网络异常流量监测方法和监测系统技术方案

本发明专利技术公开了一种网络异常流量监测方法和监测系统。其中网络异常流量监测方法包括：计算短时采样点与其之前的ｋ个采样点的ＩＰ流量数据的相关系数，将采样点的相关系数与预设的第一相关系数阈值进行比较，确定大于第一相关系数阈值的采样点为第一样本空间的样本；根据第一样本空间计算ＩＰ流量数据的短时预测值；根据短时预测值对新ＩＰ流量数据进行监测。本发明专利技术的网络异常流量监测方法和监测系统，通过短时预测值和长时预测值对ＩＰ流量进行监测，不仅能够跟踪ＩＰ流量的异常随机变化情况；还能够随时间推移跟踪到ＩＰ流量变化，捕捉到ＩＰ流量的异常缓慢变化。从而实现避免虚警和漏警，准确监测网络中异常流量数据。

【技术实现步骤摘要】

本专利技术涉及一种网络监测技术，尤其涉及一种网络异常流量监测方法和监测系统。
技术介绍
随着软交换信令业务和话务、语音业务采用IP承载网承载，软交换与IP的联系日 益紧密。IP承载网的服务质量保证将与软交换业务息息相关，同时IP网络的引入也带来了 诸多安全问题，通过IP承载网承载的软交换信令流量和语音流量监测，可以为融合后的网 络提供一种有效的监控手段。 现有IP流量分析仪采用的技术存在如下缺陷流量分析仪采用固定阈值监测异 常流量，对于具有复杂的非线性特性和随机性，且随时间、事件、用户行为等因素影响较大 的软交换信令流量或语音流量，固定阈值的方法并不适用。由于软交换信令流量或语音流 量并不是恒定不变的一个常数，如果采用固定阈值监测异常流量，当阈值定义范围过小会 频繁产生虚警，造成维护人员不必要的工作量；当阈值定义范围过大将无法迅速捕捉到IP 异常流量，造成漏警，影响用户业务。
技术实现思路
本专利技术的目的在于，针对现有技术中IP流量分析仪在使用中出现虚警和漏警的 缺陷，提供一种准确监测网络中异常流量数据，避免虚警和漏警问题的网络异常流量监测 方法和监测系统。 该网络异常流量监测方法包括计算短时采样点与其之前的k个采样点的IP流量 数据的相关系数，将采样点的相关系数与预设的第一相关系数阈值进行比较，确定大于第 一相关系数阈值的采样点为第一样本空间的样本；根据第一样本空间计算IP流量数据的 短时预测值；根据短时预测值对新IP流量数据进行监测。 该网络异常流量监测系统包括监测控制模块，用于从网络采样IP流量数据，并 生成短时预测请求；IP流量数据库，用于存储IP流量数据；样本空间选择模块，用于计算短 时采样点与其之前的k个采样点的IP流量数据的相关系数，将采样点的相关系数与预设 的第一相关系数阈值进行比较，确定大于第一相关系数阈值的采样点为第一样本空间的样 本；短时预测模块，用于根据短时预测请求及第一样本空间生成短时预测值反馈到监测控 制模块；监测控制模块还用于将接收到的新IP流量数据与短时预测值进行比较，判断新IP 流量数据是否为异常数据。 本专利技术的网络异常流量监测方法和监测系统，通过短时预测值和长时预测值对IP 流量进行监测，不仅能够跟踪IP流量的异常随机变化情况；还能够随时间推移跟踪到IP流 量变化，捕捉到IP流量的异常缓慢变化。从而实现避免虚警和漏警，准确监测网络中异常 流量数据。附图说明1是本专利技术第2是本专利技术第一 3是本专利技术第 4是本专利技术第二 5是本专利技术第二 6是本专利技术第二 7是本专利技术第二 8a是本专利技术第 8b是本专利技术第 9a是本专利技术第 9b是本专利技术第 IO是本专利技术第实施例网络异常流量监测系统的结构图； 实施例网络异常流量监测系统中监测控制模块的结构图； 实施例网络异常流量监测系统中样本空间选择模块的结构图 实施例网络异常流量监测方法流程图； 实施例同一端局IP流量的日变化曲线图； 实施例一日内每个趋势段内每个采样点的相关系数曲线图； 实施例每日IP流量的相关系数曲线图； 二实施例正常情况下实测IP流量与短时预测值的曲线值 二实施例正常情况下实测IP流量及长时预测值的曲线值 二实施例异常情况下实测IP流量与短时预测值的曲线值 二实施例异常情况下实测IP流量与长时预测值的曲线值， 三实施例网络异常流量监测系统中监测控制模块的结构图。具体实施例方式以下结合附图对本专利技术进行详细说明。如图1所示，本专利技术第一实施例中网络异常流量监测系统包括 监测控制模块11，用于从网络监测IP流量，生成IP流量数据，并生成短时预测请求和长时预测请求； IP流量数据库12，接收并存储IP流量数据； 样本空间选择模块13，读取IP流量数据库12中存储的IP流量数据，计算短时采 样点与其之前的k个采样点的IP流量数据的相关系数，将采样点的相关系数与预设的第一 相关系数阈值进行比较，确定大于第一相关系数阈值的采样点为第一样本空间的样本； 短时预测模块14，根据短时预测请求从IP流量数据库读取第一样本空间对应的 IP流量数据，并生成短时预测值反馈到监测控制模块11 ; 监测控制模块11根据短时预测值对接收到的新IP流量数据进行监测，判断新IP 流量数据是否为异常数据。 优选地，如图1和图2所示，第一实施例中网络异常流量监测系统还包括长时预测 模块15。其中，监测控制模块11还包括长时预测请求生成子模块，用于生成长时预测请求。 样本空间选择模块13还包括第二样本空间选择子模块，用于确定第二样本空间的样本。长 时预测模块15，根据长时预测请求从IP流量数据库读取第二样本空间对应的IP流量数据， 并生成长时预测值反馈到监测控制模块11。监测控制模块11将接收到的新IP流量数据与 长时预测值进行比较，判断新IP流量数据是否为异常数据。 其中，如图2所示，监测控制模块11包括 采样子模块112，从网络监测IP流量，等时间间隔采样IP流量，生成IP流量数据； 本实施例中，采样的时间间隔为5分钟； 短时预测请求生成子模块114，生成短时预测请求，第一实施例中，生成短时预测 请求的周期为5分钟； 长时预测请求生成子模块116，生成长时预测请求，第一实施例中，生成长时预测6请求的周期为24小时； 比较子模块118，将接收到的新IP流量数据与短时预测值和长时预测值进行比较，判断新IP流量数据是否为异常数据。 如图3所示，样本空间选择模块13包括 趋势段划分子模块132，用于按时间及流量变化对每日的采样点划分趋势段，每个趋势段内采样点的IP流量数据整体呈上升或下降趋势； 相关系数计算子模块134，用于计算第n个趋势段内每个短时采样点与其滞后k个采样点的IP流量数据的相关系数，第n个趋势段内第i个采样点与第i-k个采样点的相关系数<formula>formula see original document page 7</formula>其中m为第n个趋势段内采样点个数，为第n个趋势段内采样点IP流量数据平均值； 第一样本空间选择子模块136，包括第一比较器，将趋势段内每个采样点的相关系数r(i，i-k)与预设的相关系数阈值r'进行比较，当r(i，i-k) >r'时，确定该采样点为第一样本空间的样本，确定该趋势段的第一样本空间大小为K ; 第二样本空间选择子模块138，包括第二比较器，用于将相关系数r(i，i-k)与预设的第二相关系数阈值r〃进行比较，当r(i，i-k) >r〃时，确定该采样点为第二样本空间的样本；选择器，在多个日子中的同一趋势段内选取的相同的采样点作为所述第二样本空间的样本。 优选地，为保证样本的准确性，第一样本空间选择子模块136还包括第一滤波器，用于对该K个样本取平均值，滤除其中大于该平均值80%的样本数据以及小于该平均值80%的样本数据。 优选地，为保证样本的准确性，第二样本空间选择子模块138还包括第二滤波器，用于对该K*M个样本取平均值，滤除K*M个样本中大于该平均值80%的样本数据以及小于该平均值80%的样本数据。 第一实施例中，短时预测模块14根据短时预测请求和第一样本空间计算在第n个趋势段内，第i点的短时预测值为<formula>formula see origi本文档来自技高网...

【技术保护点】
一种网络异常流量监测方法，其特征在于，包括：计算短时采样点与其之前的ｋ个采样点的ＩＰ流量数据的相关系数，将所述采样点的相关系数与预设的第一相关系数阈值进行比较，确定大于所述第一相关系数阈值的所述采样点为第一样本空间的样本；根据所述第一样本空间计算所述ＩＰ流量数据的短时预测值；根据所述短时预测值对新ＩＰ流量数据进行监测。

【技术特征摘要】
一种网络异常流量监测方法，其特征在于，包括计算短时采样点与其之前的k个采样点的IP流量数据的相关系数，将所述采样点的相关系数与预设的第一相关系数阈值进行比较，确定大于所述第一相关系数阈值的所述采样点为第一样本空间的样本；根据所述第一样本空间计算所述IP流量数据的短时预测值；根据所述短时预测值对新IP流量数据进行监测。2. 根据权利要求1所述的网络异常流量监测方法，其特征在于，所述方法还包括 对IP流量数据进行等时间间隔的采样；根据时间将每日的采样点划分为多个趋势段，每个趋势段内所述采样点的IP流量数 据整体呈上升或下降趋势；在同一趋势段内选择所述短时采样点与其之前的k个采样点。3. 根据权利要求2所述的网络异常流量监测方法，其特征在于，所述计短时采样点与 其之前的k个采样点的IP流量数据的相关系数的操作具体包括计算短时采样点与其之前的同一趋势段内k个采样点的IP流量数据的相关系数，所述趋势段内第i个采样点与第i-k个采样点的相关系数KW-A:)二1^^-,其,-=i中m为所述趋势段内采样点个数，；为所述趋势段内采样点IP流量数据平均值。4. 根据权利要求3所述的网络异常流量监测方法，其特征在于，所述确定大于第一相 关系数阈值的所述采样点为第一样本空间的样本的操作后还包括对所述第一样本空间中的IP流量数据取平均值；删除所述第一样本空间中IP流量数据大于所述平均值80%的采样点以及小于所述平 均值80%的采样点。5. 根据权利要求1至4中任意一项所述的网络异常流量监测方法，其特征在于，所述短时预测值通过以下公式计算|jX'—; K为第一样本空间中样本的个数。6. 根据权利要求2所述的网络异常流量监测方法，其特征在于，还包括 计算与长时采样点处于同一趋势段内的之前k个采样点与所述长时采样点的相关系数，将所述相关系数与预设的第二相关系数阈值进行比较，确定大于所述第二相关系数阈 值的所述采样点为第二样本空间的样本；在多个日子中的同一趋势段内选取的相同的采样点作为所述第二样本空间的样本；根据所述第二样本空间计算IP流量数据的长时预测值； 根据所述长时预测值对新IP流量数据进行监测。7. 根据权利要求6所述的网络异常流量监测方法，其特征在于，所述计算与长时采样 点处于同一趋势段内的之前k个采样点与所述长时采样点的相关系数的操作具体包括计算所述趋势段内第i个采样点与第i_k个采样点的相关系数<formula>formula see original document page 3</formula>KW-W = ^^-，其中m为所述趋势段内采样点个数，为所述趋势段内采 <formula>formula see original document page 3</formula>样点IP流量数据平均值。8. 根据权利要求7所述的网络异常流量监测方法，其特征在于，所述选取多个日子的同一趋势段内的相同采样点作为所述第二样本空间的样本的具体操作包括选取工作日的同一趋势段内的采样点，或选取休息日的同一趋势段内的采样点。9. 根据权利要求7所述的网络异常流量监测方法，其特征在于，所述确定第二样本空间的操作后还包括对第二样本空间中的IP流量数据取平均值；删除IP流量数据大于所述平均值80%的采样点以及小于所述平均值80%的采样点。10. 根据权利要求6至9中任意一项所述的网络异常流量监测方法，其特征在于，所述 长时预测值通过以下公式计算第二样本空间表示为Zi = {Zl， z2， . . . ， Zl} ， i为第i个时》间点，1为该时间点的样本空间大小，则第i点的长时预测值为 <formula>formula see original document page 3</formula>11. 根据权利要求6...

【专利技术属性】
技术研发人员：陈昊，谭晖，郭颖丽，周江伟，
申请(专利权)人：中国移动通信集团湖北有限公司，
类型：发明
国别省市：83[中国|武汉]