[发明专利]一种基于AS及prefix的netflow流量的突发告警方法

权利要求书

1.一种基于AS及prefix的netflow流量的突发告警方法，其特征在于，该方法包括：

S01、确定netflow流量统计方案，按AS或prefix筛选统计；

S02、依据netflow流量统计方案，确定告警检测规则。

2.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法，其特征在于，所述S02按prefix筛选统计，且与系统参数配置的prefix值匹配，存在异常流量检测的端口组，则用设备和端口过滤流量。

3.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法，其特征在于，所述S02按prefix筛选统计，且与系统参数配置的prefix值匹配，不存在异常流量检测的端口组，则对所有流量进行检测，检测规则为：

忽略小于系统配置最小流量的流量，从异常端口流量基线表读取prefix基准信息，与流量数据进行比较，当前流量比基准小则忽略；当前流量比基准大则保留，并且检测是否触发告警。

4.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法，其特征在于，所述S02按AS筛选统计，且与系统参数配置的AS值匹配，存在异常流量检测的端口组，则用设备和端口过滤流量。

5.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法，其特征在于，所述S02按AS筛选统计，且与系统参数配置的AS值匹配，不存在异常流量检测的端口组，则对所有流量进行检测，检测规则为：

忽略小于系统配置最小流量的流量，从异常端口流量基线表读取AS基准信息，与流量数据进行比较，当前流量比基准小则忽略；当前流量比基准大，则保留，并且检测是否触发告警。

6.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法，其特征在于，所述S02与系统参数配置的AS或prefix不匹配，读取系统参数prefix异常阈值基线类型，基线类型为custom，则读取系统参数中配置的自定义流量基线值作为基线。

7.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法，其特征在于，所述S02与系统参数配置的AS或prefix不匹配，读取系统参数prefix异常阈值基线类型，基线类型为auto，则按设备端口为粒度取所有流量值的平均值作为动态基线；对比当前流量与基线。

8.根据权利要求7所述的基于AS及prefix的netflow流量的突发告警方法，其特征在于，对比当前流量小于基线，则忽略。

9.根据权利要求7所述的基于AS及prefix的netflow流量的突发告警方法，其特征在于，对比当前流量大于基线，则保留，并且检测是否触发告警。

10.根据权利要求9所述的基于AS及prefix的netflow流量的突发告警方法，其特征在于，当前流量超出基线值的比例高于告警阈值，则触发告警。

11.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1-4任一项所述方法。

12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有执行权利要求1-4任一项所述方法的计算机程序。