CN112242971A - 一种流量异常检测方法、装置、网络设备及存储介质 - Google Patents

一种流量异常检测方法、装置、网络设备及存储介质 Download PDF

Info

Publication number
CN112242971A
CN112242971A CN201910640994.6A CN201910640994A CN112242971A CN 112242971 A CN112242971 A CN 112242971A CN 201910640994 A CN201910640994 A CN 201910640994A CN 112242971 A CN112242971 A CN 112242971A
Authority
CN
China
Prior art keywords
flow
traffic
time
detection
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910640994.6A
Other languages
English (en)
Other versions
CN112242971B (zh
Inventor
蒋勇
彭鑫
叶德忠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201910640994.6A priority Critical patent/CN112242971B/zh
Priority to PCT/CN2020/096847 priority patent/WO2021008296A1/zh
Publication of CN112242971A publication Critical patent/CN112242971A/zh
Application granted granted Critical
Publication of CN112242971B publication Critical patent/CN112242971B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种流量异常检测方法、装置、网络设备及存储介质,通过采集网元设备各端口在当前检测时刻的接收流量与发送流量,然后根据采集到的接收流量与发送流量确定网元设备在当前时间窗口中的实时流量偏差比,并根据实时流量偏差比与历史流量偏差比确定当前检测时刻的陡变斜率,随后基于当前检测时刻的陡变斜率确定当前检测时刻是否为流量异常时刻。相较于相关流量监控方案,本发明实施例所提供的流量异常检测方案能够更有效地发现那些不会造成流量越限的异常,提升对网元设备流量监控的全面性,增加检测结果的准确率和可信度。

Description

一种流量异常检测方法、装置、网络设备及存储介质
技术领域
本发明涉及通信领域,尤其涉及一种流量异常检测方法、装置、网络设备及存储介质。
背景技术
随着通信网络规模和复杂度的与日俱增,运营商在网络运维方面面临越来越大的压力和挑战。传统的网元设备异常监控方案主要依赖对告警事件的监控进行,例如,对网络流量的监控一般是将端口带宽利用率、CPU利用率这些指标值与根据人工经验设置的固定阈值进行比较,从而确定端口带宽利用率、CPU利用率这些指标值是否处于对应固定阈值所限定的合理范围内。这些手段对于一些峰值流量的监控是有效的,但对于网元设备中一些比较隐蔽却影响业务运行质量的异常却难以发现,例如网络中可能会出现的大量丢包或者大量非法复制报文,但这种异常发生时,端口流量可能并不越限,因此,对于这种不会导致端口流量越限的异常,传统的流量监控方案无法感知。
发明内容
本发明实施例提供的流量异常检测方法、装置、网络设备及存储介质,主要解决的技术问题是:解决相关流量监控方案无法检测出不会导致端口流量越限的流量异常的问题。
为解决上述技术问题,本发明实施例提供一种流量异常检测方法,包括:
采集被检网元各端口在当前检测时刻的接收流量与发送流量;
根据采集到的接收流量与发送流量确定被检网元在当前时间窗口中的实时窗口偏差比,当前时间窗口为当前检测时刻所对应的时间窗口,实时窗口偏差比为,流量偏差比能够表征接收流量与发送流量的均衡程度;
根据实时窗口偏差比与历史窗口偏差比确定当前检测时刻的陡变斜率,历史窗口偏差比为被检网元在前一检测时刻所对应的时间窗口中的流量偏差比;
基于当前检测时刻的陡变斜率确定当前检测时刻是否为流量异常时刻。
本发明实施例还提供一种流量异常检测装置,包括:
流量采集模块,用于采集被检网元各端口在当前检测时刻的接收流量与发送流量;
偏差确定模块,用于根据采集到的接收流量与发送流量确定被检网元在当前时间窗口中的实时窗口偏差比,当前时间窗口为当前检测时刻所对应的时间窗口,流量偏差比能够表征接收流量与发送流量的均衡程度;
斜率确定模块,用于根据实时窗口偏差比与历史窗口偏差比确定当前检测时刻的陡变斜率,历史窗口偏差比为被检网元在前一检测时刻所对应的时间窗口中的流量偏差比;
异常判定模块,用于基于当前检测时刻的陡变斜率确定当前检测时刻是否为流量异常时刻。
本发明实施例还提供一种网络设备,网络设备包括处理器、存储器及通信总线;
通信总线用于实现处理器和存储器之间的连接通信;
处理器用于执行存储器中存储的一个或者多个程序,以实现上述流量异常检测方法的步骤。
本发明实施例还提供一种存储介质,该存储介质存储有一个或者多个程序,一个或者多个程序可被一个或者多个处理器执行,以实现上述流量异常检测方法的步骤。
本发明的有益效果是:
本发明实施例提供的流量异常检测方法、装置、网络设备及存储介质,通过采集被检网元各端口在当前检测时刻的接收流量与发送流量,然后根据采集到的接收流量与发送流量确定被检网元在当前时间窗口中的实时流量偏差比,并根据实时流量偏差比与历史流量偏差比确定当前检测时刻的陡变斜率,随后基于当前检测时刻的陡变斜率确定当前检测时刻是否为流量异常时刻。本发明实施例提供的流量异常检测方案是依据被检网元在正常工作情况下,其所有端口流入和流出的总流量是基本均衡的,但当该被检网元在数据路由和交换处理中出现丢包、非法复制等异常时,其收发流量的均衡度会被打破,故本发明实施例提供的流量异常检测方案可以通过衡量被检网元收发流量的均衡度,并确定被检网元流量均衡度发生陡变的时刻,从而检测出被检网元流量出现异常的时刻。相较于相关流量监控方案,本发明实施例所提供的流量异常检测方案能够更有效地发现那些不会造成流量越限的异常,提升对被检网元流量监控的全面性,增加检测结果的准确率和可信度。
本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明,且应当理解,至少部分有益效果从本发明说明书中的记载变的显而易见。
附图说明
图1为本发明实施例一中提供的流量异常检测方法的一种流程图;
图2为本发明实施例一中示出的被检网元在一天内的流量偏差比的示意图;
图3为本发明实施例一中示出的另一被检网元在一天内的流量偏差比的示意图;
图4为本发明实施例一中示出的时间窗口与检测时刻的一种关系示意图;
图5为本发明实施例一中示出的网络设备调整正常斜率范围的一种流程图;
图6为本发明实施例一中示出的网络设备确定自动标注异常集合;
图7为本发明实施例二中提供的流量异常检测方法的一种流程图;
图8为本发明实施例二中示出的另一被检网元在一天内的流量偏差比的示意图;
图9为本发明实施例三中提供的流量异常检测装置的一种结构示意图;
图10为本发明实施例三中提供的流量异常检测装置的另一种结构示意图;
图11为本发明实施例三中提供的流量异常检测装置的另一种结构示意图;
图12为本发明实施例四中提供的网络设备的一种硬件结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一:
随着通信网络的不断发展,网络运维所面临的压力逐渐增大,以人工为主的传统运维模式的先进性已经无法满足要求,因为传统运维模式中的运维投入不断高涨,但网络故障率和故障响应处理的及时性却没有改善。
传统的流量监控方案一般是根据人工经验设置针对端口带宽利用率、CPU利用率等指标的固定阈值,如果在检测过程中发现被检网元端口的某个指标超过该指标对应的固定阈值,则判定监控到了异常,可以进行告警。显然,这种流量监控方式是简单地根据阈值来确定检测到的指标值是否正常,这对于监控流量峰值越限的异常是有效的,但如果异常的发生并不会引起端口流量越限,则这种传统流量监控方案就无法感知。例如,如果被检网元中出现了大量丢包或者大量的非法复制报文,这些异常却并没有引起流量越限,则传统的流量监控方案并不会识别出这些异常。
为了解决上述问题,本实施例提供一种流量异常检测方法,请参见图1示出的流程图:
S102:采集被检网元各端口在当前检测时刻的接收流量与发送流量。
对于一个被检网元而言,其在正常工作情况下,所有端口流入和流出的总流量应该是基本均衡的,也就是说,在单播业务为主的网络里各被检网元发送流量与接收流量大致持平。当而当被检网元在数据路由和交换处理的过程中出现丢包、非法复制等现象时,则该被检网元收发流量的均衡会被打破。
所以,在本实施例中,在对一个被检网元的流量异常进行检测的过程中,可以采集该被检网元各端口的接收流量与发送流量。例如,假定一个被检网元有4个端口,分别是端口a、端口b、端口c以及端口d,则在对该被检网元进行流量异常检测的过程中,网络设备可以采集端口a的接收流量与发送流量,采集端口b的接收流量与发送流量,对于端口c与端口d,网络设备也同样会进行收发流量的采集。
在本实施例的一些示例当中,网络设备在对一个被检网元进行流量异常检测的过程中,可以周期性地采集该被检网元各端口的接收流量与发送流量,例如,在一个示例当中,网络设备可以以15分钟作为检测粒度,也即每15分钟采集一次被检网元各端口的收发流量,可选地,假定网络设备在00:00的时候第一次采集了被检网元各端口的发送流量与接收流量,则下一次,该网络设备将在00:15对被检网元的各端口进行收发流量的采集,第三次流量采集的时机在00:30……对于00:00、00:15以及00:30等时刻,本实施例中将其称为检测时刻。假定当前的时间为00:15,则00:15就是当前检测时刻,那么00:00就是历史检测时刻。
可以理解的是,在本实施例的其他一些示例当中,网络设备在检测被检网元的流量异常时,也可以不用周期性进行流量采集。也即,网络设备在对被检网元进行收发流量采集的时候,各次检测时刻之间的时间间隔不完全一致。
S104:根据采集到的接收流量与发送流量确定被检网元在当前时间窗口中的实时窗口偏差比。
当采集到被检网元各端口在当前检测时刻的接收流量与发送流量之后,网络设备可以确定该被检网元在当前时间窗口中的实时窗口偏差比,所谓实时窗口偏差比为被检网元在当前时间窗口中的流量偏差比。
首先对“流量偏差比”进行解释:对于被检网元而言,其在某一检测时刻的流量偏差比可以是该被检网元各端口在该检测时刻的接收流量之和与发送流量之和的比值,例如,
bias=Nrecv/Nsend
其中,bias是流量偏差比,Nrecv是被检网元各端口才检测时刻的所有接收流量之和,可以通过如下公式计算得到:
Figure BDA0002131854660000061
其中,n为被检网元中端口的总数,而i表示第i个端口,
Figure BDA0002131854660000062
表示被检网元第i个端口在检测时刻的接收流量。
Nsend是被检网元各端口才检测时刻的所有接收流量之和,可以通过如下公式计算得到:
Figure BDA0002131854660000063
其中,n为被检网元中端口的总数,而i表示第i个端口,
Figure BDA0002131854660000064
表示被检网元第i个端口在检测时刻的发送流量。
一个被检网元的流量偏差比主要是能够表征该被检网元各端口发送流量与接收流量的均衡度,因此,毫无疑义的是,被检网元的流量偏差比并不一定是接收流量之和与发送流量之和的比值,也可能是发送流量与接收流量的比值,也即,
bias=Nsend/Nrecv
不过,需要说明的是,网络设备在每次确定被检网元流量偏差比的时候,应当选择统一的流量偏差比计算方式,例如,在一些示例当中,如果网络设备在第一次计算某被检网元的流量偏差比的时候,计算的是该被检网元各端口在第一个检测时刻对应的接收流量之和与发送流量之和的比值,则在后续检测时刻下,网络设备计算备件网元流量偏差比的时候,也应当是计算接收流量之和与发送流量之和的比值,不应当在某一次计算过程中突然变成计算被检网元各端口发送流量之和与接收流量之和的比值。图2和图3分别示出了两个被检网元在同一天内的流量偏差比的示意图,其中纵轴bias表示流量偏差比,横轴表示时间。
所谓当前时间窗口是指与当前检测时刻对应的时间窗口,所谓“实时窗口偏差比”实际上就是被检网元在当前时间窗口中的流量偏差比。一个时间窗口中至少包括一个检测时刻,例如,在本实施例的一个示例当中时间窗口中仅有一个检测时刻,则被检网元在当前时间窗口中的实时窗口偏差比实际上也就是该被检网元在当前检测时刻的流量偏差比。但如果一个时间窗口中同时包括两个甚至更多的检测时刻,则该被检网元在当前时间窗口中的实时窗口偏差比就是该被检网元在当前时间窗口中各检测时刻的流量偏差比的均值。例如,在一个示例当中,时间窗口中包括三个检测时刻,请结合图4示出的时间窗口与检测时刻的一种关系示意图,其中纵轴bias表示流量偏差比,横轴表示时间:
假定当前检测时刻是第n个检测时刻,则当前时间窗口401就是与第n个检测时刻对应的时间窗口,其同时包括第n个检测时刻,第n-1个检测时刻以及第n-2个检测时刻。至于历史时间窗口402,就是与前一检测时刻(也即第n-1个检测时刻)对应的时间窗口,其包括第n-1个检测时刻、第n-2个检测时刻以及第n-3个检测时刻的时间窗口。
进一步假定被检网元在第n个检测时刻、第n-1个检测时刻、第n-2个检测时刻、第n-3个检测时刻的流量偏差比分别为bn、bn-1、bn-2、bn-3,则被检网元的实时窗口偏差比为(bn+bn-1+bn-2)/3。被检网元的历史窗口偏差比为(bn-1+bn-2)+bn-3)/3。
可以理解的是,如果当前检测时刻是第n个检测时刻,则网络设备确定实时窗口偏差比的时候,仅需要根据第n次流量采集到的接收流量与发送流量计算第n个检测时刻的流量偏差比bn。至于计算该实时窗口偏差比的其他流量偏差比bn-1与bn-2,在之前的检测过程中已经计算过了(bn-1是在第n-1个检测时刻计算实时窗口偏差比的时候计算得到的,bn-2是在第n-2个检测时刻计算实时窗口偏差比的时候计算得到的),这里不必再计算一次。
S106:根据实时窗口偏差比与历史窗口偏差比确定当前检测时刻的陡变斜率。
按照Hawkin给出的定义,异常就是在数据集中偏离大部分数据的数据,因此,异常点也称为离群点。所以,在本实施例中,网络设备就是根据当前检测时刻所对应的流量偏差比是否偏离大多数检测时刻的流量偏差比,来确定当前检测时刻是否是异常点(也即流量异常时刻)的。
被检网元的流量偏差比属于一种时间序列指标,对该指标的监控主要目标是及时发现其偏离正常值的时刻点,也就是一个针对时间序列的变点检测问题。变点理论是统计学中的一个经典分支,其基本定义是在一个序列或过程中,当某个统计特性(分布类型、分布参数)在某时间点受***性因素而非偶然性因素影响发生变化,我们就称该时间点为变点。变点检测即利用统计量或统计方法将该变点位置找出来。
所以,计算出被检网元当前检测时刻对应的实时窗口偏差比之后,网络设备可以根据该被检网元的实时窗口偏差比与历史窗口偏差比确定被检网元在当前检测时刻的陡变斜率,陡变斜率能够表征当前检测时刻的实时窗口偏差比相对于历史窗口偏差比的变化程度。
在本实施例中,当前检测时刻的陡变斜率可以根据如下公式确定:
Figure BDA0002131854660000081
其中,n表示第n个检测时刻,而Mn表示被检网元在第n个检测时刻对应的时间窗口中流量偏差比,而Mn-1表示被检网元在第n-1个检测时刻对应的时间窗口中流量偏差比,Kn为第n个检测时刻的陡变斜率。如果当前是第n个检测时刻,则Kn就是当前检测时刻对应的陡变斜率。
可以理解的是,对于被检网元的历史窗口偏差比,在网络设备对该被检网元进行第n-1次收发流量采集之后,就会被计算出来。所以,在本实施例中,网络设备在计算出第n个检测时刻对应的实时窗口偏差比之后,会将其记录下来,以便在第n+1个时刻作为历史窗口偏差比参与计算。
S108:基于当前检测时刻的陡变斜率确定当前检测时刻是否为流量异常时刻。
当计算出被检网元在当前检测时刻对应的陡变斜率之后,网络设备可以根据该陡变斜率确定该被检网元在当前检测时刻是否流量异常,也即当前检测时刻是否是流量异常时刻。
可以理解的是,如果被检网元在第n个检测时刻的流量正常,则其在第n个检测时刻的陡变斜率会接近于1。在本实施例的一些示例当中,网络设备中存储了能够划分正常斜率阈值的参数,这里假定正常斜率范围(1/Q,Q),其中Q为正数,所以(1/Q,Q)中的数值都是相对比较接近于1的数值。
自然,小于1/Q的范围与大于Q的范围的并集就属于异常斜率范围。因此,在本实施例的一些示例当中,网络设备在确定被检网元在第n个检测时刻是否流量异常的时候,可以确定被检网元在第n个检测时刻的陡变斜率是否处于正常斜率范围之内,若是,则判定该检测时刻不是流量异常时刻;若否,则判定该检测时刻是被检网元的流量异常时刻。
在本实施例的一些示例当中,Q的取值可以固定不变的,例如,是由网络运维人员根据大量的经验值设置的,可以理解的是,网络运维人员设置的Q应当保证能够尽可能准确地检测出被检网元的全部网络异常。在本实施例的另外一些示例当中,Q的取值可以自适应调整,例如,Q的初始取值是由网络运维人员根据经验设置的,但随着网络设备在不断地对被检网元进行流量异常检测,网络设备可以根据自己检测结果的准确性对Q的取值的进行调整,从而降低流量异常检测过程中的误检情况和/或漏检情况,请参见图5示出的调整正常斜率范围的一种流程图:
S502:将某一时间段内检测出的各流量异常时刻添加至自动标注异常集合。
在本实施例中,网络设备可以隔一段时间来对Q的取值进行一次调整,毫无疑义的是,调整Q的取值实际上也就是调整正常斜率范围。假定这里设置的网络设备每两个小时来调整一次正常斜率范围。
在这两个小时内,如果网络设备的两个相邻检测时刻之间的时间差为15分钟,则网络设备可能已经对被检网元进行了8次检测,这8次检测中的部分检测时刻会被判定为流量异常时刻。网络设备可以将这8个检测时刻中的流量异常时刻添加到自动标注异常集合,自动标注异常集合是网络设备机器化标注出的流量异常时刻的集合。
可以理解的是,如果一个检测时刻的实时窗口偏差比与历史窗口偏差比的陡变斜率比较大,则可能会存在两种情况:
第一种,相较于历史窗口偏差比,实时窗口偏差比所表征的流量情况更优,也即实时窗口偏差比与1的绝对差小于历史窗口偏差比与1的绝对差,则说明虽然当前检测时刻的有流量异常情况,但这是因为流量异常正在逐渐恢复。所以,当前检测时刻的流量异常时刻实际上是处于恢复状态的。
第二种,相较于历史窗口偏差比,实时窗口偏差比所表征的流量情况更差,也即实时窗口偏差比与1的绝对差大于历史窗口偏差比与1的绝对差,则说明当前检测时刻的有流量异常情况,并且这种异常是正在恶化的,因此,当前检测时刻的流量异常时刻实际上是处于恶化状态的。
在对被检网元进行流量异常检测的过程中,网络设备仅需要关注那些异常发生的点或者是异常恶化的点,对于那些已经有恢复趋势的流量异常时刻,网络设备可以不必关注,因此,在本实施例的一些示例当中,网络设备可以参照图6示出的流程图来确定自动标注异常集合:
S602:网络设备确定时间段内的全部流量异常时刻;
S602:对于该时间段内的各流量异常时刻,网络设备根据流量异常时刻的陡变斜率与历史陡变斜率确定流量异常时刻的异常是处于恢复状态还是恶化状态;
S606:网络设备剔除处于恢复状态的流量异常时刻,将剩余的流量异常时刻作为自动标注异常集合。
S504:将人工标注异常集合的中各流量异常时刻与自动标注异常集合中各流量异常时刻进行比对。
另一方面,为了检验网络设备对这两个小时中流量异常时刻的检测准确程度,网络设备还会获取到与自动标注异常集合对应的人工标注异常集合,人工标注异常集合是人工对同样两个小时内的流量异常时刻的标注结果。这里可以将人工标注异常集合中的流量异常时刻视为完全正确的,不存在错误标注的情况;并且认为该人工标注异常集合已经包含这两个小时内所有的流量异常时刻,不存在漏标注的情况。
得到人工标注异常集合与自动标注异常集合之后,网络设备可以将人工标注异常集合的中各流量异常时刻与自动标注异常集合中各流量异常时刻进行比对。
如果网络设备需要检验自动标注异常集合中的错误标注情况,也即确定自动标注异常集合的误检率,则网络设备可以确定出自动标注异常集合中的误检异常,误检异常实际上就是在自动标注异常集合中存在,但在人工标注异常集合中不存在的流量异常时刻。
如果网络设备需要检验自动标注异常集合中的漏标注情况,也即确定自动标注异常集合的漏检率,则网络设备可以确定出自动标注异常集合中的漏检异常,漏检异常为在人工标注异常集合中存在,但在自动标注异常集合中不存在的流量异常时刻。
S506:根据比对结果调整正常斜率范围。
在本实施例的一些示例当中,网络设备可以根据以下公式确定自己的误检率:
Figure BDA0002131854660000111
如果网络设备确定自动标注异常集合中的误检率达到预设误检阈值,则可以确定出各误检异常对应的陡变斜率,然后网络设备确定各陡变斜率对应的Q值,然后选择最大的一个Q值作为调整后的Q值。例如,如果网络设备确定在自动标注异常集合中的误检率达到预设误检阈值,包含3个误检异常,这三个误检异常对应的陡变斜率分别是1.5、2和2.5,则这三个陡变斜率对应的Q分别为1.5、2和2.5,因此,更新后的Q值为2.5。又例如,3个误检异常对应的陡变斜率分别是1/4、1/3与1/2,则这三个陡变斜率对应的Q分别为4、3和2,因此,更新后的Q值为4。
通过这种调整,增大了Q值,也就增大了正常斜率范围,从而减小了流量正常时刻被网络设备检测为异常流量时刻的可能性。
网络设备还可以根据以下公式确定自己的漏检率:
Figure BDA0002131854660000112
如果网络设备确定自动标注异常集合中的漏检率达到预设漏检阈值,则可以确定出各漏检异常对应的陡变斜率,然后根据各陡变斜率中的最小值更新Q值。可选地,网络设备可以确定各陡变斜率对应的Q值,然后选择其中最小的一个Q值作为更新后的Q值。例如,如果网络设备确定在自动标注异常集合中的漏检率达到预设漏检阈值,包含3个漏检异常,这三个漏检异常对应的陡变斜率分别是1/2、1/3和3,这三个陡变斜率对应的Q值分别为2、3、3,为了能够将这3个漏检异常识别为流量异常时刻,网络设备可以将则Q的取值调整为2,应当理解的是,调整之前Q的取值必定大于3,因此,这种调整实际上是减小了Q值,也就增大了异常斜率范围,从而减小了流量异常时刻不能被网络设备正确检测到的可能性。
本实施例提供的流量异常检测方法,通过分析被检网元的流量偏差比,并基于陡变斜率识别出流量偏差比变化较大的时刻作为流量异常时刻,这种流量异常检测方案能够有效识别出那些不会引起被检网元流量越限的异常点,为网络优化提供基础。
更进一步地,因为网络设备可以根据自己对流量异常的标注结果来调整进行流量异常时刻判决的参数,从而使得用于判断流量异常时刻的参数更准确,更契合网络实际情况,进而提升流量异常检测准确性,减少误检与漏检的情况。
实施例二:
本实施例将继续对前述实施例中的流量异常检测方法进行介绍,请参见图7示出的流程图:
S702:采集被检网元各端口在当前检测时刻的接收流量与发送流量。
可以理解的是,一个用于流量异常监控的网络设备可能会同时对两个甚至更多的被检网元进行流量监控,因此,当网络设备进行端口流量采集时,是针对自己所监控的所有被检网元的所有端口进行,因此,得到采集结果之后,网络设备需要根据资产关系数据(能够表征被检网元与端口的对应关系)分别确定出采集结果是属于哪一个被检网元。然后,再分别针对各个被检网元来确定流量异常时刻。
在本实施例中,网络设备可以每15分钟进行一次检测,也即检测粒度为15分钟。可以理解的是,如果检测粒度设置得过大,则会导致网络设备无法检测哪些在短时间内出现并恢复的异常,例如,如图将检测粒度设置为3小时,则网络设备无法检测到图8中示出的异常。
当然,虽然网络设备将检测粒度设置得越小,则越能检测出更多的细小异常,但这也会导致网络设备的检测频率变高,从而占用更多的处理资源。因此,网络设备在设置检测粒度的时候,可以根据自己的处理能力设置。
S704:判断是否至少采集到被检网元至少两个端口的接收流量与发送流量。
可以理解的是,在网络设备对被检网元的各端口进行接收流量采集与发送流量采集之后,可能存在这样的情况:被检网元包含的端口集中,仅有一个端口存在有效的流量数据。这种情况在实际网络中本身就是一种异常现象,因为正常网元设备作为数据交换节点,至少存在两个工作端口来完成源和目的的数据交换,单端口自交换的现象实际上可能是由于某些故障导致部分端口流量没有采集上来导致。同时,如果网络设备对这种仅单端口数据有效的网元进行数据观察,会发现其接收和发送流量数据波动较大,也导致流量偏差比指标数据波动很大。可以理解的是,波动过程中极易产生较大的陡变斜率,因此,当前检测时刻很容易被网络设备识别为流量异常时刻。但在部分端口数据缺失的情况下,这种单端口上的流量偏差比异常实际上并不是我们想要获取的网元流量偏差比异常,因此,在本实施例的一些示例当中,网络设备在需要将仅单端口数据有效的网元进行排除。
所以,如果网络设备的判断结果为是,则网络设备继续执行S706,否则结束流程。
S706:判断被检网元各端口在当前检测时刻的接收流量与发送流量是否全为零值。
由于各种因素,网络设备采集回来的流量数据难免存在缺漏,例如,一个被检网元可能会存在各端口接收流量与发送流量均为零的情况。按照传统的大数据处理方式,针对这种数据缺漏的情况,缺失值填充是常用的一种手段。常见的缺失值填充方法有:前后均值填充、众数填充、线性回归填充等等。对于机器学***滑,从而导致网络设备无法根据流量偏差比的陡升陡降检测到原有的异常点。
因此,在本实施例中,如果网络设备判定被检网元各端口在当前检测时刻的接收流量与发送流量全为零值,则执行S718。
S708:根据采集到的接收流量与发送流量确定被检网元在当前时间窗口中的实时窗口偏差比。
当采集到被检网元各端口在当前检测时刻的接收流量与发送流量之后,网络设备可以确定该被检网元在当前时间窗口中的实时窗口偏差比。在本实施例的一个示例当中,一个时间窗口中包括三个检测时刻,所以,网络设备可以根据当前检测时刻的流量偏差比,和之前两个检测时刻的流量偏差比确定出当前检测时刻对应的实时窗口偏差比。
S710:根据实时窗口偏差比与历史窗口偏差比确定当前检测时刻的陡变斜率。
计算出被检网元当前检测时刻对应的实时窗口偏差比之后,网络设备可以计算该被检网元的实时窗口偏差比与历史窗口偏差比的比值,得到被检网元在当前检测时刻的陡变斜率。
S712:基于当前检测时刻的陡变斜率判断当前检测时刻是否为流量异常时刻。
计算出被检网元在当前检测时刻对应的陡变斜率之后,网络设备可以根据该陡变斜率确定该被检网元在当前检测时刻是否流量异常。可选地,网络设备中判断当前检测时刻对应的陡变斜率是否处于正常斜率范围(1/Q,Q)内,若是,则判定该检测时刻不是流量异常时刻;若否,则判定该检测时刻是被检网元的流量异常时刻。
在本实施例的一些示例当中,如果网络设备确定当前检测时刻是被检网元的流量异常时刻,则网络设备还会进一步判断出该流量异常时刻是否是处于恶化状态的流量异常时刻:
S714:根据流量异常时刻的陡变斜率与历史陡变斜率判断流量异常时刻的异常是处于恶化状态。
若判断结果为是,则执行S716,否则,没执行S718。
S716:记录该流量异常时刻。
如果根据流量异常时刻的陡变斜率与历史陡变斜率判断流量异常时刻的异常是处于恶化状态,则网络设备可以将该流量异常时刻进行记录,以供后续网络优化过程中使用。
S718:判断是否到达新的检测时刻。
若判断结果为是,则继续执行S702,否则继续判断。
在本实施例中,网络设备还可以隔一段时间对自己的误检率与漏检率进行一次评估,并根据评估结果时长调整正常斜率范围,从而在后续检测过程中降低对流量异常时刻的误检率与漏检率。具体评估调整过程在前述实施例中已经做了比较详细的介绍,这里不再赘述。
本实施例提供的流量异常检测方法,由网络设备自动对被检网元的流量进行监控,并进行流量异常时刻标注,不仅降低了对人力资源的需求,而且,检测过程快速高效,能发现常规方式无法检测到的流量异常情况。同时还能根据检测结果反馈调节进行流量异常时刻判决的参数,可以使检测结果达到较高的准确率和可信度。
实施例三:
本实施例提供一种流量异常检测装置,请参见图9示出的结构示意图:
流量异常检测装置90包括流量采集模块902、偏差确定模块904、斜率确定模块906以及异常判定模块908,其中,流量采集模块902用于采集被检网元各端口在当前检测时刻的接收流量与发送流量;偏差确定模块904用于根据采集到的接收流量与发送流量确定被检网元在当前时间窗口中的实时窗口偏差比,斜率确定模块906用于根据实时窗口偏差比与历史窗口偏差比确定当前检测时刻的陡变斜率,历史窗口偏差比为被检网元在前一检测时刻所对应的时间窗口中的流量偏差比;异常判定模块908用于基于当前检测时刻的陡变斜率确定当前检测时刻是否为流量异常时刻。
在本实施例的另外一些示例当中,请参见图10,流量异常检测装置90还包括预处理模块910,其用于判断流量采集模块902是否至少采集到被检网元至少两个端口的接收流量与发送流量。只有在预处理模块910的判断结果为是的情况下,偏差确定模块904才会进行实时窗口偏差比的计算。
或者,预处理模块910也可以用于判断被检网元各端口在当前检测时刻的接收流量与发送流量是否全为零值。只有在预处理模块910的判断结果为否的情况下,偏差确定模块904才会进行实时窗口偏差比的计算。
在本实施例的一些示例当中,一个时间窗口中包括至少两个检测时刻,偏差确定模块904可以根据当前检测时刻采集到的接收流量与发送流量确定当前检测时刻的流量偏差比,并获取当前时间窗口中其他检测时刻的流量偏差比,然后根据当前时间窗口中各检测时刻的流量偏差比确定当前时间窗口的流量偏差比均值作为实时窗口偏差比。
当前检测时刻的流量偏差比为当前检测时刻采集到的被检网元各端口接收流量之和与发送流量之和的比值。
在本实施例的一些示例当中,异常判定模块908可以判断当前检测时刻的陡变斜率是否处于正常斜率范围之外,正常斜率范围(1/Q,Q),其中Q为正数;若是,则判定当前检测时刻为流量异常时刻,若否,则判定当前检测时刻不是流量异常时刻。
在本实施例的一些示例当中,如图11,流量异常检测装置90还可以包括参数调整模块912,参数调整模块912用于对异常判定模块908的多次判定结果进行评估,根据误检率和漏检率中的至少一个来调整异常判定模块908用于判决一个检测时刻是否为流量异常时刻的正常斜率范围进行调整。
可选地,参数调整模块912可以将某一时间段内检测出的各流量异常时刻添加至自动标注异常集合,然后将人工标注异常集合的中各流量异常时刻与自动标注异常集合中各流量异常时刻进行比对,并根据比对结果调整正常斜率范围。
在本实施例的一种示例中,参数调整模块912确定出自动标注异常集合中的误检异常,然后判断自动标注异常集合中的误检率是否达到预设误检阈值,若是,则参数调整模块912进一步确定各误检异常对应的陡变斜率,并根据各陡变斜率中的最大值调整Q值。
在本实施例的一种示例中,参数调整模块912确定出自动标注异常集合中的漏检异常,然后判断自动标注异常集合中的漏检率达到预设漏检阈值,若是,则参数调整模块912进一步确定各漏检异常对应的陡变斜率,并根据各陡变斜率中的最大值调整Q值。
可选地,参数调整模块912可以先确定出一个时间段内的全部流量异常时刻,然后对于该时间段内的各流量异常时刻,根据流量异常时刻的陡变斜率与历史陡变斜率确定流量异常时刻的异常是处于恢复状态还是恶化状态,随后剔除处于恢复状态的流量异常时刻,将剩余的流量异常时刻作为自动标注异常集合。
本实施例中流量异常检测装置90可以部署在网络设备上,例如承载网中的网络设备,其中,流量采集模块902的功能可以通过网络设备的处理器与通信淡云共同实现,而偏差确定模块904、斜率确定模块906、异常判定模块908、预处理模块910以及参数调整模块912的功能,均可以通过网络设备的处理器实现。
对于流量异常检测装置实现流量异常检测方法的其他细节,请参见前述实施例的介绍,这里不再赘述。
本实施例提供的流量异常检测装置,通过分析被检网元的流量偏差比,并基于陡变斜率识别出流量偏差比变化较大的时刻作为流量异常时刻,这种流量异常检测方案能够有效识别出那些不会引起被检网元流量越限的异常点,为网络优化提供基础。
更进一步地,因为流量异常检测装置可以根据自己对流量异常的标注结果来调整进行流量异常时刻判决的参数,从而使得用于判断流量异常时刻的参数更准确,更契合网络实际情况,进而提升流量异常检测准确性,减少误检与漏检的情况。
实施例四:
本实施例提供一种存储介质,该存储介质中可以存储有一个或多个可供一个或多个处理器读取、编译并执行的计算机程序,在本实施例中,该存储介质可以存储有流量异常检测程序,该流量异常检测程序可供一个或多个处理器执行实现前述实施例介绍的任意一种流量异常检测方法的流程。
另外,本实施例提供一种网络设备,如图12所示:网络设备120包括处理器121、存储器122以及用于连接处理器121与存储器122的通信总线123,其中存储器122可以为前述存储有流量异常检测程序的存储介质。处理器121可以读取流量异常检测程序,进行编译并执行实现前述实施例中介绍的流量异常检测方法的流程:
处理器121采集被检网元各端口在当前检测时刻的接收流量与发送流量,根据采集到的接收流量与发送流量确定被检网元在当前时间窗口中的实时窗口偏差比,然后根据实时窗口偏差比与历史窗口偏差比确定当前检测时刻的陡变斜率,并基于当前检测时刻的陡变斜率确定当前检测时刻是否为流量异常时刻。
在本实施例的另外一些示例当中,处理器121还用于判断是否至少采集到被检网元至少两个端口的接收流量与发送流量。只有判断结果为是的情况下,处理器121才会进行实时窗口偏差比的计算。
或者,处理器121还可以判断被检网元各端口在当前检测时刻的接收流量与发送流量是否全为零值。只有判断结果为否的情况下,处理器121才会进行实时窗口偏差比的计算。
在本实施例的一些示例当中,一个时间窗口中包括至少两个检测时刻,处理器121可以根据当前检测时刻采集到的接收流量与发送流量确定当前检测时刻的流量偏差比,并获取当前时间窗口中其他检测时刻的流量偏差比,然后根据当前时间窗口中各检测时刻的流量偏差比确定当前时间窗口的流量偏差比均值作为实时窗口偏差比。
当前检测时刻的流量偏差比为当前检测时刻采集到的被检网元各端口接收流量之和与发送流量之和的比值。
在本实施例的一些示例当中,处理器121可以判断当前检测时刻的陡变斜率是否处于正常斜率范围之外,正常斜率范围(1/Q,Q),其中Q为正数;若是,则判定当前检测时刻为流量异常时刻,若否,则判定当前检测时刻不是流量异常时刻。
在本实施例的一些示例当中,处理器121还可以对自己的多次判定结果进行评估,根据误检率和漏检率中的至少一个来调整用于判决一个检测时刻是否为流量异常时刻的正常斜率范围进行调整。
可选地,处理器121可以将某一时间段内检测出的各流量异常时刻添加至自动标注异常集合,然后将人工标注异常集合的中各流量异常时刻与自动标注异常集合中各流量异常时刻进行比对,并根据比对结果调整正常斜率范围。
在本实施例的一种示例中,处理器121确定出自动标注异常集合中的误检异常,然后判断自动标注异常集合中的误检率是否达到预设误检阈值,若是,则处理器121进一步确定各误检异常对应的陡变斜率,并根据各陡变斜率最大值调整Q值。
在本实施例的一种示例中,处理器121确定出自动标注异常集合中的漏检异常,然后判断自动标注异常集合中的漏检率达到预设漏检阈值,若是,则处理器121进一步确定各漏检异常对应的陡变斜率,并根据各陡变斜率调整Q值。
可选地,处理器121可以先确定出一个时间段内的全部流量异常时刻,然后对于该时间段内的各流量异常时刻,根据流量异常时刻的陡变斜率与历史陡变斜率确定流量异常时刻的异常是处于恢复状态还是恶化状态,随后剔除处于恢复状态的流量异常时刻,将剩余的流量异常时刻作为自动标注异常集合。
对于流量异常检测装置实现流量异常检测方法的其他细节,请参见前述实施例的介绍,这里不再赘述。
本实施例提供的网络设备,可以自动对被检网元的流量进行监控,并进行流量异常时刻标注,不仅降低了对人力资源的需求,而且,检测过程快速高效,能发现常规方式无法检测到的流量异常情况。同时还能根据检测结果反馈调节进行流量异常时刻判决的参数,可以使检测结果达到较高的准确率和可信度。
可以理解的是,在不冲突的情况下,本发明各实施例中的特征可以结合使用。
显然,本领域的技术人员应该明白,上文中所公开方法中的全部或某些步骤、***、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM,ROM,EEPROM、闪存或其他存储器技术、CD-ROM,数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (13)

1.一种流量异常检测方法,包括:
采集被检网元各端口在当前检测时刻的接收流量与发送流量;
根据采集到的所述接收流量与所述发送流量确定所述被检网元在当前时间窗口中的实时窗口偏差比,所述当前时间窗口为当前检测时刻所对应的时间窗口,所述实时窗口偏差比为所述,所述流量偏差比能够表征接收流量与发送流量的均衡程度;
根据所述实时窗口偏差比与历史窗口偏差比确定当前检测时刻的陡变斜率,所述历史窗口偏差比为所述被检网元在前一检测时刻所对应的时间窗口中的流量偏差比;
基于当前检测时刻的所述陡变斜率确定当前检测时刻是否为流量异常时刻。
2.如权利要求1所述的流量异常检测方法,其特征在于,所述根据采集到的所述接收流量与所述发送流量确定所述被检网元在当前时间窗口中的实时窗口偏差比之前,还包括:
确定至少采集到所述被检网元至少两个端口的接收流量与发送流量。
3.如权利要求1所述的流量异常检测方法,其特征在于,所述根据采集到的所述接收流量与所述发送流量确定所述被检网元在当前时间窗口中的实时窗口偏差比之前,还包括:
确定所述被检网元各端口在当前检测时刻的接收流量与发送流量并非全为零值。
4.如权利要求1所述的流量异常检测方法,其特征在于,一个时间窗口中包括至少两个检测时刻,所述根据采集到的所述接收流量与所述发送流量确定所述被检网元在当前时间窗口中的实时窗口偏差比包括:
根据当前检测时刻采集到的所述接收流量与所述发送流量确定当前检测时刻的流量偏差比,并获取所述当前时间窗口中其他检测时刻的流量偏差比;
根据所述当前时间窗口中各检测时刻的流量偏差比确定所述当前时间窗口的流量偏差比均值作为所述实时窗口偏差比。
5.如权利要求4所述的流量异常检测方法,其特征在于,所述当前检测时刻的流量偏差比为当前检测时刻采集到的所述被检网元各端口接收流量之和与发送流量之和的比值。
6.如权利要求1-5任一项所述的流量异常检测方法,其特征在于,所述基于当前检测时刻的所述陡变斜率确定当前检测时刻是否为流量异常时刻包括:
判断当前检测时刻的所述陡变斜率是否处于正常斜率范围之外,所述正常斜率范围(1/Q,Q),其中Q为正数;
若是,则判定当前检测时刻为流量异常时刻,若否,则判定当前检测时刻不是流量异常时刻。
7.如权利要求6所述的流量异常检测方法,其特征在于,所述流量异常检测方法还包括:
将某一时间段内检测出的各流量异常时刻添加至自动标注异常集合;
将人工标注异常集合的中各流量异常时刻与所述自动标注异常集合中各流量异常时刻进行比对;
根据比对结果调整所述正常斜率范围。
8.如权利要求7所述的流量异常检测方法,其特征在于,将人工标注异常集合的中各流量异常时刻与所述自动标注异常集合中各流量异常时刻进行比对包括:确定所述自动标注异常集合中的误检异常,所述误检异常为在所述自动标注异常集合中存在,但在所述人工标注异常集合中不存在的流量异常时刻;
所述根据比对结果调整所述正常斜率范围包括:
确定所述自动标注异常集合中的误检率达到预设误检阈值,所述误检率为所述自动标注异常集合中误检异常的数目/所述自动标注异常集合中流量异常时刻总数;
确定各所述误检异常对应的陡变斜率;
根据各所述陡变斜率调整所述Q值。
9.如权利要求7所述的流量异常检测方法,其特征在于,所述将人工标注异常集合的中各流量异常时刻与所述自动标注异常集合中各流量异常时刻进行比对包括:确定所述自动标注异常集合中的漏检异常,所述漏检异常为在所述人工标注异常集合中存在,但在所述自动标注异常集合中不存在的流量异常时刻;
所述根据比对结果调整所述正常斜率范围包括:
确定所述自动标注异常集合中的漏检率达到预设漏检阈值,所述漏检率为所述自动标注异常集合中漏检异常的数目/(所述自动标注异常集合中流量异常时刻总数+漏检异常的数目);
确定各所述漏检异常对应的陡变斜率;
根据各所述陡变斜率调整所述Q值。
10.如权利要求7所述的流量异常检测方法,其特征在于,所述将某一时间段内检测出的各流量异常时刻添加至自动标注异常集合包括:
确定所述时间段内的全部流量异常时刻;
对于该时间段内的各流量异常时刻,根据所述流量异常时刻的陡变斜率与历史陡变斜率确定所述流量异常时刻的异常是处于恢复状态还是恶化状态;
剔除处于恢复状态的流量异常时刻,将剩余的流量异常时刻作为自动标注异常集合。
11.一种流量异常检测装置,包括:
流量采集模块,用于采集被检网元各端口在当前检测时刻的接收流量与发送流量;
偏差确定模块,用于根据采集到的所述接收流量与所述发送流量确定所述被检网元在当前时间窗口中的实时窗口偏差比,所述当前时间窗口为当前检测时刻所对应的时间窗口,所述流量偏差比能够表征接收流量与发送流量的均衡程度;
斜率确定模块,用于根据所述实时窗口偏差比与历史窗口偏差比确定当前检测时刻的陡变斜率,所述历史窗口偏差比为所述被检网元在前一检测时刻所对应的时间窗口中的流量偏差比;
异常判定模块,用于基于当前检测时刻的所述陡变斜率确定当前检测时刻是否为流量异常时刻。
12.一种网络设备,所述网络设备包括处理器、存储器及通信总线;
所述通信总线用于实现处理器和存储器之间的连接通信;
所述处理器用于执行存储器中存储的一个或者多个程序,以实现如权利要求1至10中任一项所述的流量异常检测方法的步骤。
13.一种存储介质,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至10中任一项所述的流量异常检测方法的步骤。
CN201910640994.6A 2019-07-16 2019-07-16 一种流量异常检测方法、装置、网络设备及存储介质 Active CN112242971B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910640994.6A CN112242971B (zh) 2019-07-16 2019-07-16 一种流量异常检测方法、装置、网络设备及存储介质
PCT/CN2020/096847 WO2021008296A1 (zh) 2019-07-16 2020-06-18 一种流量异常检测方法、装置、网络设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910640994.6A CN112242971B (zh) 2019-07-16 2019-07-16 一种流量异常检测方法、装置、网络设备及存储介质

Publications (2)

Publication Number Publication Date
CN112242971A true CN112242971A (zh) 2021-01-19
CN112242971B CN112242971B (zh) 2023-06-16

Family

ID=74166749

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910640994.6A Active CN112242971B (zh) 2019-07-16 2019-07-16 一种流量异常检测方法、装置、网络设备及存储介质

Country Status (2)

Country Link
CN (1) CN112242971B (zh)
WO (1) WO2021008296A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117650791A (zh) * 2024-01-30 2024-03-05 苏芯物联技术(南京)有限公司 一种融合焊接工艺机理的焊接历史气流数据压缩方法

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114373308B (zh) * 2021-11-30 2023-03-31 深圳市顺易通信息科技有限公司 一种总有效停车位数量确定的方法、装置以及存储介质
CN114285612B (zh) * 2021-12-14 2023-09-26 北京天融信网络安全技术有限公司 一种异常数据检测的方法、***、装置、设备及介质
CN114745304B (zh) * 2022-04-27 2024-02-27 北京广通优云科技股份有限公司 It运维***中基于网络行为参数的业务突变点识别方法
CN114979828B (zh) * 2022-05-18 2023-03-10 成都安讯智服科技有限公司 基于Modbus的物联网通信模块流量控制方法及***
CN116915517B (zh) * 2023-09-14 2023-11-24 厦门快快网络科技有限公司 一种云服务资源风险安全管理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150229661A1 (en) * 2011-11-07 2015-08-13 Netflow Logic Corporation Method and system for confident anomaly detection in computer network traffic
WO2018035765A1 (zh) * 2016-08-24 2018-03-01 深圳天珑无线科技有限公司 网络异常的检测方法及装置
CN108390864A (zh) * 2018-02-01 2018-08-10 杭州安恒信息技术股份有限公司 一种基于攻击链行为分析的木马检测方法及***
CN108989135A (zh) * 2018-09-29 2018-12-11 新华三技术有限公司合肥分公司 网络设备故障检测方法及装置
CN109327345A (zh) * 2017-08-01 2019-02-12 ***通信集团湖北有限公司 网络异常流量的检测方法和装置、计算机可读存储介质
CN109951491A (zh) * 2019-03-28 2019-06-28 腾讯科技(深圳)有限公司 网络攻击检测方法、装置、设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101399709B (zh) * 2007-09-28 2011-06-29 福建星网锐捷网络有限公司 一种网络监控方法、装置和***
CN101184097A (zh) * 2007-12-14 2008-05-21 北京大学 一种基于流量信息检测蠕虫活动的方法
CN104506482B (zh) * 2014-10-10 2018-09-11 香港理工大学 网络攻击检测方法及装置
CN107332723B (zh) * 2016-04-28 2020-09-04 华为技术有限公司 隐蔽通道的检测方法和检测设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150229661A1 (en) * 2011-11-07 2015-08-13 Netflow Logic Corporation Method and system for confident anomaly detection in computer network traffic
WO2018035765A1 (zh) * 2016-08-24 2018-03-01 深圳天珑无线科技有限公司 网络异常的检测方法及装置
CN109327345A (zh) * 2017-08-01 2019-02-12 ***通信集团湖北有限公司 网络异常流量的检测方法和装置、计算机可读存储介质
CN108390864A (zh) * 2018-02-01 2018-08-10 杭州安恒信息技术股份有限公司 一种基于攻击链行为分析的木马检测方法及***
CN108989135A (zh) * 2018-09-29 2018-12-11 新华三技术有限公司合肥分公司 网络设备故障检测方法及装置
CN109951491A (zh) * 2019-03-28 2019-06-28 腾讯科技(深圳)有限公司 网络攻击检测方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117650791A (zh) * 2024-01-30 2024-03-05 苏芯物联技术(南京)有限公司 一种融合焊接工艺机理的焊接历史气流数据压缩方法
CN117650791B (zh) * 2024-01-30 2024-04-05 苏芯物联技术(南京)有限公司 一种融合焊接工艺机理的焊接历史气流数据压缩方法

Also Published As

Publication number Publication date
WO2021008296A1 (zh) 2021-01-21
CN112242971B (zh) 2023-06-16

Similar Documents

Publication Publication Date Title
CN112242971B (zh) 一种流量异常检测方法、装置、网络设备及存储介质
CN111126824B (zh) 多指标关联模型训练方法及多指标异常分析方法
CN110493042B (zh) 故障诊断方法、装置及服务器
US11722217B2 (en) Method and apparatus for obtaining ODN logical topology information, device, and storage medium
US9015312B2 (en) Network management system and method for identifying and accessing quality of service issues within a communications network
US10447561B2 (en) BFD method and apparatus
CN101189895A (zh) 异常检测方法和***以及维护方法和***
KR102455332B1 (ko) 네트워크 장치의 상태를 결정하는 방법 및 장치
EP2997756A1 (en) Method and network device for cell anomaly detection
WO2022028120A1 (zh) 指标检测模型获取及故障定位方法、装置、设备及存储介质
EP3771152B1 (en) Network analysis program, network analysis device, and network analysis method
CN106302001B (zh) 数据通信网络中业务故障检测方法、相关装置及***
CN115038088B (zh) 一种智能网络安全检测预警***和方法
US8521869B2 (en) Method and system for reporting defects within a network
US20150281008A1 (en) Automatic derivation of system performance metric thresholds
US11882024B2 (en) Application-aware links
CN113129472B (zh) 工况数据处理方法、装置、终端设备和可读存储介质
CN109818764B (zh) Iptv网络设备故障检测方法和装置
WO2017059904A1 (en) Anomaly detection in a data packet access network
CN112751722A (zh) 数据传输质量监控方法和***
US8566634B2 (en) Method and system for masking defects within a network
US11140067B2 (en) Discovering cross-domain links based on traffic flow
US11265237B2 (en) System and method for detecting dropped aggregated traffic metadata packets
CN107147526A (zh) 智能网络故障检测方法及***
CN103384215A (zh) 一种基于联合ar模型的病毒态势异常检测方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant