為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口，裝置或單元的間接耦合或通信連接，可以是電性或其它的形式。
[0126]所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。
[0127]另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。
[0128]所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷(xiāo)售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。基于這樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可為個(gè)人計(jì)算機(jī)、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括:U盤(pán)、只讀存儲(chǔ)器(ROM, Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM, Random Access Memory)、移動(dòng)硬盤(pán)、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)。
[0129]以上所述，以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案，而非對(duì)其限制；盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。
【主權(quán)項(xiàng)】
1.一種網(wǎng)絡(luò)設(shè)備的異常流量識(shí)別方法，其特征在于，包括: 計(jì)算網(wǎng)絡(luò)設(shè)備在當(dāng)前時(shí)段的流量值和第一參考時(shí)段的流量值的差值，所述第一參考時(shí)段的流量值為當(dāng)前流量基線中記錄的與所述當(dāng)前時(shí)段具有映射關(guān)系的時(shí)段的所述網(wǎng)絡(luò)設(shè)備的流量值； 若所述差值符合第一條件，確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值異常； 若所述差值符合第二條件，確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值正常。2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值異常包括:在將所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值帶入決策樹(shù)，且所述決策樹(shù)指示所述當(dāng)前時(shí)段的流量值處于異常狀態(tài)時(shí)，確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值異常。3.根據(jù)權(quán)利要求2所述的方法，其特征在于， 所述決策樹(shù)基于有監(jiān)督機(jī)器學(xué)習(xí)算法、Μ個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的Μ個(gè)歷史時(shí)段的流量值、用于指示所述網(wǎng)絡(luò)設(shè)備在所述Μ個(gè)歷史時(shí)段的流量值是否異常的狀態(tài)指示而得到，其中，所述Μ為正整數(shù)。4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的方法，其特征在于， 所述差值為方差； 所述第一條件包括所述差值大于第一閾值或小于第二閾值； 所述第二條件包括所述差值小于所述第一閾值且大于所述第二閾值； 其中，所述第一閾值大于所述第二閾值。5.根據(jù)權(quán)利要求1或2或3所述的方法，其特征在于， 所述方法還包括: 若所述差值符合所述第一條件，則利用最近Ν個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的Ν個(gè)歷史時(shí)段的流量值，計(jì)算得到當(dāng)前時(shí)段的第一期望流量值，利用所述第一期望流量值更新所述當(dāng)前流量基線中記錄的第一參考時(shí)段的流量值，其中，所述Ν為正整數(shù)； 或者， 若所述差值符合第一條件，則利用最近Ν個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的Ν個(gè)歷史時(shí)段的流量值，計(jì)算得到當(dāng)前時(shí)段的第一期望流量，利用所述第一期望流量和所述Ν個(gè)歷史時(shí)段中的Ν-1個(gè)歷史時(shí)段的流量值，計(jì)算得到第一參考時(shí)段的第二期望流量值，利用所述第二期望流量值更新所述當(dāng)前流量基線中記錄的第一參考時(shí)段的流量值，其中，所述Ν個(gè)歷史時(shí)段為與所述當(dāng)前時(shí)段相鄰的歷史時(shí)段，所述Ν-1個(gè)歷史時(shí)段與所述當(dāng)前時(shí)段的時(shí)差，小于所述Ν個(gè)歷史時(shí)段中除所述Ν-1個(gè)歷史時(shí)段之外的剩余時(shí)段與所述當(dāng)前時(shí)段的時(shí)差； 或者， 若所述差值符合第二條件，利用最近Ν-1個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的Ν-1個(gè)歷史時(shí)段的流量值和所述當(dāng)前時(shí)段的流量值，計(jì)算得到第一參考時(shí)段的第三期望流量值，利用所述第三期望流量值更新所述當(dāng)前流量基線中記錄的第一參考時(shí)段的流量值。6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述流量值為流量類型相同的流量的流量值。7.—種網(wǎng)絡(luò)設(shè)備的異常流量識(shí)別裝置，其特征在于，包括: 計(jì)算單元，用于計(jì)算網(wǎng)絡(luò)設(shè)備在當(dāng)前時(shí)段的流量值和第一參考時(shí)段的流量值的差值，所述第一參考時(shí)段的流量值為當(dāng)前流量基線中記錄的與所述當(dāng)前時(shí)段具有映射關(guān)系的時(shí)段的所述網(wǎng)絡(luò)設(shè)備的流量值； 流量判決單元，用于若所述差值符合第一條件，確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值異常；若所述差值符合第二條件，確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值正常。8.根據(jù)權(quán)利要求7所述的裝置，其特征在于，在所述確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值異常的方面，所述流量判決單元具體用于在將所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值帶入決策樹(shù)，且所述決策樹(shù)指示所述當(dāng)前時(shí)段的流量值處于異常狀態(tài)時(shí)，確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值異常。9.根據(jù)權(quán)利要求8所述的裝置，其特征在于， 所述決策樹(shù)基于有監(jiān)督機(jī)器學(xué)習(xí)算法、Μ個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的Μ個(gè)歷史時(shí)段的流量值、用于指示所述網(wǎng)絡(luò)設(shè)備在所述Μ個(gè)歷史時(shí)段的流量值是否異常的狀態(tài)指示而得到，其中，所述Μ為正整數(shù)。10.根據(jù)權(quán)利要求7至9任一項(xiàng)所述的裝置，其特征在于， 所述差值為方差； 所述第一條件包括所述差值大于第一閾值或小于第二閾值； 所述第二條件包括所述差值小于所述第一閾值且大于所述第二閾值； 其中，所述第一閾值大于所述第二閾值。11.根據(jù)權(quán)利要求7或8或9所述的裝置，其特征在于， 所述裝置還包括:流量基線更新單元； 其中，所述流量基線更新單元用于，若所述差值符合所述第一條件，則利用最近Ν個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的Ν個(gè)歷史時(shí)段的流量值，計(jì)算得到當(dāng)前時(shí)段的第一期望流量值，利用所述第一期望流量值更新所述當(dāng)前流量基線中記錄的第一參考時(shí)段的流量值，其中，所述Ν為正整數(shù)； 或者，所述流量基線更新單元用于，若所述差值符合第一條件，則利用最近Ν個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的Ν個(gè)歷史時(shí)段的流量值，計(jì)算得到當(dāng)前時(shí)段的第一期望流量，利用所述第一期望流量和所述Ν個(gè)歷史時(shí)段中的Ν-1個(gè)歷史時(shí)段的流量值，計(jì)算得到第一參考時(shí)段的第二期望流量值，利用所述第二期望流量值更新所述當(dāng)前流量基線中記錄的第一參考時(shí)段的流量值，其中，所述Ν個(gè)歷史時(shí)段為與所述當(dāng)前時(shí)段相鄰的歷史時(shí)段，所述Ν-1個(gè)歷史時(shí)段與所述當(dāng)前時(shí)段的時(shí)差，小于所述Ν個(gè)歷史時(shí)段中除所述Ν-1個(gè)歷史時(shí)段之外的剩余時(shí)段與所述當(dāng)前時(shí)段的時(shí)差； 或者，所述流量基線更新單元用于，若所述差值符合第二條件，利用最近Ν-1個(gè)監(jiān)控周期中所述網(wǎng)絡(luò)設(shè)備在與所述當(dāng)前時(shí)段具有映射關(guān)系的Ν-1個(gè)歷史時(shí)段的流量值和所述當(dāng)前時(shí)段的流量值，計(jì)算得到第一參考時(shí)段的第三期望流量值，利用所述第三期望流量值更新所述當(dāng)前流量基線中記錄的第一參考時(shí)段的流量值。
【專利摘要】本發(fā)明實(shí)施例公開(kāi)了網(wǎng)絡(luò)設(shè)備的異常流量識(shí)別方法和裝置。一種網(wǎng)絡(luò)設(shè)備的異常流量識(shí)別方法，可包括：計(jì)算網(wǎng)絡(luò)設(shè)備在當(dāng)前時(shí)段的流量值和第一參考時(shí)段的流量值的差值，所述第一參考時(shí)段的流量值為當(dāng)前流量基線中記錄的與所述當(dāng)前時(shí)段具有映射關(guān)系的時(shí)段的所述網(wǎng)絡(luò)設(shè)備的流量值；若所述差值符合第一條件，確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值異常；若所述差值符合第二條件，確定所述網(wǎng)絡(luò)設(shè)備在所述當(dāng)前時(shí)段的流量值正常。本發(fā)明實(shí)施例提供的技術(shù)方案有利于降低流量異常誤判的可能性。
【IPC分類】H04L12/26
【公開(kāi)號(hào)】CN105281966
【申請(qǐng)?zhí)枴緾N201410265260
【發(fā)明人】閆帥帥, 劉劍
【申請(qǐng)人】騰訊科技（深圳）有限公司
【公開(kāi)日】2016年1月27日
【申請(qǐng)日】2014年6月13日