WO2014023245A1

WO2014023245A1 - 一种流量预测方法、及流量监测方法、

Info

Publication number: WO2014023245A1
Application number: PCT/CN2013/081072
Authority: WO
Inventors: 陆钱春; 范书田; 黄传冠; 张祖红; 丁柏; 唐兵兵; 刘万慧
Original assignee: 中兴通讯股份有限公司
Priority date: 2012-08-09
Filing date: 2013-08-08
Publication date: 2014-02-13
Also published as: CN103580905B; CN103580905A

Abstract

本发明提供一种流量预测方法、***及流量监测方法、***，采集目标应用业务当前所占用流量的信息；根据所述流量信息，制定所述目标应用业务的标准流量数据；根据所述标准流量数据，预测所述目标应用业务的流量信息。采用本发明能够通过对各种应用、带宽等利用动态基线通道实时监测异常流量，能有效避免漏检、错检现象，可以更准确、实时地监测到网络异常状况，分析资源利用情况，提前发出分级告警，为及时发现网络故障、保证有限的资源能够被合理应用的到主要利润业务，减少经济损失、增加收益提供有力帮助。

Description

一种流量预测方法、 ***及流量监测方法、 *** 技术领域

本发明涉及通信技术领域，尤其涉及一种流量预测方法、 ***及流量监测方法、 ***。背景技术

网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身***发展需要而对现有网络提出更高的资源需求，从而推动网络基础建设进入新的建设周期。那么如何把应用业务与其所占用的资源（如带宽）清晰、准确的对应起来，如何保证有限的资源能够被合理应用的到主要利润业务中是待解决的问题。

以网络流量（NetFlow )和 Sflow为代表的 Flow技术，正是为响应这种挑战而出现的新型解决途径。 Flow记录能够提供传统简单网络管理协议 ( SNMP, Simple Network Management Protocol )、 MIB无法比拟的丰富信息。它至少包括以下几个字段：互联网协议 ( IP, Internet Protocol )地址、目的 IP地址、源端口、目的端口、 IP层协议类型、堆栈顶部（ ToS， Top of the Stack )服务类型、输入物理端口，由这些字段可以衍生出的很多其他我们关心的栏位字段，如各种应用、应用的带宽等等。而目前流量的检测方法只能对单一的应用进行流量预测，适用的范围较窄；同时，在流量预测的过程中通常都是基于一定的假设，或相关系数等等，这些假设或系数会影响到预测的准确性。发明内容

本发明实施例提供一种流量预测方法、 ***及流量监测方法、 ***。为了解决上述技术问题，本发明实施例采用了如下技术方案，本发明实施例提供一种流量预测方法，包括：

采集目标应用业务当前所占用流量的信息；

才艮据所述流量信息，制定所述目标应用业务的标准流量数据；才艮据所述标准流量数据，预测所述目标应用业务的流量信息。

优选地，采集目标应用业务流量信息具体包括：

设定对目标应用业务进行流量采集的时间范围；

确定在所述时间范围内流量采集的时间步长；

在所述时间范围内按照所述时间步长采集所述应用业务的流量数据。优选地，制定目标应用业务的标准流量数据具体包括：

确定所述目标应用业务在所述时间范围包括各预设时间段对应的流速平均值；其中，所述时间范围包括多个预设时间段，所述预设时间段包括至少一个所述时间步长；

根据所述各预设时间段对应的平均值确定标准流量数据。

优选地，根据所述标准流量数据预测目标应用业务的流量信息具体包括：

根据所述标准流量数据构建目标应用业务流量根据时间变化的函数，才艮据所述函数预测得到所述目标应用业务的流量信息。

优选地，目标应用业务包括至少一个应用业务。

优选地，所述流量预测方法还包括：若所述目标应用业务包括多个应用业务时，所述多个应用业务中至少有两个对应不同的应用协议。

本发明实施例还提供一种流量监测方法，该方法包括：

按照上述对流量预测方法预测设定时间内目标应用业务所占用的流量信息；

将预测得到的所述流量信息和设定的流量范围进行比较；根据比较结果判断所述目标应用业务在所述设定时间内的流量信息是否正常；

若所述流量信息不在所述流量范围内，则执行报警动作。

优选地，将预测得到的所述流量信息和设定的流量范围进行比较具体包括：

对所述目标应用业务在所述设定时间内所占用的流量进行监测；；根据所述流量范围确定所述目标业务对应的报警等级；

所述流量范围包括多个不同等级的流量范围，所述不同等级的流量范围各自对应一种报警等级。

优选地，若所述流量值不在所述流量范围内，则执行报警动作包括：根据监测到的流量与设定不同等级的流量范围进行比较，并根据比较结果执行不同报警等级。

本发明实施例提供了一种流量预测***，该***包括：流量采集模块、标准数据模块和流量预测模块；其中，

流量采集模块，配置为采集目标应用业务流量信息，并将所述流量信息发送至标准数据模块；

标准数据模块，配置为根据所述流量信息，制定所述应用业务的标准流量数据，并将所述标准流量数据发送至流量预测模块；

流量预测模块，配置为根据所述标准流量数据预测所述应用业务的流量信息。

优选地，所述流量采集模块，配置为设定对目标应用业务进行流量采集的时间范围；确定在所述时间范围内流量采集的时间步长；在所述时间范围内按照所述时间步长采集所述应用业务的流量数据。

优选地，所述标准数据模块，配置为确定所述目标应用业务在所述时间范围包括各预设时间段对应的流速平均值；所述时间范围包括多个预设时间段，所述预设时间段包括至少一个所述时间步长；根据所述各预设时间段对应的平均值确定标准流量数据。

优选地，所述流量预测模块，配置为根据所述标准流量数据构建目标应用业务流量根据时间变化的函数，根据所述函数得到所述目标应用业务的预测流量信息。

本发明实施例还提供了一种流量监测***，该***包括：一个或多个流量预测***、告警模块和处理模块；其中，

上述流量预测***，配置为预测在设定时间内目标应用业务所占用的流量信息，并将预测到的流量信息发送至告警模块；

处理模块，配置为将预测得到的所述流量信息和设定的流量范围进行比较，并将比较结果发送至告警模块；

告警模块，配置为根据比较结果判断所述目标应用业务在所述设定时间内的流量信息是否正常；若所述流量信息不在所述流量范围内，则执行报警动作。

优选地，所述处理模块，配置为对所述目标应用业务在所述设定时间内所占用的流量进行监测；根据所述流量范围确定所述目标业务对应的报警等级；

优选地，所述告警模块，配置为根据监测到的流量与设定不同等级的流量范围进行比较，并根据比较结果执行不同报警等级。

本发明实施例提供一种流量预测方法、 ***及流量监测方法、 ***，通过对多协议 (NetFlow, sflow)支持下的各种应用、带宽等进行流量预测，能有效避免漏检、错检现象，可以更准确、实时地监测到网络异常状况，分析资源利用情况，为及时发现网络故障、保证有限的资源能够被合理应用的到主要利润业务，减少经济损失、增加收益提供有力帮助。附图说明

图 1为本发明流量预测***的一实施例的结构示意图一；

图 2为本发明流量预测方法的一实施例的流程图一；

图 3为本发明流量监测***的一实施例的结构示意图二；

图 4为本发明流量监测方法的一实施例的流程图二；

图 5为本发明流量监测分级告警示意图。具体实施方式

下面结合附图，对本发明的具体实施方式作进一步的详细说明。

本发明实施例流量预测***如图 1 所示，在本发明流量预测***的一种实施例中，包括：流量采集模块、标准数据模块和流量预测模块；其中，流量采集模块，配置为采集目标应用业务流量信息，并将所述流量信息发送至标准数据模块；

标准数据模块，配置为根据流量采集模块发来的所述流量信息，制定所述应用业务的标准流量数据，并将所述标准流量数据发送至流量预测模块；

流量预测模块，配置为根据所述标准流量数据预测所述应用业务的流量信息的流量预测模块。

如图 2所示为本发明实施例流量预测方法的流程图，该方法至少包括以下步骤：采集目标应用业务流量信息；采集目标应用业务当前所占用流量的信息；根据所述流量信息，制定所述目标应用业务的标准流量数据；才艮据所述标准流量数据，预测所述目标应用业务的流量信息。

在一实施例中，所述采集目标应用业务流量信息包括：设定对目标应用业务进行流量采集的时间范围；确定在所述时间范围内流量采集的时间步长；在所述时间范围内按照所述时间步长，采集所述目标应用业务的流量数据。

具体地，所述时间范围是指：在流量采集中的总体时间跨度；所述时间步长是指：在流量采集的时间范围内每隔多长时间进行一次目标应用业务流量的采集，也就是采集每个时间步长内的流量。此处，所述时间范围和所述时间步长可以才艮据不同的方案进行制定。

在一实施例中，所述制定目标应用业务的标准流量数据包括：确定所述目标应用业务在所述时间范围各个预设时间段对应的流速平均值；

其中，所述时间范围包括多个预设时间段，所述预设时间段包括至少一个所述时间步长；根据所述各预设时间段对应的平均值确定标准流量数据。

具体地，对标准流量数据的制定，需要在预先确定的时间范围内划分时间段，也就是确定要获取多少个流速值，每个时间段对应一个流速值。所以对时间段的划分没有具体限定，可以根据实际中的应用情况进行划分。然后将这些平均值和对应的时间段构建成流量基线，作为标准流量数据。

在一实施例中，根据所述标准流量数据预测目标应用业务的流量信息包括：根据所述标准流量数据，构建目标应用业务流量根据时间变化的函数，根据所述函数预测得到所述目标应用业务的流量信息。

具体地，在此实施例中，可以根据所得到的各个时间段的平均值，作为一个个的点，并对这些点进行插值处理，插值处理后获得流速和时间之间的函数关系，这样便可对目标应用业务的任意时间的流速进行预测，同样根据流速的大小也能获得对应时间的流量大小。

在一种实施例中，所述目标应用业务可以是单一的应用，也可以是多个应用组成的应用组。如果目标应用业务包括多个应用业务，也就是应用组时，那么至少有两个协议支持该应用组。在一实施例中，时间范围包括： 1小时、 6小时、 12小时、 24小时、一周、一个月、一年中的至少一种。需要说明的是此处的时间范围可以根据在应用业务对象的不同而进行设定，并不仅限于所列出的几种，所列出的几种时间范围只是在本发明实施例技术方案中可能常用到的几种时间范围。

下面结合上述多种实施例，并具体举例进行进一步说明，需要说明的是下述中的说明只是一种举例，本发明技术方案并不仅限于此。

NetFlow, SFlow报文中并没有应用字段，但根据报文中包括的各种信息可以确定出各应用或应用组，以下以其中一种方式为例进行说明，例如：报文中包括端口与协议字段，由这两个字段可以衍生出：端口 +协议 =应用。同时，带宽 =流量 /时间，从而记录各个时刻应用的流量，再将应用或应用组进行汇聚、计算，即有了原始数据。

在基线的制定过程中与基线息息相关的是时间范围，它需要依赖流量统计的时间范围以及记录的步长。这里我们可能关心的范围有 7种，分别 Qi， i=0,...6其中 Q0: 1小时、 Ql : 6小时、 Q2: 12小时、 Q3: 24小时、 Q4: 一周、 Q5: —个月、 Q6: —年。可以将记录流量的步长记为 t_;， i=0,...6。

为了实现标准化，这里所有时间都以秒记，并且取 60个基线值，每个点的取值记为 Bj， j=0,...59。那么，无论时间范围是多少，每两个基线值之间的时间步长（记为 T ); 同时，不同时间范围 Q0至 Q6所对应的时间步长 t_; 可以分别取为 [10s， 6*10s, 12*10s, ...]，那么无论时间范围是多少都可以记录 360 个点，我们把每个点的流量值记为 X^ , 其中， k=0,...K; m=0, ...359, 这里的下标 k表示当前时间记录的流量和之前记录对应时间内记录的流量。以 24小时为例，当 k=l时，表示不仅统计了当前 24小时内的流量信息，为了经验数据的准确性，还统计了前一个 24小时内对应时间段的流量信息。需要说明的是，上述中基线值的数量，以及不同时间范围内步长的大小，以及所记录的点的个数等具体数据并非是唯一数据，仅仅是一种优选的方案。

经过以上分析我们可以得到在不同时间范围（Qi)的不同步长（t_; )下各时间段的流速 (Byte/s)，也就是基线的详细数值 (Bj)为：

'

① 从公式①中可以看出，这里是预先设定的时间步长，因此一旦明确时间范围那么 t_; 就明确了，因此我们只需要关注记录的各时间段的流量值即可，此处，将每 6个时间步长作为一个时间段。

基线的制定可以说是对经验数据的拟合，此实施例中取 60个基线值，当然基线值的数量可以根据实际情况的不同进行选取，其实通过基线值的分布就可以粗略的看出流量的变化，同时也可以粗略的描摹出流量趋势图。

上述对基线值的获取方法是一种较优的方法，也可以直接将记录的 360 个对应时间步长内的流量数据直接除以对应时间步长获得 360个流速数据，并从这 360个流速数据中选取若干个作为基线值。

基线中给出的只是各个时间段内的经验数据，要想获得更为精确的流量趋势预测，则需要借助基线作更进一步的统计和分析。这里采用的是拉格朗日插值法来进一步做数据分析，获得流量与时间关系的走势函数 y=B(t)。有了函数我们就可以预测未来任意时间点的流速，同时可以预测到流速的峰值和谷值所在的时间点，同时我们还可以计算出任意时间段的流量，那么就可以进行异常流量的监测了。

从上述的具体实施例中我们取了 60 个基线值， B=[B0,B1,...B59]对应的自变量的值分别为 T=[T0,T1,...T59]，也就是基线中时间步长等值递增。那么有流速趋势函数 ^B(t) ^=∑¾ ^B^ ^ll 其中拉格朗日基本多项式

ng 因此，我们对流速走势的预测函数为：

Βω =∑ρ。(Β π ¾>:

... ' ③

在此处我们采用的是拉格朗日插值法进行流速的预测，但是这仅是一种较优的方案，误差较小。但是同样可以采用其他插值法对流速进行预测，例如，牛顿插值法，多项式插值法等等，在此处，不在对这些方法过程进行详细的说明。

如图 3 所示为本发明实施例流量监测***的一实施例的结构示意图，该***至少包括了：一个或多个流量预测***、告警模块、处理模块；其中，

流量预测***，配置为预测在设定时间内目标应用业务所占用的流量值，并将预测到的流量值发送至告警模块；

处理模块，配置为将预测得到的所述流量值和设定的流量范围进行比较，并将比较结果发送至告警模块；

告警模块，配置为根据比较结果判断所述目标应用业务在所述设定时间内的流量值是否正常；若所述流量值不在所述流量范围内，则执行报警动作。

如图 4所示为本发明实施例流量监测方法的一实施例的流程图，至少包括本发明实施例中按照本发明实施例流量预测的方法预测设定时间内目标应用业务的流量信息；将预测得到的所述流量信息和设定的流量范围进行比较；根据比较结果判断所述目标应用业务在所述设定时间内的流量信息是否正常；若所述流量信息不在所述流量范围内，则执行报警动作。在一实施例中，所述将预测得到的所述流量信息和设定的流量范围进行比较包括：对所述目标应用业务在所述设定时间内所占用的流量进行监测；根据所述流量范围确定所述目标业务对应的报警等级；

其中，所述流量范围包括多个不同等级的流量范围，所述不同等级的流量范围各自对应一种报警等级。

在一种实施例中，若所述流量值不在所述流量范围内，则执行报警动作具体包括：根据监测到的流量与设定不同等级的流量范围进行比较，并根据比较结果执行不同报警等级。

如果要检测目标应用业务的流量，那么首先预测出任意时间段内的流量。当我们有了流速的函数之后，任意一段时间的流量都可以通过对区间内的流速进行定积分来获取。例如从时间点 a到时间点 b之间的流量 L(a,b)，即为

L删 [a, b] = f BCtjdt:

； ④ 同理，任意 n个时间段 [ai,bi],i=0,...,n-l 内的总流量为

为了更好的控制流量，监测出异常，对当前统计到的流量与经验数据统计分析得到的流量 (即⑤式)进行简单处理， ***提供配置流量上下限的功能，从而更加随心所欲的控制流量。

这里假设用户关心的是时间范围为 Qi的流量情况，我们希望在 Qi这段时间范围内的任意时间段 [a,b]内都不会出现流量超过经验数据 L预测 =[a,b] 的上限 Pmax%或者低于的下限 Pmin%也就是预设的流量范围，一旦出现上述两种情况， ***马上会做出预警，同时与设备联动，利用深度包探测技术自动启动动态策略，对流量进行限速。这里通过基线上下限构造基线数据通道监测异常流量，总结起来就是以下两个公式：

L当前 ^> (1 + ^sias · Lf页测【 b];

⑥

或

L当前 [¾ b] < (1 - P_mls %) « L预测 [a,b]: 多协议支持下对各种应用和应用组的异常流量动态监测流程可以参见图 5。动态时间通道是有规律和时间段限制的，首先实时采集到的当前流量进行时间变换，把当前时间定为到规律时间段上的位置。在动态时间通道上建立分级监测流量范围，不同级的流量范围代表不同的告警级别。当超过预设的流量范围不管是超过正常情况上涨，或者超过正常情况下降，都执行对应的告警。

比对行为应该在一个最小比对时间范围，即时间步长内进行。可以有效避免误测和漏测，又能提高监测的准确性。

随着当前时间的推进，监测参照点在通道上移动变化，更新监测依据，完成对当前流量的比较和未来的推测，来达到监视异常流量的效果。

以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明；因此，对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims

权利要求书

1、一种流量预测方法，所述流量预测方法包括：

采集目标应用业务当前所占用流量的信息；

2、根据权利要求 1所述的流量预测方法，其中，所述采集目标应用业务流量信息，包括：

设定对目标应用业务进行流量采集的时间范围；

确定在所述时间范围内流量采集的时间步长；

在所述时间范围内按照所述时间步长采集所述应用业务的流量数据。

3、根据权利要求 2所述的流量预测方法，其中，所述制定所述目标应用业务的标准流量数据，包括：

根据所述各预设时间段对应的平均值确定标准流量数据。

4、根据权利要求 1所述的流量预测方法，其中，所述根据所述标准流量数据预测目标应用业务的流量信息，包括：

根据所述标准流量数据，构建目标应用业务流量根据时间变化的函数，才艮据所述函数预测得到所述目标应用业务的流量信息。

5、根据权利要求 1至 4中任意一项所述的流量预测方法，其中，所述目标应用业务包括至少一个应用业务。

6、根据权利要求 5所述的流量预测方法，其中，所述流量预测方法还包括：所述目标应用业务包括多个应用业务时，所述多个应用业务中至少有两个对应不同的应用协议。

7、一种流量监测方法，所述方法包括：

根据权利要求 1至 6中任意一项所述的流量预测方法预测设定时间内目标应用业务的流量信息；

将预测得到的所述流量信息和设定的流量范围进行比较；

根据比较结果判断所述目标应用业务在所述设定时间内的流量信息是否正常；

若所述流量信息不在所述流量范围内，则执行报警动作。

8、根据权利要求 7所述的流量监测方法，其中，所述将预测得到的所述流量信息和设定的流量范围进行比较，包括：

对所述目标应用业务在所述设定时间内所占用的流量进行监测；根据所述流量范围确定所述目标业务对应的报警等级；

9、根据权利要求 8所述的流量监测方法，其中，所述若所述流量信息不在所述流量范围内，则执行报警动作，包括：

根据监测到的流量与设定不同等级的流量范围进行比较，并根据比较结果执行不同报警等级。

10、一种流量预测***，所述***包括：流量采集模块、标准数据模块和流量预测模块；其中，

11、根据权利要求 10所述的流量预测***，其中，所述流量采集模块，配置为设定对目标应用业务进行流量采集的时间范围；确定在所述时间范围内流量采集的时间步长；在所述时间范围内按照所述时间步长采集所述应用业务的流量数据。

12、根据权利要求 11所述的流量预测***，其中，所述标准数据模块，配置为确定所述目标应用业务在所述时间范围包括各预设时间段对应的流速平均值；所述时间范围包括多个预设时间段，所述预设时间段包括至少一个所述时间步长；根据所述各预设时间段对应的平均值确定标准流量数据。

13、根据权利要求 10所述的流量预测***，其中，所述流量预测模块，配置为根据所述标准流量数据构建目标应用业务流量根据时间变化的函数，根据所述函数得到所述目标应用业务的预测流量信息。

14、一种流量监测***，所述***包括：一个或多个流量预测***、告警模块和处理模块；其中，

所述流量预测***为权利要求 10至 13中任意一项所述流量预测***，配置为预测在设定时间内目标应用业务的流量信息，并将预测到的流量信息发送至告警模块；

15、根据权利要求 14所述的流量监测***，其中，所述处理模块，配置为对所述目标应用业务在所述设定时间内所占用的流量进行监测；根据所述流量范围确定所述目标业务对应的报警等级；所述流量范围包括多个不同等级的流量范围，所述不同等级的流量范围各自对应一种报警等级。

16、根据权利要求 15所述的流量监测***，其中，所述告警模块，配置为根据监测到的流量与设定不同等级的流量范围进行比较，并根据比较结果执行不同报警等级。