CN109981358A

CN109981358A - 一种基于组合模型的自适应网络性能预警方法

Info

Publication number: CN109981358A
Application number: CN201910189159.5A
Authority: CN
Inventors: 张晗睿; 李千目
Original assignee: Nanjing University of Science and Technology
Current assignee: Nanjing University of Science and Technology
Priority date: 2019-03-13
Filing date: 2019-03-13
Publication date: 2019-07-05

Abstract

本发明公开了一种基于组合模型的自适应网络性能预警方法。该方法为：首先使用灰色Verhulst‑马尔科夫‑GRU模型进行网络短时流量预测：使用灰色Verhulst‑马尔科夫模型进行网络短时流量预测；将灰色Verhulst‑马尔科夫模型的预测结果和实际流量的误差组成一个新的时间序列；将误差的时间序列放入GRU中进行训练；将灰色Verhulst‑马尔科夫模型的结果和GRU神经网络的结果相加，获得最终流量预测值；然后计算实际流量与预测流量的调整偏离度，设定阈值，最后对比流量预测值和阈值上下限的大小，产生三级报警。本发明能够有效地发现网络中的异常，提高了网络性能预警的准确率。

Description

一种基于组合模型的自适应网络性能预警方法

技术领域

本发明涉及网络安全领域，特别是一种基于组合模型的自适应网络性能预警方法。

背景技术

网络性能预警是网络监控的重要组成部分，通过提前预测网络短时流量，根据实际流量和设定的阈值产生不同程度的预警，能够预防网络异常的出现并预先做好相应的准备，保证网络服务质量。其中，阈值的设定显得尤为重要。动态的设定阈值，基础在于设定阈值和基线。基线指的是正常网络流量的预设值，阈值则是用于区分异常流量和正常流量的界限。当实际采集的网络流量值处于阈值的范围之外，则可以判断流量异常并提出预警、告警。传统的基线设定方法，是根据网管人员的工作经验来判断异常，但随着网络环境越来越复杂，可能影响到网络性能的因素不断增加。

传统的阈值预设方法是静态阈值方法，网管人员预设一个上下范围，当流量值处于这个范围之外时，自动产生预警，但在现代网络环境中，不同时间段的网络使用情况各不相同，不同时间段设定的阈值也应该不断变化，并且当正常用户发送数据流造成流量值产生波动时，可能会将用户的正常网络行为误判为网络异常，并且发出预警。

发明内容

本发明的目的在于提供一种能够有效地发现网络中的异常，提高网络性能预警准确率的网络性能预警方法。

实现本发明目的的技术解决方案为：一种基于组合模型的自适应网络性能预警方法，包括下步骤：

步骤1、使用灰色Verhulst-马尔科夫-GRU模型进行网络短时流量预测；

步骤2、计算实际流量与预测流量的调整偏离度，设定阈值；

步骤3、对比流量预测值和阈值上下限的大小，产生3σ三级报警。

进一步地，步骤1所述的使用灰色Verhulst-马尔科夫-GRU模型进行网络短时流量预测，具体如下：

步骤1.1、使用灰色Verhulst-马尔科夫模型进行网络短时流量预测；

步骤1.2、将灰色Verhulst-马尔科夫模型的预测结果和实际流量的误差组成一个新的时间序列；

步骤1.3、将误差的时间序列放入GRU中进行训练；

步骤1.4、将灰色Verhulst-马尔科夫模型的结果和GRU神经网络的结果相加，获得最终流量预测值。

进一步地，步骤2中所述的计算实际流量与预测流量的调整偏离度，具体如下：

设流量的历史时间序列为x₁,x₂,...,x_t,...x_T，T为时刻总数，取正整数n＜T，为t时刻灰色马尔科夫-GRU模型预测出的网络流量估计值，基于方差分析法的调整偏离度s_t计算公式为：

进一步地，步骤3所述的对比流量预测值和阈值上下限的大小，产生3σ三级报警，具体如下：

设定y₁,y₂,...,y_t为采集到的t时刻前的历史数据，s_t为通过方差分析法计算出的调整偏离度，则有：

当|f_t+1-y_t+1|≤s_t+1时，网络处于正常状态，实流量x_t和预测值的偏离程度处于允许的范围内；

当s_t+1＜|f_t+1-y_t+1|≤2s_t+1时，网络处于轻度预警状态，实流量x_t和预测值的偏离程度超标但偏小；

当2s_t+1＜|f_t+1-y_t+1|≤3s_t+1时，网络处于普通预警状态，实流量x_t和预测值的偏离程度超标且偏大；

当3s_t+1＜|f_t+1-y_t+1|时，网络处于严重预警状态，实流量x_t和预测值的偏离情况严重超标，处于不可控范围。

本发明与现有技术相比，其显著优点为：(1)利用灰色Verhulst-Markov-GRU模型对于网络短时流量进行预测，预测精度高；(2)以灰色Verhulst-Markov-GRU组合模型的预测值为基线，结合调整偏离度，得出更合理的阈值上、下限，能够有效地发现网络中的异常，提高了预警准确率。

附图说明

图1是本发明基于组合模型的自适应网络性能预警方法的流程示意图。

图2是本发明实施例中网络性能预警曲线图。

具体实施方式

下面结合附图及具体实施例对本发明作进一步详细说明。

本发明一种基于组合模型的自适应网络性能预警方法，针对网络流量数据，分别进行流量预测和动态阈值的设定，使用灰色Verhulst-马尔科夫-GRU模型进行预测，计算实际流量与预测流量的调整偏离度设定阈值，最后，通过对比流量预测值和阈值上下限的大小，产生3σ三级报警。

结合图1，一种基于组合模型的自适应网络性能预警方法，包括以下步骤：

步骤1、使用灰色Verhulst-马尔科夫-GRU模型进行网络短时流量预测，具体如下：

步骤1.3、将误差的时间序列放入GRU中进行训练；

步骤2、计算实际流量与预测流量的调整偏离度，设定阈值，具体如下：

设流量的历史时间序列为x₁,x₂,...,x_t,...x_T，取正整数n＜T，为t时刻灰色马尔科夫-GRU模型预测出的网络流量估计值，基于方差分析法的调整偏离度计算公式为：

步骤3、对比流量预测值和阈值上下限的大小，产生3σ三级报警，具体如下：

网络性能预警，能够在网络发生异常前提前发现，并且产生预警，对于网管人员进行网络性能管理有着很重要的影响。通过灰色Verhulst-Markov-GRU模型对下一时刻网络短时流量进行预测为检验该预测值是否在正常范围内，采用调整偏离度来进行估计，从而得出3σ种不同程度报警信息。

(1)当|f_t+1-y_t+1|≤s_t+1时，网络处于正常状态，实流量x_t和预测值的偏离程度处于可允许的范围内。

(2)当s_t+1＜|f_t+1-y_t+1|≤2s_t+1时，网络处于轻度预警状态，实流量x_t和预测值的偏离程度超标但偏小。

(3)当2s_t+1＜|f_t+1-y_t+1|≤3s_t+1时，网络处于普通预警状态，实流量x_t和预测值的偏离程度超标且偏大。

(4)当3s_t+1＜|f_t+1-y_t+1|时，网络处于严重预警状态，真实流量x_t和预测值的偏离情况严重超标，处于不可控范围。

实施例1

结合图2，在中兴通讯提供的A省秒级数据集上，进行网络性能预警实验，得到预警曲线，根据3σ三级预警，当网络流量在1σ以内真实网络流量x_t和预测值的偏离情况可以接受；当偏离情况处于1σ和2σ之间为产生轻度预警；当偏离情况处于2σ和3σ之间产生普通预警；当偏离情况大于3σ时产生严重预警。

综上可知，实际网络流量的曲线基本上处于1σ曲线以内，超过1σ的部分也处于1σ-2σ区间以内，可见3σ三级预警的预警成功率较高，当流量处于预警区间时，网络流量处于异常状态。

Claims

1.一种基于组合模型的自适应网络性能预警方法，其特征在于，包括下步骤：

步骤2、计算实际流量与预测流量的调整偏离度，设定阈值；

2.根据权利要求1所述的基于组合模型的自适应网络性能预警方法，其特征在于，步骤1所述的使用灰色Verhulst-马尔科夫-GRU模型进行网络短时流量预测，具体如下：

步骤1.3、将误差的时间序列放入GRU中进行训练；

3.根据权利要求1所述的基于组合模型的自适应网络性能预警方法，其特征在于，步骤2中所述的计算实际流量与预测流量的调整偏离度，具体如下：

4.根据权利要求1所述的基于组合模型的自适应网络性能预警方法，其特征在于，步骤3所述的对比流量预测值和阈值上下限的大小，产生3σ三级报警，具体如下：