[发明专利]一种自适应的网络流量异常检测方法

权利要求书

1.一种自适应的网络流量异常检测方法，其特征在于，包括第一阶段和第二阶段；若为初始学习则执行第一阶段，否则执行第二阶段；

第一阶段为初始学习阶段，包括如下步骤：

S1、基于n个时间周期，获取每个时间周期内一个或多个网络流量指标的采样值，采样值表示该网络流量指标在该时间周期内的数值，某一个网络流量指标在n个时间周期得到n个采样值；

S2、基于每个网络流量指标得到的n个采样值，得到最终最大学习值X_MAX_learn，并将X_MAX_learn*3作为该网络流量指标的预警阈值触发告警；最终最大学习值X_MAX_learn的定义为：在每个网络流量指标得到的n个采样值按照从小到大从左至右排序后的集合中，大于中位数，且小于其左边邻居成员值的3倍的最大成员值；

S3、基于小于等于最终最大学习值X_MAX_learn的该网络流量指标的所有采样值，得到突跳比例学习值X_INC_RATIO_learn和突跳值学习值X_CHANGE_learn作为共同预警阈值触发告警；突跳比例学习值是指每个网络流量指标的某一采样值相对于前一时间周期的采样值的升幅比例的最大值；突跳值学习值指每个网络流量指标的某一采样值与前一时间周期的采样值的差值的最大值；

S4、针对每个网络流量指标的所有采样值，获得陡降比例学习值X_DEC_RATIO_learn，将突跳值学习值X_CHANGE_learn和陡降比例学习值X_DEC_RATIO_learn作为该网络流量指标的共同预警阈值触发告警；陡降比例学习值是指每个网络流量指标的某一采样值相对于前一时间周期的采样值的降幅比例的最大值；

S5、将步骤S2-S4得到的某网络流量指标的结果，对步骤S1获取的对应网络流量指标的n个采样值进行检测，检测过程针对每个采样值进行3次判断：首先判断该采样值是否大于最终最大学习值X_MAX_learn，若满足条件则输出告警结果；其次判断该采样值相对于前一时间周期的采样值的升幅比例是否大于突跳比例学习值X_INC_RATIO_learn，且该采样值与前一时间周期的采样值的差值是否大于突跳值学习值X_CHANGE_learn，若同时满足则输出告警结果；然后判断该采样值相对于前一时间周期的采样值的降幅比例是否大于陡降比例学习值X_DEC_RATIO_learn，且前一时间周期的采样值与该采样值的差值与是否大于突跳值学习值X_CHANGE_learn，若同时满足则输出告警结果；若满足以上3次判断中的任意一告警结果，则触发告警，否则不触发告警；

第二阶段为持续学习与告警阶段，包括如下步骤：

步骤1、基于m个时间周期，再次获取每个时间周期内某网络流量指标的采样值；

步骤2、基于新获取的某网络流量指标的m个采样值对上一次得到的最终的最大值学习值X_MAX_learn、突跳值学习值X_CHANGE_learn、突跳比例学习值X_INC_RATIO_learn和陡降比例学习值X_DEC_RATIO_learn进行更新；

步骤3、基于更新后的某网络流量指标的结果，再对步骤1中新获取的对应的网络流量指标的n个采样值进行检测，检测过程针对每个采样值进行3次判断：首先判断该采样值是否大于最终最大学习值X_MAX_learn，若满足条件则输出告警结果；其次判断该采样值相对于前一时间周期的采样值的升幅比例是否大于突跳比例学习值X_INC_RATIO_learn，且该采样值与前一时间周期的采样值的差值是否大于突跳值学习值X_CHANGE_learn，若同时满足则输出告警结果；然后判断该采样值相对于前一时间周期的采样值的降幅比例是否大于陡降比例学习值X_DEC_RATIO_learn，且前一时间周期的采样值与该采样值的差值与是否大于突跳值学习值X_CHANGE_learn，若同时满足则输出告警结果；若满足以上3次判断中的任意一告警结果，则触发告警，否则不触发告警。