一種網絡突發事件度量評估方法及系統的制作方法

專利名稱：：一種網絡突發事件度量評估方法及系統的制作方法
技術領域：
：本發明涉及計算機網絡及信息安全領域，具體涉及一種網絡突發事件的度量和評估方法及系統。
背景技術：
：隨著網絡技術的飛速發展，多下一跳網絡協議應運而生。多下一跳網絡協議下的網絡環境，流量均衡已通過并行傳輸實現。為實現網絡自愈需檢測、定位網絡中的故障，快速有效的故障檢測以及準確迅速地識別故障類型是提高網絡可用性、可靠性和保證QoS的基礎和重要手段。現有技術中提供的一種基于S麗P的網絡系統中的故障管理來才企測、定位網絡中的故障。通過輪詢和接收Trap(捕獲)消息，獲得故障信息，但由于告警重復信息過多又不提供故障關聯分析，使得網管配置復雜，手工操作量大。網絡故障管理模式因缺乏靈活性和適應性，難以適應現代網絡的故障管理的需要；在網絡中故障信息復雜，某個故障事件往往產生一系列的故障告警，將這些告警不加處理地發給網管員，勢必導致網管員的工作強度過重，冗余信息過多，占用網絡帶寬資源，形成惡性循環，網絡管理效率低下。現有才支術中還可通過網絡i貪斷程序Ping和;洛由3艮蹤(TraceRouter)技術才企測、定位網絡中的故障。Ping是一種常用的網絡診斷程序(命令)，用于確定本地主機是否能與另一臺主機交換(發送與接收)數據。但通過Ping命令只能檢測出某兩個節點之間的鏈路是否有故障，但無法對故障的發生點進行定位。因此，業界通過跟蹤路由器TraceRouter4支術對故障進行定位。在實際應用中，經常用Ping計數來判斷鏈路通斷，用TraceRouter來定位故障點。在鏈路出現故障情況，Ping對于大流量但偶爾丟包的情況4艮難檢測出來；Ping和TraceRouter包容易造成誤報；Ping技術不可能長時間的快速發送Ping檢測包，一般都進行了限制，造成檢測不準確；在被檢測鏈路中間有很多條路可達時，Ping包只能走其中一條鏈路，存在檢測的鏈路和實際數據走的鏈路不一致時，導致檢測結果無效；如果要使快速的TraceRouter,需要發送幾倍的包才能檢測到故障，對帶寬耗費較大。再者，現有技術中還釆用雙向轉發檢測(BFD，BidirectionalForwardingDetection)技術4企測、定位網絡中的故障。BFD是一種Hello包機制，通過判斷是否連續丟預定個數的tt據包，進而判斷鏈路是否可用的機制。但是對于鏈路為可用、只是偶爾間斷丟包的情況，則無法實現檢測和上報；BDF是一種點到點檢測的機制，無法實現對鏈路故障點的快速定位；對于源和目的之間有多條路徑時，；險測包只能走其中一條，可能與實際數據包所走路徑不同，因此產生誤報。另外，現有技術中還采用國際電信聯盟(ITU)提出的多協議標簽交換(MPLS)可操作可維護性(0AM)技術進行網絡故障檢測、定位。由于MPLS的標簽交換路徑(LSP,LabelSwitchingPath)是一段接一段建立的，并且LSP可以嵌套，通過前向故障指示(FDI,ForwaodDefectIndicator)機制檢測定位故障。但僅對MPLS網絡有效，對IP網無效。因此在現有IP網絡無法實現故障檢測；也是一種通過判斷連續丟包，進而判斷鏈路是否可用的檢測機制，由于采用FDI機制，對于故障的定位依賴于外層LSP發送的FDI包，當外層LSP沒有運行0細機制時，則對鏈路中的節點無法進行故障定位。現有技術中的其他網絡故障凈全測方法大多是在單下一跳網絡環境下的，主要是針對網絡連通性故障的檢測，而且沒有對故障緊急度進行分級，無法應對突發毀擊性事件。因此，現有的故障檢測方法不能簡單的移植到多下一跳網絡。由于突發事件的特點在于它的突發性，因此對它的快速與準確的度量和評估是其能夠被及時有效地發現，并最終不對節點和鏈路可靠性造成威脅的勤出，所以對IP網絡的突發毀擊事件來說，故障檢測速度比準確性更重要。針對多下一跳網絡需要解決的問題是如何使得路由器具有流量感知能力，了解全網鏈路及自身節點是否正常工作，是否有突發毀擊事件發生。
發明內容有鑒于此，本發明提供一種突發事件的度量和評估方法及系統，可及時檢測并準確判斷出網絡突發事件。本發明實施例提供的一種網絡突發事件的度量和評估方法，包括檢測并獲取路由器相關的各鏈-各流量變化信息；對路由器轉發總體數據量進行檢測，獲取轉發的總體數據量變化信自-對所獲取的各鏈路流量信息和轉發的總數據量變化信息進行歸并和分析；根據歸并和分析結果判斷是否發生突發事件。本發明實施例還提供一種網絡突發事件的度量和評估系統，包括第一檢測單元，用于檢測并獲取路由器相關的各鏈路流量變化信息；第二檢測單元，用于檢測路由器轉發總體數據量，獲取轉發的總體數據量變化信息；處理單元，用于歸并和分析所獲取的各鏈路流量信息和轉發的總數據量變化信息；判定單元，根據歸并和分析結果判斷是否發生突發事件。本發明實施例提供的突發毀擊事件的度量和評估方法，通過檢測并獲取路由器相關的各鏈路流量變化信息；對路由器轉發總體數據量進行檢測，獲取轉發的總體數據量變化信息；對所獲取的各鏈路流量信息和轉發的總數據量變化信息進行歸并和分析；從而判斷是否發生突發事件。本發明采用分布式流量異常^r測策略，每個節點在凄t據采集的同時獨立地完成流量預測和異常檢測，網絡負載小。不須要額外的硬件支持，資源開銷少。具有可靠性，保證本身的安全性和所管理網段的可用性；及時檢測出網絡突發毀擊性事件并為應急響應人員提供預警信息。圖l是網絡突發毀擊事件度量評估系統架構示意圖2是本發明提供的網絡突發毀擊事件度量評估原理圖3是本發明實施例中提供的網絡突發毀擊事件度量評估方法流程6圖4是本發明實施例中路由器相關各個鏈路流量突變檢測流程圖；圖5是本發明實施例中路由器轉發總體數據量突變檢測流程圖。具體實施例方式本發明將這種由于故障引發的鏈路流量或路由器轉發數據包的突變及可能導致的擁塞定義為突發毀擊性事件，通過路由器自身的檢測進行防范，并通過預測進行評估，而不增加額外的設備。在網絡系統100中設置有如下模塊網管單元110,主要是現有的S麗P管理協議模塊，讀取其MIB庫中檢測所需的相關信息量，如路由器轉發數據量和各個鏈路流量等，提供相應數據信息給管理單元，也為離線閾值計算提供數據信息。管理單元120,主要由檢測模塊121和感知模塊122組成，其中感知模塊122，相當于在路由器上增加轉發狀態檢測模塊，可以提高其自身在網絡環境中應用的可靠性及可控性。目前的路由器中只是對數據包進行規則匹配后，決定轉發還是丟棄，沒有對轉發數據量異常的檢測能力。當路由器可以檢測轉發數據量的突然變化時，則可以判定此時轉發是否有異常，如有異常那么原因可能是攻擊或網絡中鄰居節點設備失效，此時發出告警信息，并將原因通告其它鄰居，根據突發事件原因采取相應的策略。這里為突變定義一個屬性，定義路由器轉發數據量的變化幅度ia,小于ja的變化是特殊時刻網絡高峰期的正常變化。ja揭示算法對突發事件的敏感程度，突變幅度則要大于H。排除正常的可能后，出現的突變一律視為異常。這是被動感知模塊所要解決的問題，也就是針對路由器轉發狀態的感知。管理單元l20中的檢測模塊l2l在路由器中主動感知鏈路狀態，也就是鏈路利用率情況，通過突變的檢測得知鏈路流量是否異常，同樣及時發出告警信息，根據告警信息采取對應的措施，來達到避開異常鏈路的目的。目前對鏈路的檢測大多是通過探測鏈路利用率來判斷是否擁塞，但這種方法會增加網絡負載，帶來額外的開銷。本發明根據鏈路流量特征，來檢測上升和下降兩種趨勢的突變，不僅檢測擁塞狀況還包括鏈路故障的狀況。而目前大多突變^^測算法只能^r測單邊的突變。這里為突變定義兩個屬性一是突變的持續時間Tp,小于Tp的突變被認為是正常的流量白噪聲；二是突變的變化幅度5,小于5的變化是網絡自身趨勢發生的正常變化。Tp和5是兩個人為調整的參數，它們揭示算法對突發事件的敏感程度，故障檢測的持續時間要大于Tp,突變幅度則要大于5。排除正常的可能后，出現的突變一律視為異常。這是主動檢測模塊所要解決的問題，也就是對鏈路利用率的感知。路由器控制單元130,主要包括跟蹤預測模塊131、告警模塊132和控制模塊133。由于前面檢測模塊121和感知模塊122只是對網絡局部的檢測，所以當將異常結果通告，協議進行調整后，還需要進行跟蹤預測，來驗證調整結果的正確性。跟蹤預測模塊131通過對網絡流量狀態的整體把握，結合調整后的路由矩陣，可得知網絡中故障的鏈路或節點是否避開，調整后的網絡流量總體狀況是否正常。這是跟蹤預測模塊131所要解決的問題，也就是對全網流量的掌握控制。告警模塊主要收集檢測模塊121和感知模塊122通告的告警信息，并進行過濾分析。控制模塊133則是對告警信息的處理及進行定向通告，并根據跟蹤預測模塊131提交的信息把握全網狀況。離線閾值計算單元140,主要是收集SNMP網管協議中的的MIB庫中接口組變量iflnOctets(字節/秒)、ifOutOctets(字節/秒)，IP組變量:ipForwDatagrams(包/秒)、ipInReceives(包/秒)，通過計算公式為在線感知模塊提供判斷的閾值。同時，記錄故障鏈路或節點，并統計分析其故障概率，將經常發生故障的節點或鏈路定期通告全網，在路由選路或流量均衡時可避開此類節點或鏈路。對故障原因進行統計，從而了解網絡故障原因的分布情況。下面結合附圖對本發明作進一步詳細的描述。本發明根據獲取的鏈路流量信息，來檢測上升和下降兩種趨勢的突變，不僅;險測擁塞狀況還包括鏈路故障的狀況。具體地，本發明實施例基于分布式突發毀擊事件的檢測，閾值通過離線的計算，減小;洛由器的計算量，并通過定位故障鏈^^,或故障節點，通過進行定向通告來避免鏈路狀態風暴，最終記錄各鏈路故障概率，測定出瓶頸鏈路。為優化整個網絡資源提供依據，當發生突發毀擊事件，在協議調整之后網絡又進入一種新的穩定狀態，此時故障檢測是要測到系統狀態的變化，而不需要在狀態改變后仍然告警，本發明實施例中通過產生一個延時定時器來避免此種情況。參見圖2及圖3,本發明實施例提供的網絡突發毀擊事件度量評估方法流程包括以下具體步驟步驟SOl、檢測并獲取路由器相關各個鏈路流量變化信息；參見圖4，上述對路由器相關各個鏈路流量的突變檢測通過以下方法實現，具體步驟為要做到快速突變檢測，就要減小時間開銷，為此本發明實施例從劃分和維護桶所需的時間入手，減少在此方面的時間花費。步驟IOI、讀取網管模塊中S麗P管理協議統計的流量信息，形成數據〉充X，X2……A"n;步驟102、對數據流A,&.....A中的每一個元素求進行其前綴和運算，WJi)，即厶(0=2>乂得到另外一個數據流A,&.....xn';步驟103、將數據流劃分到s=(Y+i)個桶中保存，桶的劃分原則為將放入一個桶中，其余每相鄰兩個數據放入一個桶中，具體如圖所示:當n為偶數時義4"^5當n為奇數時步驟104、當新數據到來時，依次加到已有數據值上，這時聚集值分別是窗口長度為2到n+l的值；步驟105、為了快速確定是否發生數據流量突變，本發明實施例中將檢測限制在長度為n的數據流上，所以丟掉窗口長度為n+l的聚集值，將新得到的窗口長度為n的聚集值放入原有的桶中對應的位置，依次執行此步驟，這時第一個桶為空，將新得到的數據放入第一個桶中，這樣桶的個數不變，同時保持桶中的聚集值代表窗口長度仍為l到n;限定數據流n的長度，也就是保持桶的個數不變，最新的桶中保存的是前綴和A,A.....A中最大的數據，當新數據到來時，最先更新窗口最小的數據，也就是第一個桶中的值。這樣做的原因是根據檢測的原則假如長度為L的窗口上沒有發生突變，那么算法將不檢測長度為L+l及其以后的窗口，以后的突變可認為是由顛簸導致的。顛簸是指數據流中某些時間點上的數據達到了一定的值，但還不足以成為突變的情況。當在較長的時間窗口上檢測突變時，這些小的變化積累后很可能被誤認為突變。所以優先更新小窗口的聚集值，加快檢測速度。步驟106、所有結果以表的形式存儲，每行存儲一個桶的信息，兩列分奇偶存儲。調用聚集值時，F只需查找偶數列即可。其余查詢只要找到相應的窗口長度值對應的位置即可，這樣加快了查找的速度。步驟107、已知長為i((K1、n)的滑動窗口上的聚集函數F(>,.〕計算結果由上述步驟獲得。聚集函數F為求和運算sum。由于i^w,^力x,所以用不等式F(w,)2-FO,))(">1)來描述具有上升趨勢的焚、，用不等式Sa(F(>2,)-F(w,))(O<a<1)來描述具有下降趨勢的突變。將這兩個不等式變形得到下式FK)^+->1)F(w2,)S("+1),,)-,))(O<"<1)步驟108、當凄t據流中新元素A到達并插入直方圖時，就運行該算法，用以檢測A是否導致突變的發生。該算法分層進行，從第l層開始一直到第n/2層，每一層包含數據流x上最近的兩個相鄰的等長滑動窗口。以第i層為例，算法在兩個長為i的滑動窗口上檢測是否有突變發生。檢測過程由兩步完成，首先計算聚集函數F(>J的值和F的值，通過檢測上述兩個不等式是否成立，判斷是否有突變發生，并輸出報警信號。比如，窗口長為l,則比較a與(a的值；窗口長為2，則比較A與(z4'-at2')的值；窗口長為3，則比較A與(x6'-x3')的值。依次進行直到檢測到突變，窗口長度直到n/2停止檢測，對新加入的數據繼續進行同樣的計算比較。步驟109、記錄下發生故障的鏈路，存入離線計算閾值的服務器中，進行統計分析，得到其故障概率，將經常發生故障的鏈路定期通告全網，在選路或流量均衡時可避開此類鏈路。同樣對發生過載鏈路也進行統計分析，根據結果賦予各鏈路權重值，為流量均衡時的選路提供依據。步驟S02、對路由器轉發總體數據量進行檢測，獲取轉發的總體數據量變化信息；參見圖3,具體步驟為以一個時間序列為例，在一個序列中以一個滑動窗為參照，；險測該滑動窗下一個相鄰的觀測值是否發生異常變化，根據檢測到的點是否落到自適應閾值上下的置信區間內，來判斷當前點是否異常，當變化幅度超出置信區間時就認為這個觀測值是異常的。當滑動窗在序列中逐步地順次向前移動時，流量觀測值序列中的每一個點都將被檢測到。檢測算法的決策函數是關于一個點和滑動窗的似然比，它是#全驗一個點與滑動窗之間的異常變化，是檢測個別和局部之間的變化關系，它能突出短時間內的異常變化情況，而不會錯過個別的異常變化事件。步驟201、/人S麗P管理信息庫MIB中定時讀取接口組變量iflnOctets(字節/秒)、ifOutOctets(字節/秒)，IP組變量ipForwDatagrams(包/秒、)、ipInReceives(包/秒、)，它們分另寸表示i殳備4妻口每秒接收到和發送的字節數、路由器每秒鐘接收和轉發的數據包數。步驟202、采用滑動窗口模型，就是僅關心管理信息庫中最新的N(滑動窗口大小)個數據，隨著數據不斷到達，統計信息不斷更新，窗口數據不斷平移。步驟203:對滑動窗口中的MIB變量，也就是對步驟301中的四個變量進行自適應采樣，然后按時間順序分別排列成一個時間序列，這樣每個時間序列就是一個流量觀測值序列。步驟204、在時間點…^-!、t、t。+;…的一個觀測值序列…X(U、X(U、X(t,'+J...令^(〕=》，表示t=n時的M^、'H直，々支設{h是局部平穩的，對滑動時間窗{…h",門+2，…h+N即做如下處理}進行零均值化，i=l,2……N+l步驟205:對零均值化后的序列用AR(2)模型擬合得到差值{"1,e"2,…et+N,e"W+1}.e,+,.=x,+,.—^x,+,-!—p2xf+,—2i=1,2，作^為才莫型系lt。步驟206:確定決策函數『，(W+1)N+l是5其中F=(e〗+1+e〗+2+...+《N+1)/(N+l)步驟207:自適應閾值U(t+l)、L(t+l)的確定。通過下式描述的刷新機制將之前的行為疊加進來p(Z+1)="b,+JV+1-3Vw]+X+w其中j^+l)就是時刻t+l的閾值預測值，即t+l時刻正常模型，t時刻的觀測值，x+糾是t+l時刻的觀測值，a是加權常數，它控制新數據在模型中所占的比重，控制模型適應局部行為的快慢程度。步驟208、這樣首先建立了模型化的正常行為，也包括了正常模型的刷新，如果當前觀測值完全符合這個正常模型時，那么這個觀測值顯然是正常的，但這種判定過為苛刻，實際情況不可能完全符合理論模型，于是設定一個容差界限，也就是一個置信區間，只要在這個置信區間內則判定為正常C/(/+1)=+1)+3個標準差1^+1)=;(+1)-3個標準差置信區間的范圍也需要以建立正常行為模型相同的方法計算得到，不同之處在于正常行為的數據來自觀測值本身，而置信區間范圍的數據則由這些觀測值的標準差得到，例如，在每天的同一時刻，都有一個觀測值，那么在過去一周的每個時刻就有7個觀測值，這些觀測值可以算出它們的標準差，得到這個標準差后，把它加到正常行為的模型上，得到上邊界U(t+l)，再由正常行為減去這個標準差，得到下邊界L(t+l)。根據所加標準差個數不同，可以得到不同級別的容差范圍。一般情況采用標準差的2—3倍。于是判斷準則為當W+1)^Wt(N+1)2U(t+1)時,判斷為正常當W,(N+l)〉U(t+l)或W,(N+l)〈-L("l)時，判斷為異常。其中標準差的計算公式為《=丄(《"2十…+《)標準差=dm)dm)十…+(《—《)n=7步驟209、參數選擇的設定方法，該模型有三個參數需給定，即AR模型的階數p、滑動窗口的大小N和加權常數"。根據時間序列理論，在實際應用中，AR模型的階數不超過2。一般AR階數p和序列長度N必須滿足下面的約束條件在此選取N-20,也就是滑動窗口的大小為20,加權常數"為l.1。步驟210、記錄下發生故障的節點ID號，存入離線計算閾值的服務器中，進行統計分析，得到其故障概率，將經常發生故障的節點定期通告全網，在選路或流量均衡時可避開此類節點。步驟S03、對所獲取的各鏈路流量信息和轉發的總數據量變化信息進行歸并和分析；具體方法如下設四端口的路由器，且因為多種故障同時發生的概率很小，所以假設此時僅為單條鏈路或節點故障，不包括并發故障情況一步驟101檢測結果為下降趨勢的突變，此處假設鏈路l流量異常，步驟102檢測結果為下降趨勢的突變，此時判定為該鏈路失效。原因是鏈路故障，流量減少，那么相應路由器轉發總體數據量減少，因為只考慮單故障情況，此時其他鏈路和節點是正常的。情況二步驟101檢測結果為下降趨勢的突變，此處假設鏈路l流量異常，步驟102檢測結果為上升趨勢的突變，此時判定為該擁塞。因為與情況1不同，路由器轉發總體數據量增加，那么首先節點是正常的，增加的原因是鏈路l故障后，由于重路由流量加載到其他鏈路，導致相鄰鏈路流量增加，直接表現在路由器轉發量的增加。而鏈路l流量突減是因為擁塞導致丟包的表現。情況三步驟101檢測結果為上升趨勢的突變，此處假設鏈路l流量異常，步驟102;險測結果為上升趨勢的突變，此時判定為攻擊。因為攻擊一般針對節點，但攻擊流量是經過鏈路到達節點的，兩者同時增加，所以判定為攻擊。與情況2不同，雖然均為路由器轉發總體數據量增加，但情況2中相關鏈路流量是減小的，這是不符合攻擊發生的實際情況的。情況四步驟101檢測結果為上升趨勢的突變，此處假設鏈路l流量異常，步驟102檢測結果為下降趨勢的突變，此時判定為該節點失效。因為鏈路流量雖然在增加，但路由器轉發數據量卻在減少，此時節點已經故障，流量不能正常轉發，單條鏈路流量增加是因為節點無法正常工作導致的。將步驟IOI、102所得結果和以上分析進行歸并處理，劃分異常等級，具體如下表所示將步驟S02、SQ3所得結果進行等級劃分，具體如下表所示:<table>tableseeoriginaldocumentpage15</column></row><table>以上是歸并結果劃分異常等級，但需要對結果進一步過濾分析。過濾是指為減少虛警信息，先進行一定的報警信息過濾，此處定義三個閾值，對虛假告警信息排除。步驟101是對鏈路流量的突變^r測，而突變不一定異常一定發生，于是定義流量突變的持續時間Tp和變化幅度5兩個判定閾值。當突變時間小于Tp,則認為是正常的流量白噪聲；當流量突變的變化幅度小于5,則認為是網絡自身趨勢發生的正常變化。步驟102是對路由器總體轉發量的檢測，雖然已經設置置信區間，但仍有可能是網絡正常變化引起的異常結果，于是定義路由器轉發數據量的變化幅度n,當變化幅度小于ia，則認為是特殊時刻網絡高峰期的正常變化。而三個閾值的得到需要結合應用網絡的實際情況而定。此處過濾僅是在告警得出后進行分析，并不能完全消除虛警和誤警。步驟S04、根據歸并結果判斷是否存在突發毀擊性事件；具體方法為這里定義一個三元組向量A產〈Lj,Rj,t>,其中Ai表示報警組，Lj，Rj表示故障類型，t表示故障發生的時間。上述表中等級I中所示轉發的總數據量為增則初步判斷為突發毀擊性事件，對網絡的連通性造成影響，表中等級II以上產生觸發機制，進行協議調整。當網絡中檢測到突發毀擊性事件時，檢測到異常的路由器向鄰居節點發送此三元組向量信息，定向發送消息的原因是避免鏈路狀態廣播風暴。當需要協議調整時，發起方節點產生一個調整消息，該消息沿路由選擇方向發送，各中間節點收到調整消息后，根據協議機制進行相應的調整。同時啟動延時定時器，定時器時間內不對該節點或鏈路進行檢測，避免故障檢測測到系統狀態的變化時，在狀態調整時仍然告警。步驟S05、對調整后的網絡整體流量進行評估，驗證其正確性。具體步驟如下步驟501、根據卡爾曼濾波算法描述，把整個網絡看成一個系統，各鏈路的流量是所關心的量，然后對這個系統建模。系統控制量一般為0,這里忽略系統噪聲，觀測噪聲為加性高斯白噪聲，某一時刻k系統的狀態表達式如下，(3(k|k-l)=F(k,k-l)P(k-l|k-1)P(k|k-1)=FP(k-llk-1)F，步驟502、測量的值是網絡管理協議SNMP所得到的，跟網絡流量直接對應，所以觀測矩陣C-1。得到以下遞歸計算式P(k|k)=P(k|k-1)+Kg(k)(x(k)-Mklk-l))Kg(k)=P(k|k-1)/(P(k|k-1)+R)P(k|k)=(I-Kg(k))P(k|k-1)步驟503、獲取模型對應的量；下面將模型對應的量如何得到做一一描述。F(k,k-l)為狀態轉移矩陣，這里系統的轉移矩陣為路由矩陣；P(k)是k時刻的系統狀態，x(k)是測量值，可以通過S麗P測量得到；P(k)是估計誤差的協方差，可以由P(k)-P(klk)計算得出。步驟504、為了令卡爾曼濾波器開始工作，需要告訴卡爾曼兩個零時刻的初始值，是X(OIO)和P(OIO),也就是要選擇起始時刻值。這里將K時刻作為起始時刻，于是令X(010)為K時刻從S腿P讀取的網絡各鏈路流量值，P(OIO)為不為O的常數，由此估計K+2.......時刻的網絡整體流量的值。步驟505、當網絡拓樸發生變化時，需要根據變化后的路由矩陣重新遞歸計算。步驟506、對模型的評估用最小均方誤差(MSE),定義5為預估計值與真實值之差，&5=Xi-Xi，，那么MSE=玄(52)/"預測即將到達的流量值，'l后將得到的真實流量與預測流量比較，判斷兩者的差值絕對值是否超過了預定的閾值。設閾值為T,時刻t真實流量Xt與預測流量Xt'的差值為cU-|Xt-Xt'|,將這種差異轉化成故障量做進一步判斷，當c^-s〉T時，表明發生流量異常，協議調整后的網絡仍然存在異常鏈路或節點。其中s=E[et2]為預測誤差。本發明實施例還提供一種網絡突發毀擊性事件的度量和評估系統，包括第一檢測單元，用于檢測并獲取路由器相關的各鏈路流量變化信息；第二檢測單元，用于檢測路由器轉發總體數據量，獲取轉發的總體數據量變化信息；處理單元，用于歸并和分析所獲取的各鏈路流量信息和轉發的總數據量變化信息；判定單元，根據歸并和分析結果判斷是否發生突發事件。該系統還包括路由調整單元，用于調整路由；當判定所述鏈路失效、鄰居節點失效或所述鏈路的相關節點受到攻擊，則對相關路由進行調整。本發明實施例提供的突發毀擊事件的度量和評估方法，通過檢測并獲取路由器相關的各鏈路流量變化信息；對路由器轉發總體數據量進行檢測，獲取轉發的總體數據量變化信息；對所獲取的各鏈路流量信息和轉發的總數據量變化信息進行歸并和分析；從而判斷是否發生突發事件。本發明采用分布式流量異常檢測策略，每個節點在數據采集的同時獨立地完成流量預測和異常檢測，網絡負載小。不須要額外的硬件支持，資源開銷少。具有可靠性，保證本身的安全性和所管理網段的可用性；及時檢測出網絡突發毀擊性事件并為應急響應人員提供預警信息。顯然，本領域的技術人員應該明白，上述的本發明的各單元或各步驟可以用通用的計算裝置來實現，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成的網絡上，可選地，它們可以用計算裝置可執行的程序代碼來實現，從而，可以將它們存儲在存儲裝置中由計算裝置來執行，或者將它們分別制作成各個集成電路;溪塊，或者將它們中的多個單元或步驟制作成單個集成電路模塊來實現。這樣，本發明不限制于任何特定的硬件和軟件結合。以上所述僅為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。凡在本發明的精神和原則之內所作的任何修改、等同替換、改進等，均包含在本發明的保護范圍內。權利要求1、一種網絡突發事件的度量和評估方法，其特征在于，包括檢測并獲取路由器相關的各鏈路流量變化信息；對路由器轉發總體數據量進行檢測，獲取轉發的總體數據量變化信息；對所獲取的各鏈路流量信息和轉發的總數據量變化信息進行歸并和分析；根據歸并和分析結果判斷是否發生突發事件。2、如權利要求l所述的方法，其特征在于，所述檢測并獲取路由器相關的各鏈路流量變化信息，具體包括收集與路由器相關的鏈路流量值，得到的數據流用進行聚集計算；將聚集結果分奇偶存放，再利用該聚集結果作為衡量變化大小的闞值進行相鄰等長窗口的聚集值比較，在預定時間長度內，網絡流量與過去的歷史流量相比的變化幅度，來判斷是否有突發毀擊事件發生，并記錄該故障鏈路。3、如權利要求l所述的方法，其特征在于，所述對路由器轉發總體數據量進行檢測，獲取轉發的總體數據量變化信息，具體包括收集路由器轉發的數據量信息，對其自適應采樣得到一個時間序列；在該時間序列中選耳又一個滑動窗為參照，4企測該滑動窗下一個相鄰的觀測值，得到數據流量變化幅度，當變化幅度超出置信區間則判定該觀測值是異常的，并記錄該故障節點。4、如權利要求l所述的方法，其特征在于，所述根據歸并和分析結果判斷是否發生突發事件，具體包括若鏈路流量突變并減少到預定值，轉發的總數據量突變并減少到預定量，則判定所述鏈路失效；若鏈^^流量突變并減少到預定值，轉發的總lt據量突變并增加到預定量，則判定所述鏈路擁塞；若鏈路流量突變并增加到預定值，轉發的總數據量突變并減少到預定量，則判定鄰居節點失效；若鏈路流量突變并增加到預定值，轉發的總數據量突變并增加到預定量，則判定所述鏈路的相關節點受到攻擊。5、如權利要求4所述的方法，其特征在于，所述鏈路流量突變為流量增加或減少的持續時間達到預定時長且流量增加或減少的幅度達到預定閾值。6、如權利要求l所述的方法，其特征在于，進一步包括當判定所述鏈路失效、鄰居節點失效或所述鏈路的相關節點受到攻擊，則進行路由調整。7、一種網絡突發事件的度量和評估系統，其特征在于，包括第一檢測單元，用于檢測并獲取路由器相關的各鏈路流量變化信息；第二檢測單元，用于檢測路由器轉發總體數據量，獲取轉發的總體數據量變化信息；處理單元，用于歸并和分析所獲取的各鏈路流量信息和轉發的總數據量變化信息；判定單元，根據歸并和分析結果判斷是否發生突發事件。8、如權利要求7所述的系統，其特征在于，還包括路由調整單元，用于調整路由；當判定所述鏈路失效、鄰居節點失效或所述鏈路的相關節點受到攻擊，則對相關路由進行調整。全文摘要本發明公開了一種網絡突發毀擊事件的度量和評估方法，包括步驟突發事件的被動感知和主動檢測；將所得結果歸并后進行過濾分析；根據歸并結果劃分事件等級，實現故障原因的定位；根據等級判定是否進行協議機制的調整；對調整后的網絡整體狀況進行驗證，確保其正確性。本發明還提供了一種網絡突發毀擊性事件的度量系統，包括路由器控制模快、隊列管理算法模塊、網管模塊和離線計算模塊。本發明解決的問題就是讓路由器具有流量感知能力，了解全網鏈路及自身節點是否正常工作，是否有突發毀擊事件發生，及時通告，進行協議機制的調整。本發明是為協議調整提供依據，從而提高網絡節點和鏈路的可用性及可靠性，最終保證網絡的服務質量。文檔編號H04L12/24GK101483547SQ20091000762公開日2009年7月15日申請日期2009年2月12日優先權日2009年2月12日發明者蘭巨龍,卜佑軍,張建輝,敏曹,雨王,竇睿彧,陳庶樵申請人:中國人民解放軍信息工程大學