WO2021072890A1

WO2021072890A1 - 基于模型的流量异常监测方法、装置、设备及存储介质

Info

Publication number: WO2021072890A1
Application number: PCT/CN2019/119298
Authority: WO
Inventors: 刘玉洁; 杨冬艳
Original assignee: 平安科技（深圳）有限公司
Priority date: 2019-10-18
Filing date: 2019-11-19
Publication date: 2021-04-22
Also published as: CN110880984A; CN110880984B

Abstract

本申请涉及网络安全领域，公开了一种基于模型的流量异常监测方法，包括以下步骤：采集流量监测数据作为样本数据，构建所述自回归移动平均模型对应的模型函数；通过预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵；通过所述模型函数计算待测时间的流量值，得到第二预测值；根据所述协方差矩阵，计算待测时间的流量波动范围；监测待测时间对应的实际流量值，判断所述实际值是否在所述流量波动范围内；若所述实际值不在所述流量波动范围内，则判定待测时间流量异常。本申请还公开了一种流量异常监测装置、设备及可读存储介质。本申请实现了对流量的综合分析，更精准预测流量的波动范围，进而进行流量异常监测。

Description

基于模型的流量异常监测方法、装置、设备及存储介质

本申请要求于2019年10月18日提交中国专利局、申请号为201910991163.3、发明名称为“基于模型的流量异常监测方法、装置、设备和存储介质”的中国专利申请的优先权，其全部内容通过引用结合在申请中。

技术领域

本申请涉及网络安全领域，尤其涉及一种基于模型的流量异常监测方法、装置、设备和存储介质。

背景技术

随着科技越来越发达，互联网已经深入到人们日常生活的方方面面，在对网络进行管理的过程中，网络流量对网络容量规划、网络设备设计、网络资源分配、负载均衡等等具有较强的重要性，传统方法是利用单一的时间序列模型对流量进行预测，以预测的结果作为参照对流量进行监测和趋势分析时，发明人意识到这样的预测结果只考虑了流量的时序特征，不能适应网络流量的波动、包含噪声等复杂特点，准确率不高，难以准确刻画和预测流量的正常范围。

发明内容

本申请的主要目的在于提供一种基于模型的的流量异常监测方法，旨在解决如何准确预测网络流量的正常范围，以判断实际流量是否异常的技术问题。

为实现上述目的，本申请提供的一种基于模型的流量异常监测方法，所述流量异常监测方法包括以下步骤：

采集流量监测数据作为样本数据，其中，所述流量监测数据为监测网络上传输的数据量；

基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数；

根据所述模型参数，构建所述自回归移动平均模型对应的模型函数；

获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值；

基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵；

通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值；

根据所述协方差，计算待测时间的流量波动范围；

监测待测时间对应的实际流量值，判断所述实际值是否超过所述流量波动范围；

若所述实际值超过所述流量波动范围，则确定待测时间流量异常。

可选地，所述基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数包括：

将所述样本数据按时间先后顺序排列，得到所述样本数据的时间序列；

计算所述时间序列的自相关函数和偏自相关函数，并基于所述自相关函数和所述偏自相关函数的计算结果及预置规则，建立相应的自回归移动平均模型；

采用极大似然函数计算所述自回归移动平均模型的模型参数，得到所述自回归移动平均模型的函数参数。

可选地，在所述计算所述时间序列的自相关函数和偏自相关函数，并基于所述自相关函数和所述偏自相关函数的计算结果及预置规则，建立相应的自回归移动平均模型的步骤之前，还包括：

检测所述时间序列是否为平稳序列；

若所述时间序列不为平稳序列，则对所述时间序列进行差分处理，获取所述时间序列的平稳序列，其中，所述差分处理为计算所述时间序列中相邻两个时间节点的流量差值，即W _t-i＝W _t-W _i，式中的W _t、W _i表示所述时间序列中相邻两个时间节点的流量值，W _t-i表示相邻两个时间节点的流量差值。

可选地，在所述根据所述模型参数，构建所述自回归移动平均模型对应的模型函数的步骤之后，还包括：

计算所述样本数据与所述第一预测值的差值，并按时间先后顺序对所述差值进行排列，得到所述第一预测值的残差序列；

检验所述残差序列是否为白噪声序列；

若所述残差序列为白噪声序列，则设定所述模型函数用于计算流量的预测值。

可选地，所述基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的预测值与实际值的误差包括：

基于所述第一预测值及所述样本数据中对应的实际值，根据预置卡尔曼滤波算法建立所述第一预测值对应的卡尔曼滤波状态更新方程；

根据所述卡尔曼滤波状态更新方程，计算所述第一预测值的协方差矩阵。

可选地，所述卡尔曼滤波状态更新方程表达式如下：

X _t＝GX _t-1，P _t＝GP _t-1G ^t

式中，G表示卡尔曼增益矩阵，P表示协方差矩阵，X表示上一时刻的预测值，t表示时间。

可选地，所述自回归移动平均模型的初始表达式如下：

式中，W _t表示t时刻的流量实际值；γ ₁、ρ _j表示模型参数；α _t表示t时刻流量的预测值与观测值的干扰项；p表示自回归模型函数

的阶次；q表示移动平均模型函数

的阶次。

进一步地，为实现上述目的，本申请还提供一种基于模型的流量异常监测装置，所述流量异常监测装置包括：

采集模块，用于采集流量监测数据作为样本数据，其中，所述流量监测数据为监测网络访问量的数据；

第一计算模块，用于基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数；

构建模块，用于根据所述模型参数，构建所述自回归移动平均模型对应的模型函数；

第二计算模块，用于获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值；

第三计算模块，用于基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵；

第四计算模块，用于通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值；

第五计算模块，用于根据所述协方差，计算待测时间的流量波动范围；

判断模块，用于监测待测时间对应的实际流量值，判断所述实际值是否超过所述流量波动范围；

确定模块，用于若所述实际值超过所述流量波动范围，则确定待测时间流量异常。

进一步地，为实现上述目的，本申请还提供一种基于模型的流量异常监测设备，所述流量异常监测设备包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机可读指令，所述计算机可读指令被所述处理器执行时实现如上述任一项所述的流量异常监测方法的步骤。

进一步地，为实现上述目的，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有基于模型的计算机可读指令，所述计算机可读指令被处理器执行时实现如上述任一项所述的流量异常监测方法的步骤。

本申请基于流量监测数据作为样本数据，根据预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数，进而构建所述自回归移动平均模型对应的模型函数，然后获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值，基于所述第一预测值及样本数据，根据预置卡尔曼滤波算法计算所述模型函数输出的流量理论值与实际值的协方差矩阵，通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值，根据所述协方差矩阵，对所述第二预测值的波动范围进行计算，得到待测时间的流量波动范围，监测待测时间的实际流量值，若所述实际流量值不在所述流量波动范围内，则判定待测时间流量异常。通过此方法，相比传统的单一模型预测方法，在时间序列模型的基础上引入卡尔曼滤波算法对第一预测结果进行校正并更新，使模型能够自适应地实现对流量波动的预测，更精准预测流量的波动范围，进行异常流量的监测。

附图说明

图1为本申请实施例方案涉及的流量异常监测设备运行环境的结构示意图；

图2为本申请流量异常监测方法第一实施例的流程示意图；

图3为图2中步骤S20一实施例的细化流程示意图；

图4为本申请流量异常监测方法第二实施例的流程示意图；

图5为本申请流量异常监测方法第三实施例的流程示意图；

图6为图2中步骤S50一实施例的细化流程示意图；

图7为本申请流量异常监测装置一实施例的功能模型示意图。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。

本申请提供一种基于模型的流量监测设备。

参照图1，图1为本申请实施例方案涉及的流量异常监测设备运行环境的结构示意图。

如图1所示，该流量异常监测设备包括：处理器1001，例如CPU，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

如图1所示，作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及计算机程序。其中，操作系统是管理和控制流量异常监测设备和软件资源的程序，支持计算机可读指令以及其它软件和/或程序的运行。

在图1所示的流量异常监测设备的硬件结构中，网络接口1004主要用于接入网络；用户接口1003主要用于侦测确认指令和编辑指令等。而处理器1001可以用于调用存储器1005中存储的计算机可读指令，并执行以下流量异常监测方法的各实施例的操作。

基于上述流量异常监测设备硬件结构，提出本申请流量异常监测方法的各个实施例。

参照图2，图2为本申请流量异常监测方法第一实施例的流程示意图。本实施例中，所述流量异常监测方法包括：

步骤S10：采集流量监测数据作为样本数据，其中，所述流量监测数据为监测网络上传输的数据量；

面对越来越复杂的网络互联环境和不断增加的网络流量，研究人员和学着需要使用更多的资源和时间去监控、分析这些网络流量的情况，来应对网络拥挤和堵塞的突发状况，以确保网络质量良好。传统的网络管理采用的是响应式方法，即在出现告警之后解决发生的问题，这时候网络服务已经受到了影响，当收到警报时，往往没有时间来采取相应的纠正措施。网络流量预测就是根据采集的实际网络流量观测值序列，建立网络流量预测模型，对将来的流量数据进行预测，并以此判断将来超越阈值的可能性和发生时间。管理者就可以在重点时段特别关注，在网络发生过载之前采取防范措施，从而有效的保障网络性能的稳定。

本实施例中，通过网络流量监测技术监测网络上传输的数据量，并根据预置统计时间，实时监测当前时间，若时间达到预置统计时间，则进行数据量统计，生产流量监测数据。根据计算需要，从流量监测数据中采集部分数据作为样本数据，其中，所述样本数据是一段时间内不同时间点网络上流量的统计数据。需要注意的是，为使本方法的计算结果更精确，可采集月度数据、季度数据或年度数据。

例如，从过去2015年-2018年的网络流量监测数据中采集2016年-2018年的的网络流量监测数据作为样本数据。

步骤S20：基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数；

时间序列的变动往往呈现出一定的平稳特征，自回归移动平均模型就是借助时间序列的随机性来描述平稳序列的相关信息，并由此对时间序列的变化进行建模和预测。自回归移动平均模型包括三种模型，分别是自回归模型、移动平均模型以及自回归移动平均模型，其中，当对随机的时间序列数据进行建模时，需确定所述自回归移动平均模型的模型参数，而确定模型参数的方法可以使用样本矩估计法、最小二乘法，也可以利用极大似然函数计算模型参数的最大可能值，确定所述自回归移动平均模型的模型参数。

本实施例中，通过计算样本数据的概率分布，根据极大似然函数计算自回归移动平均模型中各模型参数的最大估计值，以确定自回归移动平均模型对应的模型函数，其中，采用极大似然函数的表达式如下：

式中，S表示极大似然函数，μ、σ ²分别是样本数据的平均值和样本协方差矩阵，W _t表示t时刻的流量值，n表示样本数据中共有n个流量统计值，f表示概率密度函数。

步骤S30：根据所述模型参数，构建所述自回归移动平均模型对应的模型函数；

本实施例中，自回归移动平均模型的模型参数包括自回归系数γ ₁、移动平均系数ρ _j，基于上述步骤中计算得到的模型参数的数值，根据自回归移动平均模型对应的模型框架，构建自回归移动平均模型的模型函数，得到用于预测待测时间理论流量的模型函数。

其中，自回归移动平均模型的表达式如下：

式中，W _t表示t时刻的流量值；γ ₁、ρ _j表示模型参数；α _t表示t时刻流量的预测值与观测值的干扰项；p表示自回归模型函数

的阶次；q表示移动平均模型函数

的阶次。

步骤S40：获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值，所述第一预测值包括所述历史时间中各时间点输入所述模型函数得到的流量理论值；

本实施例中，基于自回归移动平均模型的模型函数，获取样本数据对应的历史时间，将历史时间逐一输入所述模型函数，进行计算历史时间上的理论流量值，得到历史时间对应的第一预测值，计算所述第一预测值是为方便后期使用卡尔曼滤波算法进行计算所述模型函数计算出来的理论流量值相对实际流量值的协方差矩阵，其中，样本数据对应的历史时间至少包括1个时间点，多个时间点逐一输入模型函数进行流量预测，得到不同时间点的流量理论值，统计不同时间点的流量理论值，得到所述历史时间的是第一预测值。

例如，已有样本数据2017年到2018年间每个月网络数据传输的统计数据，通过自回归移动平均模型函数，计算2017年到2018年间每个月的理论流量值，得到2017年到2018年间的理论流量值的对应数据。

步骤S50：基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵；

卡尔曼滤波算法的原理是基于上一时刻的状态可以递推当前时刻的状态估计，通过上一时刻的协方差递推得到当前时刻的协方差估计，通过协方差估计及状态增益递推得到卡尔曼增益，然后根据实际数据以及估计数据，计算求得误差。

本实施例中，基于样本数据对应的历史时间即等同于卡尔曼滤波算法计算所需的上一时刻的理论流量值，得到历史时间的预测值即第一预测值，以及样本数据的实际流量值即实测数据，构建卡尔曼滤波算法的状态更新方程，并通过该状态更新方程，计算求解得到以自回归移动平均模型计算得到的理论值相比实际值存在的协方差矩阵。

步骤S60：通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值；

步骤S70：根据所述协方差矩阵，计算待测时间的流量波动范围；

本实施例中，通过自回归移动平均模型对网络流量进行预测，输入待测时间，根据自回归移动平均模型的模型函数，计算待测时间的流量预测值，得到待测时间的流量预测值即第二预测值。但只要是预测就会有预测误差，为了使预测的误差达到最小，通过前面卡尔曼滤波算法计算得到的协方差矩阵，动态调整第二预测值，得到调整结果，调整结果与第二预测值之间的范围，即是待测时间的正常流量波动范围。

步骤S80：监测待测时间对应的实际流量值，判断所述实际值是否在所述流量波动范围内；

步骤S90：若所述实际值不在所述流量波动范围内，则判定待测时间流量异常。

随着人们生活水平的不断提高，越来越多的人们使用互联网进行网络活动，网络安全问题也越来越受到人们的重视。当出现超负荷网络数据传输时，会引起网络服务的迟滞，使用户的体验感降低，因而，实时监测网络流量是否正常，是保证网络服务及用户体验的重要内容。

本实施例中，实时监测待测时间对应的实际流量值，并判断实际流量值是否在预先预测的波动范围内，若出现实际流量值超过预先预测的流量波动范围，则判定待测时间的流量异常，进而采取相应的应对措施，以保证网络服务正常及优质用户体验。

本实施例基于流量监测数据作为样本数据，根据预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数，进而构建所述自回归移动平均模型对应的模型函数，然后获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值，基于所述第一预测值及样本数据，根据预置卡尔曼滤波算法计算所述模型函数输出的流量理论值与实际值的协方差矩阵，通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值，根据所述协方差矩阵，对所述第二预测值的波动范围进行计算，得到待测时间的流量波动范围，监测待测时间的实际流量值，若所述实际流量值不在所述流量波动范围内，则判定待测时间流量异常。通过此方法，相比传统的单一模型预测方法，在时间序列模型的基础上引入卡尔曼滤波算法对第一预测结果进行校正并更新，使模型能够自适应地实现对流量波动的预测，更精准预测流量的波动范围，进行异常流量的监测。

参照图3，图3为图2中步骤S20一实施例的细化流程示意图。在本实施例中，上述步骤S20包括：

步骤S201：将所述样本数据按时间先后顺序排列，得到所述样本数据的时间序列；

步骤S202：计算所述时间序列的自相关函数和偏自相关函数，并基于所述自相关函数和所述偏自相关函数的计算结果及预置规则，建立相应的自回归移动平均模型；

本实施例中，基于流量监测数据的样本数据，按数据的时间先后进行排序，以得到所述样本数据的时间序列，检测该时间序列是否为平稳序列，若不是平稳序列，即对该序列进行d次差分处理，直到该时间序列为平稳序列。确定该时间序列为平稳序列后，根据自回归移动平均模型的原理，计算模型的自相关函数和偏自相关函数，进而根据自相关函数和偏自相关函数的特征，对应建立自回归模型、移动平均模型和自回归移动平均模型。其中，若所述自相关函数的计算结果不为零、所述偏自相关函数的计算结果为零，则根据预置规则建立自回归模型；若所述自相关函数的计算结果为零、所述偏自相关函数的计算结果不为零，则根据预置规则建立移动平均模型；若所述自相关函数和所述偏自相关函数的计算结果均不为零，则根据预置规则建立自回归移动平均模型。

步骤S203：采用极大似然函数计算所述自回归移动平均模型的模型参数，得到所述自回归移动平均模型的函数参数。

本实施例中，确定所述时间序列的匹配模型之后，利用极大似然函数对所述匹配模型的未知参数进行计算，以确定模型的未知参数，其中，所述匹配模型的未知参数包括自回归系数、移动平均系数，确定所述匹配模型的模型参数后，根据自回归移动平均模型的模型框架，构建自回归移动平均模型的模型函数。

其中，使用极大似然函数的表达式如下：

参照图4，图4为本申请流量异常监测方法第二实施例的流程示意图。本实施例中，在上述步骤S202之前，还包括：

步骤S2001：检测所述时间序列是否为平稳序列；

步骤S2002：若所述时间序列不为平稳序列，则对所述时间序列进行差分处理，获取所述时间序列的平稳序列，其中，所述差分处理为计算所述时间序列中相邻两个时间节点的流量差值，即W _t-i＝W _t-W _i，式中的W _t、W _i表示所述时间序列中相邻两个时间节点的流量值，W _t-i表示相邻两个时间节点的流量差值。

本实施例中，差分的结果反映离散数据之间的一种变化，对于平稳的时间序列，可以建立自回归模型、移动平均模型和自回归移动平均模型，而如果一个时间序列不是平稳序列，则无法对其建立自回归模型、移动平均模型和自回归移动平均模型，这时候需要在原序列的基础上进行d次差分，一般经过一次差分后，一个非平稳序列就平稳化了，若经过一次差分还是非平稳，则可对其再次进行差分。

需要注意的是，过多差分会导致信息损失过多，预测精度降低，可以根据实际情况选择进行d次差分，对于有明显的线性趋势序列，一次差分就可以实现平稳；有明显曲线趋势的序列，2-3次差分即可实现平稳；有固定周期的序列，需要进行步长等于周期的差分；既有线性趋势又有周期的序列，需要做一次差分提取趋势，再做步长等于周期的差分提取周期。

参照图5，图5为本申请流量异常监测方法第三实施例的流程示意图。在本实施例中，在步骤S30之后，还包括：

步骤S3001：计算所述样本数据与所述第一预测数据的差值，并按时间先后顺序对所述差值进行排列，得到所述第一预测数据的残差序列；

本实施例中，残差就是实际值与预测值之间的差，当模型参数确定后，需要对模型进行检验，检验所构建的模型是否具有统计意义，即检验是否对时间序列提取足够充分的样本信息。计算样本数据与对应时间的预测数据之间的差值，并按对应时间的先后顺序进行排列，生成差值的序列即残差序列。

步骤S3002：检验所述残差序列是否为白噪声序列；

本实施例中，确定模型函数是否具体统计意义，以至于用来计算流量的预测值，需要检验该模型的残差序列是否是白噪声序列。计算该残差序列的协方差、方差和期望值，若该协方差、期望为零，方差为常数，则该残差序列为白噪声序列。

步骤S3003：若所述残差序列为白噪声序列，则设定所述模型函数用于计算流量的预测值。

本实施例中，根据白噪声序列特征，判断残差序列是否为白噪声序列，若该残差序列是白噪声序列，则说明该模型函数通过检验，可以用来计算流量的预测值；若该残差序列不是白噪声序列，则需要重新自相关函数和偏自相关函数的特征，建立相应的模型。

参照图6，图6为图2中步骤S50一实施例的细化流程示意图。本实施例中，上述步骤S50包括：

步骤S501：基于所述第一预测值及所述样本数据中对应的实际值，根据预置卡尔曼滤波算法建立所述第一预测值对应的卡尔曼滤波状态更新方程；

步骤S502：根据所述卡尔曼滤波状态更新方程，计算所述第一预测值的协方差矩阵。

已知卡尔曼滤波算法的原理是基于上一时刻的状态可以递推当前时刻的状态估计，通过上一时刻的协方差递推得到当前时刻的协方差估计，通过协方差估计及状态增益递推得到卡尔曼增益，然后根据实际数据以及估计数据，计算求得误差。

本实施例中，基于样本数据对应的历史时间即等同于卡尔曼滤波算法计算所需的上一时刻的理论流量值，得到历史时间的预测值即第一预测值，以及样本数据的实际流量值即实测数据，构建卡尔曼滤波算法的状态更新方程，并通过该状态更新方程，计算求解得到以自回归移动平均模型计算得到的理论值相比实际值存在的协方差矩阵。其中，卡尔曼滤波状态更新方程表达式如下：

X _t＝GX _t-1，P _t＝GP _t-1G ^t

式中，G表示卡尔曼增益矩阵，P表示协方差，X表示上一时刻的预测值，t表示时间。

其次，流量的变化送多种因素的影响，为避免预测产生较大误差，组合预测是提高精准度最好的方法。本实施例基于预测准确度高、实时性好且算法复杂度比较低的时间序列模型自回归移动平均模型进行预测，而后通过卡尔曼滤波算法计算预测值与实际值之间的协方差矩阵，以及通过卡尔曼滤波调整特性对时间序列进行修正，降低预测值与实际值间的误差。

本申请还提供一种流量预测装置。

参照图7，图7为本申请流量异常监测装置一实施例的功能模型示意图。本实施例中，所述流量异常监测装置包括：

采集模块10，用于采集流量监测数据作为样本数据，其中，所述流量监测数据为监测网络访问量的数据；

第一计算模块20，用于基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数；

构建模块30，用于根据所述模型参数，构建所述自回归移动平均模型对应的模型函数；

第二计算模块40，用于获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值，所述第一预测值包括所述历史时间中各时间点输入所述模型函数得到的流量理论值；

第三计算模块50，用于基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵；

第四计算模块60，用于通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值；

第五计算模块70，用于根据所述协方差，计算待测时间的流量波动范围；

判断模块80，用于监测待测时间对应的实际流量值，判断所述实际值是否在所述流量波动范围内；

判定模块90，用于若所述实际值不在所述流量波动范围内，则判定待测时间流量异常。

本实施例中，采集模块10采集流量监测数据作为样本数据，第一计算模块20基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数，构建模块30根据所述模型参数，构建所述自回归移动平均模型对应的模型函数，第二计算模块40获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值，所述第一预测值包括所述历史时间中各时间点输入所述模型函数得到的流量理论值，第三计算模块50基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵，第四计算模块60通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值，第五计算模块70根据所述协方差，计算待测时间的流量波动范围，判断模块80根据第五计算模块70得到的流量波动范围，实时监测待测时间对应的实际流量值，判断所述实际值是否在所述流量波动范围内，判定模块90，用于若所述实际值不在所述流量波动范围内，则判定待测时间流量异常。

本申请还提供一种计算机可读存储介质。

本实施例中，所述计算机可读存储介质上存储有计算机可读指令，所述计算机可读指令被处理器执行时实现如上述任一项实施例中所述的流量异常监测方法的步骤，其中，所述存储介质可以为非易失性存储介质，也可以为易失性存储介质。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器或者网络设备等)执行本申请各个实施例所述的方法。

Claims

一种基于模型的流量异常监测方法，所述流量异常监测方法包括：

采集流量监测数据作为样本数据，其中，所述流量监测数据为监测网络上传输的数据量；

基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数；

根据所述模型参数，构建所述自回归移动平均模型对应的模型函数；

获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值；

基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵；

通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值；

根据所述协方差矩阵，计算待测时间的流量波动范围；

监测待测时间对应的实际流量值，判断所述实际值是否超过所述流量波动范围；

若所述实际值超过所述流量波动范围，则确定待测时间流量异常。
如权利要求1所述的流量异常监测方法，所述基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数包括：

将所述样本数据按时间先后顺序排列，得到所述样本数据的时间序列；

计算所述时间序列的自相关函数和偏自相关函数，并基于所述自相关函数和所述偏自相关函数的计算结果及预置规则，建立相应的自回归移动平均模型；

采用极大似然函数计算所述自回归移动平均模型的模型参数，得到所述自回归移动平均模型的函数参数。
如权利要求2所述的流量异常监测方法，在所述计算所述时间序列的自相关函数和偏自相关函数的步骤之前，还包括：

检测所述时间序列是否为平稳序列；

若所述时间序列不为平稳序列，则对所述时间序列进行差分处理，获取所述时间序列的平稳序列，其中，所述差分处理为计算所述时间序列中相邻两个时间节点的流量差值，即W _t-i＝W _t-W _i，式中的W _t、W _i表示所述时间序列中相邻两个时间节点的流量值，W _t-i表示相邻两个时间节点的流量差值。
如权利要求1所述的流量异常监测方法，在所述根据所述模型参数，构建所述自回归移动平均模型对应的模型函数的步骤之后，还包括：

计算所述样本数据与所述第一预测值的差值，并按时间先后顺序对所述差值进行排列，得到所述第一预测值的残差序列；

检验所述残差序列是否为白噪声序列；

若所述残差序列为白噪声序列，则设定所述模型函数用于计算流量的预测值。
如权利要求1所述的流量异常监测方法，所述基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵包括：

基于所述第一预测值及所述样本数据中对应的实际值，根据预置卡尔曼滤波算法建立所述第一预测值对应的卡尔曼滤波状态更新方程；

根据所述卡尔曼滤波状态更新方程，计算所述第一预测值的协方差矩阵。
如权利要求5所述的流量异常监测方法，所述卡尔曼滤波状态更新方程表达式如下：

X _t＝GX _t-1，P _t＝GP _t-1G ^t；

其中，G表示卡尔曼增益矩阵，P表示协方差，X表示上一时刻的预测值，t表示时间。
如权利要求1所述的流量异常监测方法，所述自回归移动平均模型的表达式如下：

其中，W _t表示t时刻的流量实际值；γ ₁、ρ _j表示模型参数；α _t表示t时刻流量的预测值与观测值的干扰项；p表示自回归模型函数
的阶次；q表示移动平均模型函数
的阶次。
一种基于模型的流量异常监测装置，所述流量异常监测装置包括：

采集模块，用于采集流量监测数据作为样本数据，其中，所述流量监测数据为监测网络访问量的数据；

第一计算模块，用于基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数；

构建模块，用于根据所述模型参数，构建所述自回归移动平均模型对应的模型函数；

第二计算模块，用于获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值，所述第一预测值包括所述历史时间中各时间点输入所述模型函数得到的流量理论值；

第三计算模块，用于基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵；

第四计算模块，用于通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值；

第五计算模块，用于根据所述协方差，计算待测时间的流量波动范围；

判断模块，用于监测待测时间对应的实际流量值，判断所述实际值是否在所述流量波动范围内；

判定模块，用于若所述实际值不在所述流量波动范围内，则判定待测时间流量异常。
如权利要求8所述的流量异常监测装置，所述第一计算模块包括：

排列单元，用于将所述样本数据按时间先后顺序排列，得到所述样本数据的时间序列；

建立单元，用于计算所述时间序列的自相关函数和偏自相关函数，并基于所述自相关函数和所述偏自相关函数的计算结果及预置规则，建立相应的自回归移动平均模型；

第一计算单元，用于采用极大似然函数计算所述自回归移动平均模型的模型参数，得到所述自回归移动平均模型的函数参数。
如权利要求9所述的流量异常监测装置，所述流量异常监测装置还包括：

检测模块，用于检测所述时间序列是否为平稳序列；

差分模块，用于若所述时间序列不为平稳序列，则对所述时间序列进行差分处理，获取所述时间序列的平稳序列，其中，所述差分处理为计算所述时间序列中相邻两个时间节点的流量差值，即W _t-i＝W _t-W _i，式中的W _t、W _i表示所述时间序列中相邻两个时间节点的流量值，W _t-i表示相邻两个时间节点的流量差值。
如权利要求8所述的流量异常监测装置，所述流量异常监测装置还包括：

第六计算模块，用于计算所述样本数据与所述第一预测值的差值，并按时间先后顺序对所述差值进行排列，得到所述第一预测值的残差序列；

检验模块，用于检验所述残差序列是否为白噪声序列；

设定模块，用于若所述残差序列为白噪声序列，则设定所述模型函数用于计算流量的预测值。
如权利要求8所述的流量异常监测装置，所述第三计算模块包括：

建立单元，用于基于所述第一预测值及所述样本数据中对应的实际值，根据预置卡尔曼滤波算法建立所述第一预测值对应的卡尔曼滤波状态更新方程；

第二计算单元，用于根据所述卡尔曼滤波状态更新方程，计算所述第一预测值的协方差矩阵。
一种基于模型的流量异常监测设备，所述流量异常监测设备包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机可读指令，所述计算机可读指令被所述处理器执行时实现如下的步骤：

采集流量监测数据作为样本数据，其中，所述流量监测数据为监测网络上传输的数据量；

基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数；

根据所述模型参数，构建所述自回归移动平均模型对应的模型函数；

获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值；

基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵；

通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值；

根据所述协方差矩阵，计算待测时间的流量波动范围；

监测待测时间对应的实际流量值，判断所述实际值是否超过所述流量波动范围；

若所述实际值超过所述流量波动范围，则确定待测时间流量异常。
如权利要求13所述的流量异常监测设备，所述计算机可读指令被一个或多个所述处理器执行所述基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数时，执行如下步骤：

将所述样本数据按时间先后顺序排列，得到所述样本数据的时间序列；

计算所述时间序列的自相关函数和偏自相关函数，并基于所述自相关函数和所述偏自相关函数的计算结果及预置规则，建立相应的自回归移动平均模型；

采用极大似然函数计算所述自回归移动平均模型的模型参数，得到所述自回归移动平均模型的函数参数。
如权利要求14所述的流量异常监测设备，所述计算机可读指令被一个或多个所述处理器执行时，使得一个或多个所述处理器还执行如下步骤：

检测所述时间序列是否为平稳序列；

若所述时间序列不为平稳序列，则对所述时间序列进行差分处理，获取所述时间序列的平稳序列，其中，所述差分处理为计算所述时间序列中相邻两个时间节点的流量差值，即W _t-i＝W _t-W _i，式中的W _t、W _i表示所述时间序列中相邻两个时间节点的流量值，W _t-i表示相邻两个时间节点的流量差值。
如权利要求13所述的流量异常监测设备，所述计算机可读指令被一个或多个所述处理器执行时，使得一个或多个所述处理器还执行如下步骤：

计算所述样本数据与所述第一预测值的差值，并按时间先后顺序对所述差值进行排列，得到所述第一预测值的残差序列；

检验所述残差序列是否为白噪声序列；

若所述残差序列为白噪声序列，则设定所述模型函数用于计算流量的预测值。
如权利要求13所述的流量异常监测设备，所述计算机可读指令被一个或多个所述处理器执行所述基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵时，执行如下步骤：

基于所述第一预测值及所述样本数据中对应的实际值，根据预置卡尔曼滤波算法建立所述第一预测值对应的卡尔曼滤波状态更新方程；

根据所述卡尔曼滤波状态更新方程，计算所述第一预测值的协方差矩阵。
如权利要求17所述的流量异常监测设备，所述卡尔曼滤波状态更新方程表达式如下：

X _t＝GX _t-1，P _t＝GP _t-1G ^t；

其中，G表示卡尔曼增益矩阵，P表示协方差，X表示上一时刻的预测值，t表示时间。
一种计算机可读存储介质，所述计算机可读存储介质上存储有基于模型的计算机可读指令，所述计算机可读指令被处理器执行时实现如下步骤：

采集流量监测数据作为样本数据，其中，所述流量监测数据为监测网络上传输的数据量；

基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数；

根据所述模型参数，构建所述自回归移动平均模型对应的模型函数；

获取所述样本数据对应的历史时间，并根据所述模型函数计算所述历史时间对应的流量预测值，得到第一预测值；

基于所述第一预测值、所述样本数据中对应的实际值及预置卡尔曼滤波算法，计算所述模型函数所输出的流量理论值与实际值的协方差矩阵；

通过所述模型函数对待测时间的流量值进行流量预测计算，得到第二预测值；

根据所述协方差矩阵，计算待测时间的流量波动范围；

监测待测时间对应的实际流量值，判断所述实际值是否超过所述流量波动范围；

若所述实际值超过所述流量波动范围，则确定待测时间流量异常。
如权利要求19所述的计算机可读存储介质，所述计算机可读指令被一个或多个所述处理器执行所述基于所述样本数据和预置自回归移动平均模型，计算所述自回归移动平均模型的模型参数时，执行如下步骤：

将所述样本数据按时间先后顺序排列，得到所述样本数据的时间序列；

计算所述时间序列的自相关函数和偏自相关函数，并基于所述自相关函数和所述偏自相关函数的计算结果及预置规则，建立相应的自回归移动平均模型；

采用极大似然函数计算所述自回归移动平均模型的模型参数，得到所述自回归移动平均模型的函数参数。