1.一种基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,包括以下具体步骤:
s1、每隔五分钟采集一次udp原始数据,根据udp原始数据的通讯端口、时间和字节数三个维度赋予特征值;
s2、根据udp原始数据的特征值建立相似度比对模型;
s3、将udp原始数据输入相似度比对模型中,筛选去除偏离值较大的udp原始数据;
s4、将处理后的udp数据根据时间排列;划分多个时间段,计算每个时间段内变量的平均值;将平均值连成线获得awr参考基线;
s5、根据时间段的不同生成多个awr参考基线;并设置awr参考基线的保存时间;
s6、设定指定的周期将实际值与参考基线进行比对,判断是否产生异常流量;
s7、设定移动窗口大小的范围,根据移动窗口基线与实际值进行比对,判断是否产生异常流量;
s8、生成比对结果,并对异常流量进行异常警告。
2.根据权利要求1所述的基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,s2中根据udp原始数据的维度分别建立基于通讯端口、时间的数据相似度比对模型。
3.根据权利要求1所述的基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,s3中将udp原始数据根据维度的不同,分别代入数据相似度比对模型中,计算相似度。
4.根据权利要求1所述的基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,s3中根据计算后获得的相似度数值,去除离散程度较大的数据。
5.根据权利要求1所述的基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,s5中根据时间段分为工作日awr参考基线、周末awr参考基线。
6.根据权利要求5所述的基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,根据工作日awr参考基线、周末awr参考基线细分8-11时awr参考基线、18-22时awr参考基线和每小时的awr参考基线。
7.根据权利要求1所述的基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,s5中设置awr参考基线保存时间,时间范围为8-30天。
8.根据权利要求1所述的基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,s7中设定移动窗口大小的范围小于或等于s5中awr参考基线保存时间。
9.根据权利要求1所述的基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,s8中根据生成比对结构与awr参考基线的偏差值响应不同等级的异常警告。
10.根据权利要求1所述的基于周期性和移动窗口基线算法的异常流量检测方法,其特征在于,s8中的异常警告随着时间累积,警告等级逐渐上升。