CN110839040B - 一种流量的监控方法、模型的训练方法、装置及存储介质 - Google Patents
一种流量的监控方法、模型的训练方法、装置及存储介质 Download PDFInfo
- Publication number
- CN110839040B CN110839040B CN201911153175.5A CN201911153175A CN110839040B CN 110839040 B CN110839040 B CN 110839040B CN 201911153175 A CN201911153175 A CN 201911153175A CN 110839040 B CN110839040 B CN 110839040B
- Authority
- CN
- China
- Prior art keywords
- flow
- actual
- interval
- value
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种流量的监控方法、模型的训练方法、装置及存储介质。方法包括:获取网络在多个历史时刻时的历史流量;将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值;通过预设的流量预估模型处理所述数值,预估出所述网络在预估时刻时的预估流量;在所述预估时刻时,获取所述网络的实际流量;根据所述实际流量与所述预估流量,确定所述网络的流量是否异常。通过将流量转换成该流量所在的流量区间对应的一个数值,可实现数据的泛化。流量预估模型通过处理被泛化的数据,可以准确的预测出结果,以实现通过预估准确的确定出流量是否异常。
Description
技术领域
本申请涉及数据安全技术领域,具体而言,涉及一种流量的监控方法、模型的训练方法、装置及存储介质。
背景技术
网络中的设备有时会遭受到不法分子的网络攻击例如遭受DDOS(DistributedDenial of Service,分布式拒绝服务)攻击而导致设备崩溃,而网络攻击通常表现为流量出现异常。因此,在网络安全中,监控并识别出流量异常是确保网络安全的重要环节。
在目前的流量异常监测技术中,较常规的做法是通过对一段时间内的流量进行分析,然后预估下一个时间的流量是否会出现异常。这种方式虽然能够分析出异常的流量,但其预估的准确度太差,导致其实际应用受限。
发明内容
本申请实施例的目的在于提供一种流量的监控方法、模型的训练方法、装置及存储介质,用以实现通过预估准确的确定出流量是否异常。
第一方面,本申请实施例提供了一种流量的监控方法,所述方法包括:
获取网络在多个历史时刻时的历史流量;
将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值;
通过预设的流量预估模型处理所述数值,预估出所述网络在预估时刻时的预估流量;
在所述预估时刻时,获取所述网络的实际流量;
根据所述实际流量与所述预估流量,确定所述网络的流量是否异常。
在本申请实施例中,通过将流量转换成该流量所在的流量区间对应的一个数值,可实现数据的泛化。流量预估模型通过处理被泛化的数据,可以准确的预测出结果,以实现通过预估准确的确定出流量是否异常。
结合第一方面,在第一种可能的实现方式中,通过所述流量预估模型处理所述数值,预估出所述预估流量,包括:
将所述数值独热编码成对应的一段编码;
通过所述流量预估模型处理所述编码,预估出所述预估流量。
在本申请实施例中,通过将数值独热编码成对应的一段编码,可实现数据的进一步泛化,以使流量预估模型能够更加准确的预测出结果。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,在将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值之前,所述方法还包括:
确定出所述网络的所有实际流量中的最大值与最小值;
在所述最小值与所述最大值之间,划分出相邻的多个流量区间;
建立每个所述流量区间与一个数值的对应关系,其中,每个所述流量区间对应的一个数值小于与该流量区间相邻的下一个流量区间对应的一个数值。
在本申请实施例中,由于流量区间是基于历史流量的大小顺序划分,故划分出的流量区间可以准确反映流量的实际情况。利用与实际情况匹配的流量区间来进行数据泛化,可实现数据的准确泛化。
结合第一方面,在第三种可能的实现方式中,根据所述实际流量与所述预估流量,确定所述网络的流量是否异常,包括:
确定出所述实际流量与所述预估流量的差值;
判断所述差值是否在预设的正常差值区间以内,其中,所述差值在所述正常差值区间以内表示所述网络的流量正常,否则,表示所述网络的流量异常。
在本申请实施例中,通过将差值与正常差值区间比较,可以快速准确的确定出网络的流量是否异常。
结合第一方面的第三种可能的实现方式,在第四种可能的实现方式中,在判断所述差值是否在预设的正常差值区间以内之前,所述方法还包括:
确定出所有历史时刻中每个历史时刻的预估流量与实际流量的历史差值;
根据所有的所述历史差值,确定出所述正常差值区间。
在本申请实施例中,通过实际的流量来确定正常差值区间,可以使得确定出的正常差值区间更准确。
结合第一方面的第四种可能的实现方式,在第五种可能的实现方式中,根据所有的所述历史差值,确定出所述正常差值区间,包括:
确定出所有的所述历史差值的均值,以及确定出所有的所述历史差值的标准差;
获得所述均值与预设倍数的所述标准差相减的差值,以及获得所述均值与预设倍数的所述标准差相加的和值,其中,所述差值为所述正常差值区间的最小值,所述和值为所述正常差值区间的最大值。
在本申请实施例中,由于标准差可以反映流量的离散程度,那么均值与标准差的差值和和值可以合理界定正常差值区间的边界。
第二方面,本申请实施例提供了一种模型的训练方法,所述方法包括:
获取网络中多个时刻的实际流量,以及将所述实际流量转换成所述实际流量所在的流量区间对应的一个数值;
利用预设的流量预估模型处理所述数值,预估出在所述多个时刻的下一个时刻的预估流量;
利用所述预估流量和所述下一个时刻的实际流量,训练所述流量预估模型。
在本申请实施例中,通过流量预估模型处理实际流量而预估出在下一时刻时的预估流量。这样,利用预估流量和下一个时刻的实际流量对流量预估模型进行训练,可以实现训练出的流量预估模型能够准确对流量进行预估。
结合第二方面,在第一种可能的实现方式中,利用所述流量预估模型处理数值,预估出所述预估流量,包括:
将所述数值独热编码成对应的一段编码;
利用所述流量预估模型处理所述编码,预估出所述预估流量。
在本申请实施例中,通过将数值独热编码成对应的一段编码,可实现数据的进一步泛化。利用进一步泛化的数据训练流量预估模型,可以进一步提高训练效果
结合第二方面,在第二种可能的实现方式中,将所述实际流量转换成所述实际流量所在的流量区间对应的一个数值,包括:
将所述实际流量中的异常流量筛除,获得筛除后的实际流量;
将所述筛除后的实际流量换成所述筛除后的实际流量所在的流量区间对应的一个数值。
在本申请实施例中,通过将异常流量筛除后的实际流量来训练逻辑回归网络,可以实现训练出流量预估模型更准确的预估正常流量。
第三方面,本申请实施例提供了一种流量的监控装置,所述装置包括:
数据采集模块,用于获取网络在多个历史时刻时的历史流量;
数据处理模块,用于将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值;通过预设的流量预估模型处理所述数值,预估出所述网络在预估时刻时的预估流量;在所述预估时刻时,获取所述网络的实际流量;根据所述实际流量与所述预估流量,确定所述网络的流量是否异常。
结合第三方面,在第一种可能的实现方式中,
所述数据处理模块,用于将所述数值独热编码成对应的一段编码;通过所述流量预估模型处理所述编码,预估出所述预估流量。
结合第三方面的第一种可能的实现方式,在第二种可能的实现方式中,在所述数据处理模块将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值之前,
所述数据处理模块,还用于确定出所述网络的所有历史流量中的最大值与最小值;在所述最小值与所述最大值之间,划分出相邻的多个流量区间;建立每个所述流量区间与一个数值的对应关系,其中,每个所述流量区间对应的一个数值小于与该流量区间相邻的下一个流量区间对应的一个数值。
结合第三方面,在第三种可能的实现方式中,
所述数据处理模块,用于确定出所述实际流量与所述预估流量的差值;判断所述差值是否在预设的正常差值区间以内,其中,所述差值在所述正常差值区间以内表示所述网络的流量正常,否则,表示所述网络的流量异常。
结合第三方面的第三种可能的实现方式,在第四种可能的实现方式中,在所述数据处理模块判断所述差值是否在预设的正常差值区间以内之前,
所述数据处理模块,还用于确定出所有历史时刻中每个历史时刻的预估流量与实际流量的历史差值;根据所有的所述历史差值,确定出所述正常差值区间。
结合第三方面的第四种可能的实现方式,在第五种可能的实现方式中,
所述数据处理模块,用于确定出所有的所述历史差值的均值,以及确定出所有的所述历史差值的标准差;获得所述均值与预设倍数的所述标准差相减的差值,以及获得所述均值与预设倍数的所述标准差相加的和值,其中,所述差值为所述正常差值区间的最小值,所述和值为所述正常差值区间的最大值。
结合第三方面,在第六种可能的实现方式中,在所述数据处理模块通过预设的流量预估模型处理所述多个历史流量之前,
所述数据采集模块,还用于获取所述网络中多个时刻的实际流量;
所述数据处理模块,还用于将所述多个时刻的实际流量中的异常流量筛除,获得筛除后的实际流量;利用所述筛除后的实际流量训练预设的逻辑回归网络,获得所述流量预估模型。
第四方面,本申请实施例提供了一种模型的训练装置,所述装置包括:
数据获取模块,用于获取网络中多个时刻的实际流量;
数据处理模块,用于将所述实际流量转换成所述实际流量所在的流量区间对应的一个数值;利用预设的流量预估模型处理所述数值,预估出在所述多个时刻的下一个时刻的预估流量;利用所述预估流量和所述下一个时刻的实际流量,训练所述流量预估模型。
结合第四方面,在第一种可能的实现方式中,
所述数据处理模块,用于将所述数值独热编码成对应的一段编码;利用所述流量预估模型处理所述编码,预估出所述预估流量。
结合第四方面,在第二种可能的实现方式中,
所述数据处理模块,用于将所述实际流量中的异常流量筛除,获得筛除后的实际流量;将所述筛除后的实际流量换成所述筛除后的实际流量所在的流量区间对应的一个数值。
第五方面,本申请实施例提供了一种具有计算机可执行的非易失程序代码的计算机可读存储介质,所述程序代码使所述计算机执行如第一方面或第一方面的任一种可能的实现方式所述的流量的监控方法。
第六方面,本申请实施例提供了一种电子设备,包括:数据接口、存储器、与所述存储器连接的处理器;
所述存储器,用于存储程序;
所述处理器,用于调用并运行所述程序,以对所述数据接口采集到的实际流量执行如第一方面、第一方面的任一种可能的实现方式所述的流量的监控方法、第二方面或第二方面的任一种可能的实现方式所述的模型的训练方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种流量的监控方法的第一流程图;
图2为本申请实施例提供的一种流量的监控方法的第二流程图;
图3为本申请实施例提供的一种流量的监控方法的应用场景图;
图4为本申请实施例提供的一种电子设备的结构框图;
图5为本申请实施例提供的一种流量的监控装置的结构框图;
图6为本申请实施例提供的一种模型的训练装置的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请实施例提供了一种流量的监控方法,该流量的监控方法可以由电子设备来执行,该电子设备可以是终端或者服务器,其中,终端可以是个人电脑(personalcomputer,PC)、平板电脑、智能手机、个人数字助理(personal digital assistant,PDA)等;服务器可以为网络服务器、数据库服务器、云服务器或由多个子服务器构成的服务器集成等。
本实施例中,电子设备可以连接到需要进行流量监控的网络中,其中,网络可以是局域网(Local Area Network,LAN)例如某个企业或园区内部网络,或者也可以是连接多个局域网的广域网(Wide Area Network,WAN)。通过接入网络,电子设备可以采集网络中的流量,其中,流量可以是网络中某个设备的访问量、某个设备的响应量或者某条线路上的数据量大小等。
在实际使用前,电子设备可以大量采集网络在各时间的流量作为训练样本,以通过训练样本来训练流量预估模型。当流量预估模型训练完成之后,可以投入实际使用。在实际使用中,电子设备可以利用历史采集的多个历史流量去预估将来某个预估时刻的预估流量。而当在预估时刻采集到实际流量后,电子设备通过分析预估流量和实际流量的差异,便可以确定该实际流量是否异常。
下面将分别从实际使用前模型训练的角度,以及实际使用中模型使用的角度详细说明本申请的技术方案。
请参阅图1,在训练过程中,本申请实施例提供的一种模型的训练方法、的流程可以包括:
步骤S100:获取网络中多个时刻的实际流量。
步骤S200:利用预设的流量预估模型处理实际流量,预估出在多个时刻的下一个时刻的预估流量。
步骤S300:利用预估流量和下一个时刻的实际流量,训练流量预估模型。
下面将结合示例依次说明上述流程。
步骤S100:获取所述网络中多个时刻的实际流量。
在网络投入实际使用后,电子设备可以持续性例如周期性的采集网络在每个时刻的实际流量作为训练的样本。其中,由于流量的变化速度较快,因此采集的周期性不应该太长,例如电子设备可以以分钟为单位,采集网络在X年X月X日3点10分的实际流量、在X年X月X日3点11分的实际流量、以及在X年X月X日3点12分的实际流量并以此类推。
本实施例中,为提高训练效果,训练的样本数量应当尽量的多,即电子设备需要获取更多时刻的实际流量来用于训练,例如电子设备获取5000个时刻的5000实际流量来用于训练、或者获取10000个时刻的10000实际流量来用于训练、甚至是获取100000个时刻的100000实际流量来用于训练。
采集到多个时刻的实际流量后,电子设备可以进一步执行步骤S200。
步骤S200:利用预设的流量预估模型处理实际流量,预估出在多个时刻的下一个时刻的预估流量。
一方面,可以利用构成训练样本中的实际流量直接对模型进行训练。另一方面,在构成训练样本中的实际流量中,可能存在异常流量。若将这些异常流量也用于模型的训练,会极大的影响模型的训练效果。因此,为确保训练出的模型在实际应用中具有较高的预估准确性,在训练前可以先将训练样本中的异常流量筛除,再利用筛除后的实际流量对模型进行训练。
可以理解到,由于实际的流量预估是利用多个历史时刻的历史流量去预估某一个预估时刻的预估流量。换言之,对模型的训练则是不断重复此过程,即每一次的训练过程都是将前几个时刻的多个实际流量作为一组训练数据输入模型,然后模型预估出下一个时刻的预估流量后,再利用预估流量和下一个时刻的实际流量对模型进行优化。因此,要实现异常流量的筛除,则需要一组为单位进行筛除。若一组训练数据的多个实际流量中有某一个流量为异常流量,则需要将这一组训练数据筛除。
作为将异常流量筛除的一种可选方式,电子设备可以先将训练样本中的所有实际流量按时间的先后顺序分成多组训练数据,每组训练数据中可以包含时间连续的10-50个实际流量。
下面通过一个示例来说明:
假设:所有实际流量按时间由先到后依次包括:实际流量C0、实际流量C1、实际流量C2、实际流量C3、实际流量C4、实际流量C5、实际流量C6、实际流量C7、实际流量C8、实际流量C9、实际流量C10、实际流量C11、实际流量C12、实际流量C13、实际流量C14、实际流量C15。
电子设备可以将其分成五组,其分别是:
组A:实际流量C0、实际流量C1、实际流量C2。
组B:实际流量C3、实际流量C4、实际流量C5。
组C:实际流量C6、实际流量C7、实际流量C8。
组D:实际流量C9、实际流量C10、实际流量C11。
组E:实际流量C12、实际流量C13、实际流量C14。
电子设备可以确定出每组训练数据中多个实际流量的分布均值,以及确定出每组训练数据中多个实际流量的标准差。然后,电子设备根据每组训练数据的分布均值和标准差,可以确定出每组训练数据的特征值。例如,电子设备确定出每组训练数据的分布均值和标准差的差值,再确定出差值与一个预设数值的商值,该商值则作为该组训练数据的特征值,其中,预设数值可以大于1,通过确定差值与预设数值的商可以缩小确定出的特征值的大小,降低设备的计算量。电子设备确定出每组训练数据的特征值,电子设备可以通过将每组训练数据的特征值与相邻的连续几组训练数据的特征值比较,以确定每组训练数据的特征值是否异常。例如,电子设备可以判断每组训练数据的特征值是否比相邻的连续3组训练数据的特征值都高出3倍,若高出,说明该组训练数据中包含异常流量,从而将该组训练数据筛除,反之,说明该组训练数据正常。
继续前述示例:
电子设备可以判断组A的特征值是否比组B、组C和组D特征值都大出3倍,判断组B的特征值是否比组A、组C和组D特征值都大出3倍,判断组C的特征值是否比组A、组B和组D特征值都大出3倍,判断组D的特征值是否比组B、组C和组E特征值都大出3倍,判断以及组E的特征值是否比组B、组C和组D特征值都大出3倍。
若电子设备通过判断确定出组A的特征值是否比组B、组C和组D特征值都大出3倍,说明组A中包含异常流量,从而将组A筛除。筛除后的实际流量则为:组B、组C、组D和组E。
作为将异常流量筛除的另一种可选方式,电子设备也可以先将训练样本中的所有实际流量按时间的先后顺序分成多组训练数据,每组训练数据中可以包含时间连续的10-50个实际流量。并且,电子设备也确定出每组训练数据中多个实际流量的分布均值。电子设备可以将每组训练数据的分布均值与预设的最大均值或最小均值比较,若该组训练数据的分布均值大于最大均值或小于最小均值,说明该组训练数据中包含异常流量,从而将该组训练数据筛除,反之,说明该组训练数据正常。
在获得筛除后的实际流量后,电子设备便可以进行训练。
本实施例中,电子设备对模型每一次训练的过程都大致相同,为便于理解,本实施例以电子设备对模型进行某一次训练为例来进行说明。
作为训练的模型的第一种示例性方式,电子设备可以将一组训练数据中的多个实际流量输入到流量预估模型,其中,流量预估模型可以采用逻辑回归网络即Softmax网络,当然其也可以采用其它网络例如XXX网络,此外,流量预估模型的损失函数可以为如下式1所示:
电子设备利用流量预估模型处理该组训练数据,电子设备可以获得流量预估模型预估的下一个时刻的预估流量。
作为训练的模型的第二种示例性方式,电子设备还可以先按照预设构建的预处理规则对该组训练数据中的多个实际流量进行预处理,再将处理后的数据输入到流量预估模型。
其中,作为构建的预处理规则可选方式,电子设备可以从训练样本的所有实际流量中确定出最大值与最小值,并在最小值与最大值之间划分出相邻的多个流量区间。电子设备建立每个流量区间与一个数值的对应关系,其中,每个流量区间与一个数值的对应关系则为构建出的预处理规则,每个流量区间对应的一个数值可以小于与该流量区间相邻的下一个流量区间对应的一个数值。
基于该预处理规则,电子设备可以确定出该组训练数据中每个实际流量所在的流量区间,然后将该组训练数据中每个实际流量转换成该实际流量所在的流量区间对应的一个数值,从而每个组训练数据都变成了对应的多个数值。
电子设备利用流量预估模型处理该多个数值,电子设备可以获得流量预估模型预估的下一个时刻的预估流量。
需要说明的是,通过对流量预估模型的输出层进行设置,流量预估模型输出的预估流量可以是前述数值的形式或者也可以直接的流量大小的形式。若输出的预估流量可以是前述数值的形式,电子设备还可以将流量预估模型输出的数值反向转换成对应的流量大小例如将数值转换该数值所在区间的最大值、最小值或中间值等,从而获得预估流量的流量大小,便于更好的训练优化模型。当然,采用上述方式为本实施例例举的一种方式,其不作为本实施例的限定,例如本实施例也可以利用流量预估模型输出的数值直接对模型进行训练优化。
可以理解到,采用这种预处理方式可以将数据泛化,利用泛化的数据训练模型能够实现更好的训练效果。
下面继续对前述示例进行说明:
将组B、组C、组D和组E所包含的实际流量按由小到大的顺序排列,其排列顺序为:实际流量C6、实际流量C10、实际流量C11、实际流量C7、实际流量C3、实际流量C13、实际流量C4、实际流量C11、实际流量C5、实际流量C8、实际流量C9、实际流量C14、实际流量C12。
实际流量C6为数值为100,而实际流量C12的数值为260。将100-240这一区间等分成4个流量区间,其分别是:
流量区间A:[100,140);流量区间B:[140,180);流量区间C:[180,220);流量区间D:[220,260]。其中,流量区间A对应数值0、流量区间B对应数值1、流量区间C对应数值2、以及,流量区间D对应数值3。
进一步的,电子设备确定出实际流量C6、实际流量C10、实际流量C11和实际流量C7的数值大小在流量区间A内,那么,电子设备将实际流量C6、实际流量C10、实际流量C11和实际流量C7的数值大小全部转换成0。电子设备确定出实际流量C3和实际流量C13的数值大小在流量区间B内,那么,电子设备将实际流量C3和实际流量C13的数值大小全部转换成1。电子设备确定出实际流量C4、实际流量C11、实际流量C5、实际流量C8、实际流量C9的数值大小在流量区间C内,那么,电子设备将实际流量C4、实际流量C11、实际流量C5、实际流量C8、实际流量C9的数值大小全部转换成2。最后,电子设备确定出实际流量C14、实际流量C12的数值大小在流量区间D内,那么,电子设备将实际流量C14、实际流量C12的数值大小转换成3。
转换后,组B的数据为:1、2、2;组C的数据为:0、0、2;组D的数据为:2、0、2;组E的数据为:3、1、3。
电子设备可以利用流量预估模型处理1、2、2这组数据,预估出预估流量C6’。然后,电子设备利用流量预估模型处理0、0、2这组数据,预估出预估流量C9’。再者,电子设备利用流量预估模型处理2、0、2这组数据,预估出预估流量C12’。最后,电子设备再利用流量预估模型处理3、1、3这组数据,预估出预估流量C15’。
可以理解到,采用这种方式时,可以在合理的基础上尽可能多的划分流量区间,提高分割粒度,将数据分的更细,从而实现更好的训练效果。
作为训练的模型的第三种示例性方式,电子设备在将实际流量转换成对应数值的基础上,电子设备还可以对转换的数值进行独热编码,以进一步将数据泛化。
具体的,电子设备可以根据流量区间的数量,将每一个数值对应的独热编码成位数与流量区间的数量相同的一段编码。这样,一组训练数据变成了对应的多段编码。
电子设备利用流量预估模型处理该组训练数据的多段编码,电子设备可以获得流量预估模型预估的下一个时刻的预估流量。这样,电子设备通过梯度下降法处理该下一个时刻的预估流量和该下一个时刻的实际流量,便可以实现对流量预估模型的优化训练。
需要说明的是,通过对流量预估模型的输出层进行设置,流量预估模型输出的预估流量可以是前述数值的形式、前述的编码形式或者也可以直接的流量大小的形式。若输出的预估流量可以是前述数值或者编码的形式,电子设备还可以将流量预估模型输出的数值或者编码反向转换成对应的流量大小例如将数值转换该数值所在区间的最大值、最小值或中间值等,从而获得预估流量的流量大小,便于更好的训练优化模型。当然,采用上述方式为本实施例例举的一种方式,其不作为本实施例的限定,例如本实施例也可以利用流量预估模型输出的编码直接对模型进行训练优化,又例如本实施例还可以将利用流量预估模型输出的编码转换成对应的数值,并利用数值对模型进行训练优化。
可以理解到,采用这种预处理方式可以将数据进一步泛化,利用进一步泛化的数据训练模型能够进一步提高的训练效果。
值得注意的是,为便于流量预估模型处理该组训练数据的多段编码,流量预估模型的输入层的格式需要被配置成与该多段编码的格式匹配。例如,流量区间的数量为4,那么一段编码的位数是4位,若一组训练数据包含4段编码,那么该组训练数据的格式为1*4*4的向量。因此,流量预估模型的输入层的格式也应当为1*4*4。
下面继续对前述示例进行说明:
由于流量区间的数量为4个,在转换后组B的数据为:1、2、2;组C的数据为:0、0、2;组D的数据为:2、0、2;组E的数据为:3、1、3的基础上,电子设备可以将转换后组B的数据独热编码成:0001、0010、0010;将转换后组C的数据独热编码成:0100、0100、0010;将转换后组D的数据独热编码成:0010、0100、0010;以及,将转换后组E的数据独热编码成:1000、0001、1000。
电子设备可以利用流量预估模型处理000100100010这段编码,预估出预估流量C6’。然后,电子设备利用流量预估模型处理010001000010这段编码,预估出预估流量C9’。再者,电子设备利用流量预估模型处理001001000010这段编码,预估出预估流量C12’。最后,电子设备再利用流量预估模型处理100000011000这段编码,预估出预估流量C15’。
步骤S300:利用预估流量和下一个时刻的实际流量,训练流量预估模型。
在获得预估流量后,电子设备通过梯度下降法处理该下一个时刻的预估流量和该下一个时刻的实际流量,便可以实现对流量预估模型的优化训练。
继续对前述示例进行说明:
针对处理数值的方式:电子设备利用预估流量C6’和实际流量C6,便可以对流量预估模型进行优化。然后,电子设备利用预估流量C9’和实际流量C9,便可以继续对流量预估模型进行优化。再者,电子设备利用预估流量C12’和实际流量C12,便可以继续对流量预估模型进行优化。最后,电子设备利用预估流量C15’和实际流量C15,也继续对流量预估模型进行优化。
针对处理编码的方式:电子设备利用预估流量C6’和实际流量C6,便可以对流量预估模型进行优化。然后,电子设备利用预估流量C9’和实际流量C9,便可以继续对流量预估模型进行优化。再者,电子设备利用预估流量C12’和实际流量C12,便可以继续对流量预估模型进行优化。最后,电子设备利用预估流量C15’和实际流量C15,也继续对流量预估模型进行优化。
可以理解到,通过不断重复上述过程,当模型预估的预估流量的准确度达到阈值以上例如98%以上,或者当模型的训练次数达到阈值次数,便可以完成对模型的训练,而训练后的流量预估模型便可以投入实际应用。
请参阅图2,在实际应用中,本申请实施例提供的一种流量的监控方法的流程可以包括:
步骤S400:获取网络在多个历史时刻时的历史流量。
步骤S500:通过预设的流量预估模型处理历史流量,预估出网络在预估时刻时的预估流量。
步骤S600:在预估时刻时,获取网络的实际流量。
步骤S700:根据实际流量与预估流量,确定网络的流量是否异常。
下面将依次对上述流程进行详细说明。
步骤S400:获取网络在多个历史时刻时的历史流量。
电子设备每一次采集到网络中的实际流量后,电子设备可以将该实际流量存储例如在内存中缓存一段时间;其中,为便于理解,被存储的实际流量可以理解为历史流量;此外,缓存的时间段需要满足电子设备在使用该缓存的历史流量进行预估时,该历史流量还未从内存中擦除。
在当前时刻到达预测时间点而需要对下一个预估时刻的流量预测时,电子设备可以从内存中获取预测时间点之前的多个历史时刻的历史流量。
步骤S500:通过预设的流量预估模型处理历史流量,预估出网络在预估时刻时的预估流量。
本实施例中,若电子设备采用前述的第一种示例性方式训练,那么电子设备可以直接将多个历史流量输入到流量预估模型进行处理,从而获得流量预估模型输出的网络在预估时刻时的预估流量。
若电子设备采用前述的第二种示例性方式训练,电子设备可以先将每个历史流量转换成该历史流量所在的流量区间对应的一个数值。然后再利用流量预估模型处理该多个数值,从而获得流量预估模型输出的网络在预估时刻时的预估流量。
若电子设备采用前述的第三种示例性方式训练,电子设备在将每个历史流量转换成该历史流量所在的流量区间对应的一个数值的基础上,电子设备还将每段数值独热编码成对应的一段编码。然后再利用流量预估模型处理该多段编码,从而获得流量预估模型输出的网络在预估时刻时的预估流量。
步骤S600:在预估时刻时,获取网络的实际流量。
随着电子设备继续对网络中的流量进行监控,在当前时刻到达预估时刻时,电子设备可以采集到网络在预估时刻时的实际流量。
步骤S700:根据实际流量与预估流量,确定网络的流量是否异常。
基于采集到的预估时刻的实际流量和预估时刻的预估流量,电子设备可以确定出该实际流量与该预估流量的差值。电子设备可以利用该差值来确定出网络在预估时刻的实际流量是否异常。
作为确定在预估时刻的实际流量是否异常的一种示例性方式,电子设备可以预设一个正常差值区间,并判断该差值是否在正常差值区间内;若在,表示网络在预估时刻的实际流量正常;反之,则表示网络在预估时刻的实际流量异常,电子设备可以进行异常流量告警。
作为确定在预估时刻的实际流量是否异常的另一种示例性方式,电子设备可以动态的确定出正常差值区间。
可选的,电子设备可以获取当前存储的所有历史时刻的预估流量,以及所有历史时刻的预估流量。电子设备确定出该所有历史时刻中,每个历史时刻的预估流量与实际流量的历史差值,获得所有的历史差值。电子设备可以确定出所有的历史差值的均值,以及确定出所有的历史差值的标准差。在此基础上,电子设备还可以确定出该均值与预设倍数例如3倍的标准差相减的差值,以及确定出该均值与预设倍数例如3倍的标准差相加的和值,该相减的差值为该正常差值区间的最小值,该相加的和值则为正常差值区间的最大值,因而实现动态确定出正常差值区间。
可以理解到,采用3倍的标准差进行计算是基于3-sigma准则,其可以使得确定出正常差值区间的范围更准确。
最后,电子设备也判断该预估时刻的实际流量和预估流量的差值是否在该动态确定的正常差值区间内;若在,表示网络在预估时刻的实际流量正常;反之,则表示网络在预估时刻的实际流量异常,电子设备可以进行异常流量告警。
在实际应用中,电子设备对流量的预测和实际采集的数值曲线可以如图3所示。根据图3所示,若真实的流量突然小于正常差值区间的下限,说明该真实的流量出现了异常。
请参阅图4,基于同一发明构思,本申请实施例提供了一种电子设备10,该电子设备10可以包括连接到网络的数据接口11、用于执行程序指令的一个或多个处理器12、总线13、和不同形式的存储器14,例如,磁盘、ROM、或RAM,或其任意组合。示例性地,计算机平台还可以包括存储在ROM、RAM、或其他类型的非暂时性存储介质、或其任意组合中的程序指令。
存储器14用于存储程序,处理器12用于调用并运行存储器14中的程序,以对数据接口11采集到的实际流量执行前述的流量的监控方法或模型的训练方法。
请参阅图5,基于同一发明构思,本申请实施例提供了一种流量的监控装置100,该流量的监控装置100应用于电子设备,该流量的监控装置100包括:
数据采集模块110,用于获取网络在多个历史时刻时的历史流量。
数据处理模块120,用于将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值;通过预设的流量预估模型处理所述数值,预估出所述网络在预估时刻时的预估流量;在所述预估时刻时,获取所述网络的实际流量;根据所述实际流量与所述预估流量,确定所述网络的流量是否异常。
请参阅图6,基于同一发明构思,本申请实施例提供了一种模型的训练装置200,该流量的监控装置200应用于电子设备,该模型的训练装200包括:
数据获取模块210,用于获取网络中多个时刻的实际流量。
数据处理模块220,用于将所述实际流量转换成所述实际流量所在的流量区间对应的一个数值;利用预设的流量预估模型处理所述数值,预估出在所述多个时刻的下一个时刻的预估流量;利用所述预估流量和所述下一个时刻的实际流量,训练所述流量预估模型。
需要说明的是,由于所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请一些实施例还提供了一种计算机可执行的非易失的程序代码的计算机可读储存介质,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该计算机可读存储介质上存储有程序代码,该程序代码被计算机运行时执行上述任一实施方式的流量的监控方法的步骤。
本申请实施例所提供的流量的监控方法的程序代码产品,包括存储了程序代码的计算机可读存储介质,程序代码包括的指令可用于执行前面方法实施例中的方法,具体实现可参见方法实施例,在此不再赘述。
综上所述,本申请实施例提供了一种流量的监控方法、模型的训练方法、装置及存储介质。通过将流量转换成该流量所在的流量区间对应的一个数值,可实现数据的泛化。流量预估模型通过处理被泛化的数据,可以准确的预测出结果,以实现通过预估准确的确定出流量是否异常。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (11)
1.一种流量的监控方法,其特征在于,所述方法包括:
获取网络在多个历史时刻时的历史流量;
将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值;
通过预设的流量预估模型处理所述数值,预估出所述网络在预估时刻时的预估流量;
在所述预估时刻时,获取所述网络的实际流量;
根据所述实际流量与所述预估流量,确定所述网络的流量是否异常;
其中,在将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值之前,所述方法还包括:确定出所述网络的所有实际流量中的最大值与最小值;在所述最小值与所述最大值之间,划分出相邻的多个流量区间;建立每个所述流量区间与一个数值的对应关系,其中,每个所述流量区间对应的一个数值小于与该流量区间相邻的下一个流量区间对应的一个数值。
2.根据权利要求1所述的流量的监控方法,其特征在于,通过预设的流量预估模型处理所述数值,预估出所述网络在预估时刻时的预估流量,包括:
将所述数值独热编码成对应的一段编码;
通过所述流量预估模型处理所述编码,预估出所述预估流量。
3.根据权利要求1所述的流量的监控方法,其特征在于,根据所述实际流量与所述预估流量,确定所述网络的流量是否异常,包括:
确定出所述实际流量与所述预估流量的差值;
判断所述差值是否在预设的正常差值区间以内,其中,所述差值在所述正常差值区间以内表示所述网络的流量正常,否则,表示所述网络的流量异常。
4.根据权利要求3所述的流量的监控方法,其特征在于,在判断所述差值是否在预设的正常差值区间以内之前,所述方法还包括:
确定出所有历史时刻中每个历史时刻的预估流量与实际流量的历史差值;
根据所有的所述历史差值,确定出所述正常差值区间。
5.根据权利要求4所述的流量的监控方法,其特征在于,根据所有的所述历史差值,确定出所述正常差值区间,包括:
确定出所有的所述历史差值的均值,以及确定出所有的所述历史差值的标准差;
获得所述均值与预设倍数的所述标准差的差值,以及获得所述均值与预设倍数的所述标准差的和值,其中,所述差值为所述正常差值区间的最小值,所述和值为所述正常差值区间的最大值。
6.一种模型的训练方法,其特征在于,所述方法包括:
获取网络中多个时刻的实际流量,以及将所述实际流量转换成所述实际流量所在的流量区间对应的一个数值;
利用预设的流量预估模型处理所述数值,预估出在所述多个时刻的下一个时刻的预估流量;
利用所述预估流量和所述下一个时刻的实际流量,训练所述流量预估模型;
其中,在所述将所述实际流量转换成所述实际流量所在的流量区间对应的一个数值之前,所述方法还包括:确定出所述网络的所有实际流量中的最大值与最小值;在所述最小值与所述最大值之间,划分出相邻的多个流量区间;建立每个所述流量区间与一个数值的对应关系,其中,每个所述流量区间对应的一个数值小于与该流量区间相邻的下一个流量区间对应的一个数值。
7.根据权利要求6所述的模型的训练方法,其特征在于,利用预设的流量预估模型处理所述数值,预估出在所述多个时刻的下一个时刻的预估流量,包括:
将所述数值独热编码成对应的一段编码;
利用所述流量预估模型处理所述编码,预估出所述预估流量。
8.根据权利要求6所述的模型的训练方法,其特征在于,将所述实际流量转换成所述实际流量所在的流量区间对应的一个数值,包括:
将所述实际流量中的异常流量筛除,获得筛除后的实际流量;
将所述筛除后的实际流量换成所述筛除后的实际流量所在的流量区间对应的一个数值。
9.一种流量的监控装置,其特征在于,所述装置包括:
数据采集模块,用于获取网络在多个历史时刻时的历史流量;
数据处理模块,用于将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值;通过预设的流量预估模型处理所述数值,预估出所述网络在预估时刻时的预估流量;在所述预估时刻时,获取所述网络的实际流量;根据所述实际流量与所述预估流量,确定所述网络的流量是否异常;
所述数据处理模块还用于在将所述历史流量转换成所述历史流量所在的流量区间对应的一个数值之前,确定出所述网络的所有实际流量中的最大值与最小值;在所述最小值与所述最大值之间,划分出相邻的多个流量区间;建立每个所述流量区间与一个数值的对应关系,其中,每个所述流量区间对应的一个数值小于与该流量区间相邻的下一个流量区间对应的一个数值。
10.一种模型的训练装置,其特征在于,所述装置包括:
数据获取模块,用于获取网络中多个时刻的实际流量;
数据处理模块,用于将所述实际流量转换成所述实际流量所在的流量区间对应的一个数值;利用预设的流量预估模型处理所述数值,预估出在所述多个时刻的下一个时刻的预估流量;利用所述预估流量和所述下一个时刻的实际流量,训练所述流量预估模型;
其中,所述数据处理模块还用于在所述将所述实际流量转换成所述实际流量所在的流量区间对应的一个数值之前,确定出所述网络的所有实际流量中的最大值与最小值;在所述最小值与所述最大值之间,划分出相邻的多个流量区间;建立每个所述流量区间与一个数值的对应关系,其中,每个所述流量区间对应的一个数值小于与该流量区间相邻的下一个流量区间对应的一个数值。
11.一种具有计算机可执行的非易失程序代码的计算机可读存储介质,其特征在于,所述程序代码使所述计算机执行如权利要求1-5任一权项所述的流量的监控方法或者执行如权利要求6-8任一权项所述的模型的训练方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911153175.5A CN110839040B (zh) | 2019-11-20 | 2019-11-20 | 一种流量的监控方法、模型的训练方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911153175.5A CN110839040B (zh) | 2019-11-20 | 2019-11-20 | 一种流量的监控方法、模型的训练方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110839040A CN110839040A (zh) | 2020-02-25 |
| CN110839040B true CN110839040B (zh) | 2021-12-14 |
Family
ID=69576969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911153175.5A Active CN110839040B (zh) | 2019-11-20 | 2019-11-20 | 一种流量的监控方法、模型的训练方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110839040B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114095194A (zh) * | 2020-08-24 | 2022-02-25 | 北京天元创新科技有限公司 | 异常流量检测方法及装置 |
| CN114258055A (zh) * | 2020-09-10 | 2022-03-29 | 中兴通讯股份有限公司 | 流量模式确定方法、电子设备及存储介质 |
| CN113467525A (zh) * | 2021-07-28 | 2021-10-01 | 中国银行股份有限公司 | 接口调用流量控制方法及装置 |
| CN113556253B (zh) * | 2021-07-30 | 2023-05-26 | 济南浪潮数据技术有限公司 | 预测交换机端口实时流量的方法、系统、设备和存储介质 |
| CN115470936B (zh) * | 2022-09-23 | 2023-06-06 | 广州爱浦路网络技术有限公司 | 一种基于nwdaf的机器学习模型更新方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108089962A (zh) * | 2017-11-13 | 2018-05-29 | 北京奇艺世纪科技有限公司 | 一种异常检测方法、装置及电子设备 |
| CN109873712A (zh) * | 2018-05-18 | 2019-06-11 | 新华三信息安全技术有限公司 | 一种网络流量预测方法及装置 |
| CN110334083A (zh) * | 2019-04-17 | 2019-10-15 | 厦门网宿有限公司 | 一种时间序列异常值检测方法及装置 |
| CN110381524A (zh) * | 2019-07-15 | 2019-10-25 | 安徽理工大学 | 基于Bi-LSTM的大场景移动流量在线预测方法、系统及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101621019B1 (ko) * | 2015-01-28 | 2016-05-13 | 한국인터넷진흥원 | 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법 |
-
2019
- 2019-11-20 CN CN201911153175.5A patent/CN110839040B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108089962A (zh) * | 2017-11-13 | 2018-05-29 | 北京奇艺世纪科技有限公司 | 一种异常检测方法、装置及电子设备 |
| CN109873712A (zh) * | 2018-05-18 | 2019-06-11 | 新华三信息安全技术有限公司 | 一种网络流量预测方法及装置 |
| CN110334083A (zh) * | 2019-04-17 | 2019-10-15 | 厦门网宿有限公司 | 一种时间序列异常值检测方法及装置 |
| CN110381524A (zh) * | 2019-07-15 | 2019-10-25 | 安徽理工大学 | 基于Bi-LSTM的大场景移动流量在线预测方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110839040A (zh) | 2020-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110839040B (zh) | 一种流量的监控方法、模型的训练方法、装置及存储介质 | |
| US20190392252A1 (en) | Systems and methods for selecting a forecast model for analyzing time series data | |
| CN107888397B (zh) | 确定故障类型的方法和装置 | |
| CN101771758B (zh) | 一种性能指标值正常波动范围的动态确定方法及其装置 | |
| CN110798365B (zh) | 基于神经网络的流量预测方法及装置 | |
| CN110874744B (zh) | 一种数据异常检测方法及装置 | |
| CN111368980A (zh) | 状态检测方法、装置、设备及存储介质 | |
| CN112787878B (zh) | 一种网络指标的预测方法及电子设备 | |
| CN109905271B (zh) | 一种预测方法、训练方法、装置及计算机存储介质 | |
| CN111262750B (zh) | 一种用于评估基线模型的方法及系统 | |
| EP3923517A1 (en) | System and method for predicting and handling short-term overflow | |
| Sun et al. | Reliability modeling of infrastructure load-sharing systems with workload adjustment | |
| CN112421770A (zh) | 一种配电自动化系统的自动辅助巡检方法及系统 | |
| CN104866922A (zh) | 一种用户离网的预测方法及装置 | |
| CN117041017A (zh) | 数据中心的智能运维管理方法及系统 | |
| CN114338351B (zh) | 网络异常根因确定方法、装置、计算机设备及存储介质 | |
| CN117076258A (zh) | 一种基于互联网云端的远程监控方法及系统 | |
| CN111078503B (zh) | 一种异常监控方法及系统 | |
| KR101960755B1 (ko) | 미취득 전력 데이터 생성 방법 및 장치 | |
| CN114938339B (zh) | 一种数据处理方法和相关装置 | |
| CN110764975B (zh) | 设备性能的预警方法、装置及监控设备 | |
| CN116842440A (zh) | 基于情境感知的自适应链路切换方法及系统、设备、介质 | |
| CN115221471B (zh) | 一种异常数据的识别方法、装置、存储介质及计算机设备 | |
| CN110633971A (zh) | 资损估计方法以及装置 | |
| CN110705780A (zh) | 一种基于智能算法的it性能指标预测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |