本發(fā)明公開(kāi)一種網(wǎng)絡(luò)流量異常檢測(cè)和分析方法及裝置，其中，該方法包括：建立BGP?LS采集通道，監(jiān)控鏈路狀態(tài)變化；建立SNMP或Telemetry采集通道，監(jiān)控鏈路流量變化；采集到現(xiàn)網(wǎng)流量信息后，根據(jù)系統(tǒng)配置的流量告警閾值，先判斷是否存在異常流量，再生成實(shí)時(shí)流量告警并觸發(fā)網(wǎng)絡(luò)流量調(diào)度，同時(shí)將采集到的現(xiàn)網(wǎng)流量信息同步發(fā)送給大數(shù)據(jù)平臺(tái)；對(duì)異常流量進(jìn)行溯源分析時(shí)，根據(jù)大數(shù)據(jù)平臺(tái)上訓(xùn)練好的時(shí)序預(yù)測(cè)模型，生成預(yù)測(cè)的流量變化基線，與當(dāng)前采集的實(shí)際流量進(jìn)行對(duì)比計(jì)算，對(duì)異常流量進(jìn)行進(jìn)一步的分析。該方法及裝置通過(guò)采集并監(jiān)控路由變化、鏈路流量和流量成分，在出現(xiàn)異常流量變化時(shí)，可以進(jìn)行自動(dòng)異常流量分析。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)異常流量處理領(lǐng)域，尤其是一種網(wǎng)絡(luò)流量異常檢測(cè)和分析方法及裝置。

背景技術(shù)

網(wǎng)絡(luò)異常流量可能來(lái)自網(wǎng)絡(luò)規(guī)劃的限制或者突發(fā)異常事件。前者由于瓶頸方向帶寬不足，會(huì)出現(xiàn)規(guī)律性的固定擁塞，比較容易定位；后者則可能來(lái)源于網(wǎng)絡(luò)故障，臨時(shí)大客戶業(yè)務(wù)變化，或者DDoS(distributed?denial?of?service，分布式拒絕服務(wù))攻擊等非正常現(xiàn)象，發(fā)生時(shí)刻不定，難以及時(shí)有效地進(jìn)行處理。

發(fā)明內(nèi)容

為了解決網(wǎng)絡(luò)突發(fā)異常事件造成的上述問(wèn)題，本發(fā)明提供一種網(wǎng)絡(luò)流量異常檢測(cè)和分析方法及裝置，通過(guò)采集并監(jiān)控路由變化、鏈路流量和流量成分，在出現(xiàn)異常流量變化時(shí)，可以進(jìn)行自動(dòng)異常流量分析。

為實(shí)現(xiàn)上述目的，本發(fā)明采用下述技術(shù)方案：

在本發(fā)明一實(shí)施例中，提出了一種網(wǎng)絡(luò)流量異常檢測(cè)和分析方法，該方法包括：

建立BGP-LS采集通道，監(jiān)控鏈路狀態(tài)變化；

建立SNMP或Telemetry采集通道，監(jiān)控鏈路流量變化；

采集到現(xiàn)網(wǎng)流量信息后，根據(jù)系統(tǒng)配置的流量告警閾值，先判斷是否存在異常流量，再生成實(shí)時(shí)流量告警并觸發(fā)網(wǎng)絡(luò)流量調(diào)度，同時(shí)將采集到的現(xiàn)網(wǎng)流量信息同步發(fā)送給大數(shù)據(jù)平臺(tái)；

對(duì)異常流量進(jìn)行溯源分析時(shí)，根據(jù)大數(shù)據(jù)平臺(tái)上訓(xùn)練好的時(shí)序預(yù)測(cè)模型，生成預(yù)測(cè)的流量變化基線，與當(dāng)前采集的實(shí)際流量進(jìn)行對(duì)比計(jì)算，對(duì)異常流量進(jìn)行進(jìn)一步的分析。

進(jìn)一步地，采集到現(xiàn)網(wǎng)流量信息后，根據(jù)系統(tǒng)配置的流量告警閾值，先判斷是否存在異常流量，再生成實(shí)時(shí)流量告警并觸發(fā)網(wǎng)絡(luò)流量調(diào)度，包括：

采集到現(xiàn)網(wǎng)納管設(shè)備上各端口的流量，通過(guò)計(jì)算每條鏈路上實(shí)時(shí)流量和可用帶寬的比例確定當(dāng)前利用率；

根據(jù)系統(tǒng)配置的流量告警閾值和流量監(jiān)控鏈路范圍，當(dāng)流量監(jiān)控鏈路范圍內(nèi)鏈路的當(dāng)前利用率超過(guò)流量告警閾值時(shí)，觸發(fā)流量擁塞告警，并通知流量調(diào)度系統(tǒng)。

進(jìn)一步地，對(duì)異常流量進(jìn)行溯源分析時(shí)，根據(jù)大數(shù)據(jù)平臺(tái)上訓(xùn)練好的時(shí)序預(yù)測(cè)模型，生成預(yù)測(cè)的流量變化基線，與當(dāng)前采集的實(shí)際流量進(jìn)行對(duì)比計(jì)算，對(duì)異常流量進(jìn)行進(jìn)一步的分析，包括：

大數(shù)據(jù)平臺(tái)利用采集到現(xiàn)網(wǎng)流量信息訓(xùn)練現(xiàn)有的時(shí)序預(yù)測(cè)模型；

對(duì)異常流量進(jìn)行溯源分析時(shí)，根據(jù)訓(xùn)練好的時(shí)序預(yù)測(cè)模型生成預(yù)測(cè)的流量變化基線，若當(dāng)前采集的實(shí)際流量與預(yù)測(cè)的流量變化基線的差異小于指定的百分比，則認(rèn)為是正常擁塞，由流量調(diào)度系統(tǒng)自行處理即可，否則認(rèn)為是未知原因擁塞，嘗試關(guān)聯(lián)網(wǎng)絡(luò)異常的告警事件。

進(jìn)一步地，對(duì)于無(wú)法關(guān)聯(lián)到網(wǎng)絡(luò)異常的告警事件，則啟動(dòng)NetFlow分析診斷，對(duì)網(wǎng)絡(luò)流量成分進(jìn)行分析，將異常的網(wǎng)絡(luò)流量成分和正常的網(wǎng)絡(luò)流量成分的占比進(jìn)行比較，判斷流量變化是整體出現(xiàn)等比例流量變化還是特定對(duì)象出現(xiàn)流量變化，若是特定對(duì)象出現(xiàn)流量變化，則找到占比出現(xiàn)顯著變化的對(duì)象，進(jìn)而判斷流量變化位置以及原因。

在本發(fā)明一實(shí)施例中，還提出了一種網(wǎng)絡(luò)流量異常檢測(cè)和分析裝置，該裝置包括：