本發明公開了一種計算機流量異常檢測分析系統，所述網絡流量監測過程分為三個階段：(1)收集網絡數據：(2)數據處理：(3)異常檢測：該系統通過單鏈路的主千網絡流量，檢測范圍較廣，能有效的發現鏈路之間或者OD流之間異常行為的相關性；而且當數據流監測對象改變時，能夠靈活的制定檢測策略，提高系統對異常流量的檢測速率。

技術領域

本發明涉及計算機系統設備技術領域，具體為一種計算機流量異常檢測分析系統。

背景技術

互聯網的快速發展從根本上改變了人們的生活和工作方式,大大提高了工作效率,然而隨著人們對互聯網的依賴性的增強異常流量的危害也在不斷擴大，目前影響互聯網正常運行的異常流量主要有DDOS攻擊、網絡蠕蟲、不可控P2P應用和一些能夠影響網絡帶寬和性能的流量。

發明內容

本發明的目的在于提供一種計算機流量異常檢測分析系統，以解決現有的技術缺陷和不能達到的技術要求。

為實現上述目的，本發明提供如下技術方案：一種計算機流量異常檢測分析系統，所述網絡流量監測過程分為三個階段：(1)收集網絡數據：收集的數據包括與配置相關的靜態數據、與網絡事件相關的動態數據和從動態數據中總結出來的統計數據；(2)數據處理：對收集的數據進行處理，主要是從中提取感興趣的不正常的信息；(3)異常檢測：對報告的信息進行綜合分析，檢測是否出現問題，并分析產生問題的原因；所述該分析系統工作流程包括三個步驟，建模樣本選擇，模型學習建立與偏離度評估；所述目前常用的流量的采集方式分為三種：一是基于SNMP的流量監測技術；二是基于操作系統底層提供的功能；三是基于NetFlow的流量監測技術；所述網絡異常通常意味著網絡的性能或流量參數等出現異常，在異常檢測中，統計模型中常用的測量測度包括審計事件的數量、間隔時間、資源消耗等。

優選的，所述SNMP的流量監測優點是能從宏觀的角度查看網絡的整體性能和狀況，給管理人員從大局的層面分析和解決問題帶來了方便；基于操作系統底層提供的功能和其它兩種流量采集方式相比，流量鏡像采集的最大特點是能夠提供豐富的應用層信息；NetFlow的流量監測技術和其它兩種流量采集方式相比，流量鏡像采集的最大特點是能夠提供豐富的應用層信息。

優選的，所述網絡流量異常檢測的基礎是網絡上產生的流量數據；按照數據聚集的粒度，網絡流量數據源可以分成包追蹤，網絡流和SNMP統計數據，包追蹤是指流經網絡或網絡鏈路上的IP數據包序列；網絡流是在特定的源和目的端點之間的某一單向應用數據包序列的聚合，由支持網絡流功能的路由器按照所轉發的數據包的屬性進行聚集所產生；網絡流不包含數據包的內容信息，但保留了數據包的特征信息；SNMP統計數據是指支持SNMP的網絡設備對所流經及轉發的數據包按流量進行分類統計的數據，網絡流的粒度包含了數據流的主要特征，但卻不包含數據的內容，網絡流包含了用于異常分析的主要屬性，又有較少的數據量，對網絡流進行數據分析時不關注包負載，減小了包處理開銷，更便于進行高效、實時的網絡異常的檢測及確定。

優選的，所述對于一個復雜的網絡系統，為了保障重要應用的帶寬需求，通過基于帶寬的網絡流量分析會使其更加明確，對網絡流量進行協議劃分，針對不同的協議進行流量監控和分析，在某一個協議的一個時間段內出現超常暴漲，就有可能是攻擊流量或蠕蟲病毒出現。

優選的，所述流量異常檢測分析系統它通過對采集的網絡流量進行挖掘、關聯性分析；將網絡流量、訪問行為和業務系統的安全結合起來，幫助管理人員掌握網絡資源使用情況、分析業務系統異常情況，保障業務系統的安全、穩定和高效運行。

與現有技術相比，本發明的有益效果如下：

單鏈路的主千網絡流量，檢測范圍較廣，能有效的發現鏈路之間或者OD流之間異常行為的相關性；而且當數據流監測對象改變時，能夠靈活的制定檢測策略，提高系統對異常流量的檢測速率。

具體實施方式