一種網(wǎng)絡(luò)流量監(jiān)測方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)監(jiān)測領(lǐng)域,具體地,涉及一種網(wǎng)絡(luò)流量監(jiān)測方法和設(shè)備。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)信息統(tǒng)計、行為分析越來越受到人們 的關(guān)注。通過對網(wǎng)絡(luò)流量進(jìn)行監(jiān)測能夠有效的獲得用戶的網(wǎng)絡(luò)行為,從而便于監(jiān)測人員實(shí) 時掌握網(wǎng)絡(luò)動態(tài)。
[0003] 監(jiān)測網(wǎng)絡(luò)流量是否異常是網(wǎng)絡(luò)流量監(jiān)測的一個應(yīng)用。判斷網(wǎng)絡(luò)流量是否異常,通 常是將檢測到的網(wǎng)絡(luò)流量與一基線值進(jìn)行比較。如果所檢測到的網(wǎng)絡(luò)流量大于或等于該基 線值,則確定此時網(wǎng)絡(luò)流量異常。可見,基線值的確定對于網(wǎng)絡(luò)流量異常判斷起至關(guān)重要的 作用。
[0004] 動態(tài)基線是指對于不同時刻使用不同的基線值來刻畫該時刻的網(wǎng)絡(luò)流量。例如, 時刻采用第一基線值作為流量上限,時刻t2采用第二基線值作為流量上限。對于當(dāng)前檢 測到的網(wǎng)絡(luò)流量,可基于切比雪夫不等式、利用歷史同時刻網(wǎng)絡(luò)流量來確定當(dāng)前網(wǎng)絡(luò)流量 的基線值。所述歷史同時刻網(wǎng)絡(luò)流量是指在當(dāng)前檢測時間之前的歷史日期中的同一時刻檢 測到的網(wǎng)絡(luò)流量。例如,假設(shè)當(dāng)前檢測時間是今天的時刻,那么所述歷史同時刻網(wǎng)絡(luò)流量 可包括在前天的時刻檢測的網(wǎng)絡(luò)流量、在昨天的時刻檢測的網(wǎng)絡(luò)流量,等等。確定當(dāng) 前網(wǎng)絡(luò)流量的基線值的方法如下所示:
[0005]
[0006] 其中,h表示所述基線值;D( 〇表示歷史同時刻網(wǎng)絡(luò)流量的方差;E( 〇表示歷 史同時刻網(wǎng)絡(luò)流量的期望;以及a表示信任度。
[0007] 使用切比雪夫不等式來預(yù)測下一個數(shù)據(jù)的基線值,是一個學(xué)習(xí)的過程。通過對歷 史數(shù)據(jù)的學(xué)習(xí),來得到下一個數(shù)據(jù)的基線值。然而,如果距離當(dāng)前檢測時間較近的歷史同時 刻網(wǎng)絡(luò)流量出現(xiàn)較大起伏時,而這種起伏又是正常的情況下,那么通過現(xiàn)有方法預(yù)測出的 基線值,有時不能敏感地反映出這些歷史同時刻網(wǎng)絡(luò)流量的這一起伏變化,這就容易導(dǎo)致 誤報的情況。
【發(fā)明內(nèi)容】
[0008] 本發(fā)明的目的是提供一種網(wǎng)絡(luò)流量監(jiān)測方法和設(shè)備,以在網(wǎng)絡(luò)流量復(fù)雜多變的情 況下,提高網(wǎng)絡(luò)流量異常判斷的準(zhǔn)確率,減少誤報的情況。
[0009] 為了實(shí)現(xiàn)上述目的,本發(fā)明提供一種網(wǎng)絡(luò)流量監(jiān)測方法,該方法包括:檢測當(dāng)前網(wǎng) 絡(luò)流量;將所述當(dāng)前網(wǎng)絡(luò)流量與一基線值進(jìn)行比較;在所述當(dāng)前網(wǎng)絡(luò)流量大于或等于該基 線值的情況下,進(jìn)行告警;其中,所述基線值是基于歷史同時刻網(wǎng)絡(luò)流量的加權(quán)平均值和方 差確定的,并且,每個歷史同時刻網(wǎng)絡(luò)流量的權(quán)重系數(shù)不全相等,所述歷史同時刻網(wǎng)絡(luò)流量 是指在當(dāng)前檢測時間之前的歷史日期中的同一時刻檢測到的網(wǎng)絡(luò)流量。
[0010] 優(yōu)選地,時間上距離所述當(dāng)前網(wǎng)絡(luò)流量越近的歷史同時刻網(wǎng)絡(luò)流量,具有越高的 權(quán)重。
[0011] 優(yōu)選地,該方法還包括:僅在所述當(dāng)前網(wǎng)絡(luò)流量小于所述基線值的情況下,將所述 當(dāng)前網(wǎng)絡(luò)流量存儲為歷史同時刻網(wǎng)絡(luò)流量。
[0012] 優(yōu)選地,通過以下方式來確定所述基線值:
[0013]
[0014] 其中,h表示所述基線值;L表示第i個歷史同時刻網(wǎng)絡(luò)流量,其中i= 1,…,n; ki表示第i個歷史同時刻網(wǎng)絡(luò)流量的權(quán)重系數(shù);n表示歷史同時刻網(wǎng)絡(luò)流量的總個數(shù); E'U)表示歷史同時刻網(wǎng)絡(luò)流量的加權(quán)平均值;D(〇表示歷史同時刻網(wǎng)絡(luò)流量的方差; 以及a表不彳目任度,其中該彳目任度是預(yù)定的,并且0 <a < 1。
[0015] 本發(fā)明還提供一種網(wǎng)絡(luò)流量監(jiān)測設(shè)備,該設(shè)備包括:用于檢測當(dāng)前網(wǎng)絡(luò)流量的裝 置;用于將所述當(dāng)前網(wǎng)絡(luò)流量與一基線值進(jìn)行比較的裝置;用于在所述當(dāng)前網(wǎng)絡(luò)流量大于 或等于該基線值的情況下,進(jìn)行告警的裝置;其中,所述基線值是基于歷史同時刻網(wǎng)絡(luò)流量 的加權(quán)平均值和方差確定的,并且,每個歷史同時刻網(wǎng)絡(luò)流量的權(quán)重系數(shù)不全相等,所述歷 史同時刻網(wǎng)絡(luò)流量是指在當(dāng)前檢測時間之前的歷史日期中的同一時刻檢測到的網(wǎng)絡(luò)流量。
[0016] 優(yōu)選地,時間上距離所述當(dāng)前網(wǎng)絡(luò)流量越近的歷史同時刻網(wǎng)絡(luò)流量,具有越高的 權(quán)重。
[0017] 優(yōu)選地,該設(shè)備還包括:用于僅在所述當(dāng)前網(wǎng)絡(luò)流量小于所述基線值的情況下,將 所述當(dāng)前網(wǎng)絡(luò)流量存儲為歷史同時刻網(wǎng)絡(luò)流量。
[0018] 在上述技術(shù)方案中,針對某個時刻檢測到的當(dāng)前網(wǎng)絡(luò)流量,可根據(jù)各個歷史同時 刻網(wǎng)絡(luò)流量對預(yù)測當(dāng)前網(wǎng)絡(luò)流量的基線值的不同影響程度,來為其設(shè)定各自的權(quán)重系數(shù)。 例如,對時間上距離當(dāng)前網(wǎng)絡(luò)流量較早的歷史同時刻網(wǎng)絡(luò)流量設(shè)定較小的權(quán)重,而對距離 當(dāng)前網(wǎng)絡(luò)流量較近的歷史同時刻網(wǎng)絡(luò)流量設(shè)定較大的權(quán)重。這樣,在歷史同時刻網(wǎng)絡(luò)流量 變化明顯的情況下,在確定基線值時能夠及時地反映出這種流量的變化情況,避免由于趕 不上流量變化的節(jié)奏而造成誤報的情況,從而提高網(wǎng)絡(luò)流量異常判斷的準(zhǔn)確率。本發(fā)明提 供的網(wǎng)絡(luò)流量監(jiān)測方法和設(shè)備適用于流量復(fù)雜多變的網(wǎng)絡(luò)。
[0019] 本發(fā)明的其他特征和優(yōu)點(diǎn)將在隨后的【具體實(shí)施方式】部分予以詳細(xì)說明。
【附圖說明】
[0020] 附圖是用來提供對本發(fā)明的進(jìn)一步理解,并且構(gòu)成說明書的一部分,與下面的具 體實(shí)施方式一起用于解釋本發(fā)明,但并不構(gòu)成對本發(fā)明的限制。在附圖中:
[0021] 圖1是根據(jù)本發(fā)明的實(shí)施方式的網(wǎng)絡(luò)流量監(jiān)測方法的流程圖;
[0022] 圖2是根據(jù)本發(fā)明的另一實(shí)施方式的網(wǎng)絡(luò)流量監(jiān)測方法的流程圖。
【具體實(shí)施方式】
[0023] 以下結(jié)合附圖對本發(fā)明的【具體實(shí)施方式】進(jìn)行詳細(xì)說明。應(yīng)當(dāng)理解的是,此處所描 述的【具體實(shí)施方式】僅用于說明和解釋本發(fā)明,并不用于限制本發(fā)明。
[0024] 圖1示出了根據(jù)本發(fā)明的實(shí)施方式的網(wǎng)絡(luò)流量監(jiān)測方法的流程圖。如圖1所示, 該方法包括:步驟S101,檢測當(dāng)前網(wǎng)絡(luò)流量;步驟S102,將所述當(dāng)前網(wǎng)絡(luò)流量與一基線值進(jìn) 行比較(即,判斷當(dāng)前網(wǎng)絡(luò)流量是否大于或等于該基線值);步驟S103,在所述當(dāng)前網(wǎng)絡(luò)流量 大于或等于該基線值的情況下,進(jìn)行告警。其中,所述基線值是基于歷史同時刻網(wǎng)絡(luò)流量的 加權(quán)平均值和方差確定的,并且,每個歷史同時刻網(wǎng)絡(luò)流量的權(quán)重系數(shù)不全相等,所述歷史 同時刻網(wǎng)絡(luò)流量是指在當(dāng)前檢測時間之前的歷史日期中的同一時刻檢測到的網(wǎng)絡(luò)流量。
[0025] 每個歷史同時刻網(wǎng)絡(luò)流量的權(quán)重系數(shù)可以被預(yù)先設(shè)定。優(yōu)選地,時間上距離所述 當(dāng)前網(wǎng)絡(luò)流量越近的歷史同時刻網(wǎng)絡(luò)流量,具有越高的權(quán)重。例如,在確定今天的網(wǎng)絡(luò)流量 的基線值時,昨天的同時刻網(wǎng)絡(luò)流量的權(quán)重應(yīng)大于一周前的同時刻網(wǎng)絡(luò)流量的權(quán)重。
[0026] 下面將詳細(xì)描述基線值的確定方法。
[0027] 假設(shè)所要確定的是用于在時刻h檢測的當(dāng)前網(wǎng)絡(luò)流量的基線值。首先,可以根據(jù) 與該時刻h對應(yīng)的各個歷史同時刻網(wǎng)絡(luò)流量(例如,距離當(dāng)前檢測時間最近的7個歷史同 時刻網(wǎng)絡(luò)流量)和每個歷史同時刻網(wǎng)絡(luò)流量的權(quán)重系數(shù),確定出這些歷史同時刻網(wǎng)絡(luò)流量 的加權(quán)平均值E'a),如下所示:
[0028]
[0029] 其中,€i表示第i個歷史同時刻網(wǎng)絡(luò)流量,其中i= 1,…,n也表示第i個歷史 同時刻網(wǎng)絡(luò)流量的權(quán)重系數(shù);n表示歷史同時刻網(wǎng)絡(luò)流量的總個數(shù)。
[0030] 之后,確定所述歷史同時刻網(wǎng)絡(luò)流量的方差Da)。應(yīng)該理解的是,計算方差 DU)的方法是本領(lǐng)域技術(shù)人員公知的,此處便不再贅述。
[0031] 如上所述,現(xiàn)有技術(shù)是通過等式(1)來確定基線值的?,F(xiàn)有的基線值確定方法中采 用的是歷史同時刻網(wǎng)絡(luò)流量的期望EU),S卩,各個歷史同時刻網(wǎng)絡(luò)流量的算術(shù)平均值。也 就是說,在現(xiàn)有方法中,其沒有考慮各個歷史同時刻網(wǎng)絡(luò)流量對當(dāng)前網(wǎng)絡(luò)流量的基線值的 不同的影響程度。因此,在網(wǎng)絡(luò)中的流量正常出現(xiàn)起伏的時候,由于反應(yīng)流量新情況的當(dāng)前 數(shù)據(jù)的權(quán)重可能太低,從而不能在基線值預(yù)測時,敏感地反映出這種流量的變化情況,表現(xiàn) 為學(xué)習(xí)效率低下。容易因?yàn)橼s不上流量變化的節(jié)奏而造成誤報。
[0032] 為此,在本發(fā)明中,為了體現(xiàn)不同的歷史同時刻網(wǎng)絡(luò)流量對當(dāng)前網(wǎng)絡(luò)流量的基線 值確定的不同影響程度,