[发明专利]一种基于时间序列相似检索的网络监控实时预警方法

权利要求书

1.一种基于时间序列相似检索的网络监控实时预警方法，其特征在于，包括如下步骤：

(1)从网络流量报文中提取流量统计值，获得统计时间序列，流量统计值结合网络监控设备进行监测；

(2)网络监控过程中，依据正常流量确定CUSUM算法的预警阈值，处理含有异常流量的片段时，对超出阈值的片段进行标注；

(3)使用模体发现算法寻找流量序列中的一对复现片段，并限定复现片段需要包含的异常流量，异常流量即为步骤(2)中超出阈值的片段；

(4)针对步骤(3)中找到的一对复现片段，基于DTW相似距离进行定步长片段延拓；

(5)针对步骤(4)中已经延拓的一对复现片段，将其中一个作为查询序列进行KNN相似检索，并使用DTW作为相似度量距离，结束后得到k个包含异常流量的复现片段；使用层次凝聚聚类法即HAC对找到的复现片段进行聚类分析，依据聚类结果提取片段模式；

(6)基于步骤(5)提取的片段模式构建片段模式库，当再次出现异常流量时，借助相似检索算法将模式用于实时网络风险预警。

2.根据权利要求1所述的一种基于时间序列相似检索的网络监控实时预警方法，其特征在于，所述步骤(1)中从网络流量报文中提取流量统计值，获得统计时间序列的具体步骤如下：

(1.1)在网络安全监测设备中建立统计模块；

(1.2)通过数据标准化对获得的时间序列进行预处理。

3.根据权利要求1所述的一种基于时间序列相似检索的网络监控实时预警方法，其特征在于，所述步骤(2)中对超出阈值的片段进行标注的具体步骤如下：

(2.1)在监控过程中，依据正常流量确定CUSUM算法的告警阈值，即从0开始调整阈值，使得正常流量不发生警报为止，为降低误报率，上调阈值；

(2.2)对超过CUSUM算法检测阈值的流量进行异常标注。

4.根据权利要求1所述的一种基于时间序列相似检索的网络监控实时预警方法，其特征在于，所述步骤(3)中使用模体发现算法寻找流量序列中的一对复现片段，并限定复现片段需要包含的异常流量的具体步骤如下：

首先使用模体发现算法寻找流量序列中的一对复现片段，模体发现算法以DTW距离作为相似度量标准，限定所找到的模体必须包含异常流量，即必须存在超过阈值的部分，同时使用级联下界距离进行剪枝。

5.根据权利要求1所述的一种基于时间序列相似检索的网络监控实时预警方法，其特征在于，所述步骤(4)中基于DTW相似距离进行定步长片段延拓的具体步骤如下：

基于DTW相似度量进行定步长片段延拓时，首先规定一个与子序列长度无关的标准化DTW距离Dist_std，利用Dist_std衡量延拓前后片段的相似性是否发生改变；该标准化距离的定义基于DTW相似距离Dist_dtw，二者关系如下：

定义T_i,m表示时间序列T第i个元素起始，长为m的子序列，假定T_i,m和T_j,m是模体发现算法得到的一对复现片段；对T_i,m和T_j,m延拓过程包括向前和向后延拓，但最终要保证两个片段不失相似性，其过程归结为如下公式：

find k₁ k₂ where

式中TR为容忍度，即允许延拓后的相似性略有减少，向前或向后延拓过程中，采取按步长延拓，且延拓之后需要进行回溯和试探。

6.根据权利要求1所述的一种基于时间序列相似检索的网络监控实时预警方法，其特征在于，所述步骤(5)中使用层次凝聚聚类法即HAC对找到的复现片段进行聚类分析，依据聚类结果提取片段模式的具体步骤如下：

使用基于DTW距离的HAC聚类法对步骤(4)中找到的k个复现片段进行聚类分析，借助聚类结果提取片段模式，针对聚类结果，根据平均轮廓系数划分离群片段和非离群片段，在非离群片段中，定义主片段是聚类中心片段，其它片段则是关联片段，边界片段border₁是与主片段相似距离最大的片段；在离群片段中，定义边界片段border₂是与主片段相似距离最小的片段。