网络流量曲线分析方法和装置制造方法及图纸

本发明专利技术提供了一种网络流量曲线分析方法和装置。涉及信息安全领域；解决了对网络流量变化规律分析的问题。该方法包括：根据待评估流量曲线，从历史数据中选取建模样本；以所述建模样本作为训练样本，构造模型；根据所述模型，评估所述待评估流量曲线的偏离度。本发明专利技术提供的技术方案适用于网络态势分析，实现了对高随机性的网络流量的分析。

【技术实现步骤摘要】
网络流量曲线分析方法和装置
本专利技术涉及信息安全领域，尤其涉及一种网络流量曲线分析方法和装置。
技术介绍
流量曲线（数据包个数、数据包体积等，能够表现流量特征的数值序列）是网络态势分析的常用工具，通过分析流量曲线可以在第一时间获取特定时期内的网络负载情况、负载变化情况，直观地评估网络环境的健康程度，特别是对于DDos洪泛攻击、Smurf攻击、Arp攻击等网络安全事件的发现具有比较实际、高效的指导作用。流量曲线建模本质上是以历史流量曲线为样本的数据挖掘过程，是对历史流量曲线在形态上的概括总结。在分析网络状态或评估网络健康情况时，一般采用基于指标的态势感知分析方法，这种方法根据对比前后两个状态的差异程度来判断网络状态的迁移，区别于态势感知，曲线模型往往包含着在时间维度上的前后关联信息，这种关联信息不仅可以回答态势是否发生了迁移，还可以更近一步分析这种迁移以历史的角度，是否发生过，变化幅度是否是正常的。网络流量的变化规律是由网络环境决定的，本质上是网络中各个节点的使用者（自然人或程序）行为规律的体现，因此当我们假设一个曲线样本在历史中发生过，本质上是在讨论产生这一曲线的行为是否曾经发生过。流量曲线中最重要的因素是时间，然而，通常情况下网络行为并不由时间唯一确定，特别是办公网络、社区网络等，网络行为主要由人引起，因此随机性很强，在小粒度时间点上基本没有普遍规律能够总结。
技术实现思路
本专利技术提供了一种网络流量曲线分析方法和装置，解决了对网络流量变化规律分析的问题。一种网络流量曲线分析方法和装置，包括：根据待评估流量曲线，从历史数据中选取建模样本；以所述建模样本作为训练样本，构造模型；根据所述模型，评估所述待评估流量曲线的偏离度。优选的，根据待评估流量曲线，从历史数据中选取样本包括：从历史数据中选择与所述待评估流量曲线的时间相吻合的历史曲线段作为候选样本，所述候选样本符合以下表达式的定义；根据GoalCurve遍历所有CandidateCurve，同时获得它们与GoalCurve的距离distance(C_(b1，e1)，C_(b2，e2))，所述distance(C_(b1，e1)，C_(b2，e2))根据以下表达式计算：根据距离从小到大排序，从中选取距离最小的N个候选样本作为后续建模样本优选的，当N的取值增加时，对网络流量异常的敏感度也增加。优选的，所述以所述建模样本作为训练样本，构造模型包括：根据以下表达式获取曲线数据：ModelCurve＝{Cb，e|b＝gbegin，e＝gend}；进行曲线建模，其中，x采用1至length的整数作为模型的输入，length是待评估流量曲线的长度，输出为样本曲线的元素值vt，其中x与t一一对应，x是vt在曲线中的序号gbegin，gend是GoalCurve的起始、终止时间点，ModelCurve与GoalCurve在时间上一一对应，ModelCurve由模型以x为输入产出。优选的，所述模型的中间层节点的数量取length/2，中间层节点的位置依x间隔选取。优选的，所述模型的激发函数选用高斯函数，其扩展常数σ设为2。优选的，根据所述模型，评估所述待评估流量曲线的偏离度包括：将值域[0，1]平均分为N份，确定总体偏离距离的分位数，第N个建模样本曲线的偏离度设为1，其余各个建模样本的偏离度设为Deviation(Cs)＝i/N，i是依distance(Cs，ModelCurve)从小到大的排序序号；根据以下表达式，计算待评估流量曲线GoalCurve总体的偏离度：其中，Cn使得distance(Cn，ModelCurve)与distance(Cs，ModelCurve)最接近；对于曲线C它的单点最大偏离距离为maxdistance(Cb，e，ModelCurvemb，me)＝maxb≤t≤e(vt-v′t+mb-b)2，其中v′t+mb-b为ModelCurve的元素值，t即为最大偏离点maxbiaspoint；依maxdistance从小到大的序号i，设置各个样本的单点偏离度为MaxDeviation(Cs)＝i/N，确定单点偏离距离的分位数；根据以下表达式计算待评估流量曲线GoalCurve总体的偏离度：其中，Cn使得maxdistance(Cn，ModelCurve)与maxdistance(Cs，ModelCurve)的距离最接近。本专利技术还提供了一种网络流量曲线分析装置，包括：取样模块，用于根据待评估流量曲线，从历史数据中选取建模样本；模型构造模块，用于以所述建模样本作为训练样本，构造模型；评估模块，用于根据所述模型，评估所述待评估流量曲线的偏离度。优选的，所述取样模块包括：候选样本确定单元，用于从历史数据中选择与所述待评估流量曲线的时间相吻合的历史曲线段作为候选样本，所述候选样本符合以下表达式的定义；距离计算单元，用于根据GoalCurve遍历所有CandidateCurve，同时获得它们与GoalCurve的距离distance(C_(b1，e1)，C_(b2，e2))，所述distance(C_(b1，e1)，C_(b2，e2))根据以下表达式计算：建模样本选取单元，用于根据距离从小到大排序，从中选取距离最小的N个候选样本作为后续建模样本。优选的，所述模型构造模块包括：曲线建模单元，用于根据以下表达式获取曲线数据：ModelCurve＝{Cb，e|b＝gbegin，e＝gend}；进行曲线建模，其中，x采用1至length的整数作为模型的输入，length是待评估流量曲线的长度，输出为样本曲线的元素值vt，其中x与t一一对应，x是vt在曲线中的序号gbegin，gend是GoalCurve的起始、终止时间点，ModelCurve与GoalCurve在时间上一一对应，ModelCurve由模型以x为输入产出。优选的，所述评估模块包括：分位数确定单元，用于将值域[0，1]平均分为N份，确定总体偏离距离的分位数，第N个建模样本曲线的偏离度设为1，其余各个建模样本的偏离度设为Deviation(Cs)＝i/N，i是依distance(Cs，ModelCurve)从小到大的排序序号；偏离度计算单元，用于根据以下表达式，计算待评估流量曲线GoalCurve总体的偏离度：其中，Cn使得distance(Cn，ModelCurve)与distance(Cs，ModelCurve)最接近；最大偏离距离计算单元，用于对于曲线C它的单点最大偏离距离为maxdistance(Cb，e，ModelCurvemb，me)＝maxb≤t≤e(vt-v′t+mb-b)2，其中v′t+mb-b为ModelCurve的元素值，t即为最大偏离点maxbiaspoint；单点偏离距离分位数计算单元，用于依maxdistance从小到大的序号i，设置各个样本的单点偏离度为MaxDeviation(Cs)＝i/N，确定单点偏离距离的分位数；第二偏离度计算单元，用于根据以下表达式计算待评估流量曲线GoalCurve总体的偏离度：其中，Cn使得maxdistance(Cn，ModelCurve)与maxdistance(Cs，ModelCurve)的距离最接近。本专利技术提供了一种网络流量曲线分析方法本文档来自技高网...

【技术保护点】
一种网络流量曲线分析方法，其特征在于，包括：根据待评估流量曲线，从历史数据中选取建模样本；以所述建模样本作为训练样本，构造模型；根据所述模型，评估所述待评估流量曲线的偏离度。

【技术特征摘要】
1.一种网络流量曲线分析方法，其特征在于，包括：根据待评估流量曲线，从历史数据中选取建模样本；以所述建模样本作为训练样本，构造模型；根据所述模型，评估所述待评估流量曲线的偏离度；根据待评估流量曲线，从历史数据中选取样本包括：从历史数据中选择与所述待评估流量曲线的时间相吻合的历史曲线段作为候选样本，所述候选样本符合以下表达式的定义；根据GoalCurve遍历所有CandidateCurve，同时获得它们与GoalCurve的距离distance(C_(b1，e1)，C_(b2，e2))，所述distance(C_(b1，e1)，C_(b2，e2))根据以下表达式计算：根据距离从小到大排序，从中选取距离最小的N个候选样本作为后续建模样本其中，CandidateCurve为候选样本，GoalCurve为待评估曲线，SampleCurve为建模样本，distance为曲线距离，dayinterval为24小时对应的时间点个数，ε为放松时延，b1表示第1个曲线C_(b1,e1)的起始时间，e1表示第1个曲线C_(b1,e1)的终止时间，b2表示第2个曲线的起始时间，e2表示第2个曲线C_(b2,e2)的终止时间，vb1表示第1个曲线C_(b1,e1)在b1时间点的元素值，vb2表示第2个曲线C_(b2,e2)在b2时间点的元素值，gbegin、gend是GoalCurve的起始、终止时间点。2.根据权利要求1所述的网络流量曲线分析方法，其特征在于，当N的取值增加时，对网络流量异常的敏感度也增加。3.根据权利要求1所述的网络流量曲线分析方法，其特征在于，所述以所述建模样本作为训练样本，构造模型包括：根据以下表达式获取曲线数据：ModelCurve＝{Cb,e|b＝gbegin,e＝gend}；进行曲线建模，其中，x采用1至length的整数作为模型的输入，length是待评估流量曲线的长度，输出为样本曲线的元素值vt，其中x与t一一对应，x是vt在曲线中的序号，ModelCurve与GoalCurve在时间上一一对应，ModelCurve由模型以x为输入产出；t即为最大偏离时间点，x从1计。4.根据权利要求1所述的网络流量曲线分析方法，其特征在于，所述模型的中间层节点的数量取length/2，中间层节点的位置依x间隔选取。5.根据权利要求1所述的网络流量曲线分析方法，其特征在于，所述模型的激发函数选用高斯函数，其扩展常数σ设为2。6.根据权利要求1所述的网络流量曲线分析方法，其特征在于，根据所述模型，评估所述待评估流量曲线的偏离度包括：将值域[0，1]平均分为N份，确定总体偏离距离的分位数，第N个建模样本曲线的偏离度设为1，其余各个建模样本的偏离度设为Deviation(Cs)＝i/N，i是依distance(Cs,ModelCurve从小到大的排序序号；根据以下表达式，计算待评估流量曲线GoalCurve总体的偏离度：其中，Cn使得distance(Cn,ModelCurve)与distance(Cs,ModelCurve)最接近；对于曲线C它的单点最大偏离距离为maxdistance(Cb,e,ModelCurvemb，me)＝maxb≤t≤e(vt-(vt+mb-b)′)2，其中(vt+mb-b)′为ModelCurve的元素值，t即为最大偏离时间点maxbiaspoint；依maxdistance从小到大的序号i，设置各个样本的单点偏离度为MaxDeviation(Cs)＝i/N，确定单点偏离距离的分位数；根据以下表达式计算待评估流量曲线GoalCurve总体的偏离度：其中，Cn使得maxdistance(Cn,ModelCurve)与maxdistance(Cs，ModelCurve)的距离最接近，mb为模型的起始时间，me为模型的终止时间；max(b≤t≤e)，即在目标曲线的起始时间b和终止时间e中找到的一个时间点t，即该...

【专利技术属性】
技术研发人员：侯伟，周涛，
申请(专利权)人：北京启明星辰信息技术股份有限公司，北京启明星辰信息安全技术有限公司，
类型：发明
国别省市：