周期特性网络的异常流量检出方法
【技术领域】
[0001] 本发明涉及it运维领域,具体是一种适用于周期特性网络的异常流量检出方法。
【背景技术】
[0002] 随着互联网的高速发展,网络办公、网络购物、网上银行、网络视频等新应用种类 越来越多,应用方式越来越复杂,为确保各种业务的正常运行,对网络流量的质量提出了更 高要求,需要对网络流量进行有效检测,首先就需建立一个准确的网络流量模型,常见的网 络流量模型按照其相关性特点大致可以分为短相关流量模型和长相关流量模型两大类,其 中短相关模型,如泊松模型和马尔科夫模型,具有无记忆性和短时相关性,故它们分析得到 的结果往往都是过于理想化的结果,长相关流量模型,如分形布朗运动模型和分形高斯噪 声模型等,引入长相关性(longrangedependence,简称LRD)反映自相似过程中的持续现 象,即突发特性在所有的时间尺度上都存在的现象,也称其为多尺度行为特性,由此可见网 络流量受不同因素的影响,呈现不同的变化规律,针对不同的网络流量特征可建立不同的 网络流量模型,每种模型都具有各自的优缺点。
[0003] 实际应用中,大量的测量数据表明,(1)网络应用的访问数据量;(2)网络数据的 应用种类;(3)网络访问的关键路径。受这些因素影响,流量通常会随时间呈现周期性变 化,对于这些周期性因素,必须分配合理的带宽,确保各类网络业务可以正常访问。如果受 以下因素影响:(1)遭到网络攻击或病毒影响;(2)关键网络设备宕机造成网络瘫痪,会造 成网络出现异常流量。如果这类因素发生,必须能够检测出异常流量的时间段,对异常流量 进行比较分析,预防异常流量的再次发生。
[0004] 传统的流量分析和表示模型都是基于二维方式的,即时刻和这个时刻的流量值, 无法同时从时间、周期两个纬度对流量进行对比分析,难以检测出异常流量点和异常流量 面,无法满足对网络故障的发生进行分析和预防的需要。
【发明内容】
[0005] 本发明的目的在于提供一种针对周期特性网络的异常流量检出方法,采用了三维 的网络流量表示模型,能够同时从时间、周期两个纬度对流量进行对比分析,能够检测出异 常流量点和异常流量面,提高了准确性和智能性,不仅对网络流量的展现更加直观有效,且 对网络故障的发生起到了更好的分析和预防作用。
[0006] 为实现本发明的目的,所提供的一种网络异常流量的检测方法,包括如下步骤: (1) 首先将二维时间序列按照数学模型思想三维化; (2) 在周期数轴上计算周期差分,并且计算求出拐点位置; (3) 在时间轴上计算时间差分,判断持续时间点位置; (4) 在时间轴上,依据定理1找到极端值点,计算时间周期偏分,根据定理2判断是否凸 显;若某点是极端值点且凸显,则在时间轴上计算时间差分,根据定理3判断是否存在持续 点,若不存在,根据定理4断定原来点为异常点;若存在,根据定理5判断两个持续点是否同 时为异常点或非异常点。 (5) 在周期数轴上,判断由(2)计算出的拐点,找出距离最近的点同时为拐点也是凸 显的极端值点,那么,若这两个极端值点之间存在奇数个拐点,则判断这段区间全部为异常 点,否则全部为正常点,也即定理6所阐述的判定方法。 (6) 依次搜索,重复进行,直到全部判断完为止。
[0007] 步骤(1)中所述将二维时间序列按照数学模型思想三维化,通过对网络流量数据 的采集,建立网络流量三维表征函数,将网络流量值按照预先选定的周期规则与时刻和周 期两参数相对应的予以记录,所述网络流量三维表征函数可采用下列表达式表示: 设序列的周期长度为vr,各周期内流量与时刻之间的二维流量曲线表示为a),那 么网络流量三维表征函数的三维化曲面即为,
【主权项】
1.周期特性网络的异常流量检出方法,包括如下步骤: (1) 首先将二维时间序列按照数学模型思想三维化; (2) 在周期数轴上计算周期差分,并且计算求出拐点位置; (3) 在时间轴上计算时间差分,判断持续时间点位置; (4) 在时间轴上,依据定理1找到极端值点,计算时间周期偏分,根据定理2判断是否凸 显;若某点是极端值点且凸显,则在时间轴上计算时间差分,根据定理3判断是否存在持续 点,若不存在,根据定理4断定原来点为异常点;若存在,根据定理5判断两个持续点是否同 时为异常点或非异常点; (5) 在周期数轴上,判断由(2)计算出的拐点,找出距离最近的点同时为拐点也是凸 显的极端值点,那么,若这两个极端值点之间存在奇数个拐点,则判断这段区间全部为异常 点,否则全部为正常点,亦称为定理6 ; (6) 依次搜索,重复进行,直到全部判断完为止; 步骤(1)中所述将二维时间序列按照数学模型思想三维化,通过对网络流量数据的采 集,建立网络流量三维表征函数,将网络流量值按照预先选定的周期规则与时刻和周期两 参数相对应的予以记录,所述网络流量三维表征函数可采用下列表达式表示: 设序列的周期长度为vr,各周期内流量与时刻之间的二维流量曲线表示为α),那 么网络流量三维表征函数的三维化曲面即为,
g是关于t和T的二元函数;该二元函数具有在时间轴上是联系的,而在周期数轴上是 离散的;定义g分别关于t的微分和T的差分表不为,
所定义的g分别关于t的微分和T的差分的指标含义是,分别是流量随时间的变化快 慢以及流量在同一时间点的相邻周期的变化趋势; 所述时间差分,可做如下数学描述,
时间差分的意义是相同周期数不同采样点的变化快慢; 所述周期差分,可做如下数学描述, gT(ti)=g(ti,T+D-gU" T) 公式(6) 周期差分的数学意义是同一周期不同采样点的波动规律; 所述时间周期偏分,等同于连续曲面取方向导数,而偏导数对应于以上的时间差分和 周期差分; 局部时间周期偏分的定义可描述如下,
也即总体是计算最相邻的四个局部时间周期偏分的总和; 时间周期偏分的数学意义是一个采样点同不同方向相邻采样点之间的变化关系; 所述波动常量,定义为同一时刻点ti的不同周期数之间的波动方差,可做如下数学描 述,
波动方差为波动常量,也可称为可信因子,描述同一时刻点流量值的波动大小; 所述定理1为:对于任意一点gegUi, Ti),若
则称该点是极端值点;这里,Hli是ti时刻的可信因子,或波动方差,Hli是正数; 所述定理2为:若某极端值满足定理1所述判定条件1,同时若满足 8τ.Λ{ηΤ)<? 公式(12) 则称成该极端值点凸显;公式(12)的左端由公式(8)定义,η是凸显约束因子,为某一 小的正数; 所述定理3为:极值连续出现(如两次)的条件是, &<(7;)<e,1</<rnm 公式(13) ε是个很小的正数,称为持续阀值因子;持续值更多时,与公式(13)条件一样; 这时候,首先判断点g(ti+1,Ti)是否是极端值点,依据定理1,
这里的mi+1利用式子(9)可求知; 所述定理4为:若通过(13)判定持续点g(ti+1,Ti)不是极端值点,而g(ti,T i)满足必要 条件定理1和2,则判断点g(ti,Ti)是异常流量点;否则,见定理5 ; 所述定理5为:若通过(13)判定g(ti+1, Ti)也是极端值点,若
则判定g(ti+1,Ti)和g(ti,Ti)同时为非异常点,否则若不满足则都判定为异常流量点; 这里,η也是某一小的正数,称为邻近差因子;同理,重复进行,可判断下一时刻是否异常; 所述拐点为,对于某段离散点,其是拐点的时刻必然满足
拐点的物理意义是,描述某一曲线的变化趋势; 所述定理6为:若周期数轴上存在两个拐点,这两个点均满足定理1和定理2,且两个 点之间的一段内没有其他点同时满足定理1和定理2 ;那么,若这两点间的曲线出现奇数个 拐点,则判断两个拐点间的所有点均为异常点,否则若出现偶数个拐点,则判断这段区间内 的点为非异常点。
【专利摘要】本发明提供了一种周期特性网络的异常流量检出方法,包括如下步骤:(1)首先将二维时间序列按照数学模型思想三维化;(2)在周期数轴上计算周期差分,求出拐点位置;(3)在时间轴上计算时间差分,判断持续时间点位置;(4)在时间轴上,找到极端值点,计算时间周期偏分,判断是否凸显;判断是否存在持续点;判定异常点;(5)在周期数轴上,判断区间是否全部为异常点;(6)依次搜索,重复进行,直到全部判断完为止。本方法能够准确的检测出异常流量点,对网络故障的发生可起到较好的分析和预防作用。
【IPC分类】H04L12-26, H04L12-24
【公开号】CN104683137
【申请号】CN201310639076
【发明人】陈松
【申请人】成都勤智数码科技股份有限公司
【公开日】2015年6月3日
【申请日】2013年11月30日