[发明专利]一种网络流量异常检测和分析方法及装置

说明书

本发明公开一种网络流量异常检测和分析方法及装置，其中，该方法包括：建立BGP‑LS采集通道，监控链路状态变化；建立SNMP或Telemetry采集通道，监控链路流量变化；采集到现网流量信息后，根据系统配置的流量告警阈值，先判断是否存在异常流量，再生成实时流量告警并触发网络流量调度，同时将采集到的现网流量信息同步发送给大数据平台；对异常流量进行溯源分析时，根据大数据平台上训练好的时序预测模型，生成预测的流量变化基线，与当前采集的实际流量进行对比计算，对异常流量进行进一步的分析。该方法及装置通过采集并监控路由变化、链路流量和流量成分，在出现异常流量变化时，可以进行自动异常流量分析。

技术领域

本发明涉及网络异常流量处理领域，尤其是一种网络流量异常检测和分析方法及装置。

背景技术

网络异常流量可能来自网络规划的限制或者突发异常事件。前者由于瓶颈方向带宽不足，会出现规律性的固定拥塞，比较容易定位；后者则可能来源于网络故障，临时大客户业务变化，或者DDoS(distributed denial of service，分布式拒绝服务)攻击等非正常现象，发生时刻不定，难以及时有效地进行处理。

发明内容

为了解决网络突发异常事件造成的上述问题，本发明提供一种网络流量异常检测和分析方法及装置，通过采集并监控路由变化、链路流量和流量成分，在出现异常流量变化时，可以进行自动异常流量分析。

为实现上述目的，本发明采用下述技术方案：

在本发明一实施例中，提出了一种网络流量异常检测和分析方法，该方法包括：

建立BGP-LS采集通道，监控链路状态变化；

建立SNMP或Telemetry采集通道，监控链路流量变化；

采集到现网流量信息后，根据系统配置的流量告警阈值，先判断是否存在异常流量，再生成实时流量告警并触发网络流量调度，同时将采集到的现网流量信息同步发送给大数据平台；

对异常流量进行溯源分析时，根据大数据平台上训练好的时序预测模型，生成预测的流量变化基线，与当前采集的实际流量进行对比计算，对异常流量进行进一步的分析。

进一步地，采集到现网流量信息后，根据系统配置的流量告警阈值，先判断是否存在异常流量，再生成实时流量告警并触发网络流量调度，包括：

采集到现网纳管设备上各端口的流量，通过计算每条链路上实时流量和可用带宽的比例确定当前利用率；

根据系统配置的流量告警阈值和流量监控链路范围，当流量监控链路范围内链路的当前利用率超过流量告警阈值时，触发流量拥塞告警，并通知流量调度系统。

进一步地，对异常流量进行溯源分析时，根据大数据平台上训练好的时序预测模型，生成预测的流量变化基线，与当前采集的实际流量进行对比计算，对异常流量进行进一步的分析，包括：

大数据平台利用采集到现网流量信息训练现有的时序预测模型；

对异常流量进行溯源分析时，根据训练好的时序预测模型生成预测的流量变化基线，若当前采集的实际流量与预测的流量变化基线的差异小于指定的百分比，则认为是正常拥塞，由流量调度系统自行处理即可，否则认为是未知原因拥塞，尝试关联网络异常的告警事件。

进一步地，对于无法关联到网络异常的告警事件，则启动NetFlow分析诊断，对网络流量成分进行分析，将异常的网络流量成分和正常的网络流量成分的占比进行比较，判断流量变化是整体出现等比例流量变化还是特定对象出现流量变化，若是特定对象出现流量变化，则找到占比出现显著变化的对象，进而判断流量变化位置以及原因。

在本发明一实施例中，还提出了一种网络流量异常检测和分析装置，该装置包括：