本發(fā)明涉及移動通訊網(wǎng)絡安全技術(shù)，尤其涉及一種流量數(shù)據(jù)監(jiān)測方法和裝置。

背景技術(shù)：

流量監(jiān)控系統(tǒng)的建設(shè)是網(wǎng)絡安全工作從基于經(jīng)驗向基于流量數(shù)據(jù)進行精確管理的轉(zhuǎn)型，以解決當前網(wǎng)絡安全管理水平由于不掌握、不分析流量數(shù)據(jù)而無法實現(xiàn)質(zhì)的提升的幾個關(guān)鍵問題，如：在防火墻策略審計過程中，不能獲知精確、真實的互連需求，無法發(fā)現(xiàn)anytoany、***toany、anyto***等明顯錯誤之外的其它策略設(shè)置問題；系統(tǒng)維護人員無法判斷業(yè)務開通、變更時廠家提出的互連需求的合理性；也不了解安全域子域之間的流量，無法判斷是否符合劃分要求、設(shè)備部署要求和設(shè)備互連要求。

基于端口鏡像的流量監(jiān)控系統(tǒng)雖然已經(jīng)實現(xiàn)了流量的可視化，全流量的可見，但對于異常流量的檢測分析尚未完善，而且仍然存在一些安全盲區(qū)。傳統(tǒng)的基于規(guī)則特征匹配檢測技術(shù)的入侵檢測系統(tǒng)(ids，intrusiondetectionsystem)/入侵防御系統(tǒng)(ips，intrusionpreventionsystem)、防病毒(av，anti-virus)和反垃圾郵件系統(tǒng)(anti-spam)等，一直注重識別已知的威脅，無法應對未知復雜的威脅。隨著科技的進步以及快速發(fā)展，新的檢測技術(shù)不斷出現(xiàn)，一些基于統(tǒng)計和概率的異常檢測技術(shù)等也開始應用在anti-spam和ids等系統(tǒng)中。雖然問題已得到了緩解，但還面臨很大的挑戰(zhàn)，主要體現(xiàn)在判斷能力有限、精度難以滿足要求、樣本標注存在瓶頸、以及樣本分布的不均衡等。

電信行業(yè)的安全管控平臺同樣強調(diào)事件關(guān)聯(lián)分析的重要性，可通過關(guān)聯(lián)引擎將關(guān)注的安全事件從海量信息中挖掘出來；但是，基于規(guī)則的關(guān)聯(lián)分析必須 依靠規(guī)則才能起作用，若未事先配好規(guī)則或者規(guī)則設(shè)置不合理，就無法發(fā)現(xiàn)安全問題；而規(guī)則只能描述已知的安全問題，無法對未知的安全問題進行描述。

可見，如何對包含未知安全問題的流量數(shù)據(jù)進行判斷，是移動運行商亟待解決的問題。

技術(shù)實現(xiàn)要素：

有鑒于此，本發(fā)明實施例期望提供一種流量數(shù)據(jù)監(jiān)測方法和裝置，可以對包含未知安全問題的流量數(shù)據(jù)進行判斷，提高移動網(wǎng)絡的安全性。

為達到上述目的，本發(fā)明的技術(shù)方案是這樣實現(xiàn)的：

本發(fā)明實施例提供了一種流量數(shù)據(jù)監(jiān)測方法，所述方法包括：根據(jù)現(xiàn)有業(yè)務數(shù)據(jù)建立指標基線；所述方法還包括：

對當前監(jiān)測的流量數(shù)據(jù)與所述指標基線進行對比，確定所述流量數(shù)據(jù)的行為類型；

對非異常行為類型的流量數(shù)據(jù)，采用時間序列分析，確定所述非異常行為類型的流量數(shù)據(jù)的行為類型。

上述方案中，所述根據(jù)現(xiàn)有業(yè)務數(shù)據(jù)建立指標基線，包括：

根據(jù)現(xiàn)有業(yè)務內(nèi)容和信息技術(shù)(it，informationtechnology)資源類型，確定指標基線白名單；

其中，所述業(yè)務內(nèi)容包括：業(yè)務種類、敏感數(shù)據(jù)、關(guān)鍵業(yè)務流程；所述it資源類型包括：安全設(shè)備、網(wǎng)絡設(shè)備；

根據(jù)已知威脅信息，確定指標基線黑名單；

其中，所述威脅信息包括：信譽信息、攻擊信息；所述信譽信息包括：惡意的互聯(lián)網(wǎng)協(xié)議(ip，internetprotocal)地址、統(tǒng)一資源定位符(url，uniformresourelocator)和域名；所述攻擊信息包括：攻擊源、攻擊工具、利用的漏洞信息。

上述方案中，所述對當前監(jiān)測的流量數(shù)據(jù)與所述指標基線進行對比，確定所述流量數(shù)據(jù)的行為類型，包括：

將屬于所述指標基線黑名單的流量數(shù)據(jù)，確定為異常行為類型；

將屬于所述指標基線白名單的流量數(shù)據(jù)，確定為非異常行為類型；

將不屬于所述指標基線白名單和所述指標基線黑名單的流量數(shù)據(jù)，確定為非異常行為類型。

上述方案中，所述對非異常行為的流量數(shù)據(jù)，采用時間序列分析，確定所述流量數(shù)據(jù)的行為類型；包括：

采用自回歸(ar，autoregressive)模型進行時間序列分析；

根據(jù)預設(shè)的時間窗，確定ar預測模型；

根據(jù)所述ar預測模型，計算所述流量數(shù)據(jù)檢測點的觀測值與預測值的殘差；

根據(jù)所述殘差，確定決策函數(shù)，比較所述決策函數(shù)與單點閾值；所述決策函數(shù)超出單點閾值時，統(tǒng)計多點異常數(shù)據(jù)，將所述統(tǒng)計的多點異常數(shù)據(jù)與多點閾值比較；根據(jù)比較結(jié)果確定所述流量數(shù)據(jù)的行為類型；

預先根據(jù)歷史流量數(shù)據(jù)設(shè)定所述單點閾值。

上述方案中，所述根據(jù)比較結(jié)果確定所述流量數(shù)據(jù)的行為類型，包括：

如果所述決策函數(shù)未超出單點閾值，則確定所述流量數(shù)據(jù)為正常行為類型，并根據(jù)所述流量數(shù)據(jù)更新所述歷史流量數(shù)據(jù)；

如果所述決策函數(shù)超出單點閾值，且所述多點異常數(shù)據(jù)超出多點閾值，則確定所述流量數(shù)據(jù)為異常行為類型；

如果所述決策函數(shù)超出單點閾值，所述多點異常數(shù)據(jù)未超出多點閾值，且所述流量數(shù)據(jù)屬于所述指標基線白名單，則確定所述流量數(shù)據(jù)為正常行為類型，并根據(jù)所述流量數(shù)據(jù)更新所述單點閾值；

如果所述決策函數(shù)超出單點閾值，所述多點異常數(shù)據(jù)未超出多點閾值，且所述流量數(shù)據(jù)不屬于所述指標基線白名單，則確定所述流量數(shù)據(jù)為異常行為類型。

上述方案中，所述方法還包括：上報所述異常行為類型，并根據(jù)所述流量數(shù)據(jù)是否屬于所述指標基線白名單，確實異常行為的等級。

本發(fā)明實施例還提供了一種流量數(shù)據(jù)監(jiān)測裝置，所述裝置包括：基線建立模塊、第一確定模塊、第二確定模塊，其中，

所述基線建立模塊，用于根據(jù)現(xiàn)有業(yè)務數(shù)據(jù)建立指標基線；

所述第一確定模塊，用于對當前監(jiān)測的流量數(shù)據(jù)與所述指標基線進行對比，確定所述流量數(shù)據(jù)的行為類型；

所述第二確定模塊，用于對非異常行為類型的流量數(shù)據(jù)，采用時間序列分析，確定所述非異常行為類型的流量數(shù)據(jù)的行為類型。

上述方案中，所述基線建立模塊具體用于：

根據(jù)現(xiàn)有業(yè)務內(nèi)容和信息技術(shù)it資源類型，確定指標基線白名單；

其中，所述業(yè)務內(nèi)容包括：業(yè)務種類、敏感數(shù)據(jù)、關(guān)鍵業(yè)務流程；所述it資源類型包括：安全設(shè)備、網(wǎng)絡設(shè)備；根據(jù)已知威脅信息，確定指標基線黑名單；

其中，所述威脅信息包括信譽信息、攻擊信息；所述信譽信息包括：惡意的ip地址、url和域名；所述攻擊信息包括：攻擊源、攻擊工具、利用的漏洞信息。

上述方案中，所述第一確定模塊具體用于：

將屬于所述指標基線黑名單的流量數(shù)據(jù)，確定為異常行為類型；

將屬于所述指標基線白名單的流量數(shù)據(jù)，確定為非異常行為類型；

將不屬于所述指標基線白名單和所述指標基線黑名單的流量數(shù)據(jù)，確定為非異常行為類型。

上述方案中，所述第二確定模塊具體用于：

采用ar模型進行時間序列分析；

根據(jù)預設(shè)的時間窗，確定ar預測模型，并計算所述流量數(shù)據(jù)檢測點的觀測值與預測值的殘差；

根據(jù)所述殘差，確定決策函數(shù)，比較所述決策函數(shù)與單點閾值；所述決策函數(shù)超出單點閾值時，統(tǒng)計多點異常數(shù)據(jù)，將所述統(tǒng)計的多點異常數(shù)據(jù)與多點閾值比較；根據(jù)比較結(jié)果確定所述流量數(shù)據(jù)的行為類型；

預先根據(jù)歷史流量數(shù)據(jù)設(shè)定所述單點閾值。

本發(fā)明實施例所提供的流量數(shù)據(jù)監(jiān)測方法和裝置，根據(jù)現(xiàn)有業(yè)務數(shù)據(jù)建立指標基線；對當前監(jiān)測的流量數(shù)據(jù)與所述指標基線進行對比，確定所述流量數(shù)據(jù)的行為類型；對非異常行為類型的流量數(shù)據(jù)，采用時間序列分析，確定所述非異常行為類型的流量數(shù)據(jù)的行為類型。如此，能對包含未知安全問題的流量數(shù)據(jù)進行判斷，提高移動網(wǎng)絡的安全性。

附圖說明

圖1為本發(fā)明實施例流量數(shù)據(jù)監(jiān)測方法的流程示意圖；

圖2為本發(fā)明實施例采用時間序列分析流量數(shù)據(jù)的流程示意圖；

圖3為本發(fā)明實施例流量數(shù)據(jù)監(jiān)測裝置的組成結(jié)構(gòu)示意圖。

具體實施方式

本發(fā)明實施例中，根據(jù)現(xiàn)有業(yè)務數(shù)據(jù)建立指標基線；對當前監(jiān)測的流量數(shù)據(jù)與所述指標基線進行對比，確定所述流量數(shù)據(jù)的行為類型；對非異常行為類型的流量數(shù)據(jù)，采用時間序列分析，確定所述非異常行為類型的流量數(shù)據(jù)的行為類型。

下面結(jié)合實施例對本發(fā)明再作進一步詳細的說明。

本發(fā)明實施例提供的一種流量數(shù)據(jù)監(jiān)測方法，如圖1所示，所述方法包括：

步驟101：根據(jù)現(xiàn)有業(yè)務數(shù)據(jù)建立指標基線；

這里，所述指標基線是從表征一個對象或者環(huán)境的安全運行參數(shù)、狀態(tài)參數(shù)中選取的關(guān)鍵性的指標，并設(shè)定這些指標的基線。實際應用中，可以對所有流量業(yè)務設(shè)定一個總的指標基線，所述指標基線可以包括：指標基線白名單，指標基線黑名單；設(shè)定總的指標基線時，可以針對已知業(yè)務數(shù)據(jù)提煉，確定已知業(yè)務數(shù)據(jù)中屬于可以信任的數(shù)據(jù)，所述業(yè)務數(shù)據(jù)包括：業(yè)務種類、敏感數(shù)據(jù)、關(guān)鍵業(yè)務流程等信息，并建立起業(yè)務之間可信任的指標基線白名單，如將已知 的某個業(yè)務種類確定為指標基線白名單，或?qū)⒛硞€業(yè)務流程確定為指標基線白名單；根據(jù)it資源類型，如：安全設(shè)備、網(wǎng)絡設(shè)備等，建立設(shè)備之間可信任的指標基線白名單，如將某一類設(shè)備的標識確定為指標基線白名單；針對外部的攻擊，可以通過收集威脅信息建立知識庫的方式，確定指標基線黑名單；威脅信息一般包括信譽信息和攻擊信息等；所述信譽信息包括：惡意的ip地址、url、域名等，比如c2服務器相關(guān)信息；所述攻擊信息包括：攻擊源、攻擊工具、利用的漏洞信息等；這里，可以將已知惡意的ip地址，url、域名等確定為指標基線黑名單。

步驟102：對當前監(jiān)測的流量數(shù)據(jù)與所述指標基線進行對比，確定所述流量數(shù)據(jù)的行為類型；

具體的，當流量數(shù)據(jù)到達時，可以將流量數(shù)據(jù)對象匯入待處理序列；根據(jù)現(xiàn)有業(yè)務數(shù)據(jù)提煉出業(yè)務之間可信任的指標基線白名單，以及從網(wǎng)絡威脅信息獲取的指標基線黑名單共同建立指標基線；然后將待處理序列的流量數(shù)據(jù)進行數(shù)據(jù)比對；

這里，可以將流量數(shù)據(jù)中包含的業(yè)務數(shù)據(jù)、發(fā)送所述流量數(shù)據(jù)的設(shè)備、發(fā)送所述流量數(shù)據(jù)的ip地址等與所述指標基線進行對比，確定流量數(shù)據(jù)是否屬于指標基線白名單或指標基線黑名單。其中，所述流量數(shù)據(jù)經(jīng)過與指標基線的比對，將屬于指標基線黑名單的流量數(shù)據(jù)，確定為異常行為類型；將屬于指標基線白名單的流量數(shù)據(jù)，確定為非異常行為類型；將既不屬于指標基線白名單也不屬于指標基線黑名單的流量數(shù)據(jù)，同樣確定為非異常行為類型。

實際應用中，對于異常行為類型，可以直接進行異常報告，上報所述異常行為類型；并可以將屬于黑名單的流量數(shù)據(jù)異常級別定為高級，提高處理優(yōu)先級；對于非異常行為類型的流量數(shù)據(jù)，通過后續(xù)步驟繼續(xù)分析。

步驟103：對非異常行為類型的流量數(shù)據(jù)，采用時間序列分析，確定所述非異常行為類型的流量數(shù)據(jù)的行為類型；

具體的，如圖2所示，步驟103進一步包括：

步驟103a：根據(jù)流量模型預測當前檢測點的觀測值；

這里，流量模型可采用ar模型；

具體的，首先確定ar模型的階數(shù)p，通常流量數(shù)據(jù)的觀測值是不平穩(wěn)的，可以假定這些流量數(shù)據(jù)序列在一定的時間窗口n內(nèi)是平穩(wěn)的，其中，時間窗口n可以取值20，ar模型的階數(shù)p與時間窗口n滿足約束條件：0≤p≤0.1n；由于n取值20，在此算法中p取值2。用流量數(shù)據(jù)的時間序列x1,x2,x3...xn擬合二階ar模型，則ar(2)模型可以用表達式(1)表示：

其中，和表示ar(2)的系數(shù)，et表示噪音，所述et是均值為零、方差為σe²的獨立同分布高斯隨機變量；

可以使用時間序列x1,x2,x3...xn來估計ar(2)模型參數(shù)和σe²；

這里，的估算公式，可以用表達式(2)表示：

其中，t表示轉(zhuǎn)置矩陣；

根據(jù)表達式(3)、表達式(4)、表達式(5)，ar(2)模型的參數(shù)可以根據(jù)時間序列x1,x2,x3...xn估計得出；

將估算出的參數(shù)代入表達式(2)，可以得到ar模型；

步驟103b：預測模型確定后，通過觀測值與預測值的殘差定義網(wǎng)絡異常；

這里，在時間點…tn-1,tn,tn+1…的一個零均值化后的觀測值序列為…x(tn-1)，x(tn)，x(tn+1)…，則可以根據(jù)ar模型擬合得到殘差序列{…，et+1，et+2，et+3，…}，et+i 可以用表達式(6)表示：

其中，表示時間點的預測值，一個檢測點可以看作一個時間點；

步驟103c：確立當前檢測點判異決策函數(shù)；

這里，決策函數(shù)wt(n+1)，可以用表達式(7)表示：

其中，

步驟103d：計算當前檢測點的單點閥值，判斷當前檢測點是否超過了單點閥值；如果否，則判斷所述流量數(shù)據(jù)為正常行為類型，并存儲當前檢測點數(shù)據(jù)，作為歷史數(shù)據(jù)內(nèi)容，以便后續(xù)作為單點閥值的計算來源數(shù)據(jù)，自此，對所述流量數(shù)據(jù)的檢測結(jié)束，可以進行下一個流量數(shù)據(jù)的檢測；如果是，則進行下一步處理；

這里，通過決策函數(shù)判斷是否異常，當wt(n+1)＞u或wt(n+1)＜-l時，是異常行為類型，否則，是非異常行為類型；其中，表示檢測點的預測值，u和-l分別是根據(jù)歷史流量數(shù)據(jù)取的決策函數(shù)單點閾值的上限和下限；

步驟103e：如果當前檢測點超過了所述單點閥值時，計算出多點異常數(shù)據(jù)統(tǒng)計量；

通常情況下，單點的異?？赡軙峭话l(fā)性的網(wǎng)絡波動，如果真正的網(wǎng)絡異常發(fā)生，則后續(xù)的檢測點也會檢測出異常，而且偏離程度較大；一般偏離比較大的情況，多點異常統(tǒng)計量都會呈指數(shù)2的形式迅速增長的；

這里，由{ζi}表示觀測序列得到的殘差序列，分別計算正統(tǒng)計量ζi的平均值及相應的標準差；和分別表示{ζi}的正值和負值組成的序列，他們的個數(shù)分別是m和n，σ⁺和σ^-分別表示他們的標準差，σ⁺、和σ^-，可以 分別有表達式(8)、表達式(9)、表達式(10)、表達式(11)表示：

步驟103f：判斷多點異常數(shù)據(jù)是否超過了報警多點閥值，如果否，則更新單點閥值內(nèi)容，并判斷是否為數(shù)據(jù)是否為指標基線白名單數(shù)據(jù)，如果為指標基線白名單數(shù)據(jù)，則判斷為正常行為類型，如果不是指標基線白名單數(shù)據(jù)，則報告此事件為異常行為類型；如果是，則報告此事件為異常行為類型；實際應用中，可以對異常行為類型進行分級，如此，可以判斷異常處理的優(yōu)先級；如：如果多點異常數(shù)據(jù)未超出報警多點閥值，且不是指標基線白名單數(shù)據(jù)，則報告此事件為中級異常行為類型；如果多點異常數(shù)據(jù)超出報警多點閥值，且為指標基線白名單數(shù)據(jù)，則報告此事件為中級異常行為類型；如果多點異常數(shù)據(jù)超出報警多點閥值，且不是指標基線白名單數(shù)據(jù)，則表明該流量數(shù)據(jù)屬于危險數(shù)據(jù)的幾率較高，此時可以報告此事件為高級異常行為類型，以提高處理優(yōu)先等級。

這里，確定異常判斷的多點閥值，多點閥值的選擇對異常檢測很重要，如果多點閥值太大或太小，都會直接導致漏報或是虛報的情況；多點異常數(shù)據(jù)統(tǒng)計量的多點閥值為：當ζ在范圍內(nèi)時，所述流量數(shù)據(jù)的行為確定為非異常行為類型；否則，所述流量數(shù)據(jù)行為確定為異常行為類型。

本發(fā)明實施例提供的一種流量數(shù)據(jù)監(jiān)測的方法，如圖3所示，所述裝置包括：基線建立模塊31、第一確定模塊32、第二確定模塊33，其中，

所述基線建立模塊31，用于根據(jù)現(xiàn)有業(yè)務數(shù)據(jù)建立指標基線；

所述指標基線是從表征一個對象或者環(huán)境的安全運行參數(shù)、狀態(tài)參數(shù)中選取的關(guān)鍵性的指標，并設(shè)定這些指標的基線。實際應用中,可以對所有流量業(yè)務設(shè)定一個總的指標基線，所述指標基線可以包括：指標基線白名單，指標基線黑名單；設(shè)定總的指標基線時，可以針對已知業(yè)務數(shù)據(jù)提煉，確定已知業(yè)務數(shù)據(jù)中屬于可以信任的數(shù)據(jù)，所述業(yè)務數(shù)據(jù)包括：業(yè)務種類、敏感數(shù)據(jù)、關(guān)鍵業(yè)務流程等信息，并建立起業(yè)務之間可信任的指標基線白名單，如將已知的一個業(yè)務種類確定為指標基線白名單，或?qū)⒛硞€業(yè)務流程確定為指標基線白名單；根據(jù)it資源類型，如：安全設(shè)備、網(wǎng)絡設(shè)備等，建立設(shè)備之間可信任的指標基線白名單，如將某一類設(shè)備的標識確定為指標基線白名單；針對外部的攻擊，可以通過收集威脅信息建立知識庫的方式，確定指標基線黑名單；威脅信息一般包括信譽信息和攻擊信息等；所述信譽信息包括：惡意的ip地址、url、域名等，比如c2服務器相關(guān)信息；所述攻擊信息包括：攻擊源、攻擊工具、利用的漏洞信息等；這里，可以將惡意的ip地址，url、域名等確定為指標基線黑名單。

所述第一確定模塊32，用于對當前監(jiān)測的流量數(shù)據(jù)與所述指標基線進行對比，確定所述流量數(shù)據(jù)的行為類型；

具體的，當流量數(shù)據(jù)到達時，可以將流量數(shù)據(jù)對象匯入待處理序列；根據(jù)現(xiàn)有業(yè)務數(shù)據(jù)提煉出業(yè)務之間可信任的指標基線白名單，以及從網(wǎng)絡威脅信息獲取的指標基線黑名單共同建立指標基線；然后將待處理序列的流量數(shù)據(jù)進行數(shù)據(jù)比對；這里，可以將流量數(shù)據(jù)中包含的業(yè)務數(shù)據(jù)、發(fā)送所述流量數(shù)據(jù)的設(shè)備、發(fā)送所述流量數(shù)據(jù)的ip地址等與所述指標基線進行對比，確定流量數(shù)據(jù)是否屬于指標基線白名單或指標基線黑名單。其中，所述流量數(shù)據(jù)經(jīng)過與指標基線的比對，將屬于指標基線黑名單的流量數(shù)據(jù)，確定為異常行為類型；將屬于指標基線白名單的流量數(shù)據(jù)，確定為非異常行為類型；將既不屬于指標基線白名單也不屬于指標基線黑名單的流量數(shù)據(jù)，同樣確定為非異常行為類型。實際應用中，對于異常行為類型，可以直接進行異常報告；上報所述異常行為類型；并可以將屬于黑名單的流量數(shù)據(jù)的異常級別定為高級；對于非異常行為類型的 流量數(shù)據(jù)，通過后續(xù)模塊繼續(xù)分析。

所述第二確定模塊33，用于對非異常行為類型的流量數(shù)據(jù)，采用時間序列分析，確定所述非異常行為類型的流量數(shù)據(jù)的行為類型；

所述第二確定模塊33，具體用于：

根據(jù)流量模型預測當前檢測點的觀測值；這里，流量模型可采用ar模型；

具體的，首先確定ar模型的階數(shù)p，通常流量數(shù)據(jù)的觀測值是不平穩(wěn)的，可以假定這些流量數(shù)據(jù)序列在一定的時間窗口n內(nèi)是平穩(wěn)的，其中，時間窗口n可以取值20，ar模型的階數(shù)p與時間窗口n滿足約束條件：0≤p≤0.1n，由于n取值20，在此算法中p取值2。用流量數(shù)據(jù)的時間序列x1,x2,x3...xn擬合二階ar模型，則ar(2)模型可以用表達式(1)表示；其中，和表示ar(2)的系數(shù)，et表示噪音，所述et是均值為零、方差為σe²的獨立同分布高斯隨機變量；

可以使用時間序列x1,x2,x3...xn來估計ar(2)模型參數(shù)和σe²；

這里的估算公式，可以用表達式(2)表示；其中，t表示轉(zhuǎn)置矩陣；

根據(jù)表達式(3)、表達式(4)、表達式(5)，ar(2)模型的參數(shù)可以根據(jù)時間序列x1,x2,x3...xn估計得出；將估算出的參數(shù)代入表達式(2)，可以得到ar模型。

預測模型確定后，通過觀測值與預測值的殘差定義網(wǎng)絡異常；

這里，在時間點…tn-1,tn,tn+1…的一個零均值化后的觀測值序列為…x(tn-1)，x(tn)，x(tn+1)…，則可以根據(jù)ar模型擬合得到殘差序列{…，et+1，et+2，et+3，...}，et+i可以用表達式(6)表示；其中，表示時間點的預測值，一個檢測點可以看作一個時間點。

確立當前檢測點判異決策函數(shù)；

這里，決策函數(shù)wt(n+1，可以用表達式(7)表示；其中，

計算當前檢測點的單點閥值，判斷當前檢測點是否超過了單點閥值數(shù)；如果否，則判斷所述流量數(shù)據(jù)為正常行為類型，并存儲當前檢測點數(shù)據(jù)，作為歷史數(shù)據(jù)內(nèi)容，以便后續(xù)作為單點閥值的計算來源數(shù)據(jù)，自此，對所述流量數(shù)據(jù)的檢測結(jié)束，可以進行下一個流量數(shù)據(jù)的檢測；如果是，則進行下一步處理；

這里，通過決策函數(shù)判斷是否異常，當wt(n+1)＞u或wt(n+1)＜-l時，是異常行為類型，否則，是非異常行為類型；其中，表示檢測點的預測值，u和-l分別是根據(jù)歷史流量數(shù)據(jù)取的決策函數(shù)單點閾值的上限和下限。

如果當前檢測點超過了所述單點閥值時，計算出多點異常數(shù)據(jù)統(tǒng)計量；

通常情況下，單點的異?？赡軙峭话l(fā)性的網(wǎng)絡波動，如果真正的網(wǎng)絡異常發(fā)生，則后續(xù)的檢測點也會檢測出異常，而且偏離程度較大；一般偏離比較大的情況，多點異常統(tǒng)計量都會呈指數(shù)2的形式迅速增長的；

這里，由{ζi}表示觀測序列得到的殘差序列，分別計算正統(tǒng)計量ζi的平均值及相應的標準差；和分別表示{ζi}的正值和負值組成的序列，他們的個數(shù)分別是m和n，σ⁺和σ^-分別表示他們的標準差，σ⁺、和σ^-，可以分別有表達式(8)、表達式(9)、表達式(10)、表達式(11)表示。

判斷多點異常數(shù)據(jù)是否超過了報警多點閥值，如果否，則更新單點閥值內(nèi)容，并判斷是否為數(shù)據(jù)是否為指標基線白名單數(shù)據(jù)，如果為指標基線白名單數(shù)據(jù)，則判斷為正常行為類型，如果不是指標基線白名單數(shù)據(jù)，則報告此事件為異常行為類型；如果是，則報告此事件為異常行為類型；實際應用中，可以對異常行為類型進行分級，如此，可以判斷異常處理的優(yōu)先級；如：如果多點異常數(shù)據(jù)未超出報警多點閥值，且不是指標基線白名單數(shù)據(jù)，則報告此事件為中級異常行為類型；如果多點異常數(shù)據(jù)超出報警多點閥值，且為指標基線白名單數(shù)據(jù)，則報告此事件為中級異常行為類型；如果多點異常數(shù)據(jù)超出報警多點閥 值，且不是指標基線白名單數(shù)據(jù)，則表明該流量數(shù)據(jù)屬于危險數(shù)據(jù)的幾率較高，此時可以報告此事件為高級異常行為類型，以提高處理優(yōu)先等級；

這里，確定異常判斷的多點閥值，多點閥值的選擇對異常檢測很重要，如果多點閥值太大或太小，都會直接導致漏報或是虛報的情況；多點異常數(shù)據(jù)統(tǒng)計量的多點閥值為：當ζ在范圍內(nèi)時，所述流量數(shù)據(jù)的行為確定為非異常行為類型；否則，所述流量數(shù)據(jù)行為確定為異常行為類型。

在實際應用中，基線建立模塊31、第一確定模塊32、第二確定模塊33可由核心網(wǎng)絡系統(tǒng)的中央處理器(cpu)、微處理器(mpu)、數(shù)字信號處理器(dsp)、或現(xiàn)場可編程門陣列(fpga)等實現(xiàn)。

以上所述，僅為本發(fā)明的佳實施例而已，并非用于限定本發(fā)明的保護范圍，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。