[发明专利]一种基于INFIGARCH模型的网络流量异常检测方法及设备

摘要

本发明实施例涉及网络安全领域，提供的一种基于INFIGARCH(1，d，1)模型的网络流量异常检测方法，具体包括如下步骤：S1:确定建模移动窗口时间跨度的大小m；S2:确定数据聚合后每个数据点对应的时间间隔的大小；S3:确定模型更新时间跨度Tgap；S4:对流量数据聚合；S5:得到待定参数，同时记录所用最后一个数据点对应的时间Test；S6:根据步骤S5得到的参数，每一个预测值对应一个预测时刻；S7：聚合新到的流量，记录时刻和对应的聚合流量；S8：将聚合流量与流量上界阈值作比较；S9：若两者差距大于Tgap，返回步骤S4，更新模型，否则执行步骤S10；S10：将聚合的数据加入时间序列队列之中，移动时间窗口。本方法模型的稳定性和趋势跟随能力并重的优良特性。

主权项

一种基于INFIGARCH(1，d，1)模型的网络流量异常检测方法，具体包括如下步骤：S1:确定建模移动窗口时间跨度的大小m；S2:确定数据聚合后每个数据点对应的时间间隔的大小；S3:确定模型更新时间跨度Tgap；S4:对由步骤S1所确定的时间跨度内移动窗口中流量数据按所述S2步骤中的时间间隔进行聚合；S5:使用极大似然估计法在约束条件下的最大化似然函数估计得到INFIGARCH(1，d，1)模型的待定参数，同时记录所用最后一个数据点对应的时间Test；S6:根据步骤S5得到的参数，代入INFIGARCH(1，d，1)模型进行L步预测，每一个预测值对应一个预测时刻，以数据框形式储存预测结果；所述数据框共L行五列：第一列为时刻，第二列为该时刻对应的预测值，第三列为该时刻预测值置信水平α1＝0.95的右侧置信区间的上界阈值，第四列为该时刻预测值置信水平α2＝0.99的右侧置信区间的上界阈值；第五列为该时刻预测值置信水平α3＝0.999的右侧置信区间的上界阈值；每行对应第i步预报，i＝1，...，L；S7：用步骤S2中选定的时间间隔聚合新到的流量，记录时刻和对应的聚合流量，其中所述聚合流量记为xnew；S8：将步骤S7中获得的最新完整聚合流量与步骤S6中预测时刻相同的流量上界阈值作比较；若流量小于第三列α1＝0.95上界阈值，判断为正常，返回绿色信号；若流量小于第四列α2＝0.99的上界阈值同时大于等于第三列α1＝0.95的上界阈值，则返回黄色信号；若流量大于等于第四列α2＝0.99的上界阈值同时小于第五列α3＝0.999的上界阈值，则返回橙色信号；若流量大于等于第五列α3＝0.999的上界阈值，返回红色信号；S9：比较当前时间和步骤S5中记录的Test，若两者差距大于Tgap，返回步骤S4，更新模型，否则执行步骤S10；S10：将步骤S7聚合的数据加入时间序列队列之中，移动时间窗口，使得步骤S7中的数据进入时间窗口，同时剔除时间较旧的数据，以保证时间窗口与步骤S1中选定的宽度一致。