[发明专利]一种网络流量异常检测和分析方法及装置

权利要求书

1.一种网络流量异常检测和分析方法，其特征在于，该方法包括：

建立BGP-LS采集通道，监控链路状态变化；

建立SNMP或Telemetry采集通道，监控链路流量变化；

采集到现网流量信息后，根据系统配置的流量告警阈值，先判断是否存在异常流量，再生成实时流量告警并触发网络流量调度，同时将采集到的现网流量信息同步发送给大数据平台；

对异常流量进行溯源分析时，根据大数据平台上训练好的时序预测模型，生成预测的流量变化基线，与当前采集的实际流量进行对比计算，对异常流量进行进一步的分析，包括：

大数据平台利用采集到现网流量信息训练现有的时序预测模型；

对异常流量进行溯源分析时，根据训练好的时序预测模型生成预测的流量变化基线，若当前采集的实际流量与预测的流量变化基线的差异小于指定的百分比，则认为是正常拥塞，由流量调度系统自行处理即可，否则认为是未知原因拥塞，尝试关联网络异常的告警事件；

对于无法关联到网络异常的告警事件，则启动NetFlow分析诊断，对网络流量成分进行分析，将异常的网络流量成分和正常的网络流量成分的占比进行比较，判断流量变化是整体出现等比例流量变化还是特定对象出现流量变化，若是特定对象出现流量变化，则找到占比出现显著变化的对象，进而判断流量变化位置以及原因。

2.根据权利要求1所述的网络流量异常检测和分析方法，其特征在于，采集到现网流量信息后，根据系统配置的流量告警阈值，先判断是否存在异常流量，再生成实时流量告警并触发网络流量调度，包括：

采集到现网纳管设备上各端口的流量，通过计算每条链路上实时流量和可用带宽的比例确定当前利用率；

根据系统配置的流量告警阈值和流量监控链路范围，当流量监控链路范围内链路的当前利用率超过流量告警阈值时，触发流量拥塞告警，并通知流量调度系统。

3.一种网络流量异常检测和分析装置，其特征在于，该装置包括：

链路状态监控模块，用于建立BGP-LS采集通道，监控链路状态变化；

链路流量监控模块，用于建立SNMP或Telemetry采集通道，监控链路流量变化；

实时流量分析模块，用于采集到现网流量信息后，根据系统配置的流量告警阈值，先判断是否存在异常流量，再生成实时流量告警并触发网络流量调度，同时将采集到的现网流量信息同步发送给大数据平台；

异常流量溯源分析模块，用于对异常流量进行溯源分析时，根据大数据平台上训练好的时序预测模型，生成预测的流量变化基线，与当前采集的实际流量进行对比计算，对异常流量进行进一步的分析，包括：

大数据平台利用采集到现网流量信息训练现有的时序预测模型；

对异常流量进行溯源分析时，根据训练好的时序预测模型生成预测的流量变化基线，若当前采集的实际流量与预测的流量变化基线的差异小于指定的百分比，则认为是正常拥塞，由流量调度系统自行处理即可，否则认为是未知原因拥塞，尝试关联网络异常的告警事件；

对于无法关联到网络异常的告警事件，则启动NetFlow分析诊断，对网络流量成分进行分析，将异常的网络流量成分和正常的网络流量成分的占比进行比较，判断流量变化是整体出现等比例流量变化还是特定对象出现流量变化，若是特定对象出现流量变化，则找到占比出现显著变化的对象，进而判断流量变化位置以及原因。

4.根据权利要求3所述的网络流量异常检测和分析装置，其特征在于，采集到现网流量信息后，根据系统配置的流量告警阈值，先判断是否存在异常流量，再生成实时流量告警并触发网络流量调度，包括：

采集到现网纳管设备上各端口的流量，通过计算每条链路上实时流量和可用带宽的比例确定当前利用率；

根据系统配置的流量告警阈值和流量监控链路范围，当流量监控链路范围内链路的当前利用率超过流量告警阈值时，触发流量拥塞告警，并通知流量调度系统。

5.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1-2任一项所述方法。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有执行权利要求1-2任一项所述方法的计算机程序。