[发明专利]基于流量镜像的异常流量检测方法及装置

权利要求书

1.基于流量镜像的异常流量检测方法，其特征在于，所述异常流量检测方法包括：

采用流量镜像方法实时获取云IDC的镜像流量，并将获取的镜像流量按照租户进行分流，以得到每个租户各自的镜像流量；

通过对每个租户的镜像流量进行特征提取，得到其镜像流量的特征数据并进行存储；

针对每个租户，根据其当前镜像流量的特征数据、历史镜像流量的特征数据，结合泊松分布以及离群点检测方法来判定当前镜像流量是否为异常流量。

2.根据权利要求1所述的基于流量镜像的异常流量检测方法，其特征在于，所述离群点检测方法包括DBSCAN、SVM、逻辑回归、线性拟合中的一种或多种。

3.根据权利要求1所述的基于流量镜像的异常流量检测方法，其特征在于，所述结合泊松分布以及离群点检测方法来判定当前镜像流量是否为异常流量的步骤包括：

根据该租户的历史镜像流量的特征数据判定其是否对应于稳定业务类型；

在判定该租户对应于稳定业务类型的情况下，采用卡方校验方法以及通过最小二乘法进行线性拟合来获得该租户当前镜像流量对应的特征预测值，以根据该租户当前镜像流量对应的特征预测值与实际的特征数据之差来确定该当前镜像流量是否为异常流量。

4.根据权利要求3所述的基于流量镜像的异常流量检测方法，其特征在于，所述结合泊松分布以及离群点检测方法来判定当前镜像流量是否为异常流量的步骤还包括：

确定当前镜像流量之前的预定时间段内的历史镜像流量，利用该预定时间段内的历史镜像流量的特征数据，采用逻辑回归方法获得当前镜像流量的对应的特征预测值，以根据该租户当前镜像流量对应的特征预测值与实际的特征数据之差来确定该当前镜像流量是否为异常流量。

5.根据权利要求1-4中任一项所述的基于流量镜像的异常流量检测方法，其特征在于，所述对每个租户的镜像流量进行特征提取的步骤包括：

对于每个租户的镜像流量，提取该镜像流量的多种特征，并通过计算所述多种特征之间的相关性来在所述多种特征之中选择至少部分特征，作为特征提取结果。

6.根据权利要求1-4中任一项所述的基于流量镜像的异常流量检测方法，其特征在于，所述镜像流量的特征数据包括以下特征中的至少部分：

当前流量值；网络协议数据；应用层数据；传输速率；包转发率；源IP分布；IP特征；荷载的协议；连接数；URL访问频次。

7.根据权利要求1-4中任一项所述的基于流量镜像的异常流量检测方法，其特征在于，所述异常流量检测方法还包括：

针对每个租户，基于该租户的历史镜像流量的特征数据，判定该租户是否满足预设条件，并在其满足所述预设条件的情况下判定该租户存在业务异常；

所述预设条件为：

该租户的连接数、URL访问频次、流量增加，并且其源IP信誉值高于预设值。

8.基于流量镜像的异常流量检测装置，其特征在于，所述异常流量检测装置包括：

流量镜像单元，其用于采用流量镜像方法实时获取云IDC的镜像流量；

分流单元，其用于将获取的镜像流量按照租户进行分流，以得到每个租户各自的镜像流量；

特征提取单元，其用于通过对每个租户的镜像流量进行特征提取，得到其镜像流量的特征数据并进行存储；

异常检测单元，其用于针对每个租户，根据其当前镜像流量的特征数据、历史镜像流量的特征数据，结合泊松分布以及离群点检测方法来判定当前镜像流量是否为异常流量。

9.根据权利要求8所述的基于流量镜像的异常流量检测装置，其特征在于，所述异常检测单元采用的离群点检测方法包括DBSCAN、SVM、逻辑回归、线性拟合中的一种或多种。

10.根据权利要求8或9所述的基于流量镜像的异常流量检测装置，其特征在于，所述异常检测单元还用于：

针对每个租户，基于该租户的历史镜像流量的特征数据，判定该租户是否满足预设条件，并在其满足所述预设条件的情况下判定该租户存在业务异常；所述预设条件为：该租户的连接数、URL访问频次、流量增加，并且其源IP信誉值高于预设值。