[发明专利]流量异常检测方法、装置、存储介质及处理器

权利要求书

1.一种流量异常检测方法，其特征在于，包括：

通过流量采集探针获取用户网络的流量数据，并将所述流量数据发送给数据分析平台；

通过所述数据分析平台将所述流量数据根据预设的时间粒度生成流量历史记录；

根据所述流量历史记录确定第一预测值和第二预测值；

采用泊松分布检测方法结合所述第一预测值和所述第二预测值进行分析，确定当前时刻的流量观测值是否异常；

其中，根据所述流量历史记录确定第一预测值和第二预测值包括：

在所述流量历史记录中选取预设时间内流量时间粒度的历史记录值；

采用鲁棒回归算法和所述历史记录值对短期流量进行预测，得到所述第一预测值；

采用ARIMA算法和所述历史记录值对流量趋势性进行预测，得到所述第二预测值；

其中，采用ARIMA算法和所述历史记录值对流量趋势性进行预测，得到所述第二预测值包括：

根据所述流量历史记录确定原始流量曲线；

对所述原始流量曲线使用加法模型进行分解，确定流量趋势性数据；

采用ARIMA算法和所述流量趋势性数据进行预测，得到所述第二预测值。

2.根据权利要求1所述的方法，其特征在于，采用泊松分布检测方法结合所述第一预测值和所述第二预测值进行分析，确定当前时刻的流量观测值是否异常包括：

基于所述第一预测值确定第一预设阈值以及基于所述第二预测值确定第二预设阈值；

通过泊松分布检测方法基于所述第一预设阈值和所述第二预设阈值，确定所述当前时刻的流量观测值是否异常。

3.根据权利要求2所述的方法，其特征在于，通过泊松分布检测方法基于所述第一预设阈值和所述第二预设阈值，确定所述当前时刻的流量观测值是否异常包括：

若通过泊松分布检测方法基于所述第一预设阈值检验所述当前时刻的流量观测值异常，并且通过泊松分布检测方法基于所述第二预设阈值检验所述当前时刻的流量观测值异常；则确定所述当前时刻的流量观测值异常，并触发告警信息。

4.根据权利要求1所述的方法，其特征在于，将所述流量数据发送给数据分析平台包括：

将所述流量数据的格式转换为Netflow的格式；

将Netflow的格式的流量数据发送至所述数据分析平台。

5.根据权利要求1所述的方法，其特征在于，所述数据分析平台对外开放固定的端口用于接收Netflow格式的流量数据。

6.一种流量异常检测装置，其特征在于，包括：

第一获取单元，用于通过流量采集探针获取用户网络的流量数据，并将所述流量数据发送给数据分析平台；

第一生成单元，用于通过所述数据分析平台将所述流量数据根据预设的时间粒度生成流量历史记录；

第一确定单元，用于根据所述流量历史记录确定第一预测值和第二预测值；

第二确定单元，用于采用泊松分布检测方法结合所述第一预测值和所述第二预测值进行分析，确定当前时刻的流量观测值是否异常；

其中，所述第一确定单元包括：

第一选取模块，用于在所述流量历史记录中选取预设时间内流量时间粒度的历史记录值；

第一预测模块，用于采用鲁棒回归算法和所述历史记录值对短期流量进行预测，得到所述第一预测值；

第二预测模块，用于采用ARIMA算法和所述历史记录值对流量趋势性进行预测，得到所述第二预测值；

其中，第二预测模块包括：

第一确定子模块，用于根据所述流量历史记录确定原始流量曲线；

第二确定子模块，用于对所述原始流量曲线使用加法模型进行分解，确定流量趋势性数据；

第一预测子模块，用于采用ARIMA算法和所述流量趋势性数据进行预测，得到所述第二预测值。