本發(fā)明提供一種面向分布式網(wǎng)絡(luò)的流量行為分析方法，所述方法包括：部署網(wǎng)絡(luò)流量采集方案；采集歷史流量數(shù)據(jù)；訓(xùn)練模型；獲取流量行為模型；采集實(shí)時(shí)流量數(shù)據(jù)；估計(jì)網(wǎng)絡(luò)全局流量行為。本發(fā)明將整個(gè)分布式網(wǎng)絡(luò)視為一個(gè)整體，通過采集網(wǎng)絡(luò)節(jié)點(diǎn)流量信息，利用網(wǎng)絡(luò)節(jié)點(diǎn)流量行為的空時(shí)上下文關(guān)系，分析網(wǎng)絡(luò)流量內(nèi)在行為狀態(tài)，實(shí)現(xiàn)對網(wǎng)絡(luò)全局流量行為的監(jiān)控，能夠輔助開展資源調(diào)度、異常檢測等網(wǎng)絡(luò)管理工作。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)管理應(yīng)用領(lǐng)域，更具體地，涉及一種面向分布式網(wǎng)絡(luò)的流量行為分析方法。

背景技術(shù)

隨著網(wǎng)絡(luò)與信息技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)規(guī)模的空前擴(kuò)大以及各種網(wǎng)絡(luò)應(yīng)用的廣泛使用，網(wǎng)絡(luò)深深地融入政治、經(jīng)濟(jì)、文化等領(lǐng)域，網(wǎng)絡(luò)的多樣性給人們的工作生活帶來了極大的便利，與此同時(shí)，網(wǎng)絡(luò)的復(fù)雜性增加了網(wǎng)絡(luò)管理和維護(hù)的難度，使得網(wǎng)絡(luò)管理員面臨諸多困難。IPv6技術(shù)的推進(jìn)促使網(wǎng)絡(luò)協(xié)議由IPv4向IPv6過渡，使網(wǎng)絡(luò)中常出現(xiàn)IPv4/IPv6雙棧并行的情況，這增加了網(wǎng)絡(luò)異常排查的難度。各種網(wǎng)絡(luò)包括無線局域網(wǎng)、無線城域網(wǎng)、公共移動(dòng)通信網(wǎng)絡(luò)等接入互聯(lián)網(wǎng)擴(kuò)大了網(wǎng)絡(luò)的規(guī)模，網(wǎng)絡(luò)的異構(gòu)性給網(wǎng)絡(luò)的運(yùn)行維護(hù)帶來困難。云計(jì)算的出現(xiàn)、社交網(wǎng)絡(luò)的興起、多媒體技術(shù)的發(fā)展促使網(wǎng)絡(luò)應(yīng)用流量復(fù)雜多變，嚴(yán)重時(shí)會占用網(wǎng)絡(luò)中正常業(yè)務(wù)的帶寬，這給網(wǎng)絡(luò)帶寬的優(yōu)化配置帶來挑戰(zhàn)。另一方面，層出不窮的網(wǎng)絡(luò)安全問題影響運(yùn)營商、企業(yè)等網(wǎng)絡(luò)的正常運(yùn)行，往往造成經(jīng)濟(jì)損失，網(wǎng)絡(luò)的安全管理成為網(wǎng)絡(luò)管理員的重任。

為了在復(fù)雜的網(wǎng)絡(luò)環(huán)境中解決上述各種問題，增強(qiáng)網(wǎng)絡(luò)管理能力，建立穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境，學(xué)術(shù)界與工業(yè)界提出了許多用于分析網(wǎng)絡(luò)行為的方法。包括：面向單點(diǎn)以及面向多點(diǎn)的流量分析方法。在面向單點(diǎn)的流量分析方法中，論文“Zhao D,Traore I,Sayed B,et al.Botnet detection based on traffic behavior analysis and flow intervals[J].ComputersSecurity,2013,39(4):2-16.”0提出一種網(wǎng)絡(luò)流量分析方法，主要分析通信網(wǎng)絡(luò)中的網(wǎng)絡(luò)流特征，包括源目的IP地址、源目的端口、協(xié)議、包長等信息，進(jìn)而檢測網(wǎng)絡(luò)中的僵尸主機(jī)，該方法部署在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)，分析節(jié)點(diǎn)的流量特征，基于決策樹算法檢測僵尸主機(jī)。公開專利一種基于網(wǎng)絡(luò)流量分析的異常檢測方法，該方法通過對IP數(shù)據(jù)包的深入分析提出了一個(gè)比較完備的網(wǎng)絡(luò)流量初始特征集，并根據(jù)不同類型的網(wǎng)絡(luò)異常動(dòng)態(tài)選擇用于異常檢測的特征子集，最后利用貝葉斯分類器根據(jù)特征子集對未知樣本進(jìn)行類別預(yù)測。綠盟科技推出一款網(wǎng)絡(luò)流量分析產(chǎn)品(綠盟科技網(wǎng)絡(luò)流量分析系統(tǒng)http://www.nsfocus.com.cn/products/details_22_2.html)，該產(chǎn)品能夠通過簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol，SNMP)、Netflow協(xié)議等采集到網(wǎng)絡(luò)中路由設(shè)備的流量信息，進(jìn)行多種維度的分析，包括網(wǎng)絡(luò)中的流量情況、流量組成成分、流量變化趨勢等。在面向多點(diǎn)的流量分析方法中，論文“Jiang D,Xu Z,Zhang P,et al.A transformdomain-based anomaly detection approach to network-wide traffic[J].Journal ofNetworkComputer Applications,2014,40(C):292-306.”提出了一種基于變換域的異常檢測方法，用于研究網(wǎng)絡(luò)側(cè)的流量行為特征，利用具有相同目的節(jié)點(diǎn)的源目的(Origin-Destination，OD)對的網(wǎng)絡(luò)流信息，將網(wǎng)絡(luò)流量視為時(shí)間序列，利用S變換得到時(shí)間序列的時(shí)頻信號，通過比較正常流量、異常流量在高頻分量的不同特性，實(shí)現(xiàn)網(wǎng)絡(luò)側(cè)的異常流量檢測。論文“Li Y,Luo X,Qian Y,et al.Network-Wide Traffic Anomaly Detection andLocalization Based on Robust Multivariate Probabilistic Calibration Model[J].Mathematical Problems in Engineering,2015,2015(1):1-26.”提出一種網(wǎng)絡(luò)側(cè)異常流量檢測與定位的方法，通過測量網(wǎng)絡(luò)中OD對的流量如數(shù)據(jù)包數(shù)量、字節(jié)數(shù)、流數(shù)，構(gòu)造流量矩陣，應(yīng)用多變量t分布的隱變量概率理論方法構(gòu)造流量正常行為模型，通過評估樣本的Mahalanobis距離實(shí)現(xiàn)異常檢測與定位。李志鵬的專利公開了一種網(wǎng)絡(luò)流量的分析系統(tǒng)及方法，該系統(tǒng)首先通過流量采集模塊采集網(wǎng)絡(luò)中各節(jié)點(diǎn)的原始流量信息，然后提取出原始流量信息中的應(yīng)用層流量信息，再通過對應(yīng)用層流量信息進(jìn)行統(tǒng)計(jì)比較，分析出應(yīng)用系統(tǒng)中是否存在異常流量，實(shí)現(xiàn)了基于網(wǎng)絡(luò)流量的應(yīng)用層分析。郭祖龍的專利公開了一種基于分布式的網(wǎng)絡(luò)流量分析系統(tǒng)及方法，該系統(tǒng)首先通過流量采集模塊采集網(wǎng)絡(luò)中流量信息，然后提取出原始流量信息中的網(wǎng)絡(luò)層、傳輸層和應(yīng)用層信息，再通過對網(wǎng)絡(luò)層、傳輸層和應(yīng)用層信息進(jìn)行分析處理，對總流量情況、IP到IP流量數(shù)據(jù)、IP層網(wǎng)絡(luò)數(shù)據(jù)信息以及應(yīng)用層協(xié)議信息進(jìn)行分析。科來網(wǎng)絡(luò)推出一款全流量安全分析產(chǎn)品(科來網(wǎng)絡(luò)全流量安全分析系統(tǒng)https://app.huaweicloud.com/product/00301-55020-0--0)0，該產(chǎn)品通過對網(wǎng)絡(luò)鏈路全流量采集存儲、全數(shù)據(jù)分析，對網(wǎng)絡(luò)異常行為有敏銳的感知能力。