[发明专利]流量异常检测方法、装置、存储介质及处理器

说明书

本申请公开了一种流量异常检测方法、装置、存储介质及处理器。该方法包括：通过流量采集探针获取用户网络的流量数据，并将流量数据发送给数据分析平台；通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录；根据流量历史记录确定第一预测值和第二预测值；采用泊松分布检测方法结合第一预测值和第二预测值进行分析，确定当前时刻的流量观测值是否异常。通过本申请，解决了相关技术中难以准确确定当前时刻的流量观测值是否异常的问题。

技术领域

本申请涉及数据监测领域，具体而言，涉及一种流量异常检测方法、装置、存储介质及处理器。

背景技术

流量，是系统的黄金指标之一，它直观反映用户网络的运行状态。健康的网络流量通常平稳波动变化，当流量突然上涨或者下降时可能预示用户网络存在故障。例如外部网络链路出现故障时，外部用户的访问流量无法到达用户的内网，流量会出现突降异常。当内网服务器出现问题无法响应用户的请求时，此时的流量同样会出现突降异常。除了导致流量突降类的故障，当内网服务器被爬虫爬取或者攻击时，流量会出现突升异常。所以流量的突升、突降常常表示用户网络中发生了某种故障或者异常行为。因此，流量异常检测对发现网络故障、维护内部网络的稳定性十分重要。

经典的流量异常监测方法是基于阈值基线的检测方法，这种方法通过对历史数据的分析建立正常的参考基线范围，一旦超出此范围就判断为异常，它的特点是简单、计算复杂度小，适用于实时检测，现有技术基于阈值基线的检测方法作为一种实用的检测手段时，需要结合网络流量自身的特点进行修正和改进。但是，目前现有技术的阈值基线的检测方法一般采用传统线性回归算法计算阈值基线，忽略了流量本身的周期性特征。

针对相关技术中难以准确确定当前时刻的流量观测值是否异常的问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种流量异常检测方法、装置、存储介质及处理器，以解决相关技术中难以准确确定当前时刻的流量观测值是否异常的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种流量异常检测方法。该方法包括：通过流量采集探针获取用户网络的流量数据，并将流量数据发送给数据分析平台；通过数据分析平台将流量数据根据预设的时间粒度生成流量历史记录；根据流量历史记录确定第一预测值和第二预测值；采用泊松分布检测方法结合第一预测值和第二预测值进行分析，确定当前时刻的流量观测值是否异常。

进一步地，根据流量历史记录确定第一预测值和第二预测值包括：在流量历史记录中选取预设时间内流量时间粒度的历史记录值；采用鲁棒回归算法和历史记录值对短期流量进行预测，得到第一预测值；采用ARIMA算法和历史记录值对流量趋势性进行预测，得到第二预测值。

进一步地，采用ARIMA算法和历史记录值对流量趋势性进行预测，得到第二预测值包括：根据流量历史记录确定原始流量曲线；对原始流量曲线使用加法模型进行分解，确定流量趋势性数据；采用ARIMA算法和流量趋势性数据进行预测，得到第二预测值。

进一步地，采用泊松分布检测方法结合第一预测值和第二预测值进行分析，确定当前时刻的流量观测值是否异常包括：基于第一预测值确定第一预设阈值以及基于第二预测值确定第二预设阈值；通过泊松分布检测方法基于第一预设阈值和第二预设阈值，确定当前时刻的流量观测值是否异常。

进一步地，通过泊松分布检测方法基于第一预设阈值和第二预设阈值，确定当前时刻的流量观测值是否异常包括：若通过泊松分布检测方法基于第一预设阈值检验当前时刻的流量观测值异常，并且通过泊松分布检测方法基于第二预设阈值检验当前时刻的流量观测值异常；则确定当前时刻的流量观测值异常，并触发告警信息。

进一步地，将流量数据发送给数据分析平台包括：将流量数据的格式转换为Netflow的格式；将Netflow的格式的流量数据发送至数据分析平台。

进一步地，数据分析平台对外开放固定的端口用于接收Netflow格式的流量数据。