shuō)明�����。
[0048]請(qǐng)參見(jiàn)圖2��,圖2為本發(fā)明的一個(gè)實(shí)施例提供的一種流量基線更新方法的流程示意圖�。其中,如圖2所示��,本發(fā)明的一個(gè)實(shí)施例提供的一種流量基線更新方法可包括以下內(nèi)容:
[0049]201���、計(jì)算網(wǎng)絡(luò)設(shè)備當(dāng)前日的流量值和第一參考日的流量值的方差�����。
[0050]所述第一參考日的流量值為當(dāng)前流量基線中記錄的與當(dāng)前日具有映射關(guān)系的參考日的所述網(wǎng)絡(luò)設(shè)備流量值。
[0051]舉例來(lái)說(shuō)���,假設(shè)流量基線的監(jiān)控周期為1周��,且單位時(shí)段長(zhǎng)度為1天�����,流量基線中可以記錄了 1周中的各日的所述網(wǎng)絡(luò)設(shè)備流量值����。具體例如�,假設(shè)當(dāng)前時(shí)段為周一,則第一參考時(shí)段的流量值為當(dāng)前流量基線中記錄的周一的所述網(wǎng)絡(luò)設(shè)備流量值�。又具體例如���,假設(shè)當(dāng)前時(shí)段為周三,則第一參考時(shí)段的流量值為當(dāng)前流量基線中記錄的周三的所述網(wǎng)絡(luò)設(shè)備流量值���。
[0052]若所述方差大于第一閾值或小于第二閾值�����,則執(zhí)行步驟202����。
[0053]若所述方差小于第一閾值且于第二閾值���,則執(zhí)行步驟203���。
[0054]202、利用最近N個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前日具有映射關(guān)系的N個(gè)歷史日的流量值���,計(jì)算得到當(dāng)前日的第一期望流量���,利用所述第一期望流量和所述N個(gè)歷史日中的N-1個(gè)歷史日的流量值,計(jì)算得到第一參考日的第二期望流量值����,利用第二期望流量值更新所述當(dāng)前流量基線中記錄的第一參考日的流量值����,所述N個(gè)歷史日為最近N周中與當(dāng)前日序號(hào)相同的日(例如當(dāng)前日為周1���,所述N個(gè)歷史日為最近N周中的周1 ;又例如當(dāng)前日為周3����,所述N個(gè)歷史日為最近N周中的周3���,以此類推),所述N-1個(gè)歷史日與所述當(dāng)前日的時(shí)差�����,小于所述N個(gè)歷史日中除所述N-1個(gè)歷史日之外的剩余日與所述當(dāng)前日的時(shí)差(例如所述N個(gè)歷史日為最近7周中的周1 ;所述N-1個(gè)歷史日為最近6周中的周1��,又例如所述N個(gè)歷史日為最近10周中的周1 ;所述N-1個(gè)歷史日為最近9周中的周1�����,以此類推)���。
[0055]203����、利用最近N-1個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前日具有映射關(guān)系的N-1個(gè)歷史日的流量值和所述當(dāng)前日的流量值,計(jì)算得到第一參考日的第三期望流量值�����,利用所述第三期望流量值更新所述當(dāng)前流量基線中記錄的第一參考日的流量值���。
[0056]可以看出�,上述流量基線更新方法是一種基于無(wú)監(jiān)督學(xué)習(xí)方法的流量基線更新方法����,通過(guò)對(duì)比當(dāng)前日流量與流量基線相應(yīng)日流量值,有利于盡量消除流量突增����、銳減帶來(lái)的影響,進(jìn)而有利于進(jìn)一步提高基于流量基線進(jìn)行流量異常判決的靈活性���。
[0057]請(qǐng)參見(jiàn)圖3�,圖3為本發(fā)明的一個(gè)實(shí)施例提供的一種決策樹(shù)產(chǎn)生方法的流程示意圖�。其中����,如圖3所示����,本發(fā)明的一個(gè)實(shí)施例提供的一種決策樹(shù)產(chǎn)生方法可包括以下內(nèi)容:
[0058]301、導(dǎo)入Μ個(gè)樣本��。
[0059]其中����,Μ個(gè)樣本包括最近Μ周中的同一日期編號(hào)的歷史日的流量值和該Μ歷史日的流量值是否異常的指示。舉例來(lái)說(shuō)�����,若Μ等10��,若需要獲得周1對(duì)應(yīng)的決策樹(shù)�,則Μ個(gè)樣本可為最近10周中的周1的流量值����、該最近10周中的周1的流量值是否異常的指示,或者�,若需要獲得周3對(duì)應(yīng)的決策樹(shù)�����,則Μ個(gè)樣本也可包括:最近10周中的周3的流量值���、該最近10周中的周3的流量值是否異常的指示,以此類推����。
[0060]302、基于Μ個(gè)樣本計(jì)算樣本熵����。
[0061]303、計(jì)算樣本的期望值�����。
[0062]304�、計(jì)算樣本的增益。
[0063]305�����、選擇分裂點(diǎn)。
[0064]306�����,判斷分裂點(diǎn)是否為最后一個(gè)分裂點(diǎn)�����;
[0065]若否����,則跳轉(zhuǎn)至步驟302,若是��,則決策樹(shù)構(gòu)造完成�。
[0066]請(qǐng)參見(jiàn)圖4,圖4為本發(fā)明的另一個(gè)實(shí)施例提供的另一種網(wǎng)絡(luò)設(shè)備的異常流量識(shí)別的方法的流程示意圖�。其中,如圖4所示�,本發(fā)明的另一個(gè)實(shí)施例提供的另一種網(wǎng)絡(luò)設(shè)備的異常流量識(shí)別方法可包括以下內(nèi)容:
[0067]401、計(jì)算網(wǎng)絡(luò)設(shè)備在當(dāng)前時(shí)段的流量值和第一參考時(shí)段的流量值的差值����。
[0068]其中����,所述第一參考時(shí)段的流量值為當(dāng)前流量基線中記錄的與所述當(dāng)前時(shí)段具有映射關(guān)系的時(shí)段的所述網(wǎng)絡(luò)設(shè)備的流量值�����。
[0069]舉例來(lái)說(shuō)�����,假設(shè)流量基線的監(jiān)控周期為1周�,且單位時(shí)段長(zhǎng)度為1天�����,流量基線中可以記錄了 1周中的各日的所述網(wǎng)絡(luò)設(shè)備流量值�����。具體例如���,假設(shè)當(dāng)前時(shí)段為周一��,則第一參考時(shí)段的流量值為當(dāng)前流量基線中記錄的周一的所述網(wǎng)絡(luò)設(shè)備流量值����。又具體例如,假設(shè)當(dāng)前時(shí)段為周三����,則第一參考時(shí)段的流量值為當(dāng)前流量基線中記錄的周三的所述網(wǎng)絡(luò)設(shè)備流量值。
[0070]例