[发明专利]对广域网流量行为进行监测管理的方法和装置

权利要求书

1.一种对广域网流量行为进行监测管理的方法，其特征在于，包括：

通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段；

将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值；

将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为；

所述的通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段，包括：

设基于时间段的网络行为信息流为X＝{x(t₁),x(t_j)…x(t_c)}，其中,x(t₁)为t₁时间段的网络行为信息，x(t_c)为t_c时间段的网络行为信息，I＝{t₁,t_j…t_c}；

将所述网络行为信息流X分割成一系列连续的非空数据段{X₁,X_j…X_m}，其中第j个数据段X_j对应的时间段为t_j,X_m包含当前时间段的网络行为信息x(t_c)的数据段；

所述的将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为，包括：

计算所有时间段的网络流量行为趋势值s的信息熵H(x)，信息熵H(x)的计算公式为：

H(x)＝-∑p(s_j)×logp(s_j)，j＝1,2,..m

其中，s_j为第j个时间段的网络流量行为的趋势值，p(s_j )＝s_j /∑s_j，j＝1,2,..m；

当信息熵H(x)小于预先设定的趋势阈值时，取所有时间段的网络流量行为的趋势值的最大值作为最新的趋势阈值；

将待监测滑动时间窗口的趋势值与所述最新的趋势阈值比较，若待监测滑动时间窗口的趋势值大于最新的趋势阈值，则判断待监测滑动时间窗口内的流量行为为异常流量行为；若待监测滑动时间窗口的趋势值小于所述最新的趋势阈值，则判断待监测滑动时间窗口内的流量行为为正常流量行为。

2.根据权利要求1所述的对广域网流量行为进行监测管理的方法，其特征在于，所述的通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段，包括：

获取广域网中传输的数据包，解析所述数据包的协议，对所述数据包的网络行为信息进行规范化，规范化后的网络行为信息格式包括开始时间、结束时间、源IP地址、目的IP地址、源自治域、目的自治域、源端口、目的端口、协议类型、TCP标志、包个数、字节数、流数量和IP包分片偏移量。

3.根据权利要求1所述的对广域网流量行为进行监测管理的方法，其特征在于，所述的将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值，包括：

将每个数据段分割成多个子数据段，其中第j个数据段X_j＝{X_j(1),X_j(2)…X_j(n)}，对应的时间段为t_j,n为数据段X_j的长度；

计算第j个滑动时间窗口内网络流量行为的标准差s，计算方式为:

x _j为X_j(1),X_j(2)…X_j(n)的平均值，标准差s_j为第j个时间段内网络流量行为的趋势值；

按照所述s_j的计算过程，计算出每个时间段内网络流量行为的趋势值。