[发明专利]一种网络流量监测方法和设备

说明书

技术领域

本发明涉及网络监测领域，具体地，涉及一种网络流量监测方法和设备。

背景技术

随着互联网技术的发展，网络安全以及网络信息统计、行为分析越来越受到人们的关注。通过对网络流量进行监测能够有效的获得用户的网络行为，从而便于监测人员实时掌握网络动态。

监测网络流量是否异常是网络流量监测的一个应用。判断网络流量是否异常，通常是将检测到的网络流量与一基线值进行比较。如果所检测到的网络流量大于或等于该基线值，则确定此时网络流量异常。可见，基线值的确定对于网络流量异常判断起至关重要的作用。

动态基线是指对于不同时刻使用不同的基线值来刻画该时刻的网络流量。例如，时刻t₁采用第一基线值作为流量上限，时刻t₂采用第二基线值作为流量上限。对于当前检测到的网络流量，可基于切比雪夫不等式、利用历史同时刻网络流量来确定当前网络流量的基线值。所述历史同时刻网络流量是指在当前检测时间之前的历史日期中的同一时刻检测到的网络流量。例如，假设当前检测时间是今天的时刻t₁，那么所述历史同时刻网络流量可包括在前天的时刻t₁检测的网络流量、在昨天的时刻t₁检测的网络流量，等等。确定当前网络流量的基线值的方法如下所示：

ξ0=D(ξ)1-α+E(ξ)]]>    等式（1）

其中，ξ₀表示所述基线值；D(ξ)表示历史同时刻网络流量的方差；E(ξ)表示历史同时刻网络流量的期望；以及α表示信任度。

使用切比雪夫不等式来预测下一个数据的基线值，是一个学习的过程。通过对历史数据的学习，来得到下一个数据的基线值。然而，如果距离当前检测时间较近的历史同时刻网络流量出现较大起伏时，而这种起伏又是正常的情况下，那么通过现有方法预测出的基线值，有时不能敏感地反映出这些历史同时刻网络流量的这一起伏变化，这就容易导致误报的情况。

发明内容

本发明的目的是提供一种网络流量监测方法和设备，以在网络流量复杂多变的情况下，提高网络流量异常判断的准确率，减少误报的情况。

为了实现上述目的，本发明提供一种网络流量监测方法，该方法包括：检测当前网络流量；将所述当前网络流量与一基线值进行比较；在所述当前网络流量大于或等于该基线值的情况下，进行告警；其中，所述基线值是基于历史同时刻网络流量的加权平均值和方差确定的，并且，每个历史同时刻网络流量的权重系数不全相等，所述历史同时刻网络流量是指在当前检测时间之前的历史日期中的同一时刻检测到的网络流量。

优选地，时间上距离所述当前网络流量越近的历史同时刻网络流量，具有越高的权重。

优选地，该方法还包括：仅在所述当前网络流量小于所述基线值的情况下，将所述当前网络流量存储为历史同时刻网络流量。

优选地，通过以下方式来确定所述基线值：