(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111339663.2 (22)申请日 2021.11.12 (71)申请人 中盈优创资 讯科技有限公司 地址 200000 上海市嘉定区安亭镇杭桂 路 1112号10层10 04室-4 (72)发明人 卢云扬　 (74)专利代理 机构 上海嘉蓝专利代理事务所 (普通合伙) 31407 代理人 金波 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 41/14(2022.01) (54)发明名称 一种网络流 量异常检测 和分析方法及装置 (57)摘要 本发明公开一种网络流量异常检测和分析 方法及装置， 其中， 该方法包 括： 建立BGP ‑LS采集 通道， 监控链路状态 变化； 建立SNMP或Telemetry 采集通道， 监控链路流量变化； 采集到现网流量 信息后， 根据系统配置的流量告警阈值， 先判断 是否存在异常流量， 再生 成实时流量告警并触发 网络流量调度， 同时将采集到的现网流量信息同 步发送给大数据平台； 对异常流量进行溯源分析 时， 根据大数据平台上训练好的时序预测模型， 生成预测的流量变化基线， 与当前采集的实际流 量进行对比计算， 对异常流量进行进一步的分 析。 该方法及装置通过采集并监控路由变化、 链 路流量和流量成分， 在出现异常流量变化时， 可 以进行自动异常流 量分析。 权利要求书2页 说明书5页 附图2页 CN 114124492 A 2022.03.01 CN 114124492 A 1.一种网络流 量异常检测 和分析方法， 其特 征在于， 该 方法包括： 建立BGP‑LS采集通道， 监控链路状态变化； 建立SNMP或Telemet ry采集通道， 监控链路流 量变化； 采集到现网流量信 息后， 根据系统配置的流量告警阈值， 先判断是否存在异常流量， 再 生成实时流量告警并触发网络流量调度， 同时将采集到的现网流量信息同步 发送给大数据 平台； 对异常流量进行溯源分析时， 根据大数据平台上训练好的时序预测模型， 生成预测的 流量变化基线， 与当前采集的实际流 量进行对比计算， 对异常流 量进行进一 步的分析。 2.根据权利要求1所述的网络流量异常检测和分析方法， 其特征在于， 采集到现网流量 信息后， 根据系统配置的流量告警 阈值， 先判断是否存在异常流量， 再生成实时流量告警并 触发网络流 量调度， 包括： 采集到现网纳管设备上各端口的流量， 通过计算每条链路上实时流量和可用带宽的比 例确定当前利用率； 根据系统配置的流量告警阈值和流量监控链路范围， 当流量监控链路范围内链路的当 前利用率超过流 量告警阈值时， 触发流 量拥塞告警， 并通知流 量调度系统。 3.根据权利要求1所述的网络流量异常检测和分析方法， 其特征在于， 对异常流量进行 溯源分析时， 根据大数据 平台上训练好的时序预测模型， 生成预测的流量变化基线， 与当前 采集的实际流 量进行对比计算， 对异常流 量进行进一 步的分析， 包括： 大数据平台利用采集到现网流 量信息训练现有的时序预测模型； 对异常流量进行溯源分析时， 根据训练好的时序预测模型生成预测的流量变化基线， 若当前采集的实际流量与预测的流量变化基线的差异小于指定的百分比， 则认为是正常拥 塞， 由流量调度系统自行 处理即可， 否则认为是未知原因拥塞， 尝试关联网络异常的告警事 件。 4.根据权利要求3所述的网络流量异常检测和分析方法， 其特征在于， 对于无法关联到 网络异常 的告警事件， 则启动NetFlow分析诊断， 对网络流量成分进行分析， 将异常 的网络 流量成分和正常的网络流量成分的占比进 行比较， 判断流量变化是整体出现等比例流量变 化还是特定对 象出现流量变化， 若是特定对 象出现流量变化， 则找到占比出现显著变化的 对象， 进而判断流 量变化位置以及原因。 5.一种网络流 量异常检测 和分析装置， 其特 征在于， 该装置包括： 链路状态监控 模块， 用于建立BGP ‑LS采集通道， 监控链路状态变化； 链路流量监控模块， 用于建立SNMP或Telemet ry采集通道， 监控链路流 量变化； 实时流量分析模块， 用于采集到现网流量信 息后， 根据系统配置的流量告警阈值， 先判 断是否存在异常流量， 再生成实时流量告警并触发网络流量调度， 同时将采集到的现网流 量信息同步发送给 大数据平台； 异常流量溯源分析模块， 用于对异常流量进行溯源分析时， 根据大数据平台上训练好 的时序预测模型， 生成预测的流量变化基线， 与当前采集的实际流量进 行对比计算， 对异常 流量进行进一 步的分析。 6.根据权利要求5所述的网络流量异常检测和分析装置， 其特征在于， 采集到现网流量 信息后， 根据系统配置的流量告警 阈值， 先判断是否存在异常流量， 再生成实时流量告警并权　利　要　求　书 1/2 页 2 CN 114124492 A 2触发网络流 量调度， 包括： 采集到现网纳管设备上各端口的流量， 通过计算每条链路上实时流量和可用带宽的比 例确定当前利用率； 根据系统配置的流量告警阈值和流量监控链路范围， 当流量监控链路范围内链路的当 前利用率超过流 量告警阈值时， 触发流 量拥塞告警， 并通知流 量调度系统。 7.根据权利要求5所述的网络流量异常检测和分析装置， 其特征在于， 对异常流量进行 溯源分析时， 根据大数据 平台上训练好的时序预测模型， 生成预测的流量变化基线， 与当前 采集的实际流 量进行对比计算， 对异常流 量进行进一 步的分析， 包括： 大数据平台利用采集到现网流 量信息训练现有的时序预测模型； 对异常流量进行溯源分析时， 根据训练好的时序预测模型生成预测的流量变化基线， 若当前采集的实际流量与预测的流量变化基线的差异小于指定的百分比， 则认为是正常拥 塞， 由流量调度系统自行 处理即可， 否则认为是未知原因拥塞， 尝试关联网络异常的告警事 件。 8.根据权利要求7所述的网络流量异常检测和分析装置， 其特征在于， 对于无法关联到 网络异常 的告警事件， 则启动NetFlow分析诊断， 对网络流量成分进行分析， 将异常 的网络 流量成分和正常的网络流量成分的占比进 行比较， 判断流量变化是整体出现等比例流量变 化还是特定对 象出现流量变化， 若是特定对 象出现流量变化， 则找到占比出现显著变化的 对象， 进而判断流 量变化位置以及原因。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求 1‑4任一项所述方 法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有执行权利 要求1‑4任一项所述方法的计算机程序。权　利　要　求　书 2/2 页 3 CN 114124492 A 3