[发明专利]一种基于大数据分析的流量异常预判方法

权利要求书

1.一种基于大数据分析的流量异常预判方法，其特征在于，包括如下步骤：

S1，获取流数据信息；

S2，根据所述流数据信息提取数据特征；

S3，验证所述数据特征之间的线性相关性，如果验证通过，则根据数据特征的值采用如下公式计算残差e；

y＝α₁x+α₀+e

其中，x、y均为数据特征，e为残差，α₁，α₀为参数；

S4，比较|e_i|和z_α/2的大小，若|e_i|z_α/2，则判定第i个时间片的流量出现异常，其中，|e_i|为第i个时间片的残差绝对值；

z_α/2为正态分布表中查找到的值，表示当前分位数α/2下的误差概率，α是预设的正态分位数。

2.根据权利要求1所述的基于大数据分析的流量异常预判方法，其特征在于，所述流数据信息包括源IP地址、目的IP地址、源端口号、目的端口号、协议号、包数、字节数。

3.根据权利要求2所述的基于大数据分析的流量异常预判方法，其特征在于，S2包括：

S201，以流数据作为键值，利用哈希算法将每个时间片的流数据分到m个组中；

S202，统计每个时间片内每个组中的数据流的数量和字节数，分别得到n×m的流数量矩阵FCM和字节数矩阵FOM，FCM和FOM作为数据特征，其中n为时间片的个数，m为每个时间片内的流数据的分组数目。

4.根据权利要求3所述的基于大数据分析的流量异常预判方法，其特征在于，S202之后还包括步骤S203，对FCM和FOM分别计算每一行的熵值，对应得到两个n维数组FCIM和FOIM，作为新的数据特征。

5.根据权利要求4所述的基于大数据分析的流量异常预判方法，其特征在于，

第i个时间片内的FCIM按照如下公式进行计算：

其中，C(i,j)为FCM中第i行第j列的元素；

第i个时间片内的FOIM按照如下公式进行计算：

其中，O(i,j)为FOM中第i行第j列的元素。

6.根据权利要求4所述的基于大数据分析的流量异常预判方法，其特征在于，

验证FCIM与FOIM的线性相关性，如果验证通过，则根据FCIM与FOIM的值采用如下公式计算残差e：

y＝α₁x+α₀+e

其中，x为FCIM，y为FOIM，e为残差，α₁，α₀为参数。

7.根据权利要求6所述的基于大数据分析的流量异常预判方法，其特征在于，所述验证FCIM与FOIM的线性相关性，包括：

绘制Q-Q图，直观判断FCIM和FOIM的线性相关性；

计算皮尔逊相关系数验证FCIM和FOIM的线性相关性。

8.根据权利要求6所述的基于大数据分析的流量异常预判方法，其特征在于，参数α₁，α₀按照如下公式计算得到：

其中，x_i为FCIM中的第i个元素；

为FCIM中所有元素的均值；

y_i为FOIM中的第i个元素；

为FOIM中所有元素的均值。

9.根据权利要求6所述的基于大数据分析的流量异常预判方法，其特征在于，S3和S4之间还包括步骤利用标准差估计值σ对残差e进行标准化：

其中，

得到残差e的标准化结果为：

10.根据权利要求6所述的基于大数据分析的流量异常预判方法，其特征在于，S4之后还包括步骤：

对流量出现异常的第i个时间片的数据流详细信息进行统计；

根据异常数据特征库，判断第i个时间片的数据流的异常类型，所述异常类型包括：流量网络攻击异常、扫描行为异常和端口异常；

将数据流和判断结果均加入到所述异常数据特征库，对其进行更新。