本發明提供一種面向分布式網絡的流量行為分析方法，所述方法包括：部署網絡流量采集方案；采集歷史流量數據；訓練模型；獲取流量行為模型；采集實時流量數據；估計網絡全局流量行為。本發明將整個分布式網絡視為一個整體，通過采集網絡節點流量信息，利用網絡節點流量行為的空時上下文關系，分析網絡流量內在行為狀態，實現對網絡全局流量行為的監控，能夠輔助開展資源調度、異常檢測等網絡管理工作。

技術領域

本發明涉及網絡管理應用領域，更具體地，涉及一種面向分布式網絡的流量行為分析方法。

背景技術

隨著網絡與信息技術的迅猛發展，網絡規模的空前擴大以及各種網絡應用的廣泛使用，網絡深深地融入政治、經濟、文化等領域，網絡的多樣性給人們的工作生活帶來了極大的便利，與此同時，網絡的復雜性增加了網絡管理和維護的難度，使得網絡管理員面臨諸多困難。IPv6技術的推進促使網絡協議由IPv4向IPv6過渡，使網絡中常出現IPv4/IPv6雙棧并行的情況，這增加了網絡異常排查的難度。各種網絡包括無線局域網、無線城域網、公共移動通信網絡等接入互聯網擴大了網絡的規模，網絡的異構性給網絡的運行維護帶來困難。云計算的出現、社交網絡的興起、多媒體技術的發展促使網絡應用流量復雜多變，嚴重時會占用網絡中正常業務的帶寬，這給網絡帶寬的優化配置帶來挑戰。另一方面，層出不窮的網絡安全問題影響運營商、企業等網絡的正常運行，往往造成經濟損失，網絡的安全管理成為網絡管理員的重任。

為了在復雜的網絡環境中解決上述各種問題，增強網絡管理能力，建立穩定、安全的網絡環境，學術界與工業界提出了許多用于分析網絡行為的方法。包括：面向單點以及面向多點的流量分析方法。在面向單點的流量分析方法中，論文“Zhao D,Traore I,Sayed B,et al.Botnet detection based on traffic behavior analysis and flow intervals[J].ComputersSecurity,2013,39(4):2-16.”0提出一種網絡流量分析方法，主要分析通信網絡中的網絡流特征，包括源目的IP地址、源目的端口、協議、包長等信息，進而檢測網絡中的僵尸主機，該方法部署在網絡關鍵節點，分析節點的流量特征，基于決策樹算法檢測僵尸主機。公開專利一種基于網絡流量分析的異常檢測方法，該方法通過對IP數據包的深入分析提出了一個比較完備的網絡流量初始特征集，并根據不同類型的網絡異常動態選擇用于異常檢測的特征子集，最后利用貝葉斯分類器根據特征子集對未知樣本進行類別預測。綠盟科技推出一款網絡流量分析產品(綠盟科技網絡流量分析系統http://www.nsfocus.com.cn/products/details_22_2.html)，該產品能夠通過簡單網絡管理協議(Simple Network Management Protocol，SNMP)、Netflow協議等采集到網絡中路由設備的流量信息，進行多種維度的分析，包括網絡中的流量情況、流量組成成分、流量變化趨勢等。在面向多點的流量分析方法中，論文“Jiang D,Xu Z,Zhang P,et al.A transformdomain-based anomaly detection approach to network-wide traffic[J].Journal ofNetworkComputer Applications,2014,40(C):292-306.”提出了一種基于變換域的異常檢測方法，用于研究網絡側的流量行為特征，利用具有相同目的節點的源目的(Origin-Destination，OD)對的網絡流信息，將網絡流量視為時間序列，利用S變換得到時間序列的時頻信號，通過比較正常流量、異常流量在高頻分量的不同特性，實現網絡側的異常流量檢測。論文“Li Y,Luo X,Qian Y,et al.Network-Wide Traffic Anomaly Detection andLocalization Based on Robust Multivariate Probabilistic Calibration Model[J].Mathematical Problems in Engineering,2015,2015(1):1-26.”提出一種網絡側異常流量檢測與定位的方法，通過測量網絡中OD對的流量如數據包數量、字節數、流數，構造流量矩陣，應用多變量t分布的隱變量概率理論方法構造流量正常行為模型，通過評估樣本的Mahalanobis距離實現異常檢測與定位。李志鵬的專利公開了一種網絡流量的分析系統及方法，該系統首先通過流量采集模塊采集網絡中各節點的原始流量信息，然后提取出原始流量信息中的應用層流量信息，再通過對應用層流量信息進行統計比較，分析出應用系統中是否存在異常流量，實現了基于網絡流量的應用層分析。郭祖龍的專利公開了一種基于分布式的網絡流量分析系統及方法，該系統首先通過流量采集模塊采集網絡中流量信息，然后提取出原始流量信息中的網絡層、傳輸層和應用層信息，再通過對網絡層、傳輸層和應用層信息進行分析處理，對總流量情況、IP到IP流量數據、IP層網絡數據信息以及應用層協議信息進行分析。科來網絡推出一款全流量安全分析產品(科來網絡全流量安全分析系統https://app.huaweicloud.com/product/00301-55020-0--0)0，該產品通過對網絡鏈路全流量采集存儲、全數據分析，對網絡異常行為有敏銳的感知能力。