CN112788022B - 流量异常检测方法、装置、存储介质及处理器 - Google Patents
流量异常检测方法、装置、存储介质及处理器 Download PDFInfo
- Publication number
- CN112788022B CN112788022B CN202011640745.6A CN202011640745A CN112788022B CN 112788022 B CN112788022 B CN 112788022B CN 202011640745 A CN202011640745 A CN 202011640745A CN 112788022 B CN112788022 B CN 112788022B
- Authority
- CN
- China
- Prior art keywords
- flow
- value
- data
- predicted value
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种流量异常检测方法、装置、存储介质及处理器。该方法包括:通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台;通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录;根据流量历史记录确定第一预测值和第二预测值;采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常。通过本申请,解决了相关技术中难以准确确定当前时刻的流量观测值是否异常的问题。
Description
技术领域
本申请涉及数据监测领域,具体而言,涉及一种流量异常检测方法、装置、存储介质及处理器。
背景技术
流量,是系统的黄金指标之一,它直观反映用户网络的运行状态。健康的网络流量通常平稳波动变化,当流量突然上涨或者下降时可能预示用户网络存在故障。例如外部网络链路出现故障时,外部用户的访问流量无法到达用户的内网,流量会出现突降异常。当内网服务器出现问题无法响应用户的请求时,此时的流量同样会出现突降异常。除了导致流量突降类的故障,当内网服务器被爬虫爬取或者攻击时,流量会出现突升异常。所以流量的突升、突降常常表示用户网络中发生了某种故障或者异常行为。因此,流量异常检测对发现网络故障、维护内部网络的稳定性十分重要。
经典的流量异常监测方法是基于阈值基线的检测方法,这种方法通过对历史数据的分析建立正常的参考基线范围,一旦超出此范围就判断为异常,它的特点是简单、计算复杂度小,适用于实时检测,现有技术基于阈值基线的检测方法作为一种实用的检测手段时,需要结合网络流量自身的特点进行修正和改进。但是,目前现有技术的阈值基线的检测方法一般采用传统线性回归算法计算阈值基线,忽略了流量本身的周期性特征。
针对相关技术中难以准确确定当前时刻的流量观测值是否异常的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种流量异常检测方法、装置、存储介质及处理器,以解决相关技术中难以准确确定当前时刻的流量观测值是否异常的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种流量异常检测方法。该方法包括:通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台;通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录;根据流量历史记录确定第一预测值和第二预测值;采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常。
进一步地,根据流量历史记录确定第一预测值和第二预测值包括:在流量历史记录中选取预设时间内流量时间粒度的历史记录值;采用鲁棒回归算法和历史记录值对短期流量进行预测,得到第一预测值;采用ARIMA算法和历史记录值对流量趋势性进行预测,得到第二预测值。
进一步地,采用ARIMA算法和历史记录值对流量趋势性进行预测,得到第二预测值包括:根据流量历史记录确定原始流量曲线;对原始流量曲线使用加法模型进行分解,确定流量趋势性数据;采用ARIMA算法和流量趋势性数据进行预测,得到第二预测值。
进一步地,采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常包括:基于第一预测值确定第一预设阈值以及基于第二预测值确定第二预设阈值;通过泊松分布检测方法基于第一预设阈值和第二预设阈值,确定当前时刻的流量观测值是否异常。
进一步地,通过泊松分布检测方法基于第一预设阈值和第二预设阈值,确定当前时刻的流量观测值是否异常包括:若通过泊松分布检测方法基于第一预设阈值检验当前时刻的流量观测值异常,并且通过泊松分布检测方法基于第二预设阈值检验当前时刻的流量观测值异常;则确定当前时刻的流量观测值异常,并触发告警信息。
进一步地,将流量数据发送给数据分析平台包括:将流量数据的格式转换为Netflow的格式;将Netflow的格式的流量数据发送至数据分析平台。
进一步地,数据分析平台对外开放固定的端口用于接收Netflow格式的流量数据。
为了实现上述目的,根据本申请的另一方面,提供了一种流量异常检测装置。该装置包括:第一获取单元,用于通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台;第一生成单元,用于通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录;第一确定单元,用于根据流量历史记录确定第一预测值和第二预测值;第二确定单元,用于采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常。
进一步地,第一确定单元还包括:第一选取模块,用于在流量历史记录中选取预设时间内流量时间粒度的历史记录值;第一预测模块,用于采用鲁棒回归算法和历史记录值对短期流量进行预测,得到第一预测值;第二预测模块,用于采用ARIMA算法和历史记录值对流量趋势性进行预测,得到第二预测值。
进一步地,第二预测模块还包括:第一确定子模块,用于根据流量历史记录确定原始流量曲线;第二确定子模块,用于对原始流量曲线使用加法模型进行分解,确定流量趋势性数据;第一预测子模块,用于采用ARIMA算法和流量趋势性数据进行预测,得到第二预测值。
进一步地,第二确定单元还包括:第一确定模块,用于基于第一预测值确定第一预设阈值以及基于第二预测值确定第二预设阈值;第二确定模块,用于通过泊松分布检测方法基于第一预设阈值和第二预设阈值,确定当前时刻的流量观测值是否异常。
进一步地,第二确定模块还包括:第三确定子模块,用于若通过泊松分布检测方法基于第一预设阈值检验当前时刻的流量观测值异常,并且通过泊松分布检测方法基于第二预设阈值检验当前时刻的流量观测值异常;则确定当前时刻的流量观测值异常,并触发告警信息。
进一步地,第一获取单元还包括:第一转换模块,用于将流量数据的格式转换为Netflow的格式;第一发送模块,用于将Netflow的格式的流量数据发送至数据分析平台。
进一步地,数据分析平台对外开放固定的端口用于接收Netflow格式的流量数据。
通过本申请,采用以下步骤:通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台;通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录;根据流量历史记录确定第一预测值和第二预测值;采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常,解决了难以准确确定当前时刻的流量观测值是否异常的问题。本申请通过流量历史记录确定流量第一预测值和第二预测值,以及用泊松分布检测方法结合第一预测值和第二预测值进行分析,基于预测值进行参考并确定当前时刻的流量观测值是否异常,进而达到了能够准确检测当前时刻的流量观测值是否异常的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的流量异常检测方法的流程图。
图2是根据本申请实施例提供的可选的流量异常检测方法的示意图。
图3是根据本申请实施例提供的原始真实流量曲线及分解示意图。
图4是根据本申请实施例提供的流量异常检测装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于描述,以下对本申请实施例涉及的部分名词或术语进行说明:
Netflow:在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。
加法模型:季节分解加法模型,将原始流量时间序列分解为趋势因素、季节性因素以及不规则因素的叠加。
ARIMA模型:(Autoregressive Integrated Moving Average model),差分整合移动平均自回归模型,是时间序列预测分析方法之一。
流处理技术:针对流式数据的分布式、高可用、低时延,具有自身容错性的实时计算技术。通过提取和分析各种分布式系统的信息,解决企业监控和管理的各种问题。
鲁棒性:也即稳健性,指预测算法对异常点的抗干扰能力。
根据本申请的实施例,提供了一种流量异常检测方法。
图1是根据本申请实施例的流量异常检测方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台。
流量探针直接部署在用户网络中,采集到的流量数据经过Netflow格式转换后。并将实时采集流量信息发送给数据分析平台。
需要说明的是,本申请使用流量探针方式采集流量信息数据并上传至分析平台,实际应用中采集方式不受限制,任意数据源都可以上送自己的流量信息进行实时分析。
可选地,在本申请实施例提供的流量异常检测方法中,将流量数据发送给数据分析平台包括:将流量数据的格式转换为Netflow的格式;将Netflow的格式的流量数据发送至数据分析平台。
流量数据信息经过Netflow格式转换后具有共同的格式,采用Netflow作为数据源使得数据平台能够接收并分析来自任意数据源的流量数据。检测粒度更加精细,能达到近实时的检测效果,当检测出现流量值异常时,用户能够及时采取防护措施并且通过Netflow日志进行追踪并回溯。
可选地,在本申请实施例提供的流量异常检测方法中,数据分析平台对外开放固定的端口用于接收Netflow格式的流量数据。
具体的,数据分析平台开放固定的端口接收到Netflow格式的流量数据后,需要对Netflow格式流量数据进行解析处理,并得到解析后的流量数据。
步骤S102,通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录。
如图2所示,数据分析平台得到解析处理后Netflow的格式数据后,按照指定时间粒度生成流量历史记录。
具体的,数据分析平台基于流处理技术,将解析完成的Netflow格式流量数据,按照预设的时间粒度进行流量数据的统计并缓存。例如,流量数据流时间粒度配置为5min。数据分析平台根据配置好的时间粒度进行汇总并存储。
步骤S103,根据流量历史记录确定第一预测值和第二预测值。
上述的第一预测值为短期流量预测值,第二预测值为长期流量预测值。
具体地,根据生成的流量历史记录中选取预设时间内的流量时间粒度,分别对采集的短期时间内以及长期时间内的流量值进行预测。例如,短期时间段按照步骤S102设置的时间粒度进行取值,依据数据流量5min时间粒度为一个时间点,本申请选取10个点进行短期预测。基于短期预测,长期预测时间可以设置为一周,也可以设置为一个月,在本申请中不作限定。
可选地,在本申请实施例提供的流量异常检测方法中,根据流量历史记录确定第一预测值和第二预测值包括:在流量历史记录中选取预设时间内流量时间粒度的历史记录值;采用鲁棒回归算法和历史记录值对短期流量进行预测,得到第一预测值;采用ARIMA算法和历史记录值对流量趋势性进行预测,得到第二预测值。
具体的,由于短期流量预测容易受流量异常点的影响,因此本申请采用鲁棒回归算法,使用迭代加权最小二乘法的优化方式,目的是在数据流量在预测过程中弱化突增、突降异常点的影响,通过计算下一个时间点预测值,得到第一预测值。流量的长期预测采用ARIMA算法和历史记录值对流量趋势性进行预测,得到第二预测值。
通过上述方法可以准确的确定出短期流量预测值和长期流量预测值,从而保证后续基于短期流量预测值和长期流量预测值分析确定当前时刻的流量观测值是否异常。
可选地,在本申请实施例提供的流量异常检测方法中,采用ARIMA算法和历史记录值对流量趋势性进行预测,得到第二预测值包括:根据流量历史记录确定原始流量曲线;对原始流量曲线使用加法模型进行分解,确定流量趋势性数据;采用ARIMA算法和流量趋势性数据进行预测,得到第二预测值。
如图3所示,对原始流量曲线使用加法模型进行分解,得到流量周期性数据部分、趋势性部分(包括趋势性数据)以及残差剩余数据部分,也即原始流量曲线经过数据分析平台分解的数据部分叠加而来,也即根据流量历史记录确定原始流量曲线。
具体的,ARIMA算法将分解出流量趋势性数据进行ARIMA建模,预测下一天的流量趋势,并得到的趋势性数据部分与对应的周期性数据部分以及残差数据部分进行叠加,得到长期预测下的流量值,即得到第二预测值。
步骤S104,采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常。
本申请通过历史记录数据进行长期数据以及短期数据的预测,通过步骤S103得到的预测值,分别使用泊松分布基于长短期流量预测值进行流量异常检测。
可选地,在本申请实施例提供的流量异常检测方法中,采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常包括:基于第一预测值确定第一预设阈值以及基于第二预测值确定第二预设阈值;通过泊松分布检测方法基于第一预设阈值和第二预设阈值,确定当前时刻的流量观测值是否异常。
上述的第一预设阈值基于第一预测值进行设定,第二预设阈值基于第二预测值进行设定,也即第一预设阈值基于短期预测值进行设定,第二预设阈值基于长期预测值进行设定。基于第一预设阈值和第二预设阈值,可以准确确定当前时刻的流量观测值是否异常。
可选地,在本申请实施例提供的流量异常检测方法中,通过泊松分布检测方法基于第一预设阈值和第二预设阈值,确定当前时刻的流量观测值是否异常包括:若通过泊松分布检测方法基于第一预设阈值检验当前时刻的流量观测值异常,并且通过泊松分布检测方法基于第二预设阈值检验当前时刻的流量观测值异常;则确定当前时刻的流量观测值异常,并触发告警信息。
也就是说,泊松分布分别以短期预测值和长期预测值作为基准,分两次使用泊松分布检测算法对当前时刻的流量观测值进行检测,如果两次检测结果都怀疑当前时刻的流量观测值是异常点,那么就确定一个异常点,并触发告警信息。
具体的,设置一个概率阈值5%,当分别经过泊松分布检测方法计算出某个时刻的流量观测值出现的概率都小于5%,那么就认为这是一个可疑的异常点,并触发告警信息。
例如,短期预测值作为第一预设阈值基准进行当前时刻的流量值的泊松检验时,当前时刻的流量观测值出现概率小于5%,此时将该观测点记录下来,且长期预测值作为第二预设阈值基准进行当前时刻的流量值的泊松检验时,当前时刻的流量观测值出现概率仍旧小于5%,那么确定当前时刻的流量观测值异常,并触发告警信息。
综上,本申请实施例提供的流量异常检测方法,通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台;通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录;根据流量历史记录确定第一预测值和第二预测值;采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常,解决了难以准确确定当前时刻的流量观测值是否异常的问题。本申请通过流量历史记录确定流量第一预测值和第二预测值,以及用泊松分布检测方法结合第一预测值和第二预测值进行分析,基于预测值进行参考并确定当前时刻的流量观测值是否异常,进而达到了能够准确检测当前时刻的流量观测值是否异常的效果。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种流量异常检测装置,需要说明的是,本申请实施例的流量异常检测装置可以用于执行本申请实施例所提供的用于流量异常检测方法。以下对本申请实施例提供的流量异常检测装置进行介绍。
图4是根据本申请实施例的流量异常检测装置的示意图。如图4所示,该装置包括:第一获取单元401、第一生成单元402、第一确定单元403、第二确定单元404。
具体的,第一获取单元401,用于通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台;
第一生成单元402,用于通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录;
第一确定单元403,用于根据流量历史记录确定第一预测值和第二预测值;
第二确定单元404,用于采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常。
综上,本申请实施例提供的流量异常检测装置,通过第一获取单元401通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台;第一生成单元402通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录;第一确定单元403根据流量历史记录确定第一预测值和第二预测值;第二确定单元404采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常,解决了难以准确确定当前时刻的流量观测值是否异常的问题。本申请通过流量历史记录确定流量第一预测值和第二预测值,以及用泊松分布检测方法结合第一预测值和第二预测值进行分析,基于预测值进行参考并确定当前时刻的流量观测值是否异常,进而达到了能够准确检测当前时刻的流量观测值是否异常的效果。
可选地,在本申请实施例提供的流量异常检测装置中,第一确定单元403还包括:第一选取模块,用于在流量历史记录中选取预设时间内流量时间粒度的历史记录值;第一预测模块,用于采用鲁棒回归算法和历史记录值对短期流量进行预测,得到第一预测值;第二预测模块,用于采用ARIMA算法和历史记录值对流量趋势性进行预测,得到第二预测值。
可选地,在本申请实施例提供的流量异常检测装置中,第二预测模块还包括:第一确定子模块,用于根据流量历史记录确定原始流量曲线;第二确定子模块,用于对原始流量曲线使用加法模型进行分解,确定流量趋势性数据;第一预测子模块,用于采用ARIMA算法和流量趋势性数据进行预测,得到第二预测值。
可选地,在本申请实施例提供的流量异常检测装置中,第二确定单元404还包括:第一确定模块,用于基于第一预测值确定第一预设阈值以及基于第二预测值确定第二预设阈值;第二确定模块,用于通过泊松分布检测方法基于第一预设阈值和第二预设阈值,确定当前时刻的流量观测值是否异常。
可选地,在本申请实施例提供的流量异常检测装置中,第二确定模块还包括:第三确定子模块,用于若通过泊松分布检测方法基于第一预设阈值检验当前时刻的流量观测值异常,并且通过泊松分布检测方法基于第二预设阈值检验当前时刻的流量观测值异常;则确定当前时刻的流量观测值异常,并触发告警信息。
可选地,在本申请实施例提供的流量异常检测装置中,第一获取单元401还包括:第一转换模块,用于将流量数据的格式转换为Netflow的格式;第一发送模块,用于将Netflow的格式的流量数据发送至数据分析平台。
可选地,在本申请实施例提供的流量异常检测装置中,数据分析平台对外开放固定的端口用于接收Netflow格式的流量数据。
流量异常检测装置包括处理器和存储器,上述的第一获取单元401、第一生成单元402、第一确定单元403、第二确定单元404等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来进行流量异常检测。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现流量异常检测方法。
本发明实施例提供了一种处理器,处理器用于运行程序,其中,程序运行时执行流量异常检测方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台;通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录;根据流量历史记录确定第一预测值和第二预测值;采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常。
处理器执行程序时还实现以下步骤:在流量历史记录中选取预设时间内流量时间粒度的历史记录值;采用鲁棒回归算法和历史记录值对短期流量进行预测,得到第一预测值;采用ARIMA算法和历史记录值对流量趋势性进行预测,得到第二预测值。
处理器执行程序时还实现以下步骤:根据流量历史记录确定原始流量曲线;对原始流量曲线使用加法模型进行分解,确定流量趋势性数据;采用ARIMA算法和流量趋势性数据进行预测,得到第二预测值。
处理器执行程序时还实现以下步骤:基于第一预测值确定第一预设阈值以及基于第二预测值确定第二预设阈值;通过泊松分布检测方法基于第一预设阈值和第二预设阈值,确定当前时刻的流量观测值是否异常。
处理器执行程序时还实现以下步骤:若通过泊松分布检测方法基于第一预设阈值检验当前时刻的流量观测值异常,并且通过泊松分布检测方法基于第二预设阈值检验当前时刻的流量观测值异常;则确定当前时刻的流量观测值异常,并触发告警信息。
处理器执行程序时还实现以下步骤:将流量数据的格式转换为Netflow的格式;将Netflow的格式的流量数据发送至数据分析平台。
处理器执行程序时还实现以下步骤:数据分析平台对外开放固定的端口用于接收Netflow格式的流量数据。
本文中的设备可以是服务器、PC等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:通过流量采集探针获取用户网络的流量数据,并将流量数据发送给数据分析平台;通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录;根据流量历史记录确定第一预测值和第二预测值;采用泊松分布检测方法结合第一预测值和第二预测值进行分析,确定当前时刻的流量观测值是否异常。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:在流量历史记录中选取预设时间内流量时间粒度的历史记录值;采用鲁棒回归算法和历史记录值对短期流量进行预测,得到第一预测值;采用ARIMA算法和历史记录值对流量趋势性进行预测,得到第二预测值。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:根据流量历史记录确定原始流量曲线;对原始流量曲线使用加法模型进行分解,确定流量趋势性数据;采用ARIMA算法和流量趋势性数据进行预测,得到第二预测值。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:基于第一预测值确定第一预设阈值以及基于第二预测值确定第二预设阈值;通过泊松分布检测方法基于第一预设阈值和第二预设阈值,确定当前时刻的流量观测值是否异常。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:若通过泊松分布检测方法基于第一预设阈值检验当前时刻的流量观测值异常,并且通过泊松分布检测方法基于第二预设阈值检验当前时刻的流量观测值异常;则确定当前时刻的流量观测值异常,并触发告警信息。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:将流量数据的格式转换为Netflow的格式;将Netflow的格式的流量数据发送至数据分析平台。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:数据分析平台对外开放固定的端口用于接收Netflow格式的流量数据。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (6)
1.一种流量异常检测方法,其特征在于,包括:
通过流量采集探针获取用户网络的流量数据,并将所述流量数据发送给数据分析平台;
通过所述数据分析平台将所述流量数据根据预设的时间粒度生成流量历史记录;
根据所述流量历史记录确定第一预测值和第二预测值;
采用泊松分布检测方法结合所述第一预测值和所述第二预测值进行分析,确定当前时刻的流量观测值是否异常;
其中,根据所述流量历史记录确定第一预测值和第二预测值包括:
在所述流量历史记录中选取预设时间内流量时间粒度的历史记录值;
采用鲁棒回归算法和所述历史记录值对短期流量进行预测,得到所述第一预测值;
采用ARIMA算法和所述历史记录值对流量趋势性进行预测,得到所述第二预测值;
其中,采用ARIMA算法和所述历史记录值对流量趋势性进行预测,得到所述第二预测值包括:
根据所述流量历史记录确定原始流量曲线;
对所述原始流量曲线使用加法模型进行分解,确定流量趋势性数据;
采用ARIMA算法和所述流量趋势性数据进行预测,得到所述第二预测值。
2.根据权利要求1所述的方法,其特征在于,采用泊松分布检测方法结合所述第一预测值和所述第二预测值进行分析,确定当前时刻的流量观测值是否异常包括:
基于所述第一预测值确定第一预设阈值以及基于所述第二预测值确定第二预设阈值;
通过泊松分布检测方法基于所述第一预设阈值和所述第二预设阈值,确定所述当前时刻的流量观测值是否异常。
3.根据权利要求2所述的方法,其特征在于,通过泊松分布检测方法基于所述第一预设阈值和所述第二预设阈值,确定所述当前时刻的流量观测值是否异常包括:
若通过泊松分布检测方法基于所述第一预设阈值检验所述当前时刻的流量观测值异常,并且通过泊松分布检测方法基于所述第二预设阈值检验所述当前时刻的流量观测值异常;则确定所述当前时刻的流量观测值异常,并触发告警信息。
4.根据权利要求1所述的方法,其特征在于,将所述流量数据发送给数据分析平台包括:
将所述流量数据的格式转换为Netflow的格式;
将Netflow的格式的流量数据发送至所述数据分析平台。
5.根据权利要求1所述的方法,其特征在于,所述数据分析平台对外开放固定的端口用于接收Netflow格式的流量数据。
6.一种流量异常检测装置,其特征在于,包括:
第一获取单元,用于通过流量采集探针获取用户网络的流量数据,并将所述流量数据发送给数据分析平台;
第一生成单元,用于通过所述数据分析平台将所述流量数据根据预设的时间粒度生成流量历史记录;
第一确定单元,用于根据所述流量历史记录确定第一预测值和第二预测值;
第二确定单元,用于采用泊松分布检测方法结合所述第一预测值和所述第二预测值进行分析,确定当前时刻的流量观测值是否异常;
其中,所述第一确定单元包括:
第一选取模块,用于在所述流量历史记录中选取预设时间内流量时间粒度的历史记录值;
第一预测模块,用于采用鲁棒回归算法和所述历史记录值对短期流量进行预测,得到所述第一预测值;
第二预测模块,用于采用ARIMA算法和所述历史记录值对流量趋势性进行预测,得到所述第二预测值;
其中,第二预测模块包括:
第一确定子模块,用于根据所述流量历史记录确定原始流量曲线;
第二确定子模块,用于对所述原始流量曲线使用加法模型进行分解,确定流量趋势性数据;
第一预测子模块,用于采用ARIMA算法和所述流量趋势性数据进行预测,得到所述第二预测值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011640745.6A CN112788022B (zh) | 2020-12-31 | 2020-12-31 | 流量异常检测方法、装置、存储介质及处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011640745.6A CN112788022B (zh) | 2020-12-31 | 2020-12-31 | 流量异常检测方法、装置、存储介质及处理器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112788022A CN112788022A (zh) | 2021-05-11 |
| CN112788022B true CN112788022B (zh) | 2022-12-09 |
Family
ID=75755144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011640745.6A Active CN112788022B (zh) | 2020-12-31 | 2020-12-31 | 流量异常检测方法、装置、存储介质及处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112788022B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172708A (zh) * | 2021-11-30 | 2022-03-11 | 北京天一恩华科技股份有限公司 | 网络流量异常的识别方法 |
| CN114499934B (zh) * | 2021-12-16 | 2022-12-09 | 西安交通大学 | 一种工业物联网中基于融合学习的入侵检测方法及系统 |
| CN114301709B (zh) * | 2021-12-30 | 2024-04-02 | 山石网科通信技术股份有限公司 | 报文的处理方法和装置、存储介质及计算设备 |
| CN116132337B (zh) * | 2023-04-04 | 2023-06-13 | 深圳行云创新科技有限公司 | 一种基于服务网格技术的接口流量异常检测方法 |
| CN116723138B (zh) * | 2023-08-10 | 2023-10-20 | 杭银消费金融股份有限公司 | 一种基于流量探针染色的异常流量监控方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495327A (zh) * | 2018-12-28 | 2019-03-19 | 西安交通大学 | 一种基于大数据分析的用户活动异常检测和流量预测方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1545245A (zh) * | 2003-11-12 | 2004-11-10 | 中国科学院计算技术研究所 | 数据网络流量在线预测方法 |
| CN104994539B (zh) * | 2015-06-30 | 2018-03-30 | 电子科技大学 | 一种基于arima模型的无线传感器网络流量异常检测方法 |
-
2020
- 2020-12-31 CN CN202011640745.6A patent/CN112788022B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109495327A (zh) * | 2018-12-28 | 2019-03-19 | 西安交通大学 | 一种基于大数据分析的用户活动异常检测和流量预测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112788022A (zh) | 2021-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112788022B (zh) | 流量异常检测方法、装置、存储介质及处理器 | |
| KR102146173B1 (ko) | 서비스 호출 정보 처리 방법 및 디바이스 | |
| US9652316B2 (en) | Preventing and servicing system errors with event pattern correlation | |
| US9672085B2 (en) | Adaptive fault diagnosis | |
| US8924333B2 (en) | Detecting anomalies in real-time in multiple time series data with automated thresholding | |
| Ehlers et al. | Self-adaptive software system monitoring for performance anomaly localization | |
| US10771306B2 (en) | Log monitoring system | |
| Tan et al. | On predictability of system anomalies in real world | |
| US20080252481A1 (en) | Method and apparatus for dynamically adjusting the resolution of telemetry signals | |
| AU2019275633B2 (en) | System and method of automated fault correction in a network environment | |
| US11675799B2 (en) | Anomaly detection system | |
| US20230164056A1 (en) | Predicting and resolving issues within a telecommunication network | |
| CN114978568A (zh) | 使用机器学习进行数据中心管理 | |
| US20220413951A1 (en) | Predicting and reducing hardware related outages | |
| US20210240178A1 (en) | System and method for recognizing and forecasting anomalous sensory behavioral patterns of a machine | |
| CN103392176A (zh) | 网络事件管理 | |
| EP3343839A1 (fr) | Mécanisme de surveillance et d'alertes des applications du système informatique | |
| CN115514619A (zh) | 告警收敛方法及系统 | |
| CN111898059A (zh) | 网站页面质量评估和监控方法及其系统 | |
| CN117235743B (zh) | 一种基于安全风险的智慧电力管理方法及系统 | |
| US11675647B2 (en) | Determining root-cause of failures based on machine-generated textual data | |
| CN105825641A (zh) | 一种业务报警方法和装置 | |
| Ding et al. | A data analytic engine towards self-management of cyber-physical systems | |
| Beduschi et al. | Optimizing rotating equipment maintenance through machine learning algorithm | |
| Sharma et al. | Scalable microservice forensics and stability assessment using variational autoencoders |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |