楊 陽(yáng) 朱浩然 任鵬飛

1(中國(guó)銀聯(lián)電子支付研究院 上海 201201)2(電子商務(wù)與電子支付國(guó)家工程實(shí)驗(yàn)室 上海 201201)3(恒安嘉新(北京)科技股份公司 北京 100089)

隨著互聯(lián)網(wǎng)技術(shù)的成熟和應(yīng)用業(yè)務(wù)的飛速發(fā)展，網(wǎng)絡(luò)用戶數(shù)目逐漸增多，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，業(yè)務(wù)場(chǎng)景的不斷變化，給網(wǎng)絡(luò)管理和異常檢測(cè)都帶來(lái)了很大的難度.如，我們發(fā)現(xiàn)在生產(chǎn)網(wǎng)絡(luò)中有一些異常流量突發(fā)的狀況，經(jīng)分析，引起網(wǎng)絡(luò)流量異常的原因主要有2類：分別是惡意攻擊和瞬時(shí)的大量訪問(wèn).其中惡意攻擊即包括DDoS攻擊和端口掃描等，還包括爬蟲(chóng)等業(yè)務(wù)程序?qū)Ψ?wù)器的訪問(wèn)；瞬時(shí)的大量訪問(wèn)主要是業(yè)務(wù)活動(dòng)時(shí)間節(jié)點(diǎn)、法定節(jié)假日等時(shí)間節(jié)點(diǎn)，突增的正常用戶訪問(wèn).惡意攻擊行為會(huì)導(dǎo)致網(wǎng)絡(luò)擁擠和過(guò)載，破壞網(wǎng)絡(luò)正常訪問(wèn).這些惡意攻擊行為有很大一部分是模擬真實(shí)訪問(wèn)生成的，根據(jù)傳統(tǒng)的異常特征檢測(cè)難以發(fā)現(xiàn).為了更好地檢測(cè)流量中的惡意攻擊行為，我們需要對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析和預(yù)測(cè).

流量異常檢測(cè)的基本思想是首先對(duì)正常數(shù)據(jù)源進(jìn)行描述和分析，并構(gòu)建流量預(yù)測(cè)模型，同時(shí)針對(duì)流量異常狀況制定流量基線，然后根據(jù)實(shí)際流量偏離正常基線的情況作出預(yù)警.因此對(duì)于網(wǎng)絡(luò)流量異常檢測(cè)而言流量的準(zhǔn)確預(yù)測(cè)非常重要，直接決定了網(wǎng)絡(luò)異常檢測(cè)的可靠性.常用的流量預(yù)測(cè)模型方法主要有時(shí)間序列分析、小波分析、神經(jīng)網(wǎng)絡(luò)等手段.

網(wǎng)絡(luò)流量數(shù)據(jù)是一類隨時(shí)間變化的數(shù)據(jù)，我們可以考慮用時(shí)間序列分析的方法對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析建模，并對(duì)網(wǎng)絡(luò)流量異常進(jìn)行監(jiān)測(cè)和預(yù)警，具體模型包括AR模型、ARMA模型、GARCH模型等.

小波分析是一種時(shí)頻分析方法，具有多維分辨率分析的優(yōu)勢(shì)，在時(shí)域和頻域都有很好的表征信號(hào)局部特性的能力.小波分析在低頻部分存在較低的時(shí)間分辨率和較高的頻率分辨率，在高頻部分存在較高的時(shí)間分辨率和較低的頻率分辨率，對(duì)正常信號(hào)中含有瞬時(shí)反常態(tài)現(xiàn)象可以進(jìn)行很好的擬合.通過(guò)小波變換的異常流量監(jiān)測(cè)技術(shù)就是根據(jù)小波變換的多尺度特性，將流量分解到多個(gè)不同的頻域下并進(jìn)行重構(gòu)，通過(guò)頻譜能量的不同發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常，從而更好地發(fā)現(xiàn)網(wǎng)絡(luò)流量中的異常行為.

基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測(cè)技術(shù)，根據(jù)神經(jīng)網(wǎng)絡(luò)自適應(yīng)學(xué)習(xí)的能力來(lái)提取網(wǎng)絡(luò)流量中異常行為的特征，將訓(xùn)練數(shù)據(jù)分為正常數(shù)據(jù)和異常數(shù)據(jù)，通過(guò)神經(jīng)網(wǎng)絡(luò)方法對(duì)數(shù)據(jù)集進(jìn)行訓(xùn)練，得到網(wǎng)絡(luò)流量正常和異常的行為模式，通過(guò)訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)就可以對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分類識(shí)別為正常和異常.

1 相關(guān)工作

網(wǎng)絡(luò)異常檢測(cè)是根據(jù)正常行為和入侵行為的不同來(lái)進(jìn)行判斷，而無(wú)論以何種方式進(jìn)行入侵，都會(huì)伴隨著網(wǎng)絡(luò)端口流量的異常變化.通過(guò)與正常流量的相異度即可判斷某流量是否為異常流量，進(jìn)而可以判斷是否為入侵行為.

針對(duì)異常流量檢測(cè)，目前研究人員已經(jīng)提出了諸多的檢測(cè)方法，大致包括：1)基于閾值的異常檢測(cè).基于閾值的檢測(cè)方法在網(wǎng)絡(luò)管理中被廣泛使用.該方法的主要思想是針對(duì)某一流量參數(shù)，給定一個(gè)最大閾值和一個(gè)最小閾值，如果觀測(cè)到的參數(shù)值超出了閾值范圍，則判定為異常流量.根據(jù)閾值的設(shè)定方法又分為恒定閾值檢測(cè)和自適應(yīng)閾值檢測(cè).恒定閾值檢測(cè)是由Maxion等人[1]提出，針對(duì)網(wǎng)絡(luò)流量的一些參數(shù)，如網(wǎng)絡(luò)利用率和數(shù)據(jù)包大小等給出正常流量參數(shù)閾值，然后進(jìn)行檢測(cè).這種方法的優(yōu)點(diǎn)是簡(jiǎn)單易用；但是需要豐富的技術(shù)經(jīng)驗(yàn).李中魁等人[2]針對(duì)靜態(tài)閾值方法存在的問(wèn)題，提出一種多點(diǎn)檢測(cè)異常統(tǒng)計(jì)量為基礎(chǔ)的自適應(yīng)閾值算法，該方法按照一定時(shí)間間隔對(duì)網(wǎng)絡(luò)流量進(jìn)行采樣，動(dòng)態(tài)地調(diào)整參數(shù)判定的閾值.這種方法可以利用現(xiàn)有成熟的統(tǒng)計(jì)理論，且可使用的流量種類多；但是這種方法閾值的邊界難以確定，同時(shí)對(duì)流量發(fā)生的次序以及內(nèi)在的聯(lián)系不敏感，容易遭到破解[2].2)基于數(shù)據(jù)挖掘的異常檢測(cè).基于數(shù)據(jù)挖掘的檢測(cè)方法則借助數(shù)據(jù)挖掘在特征提取上的優(yōu)勢(shì)，對(duì)網(wǎng)絡(luò)流量進(jìn)行處理，進(jìn)而得到流量模型以用于異常流量檢測(cè).目前常用的算法包括分類、關(guān)聯(lián)規(guī)則挖掘以及時(shí)間序列分析等.3)基于統(tǒng)計(jì)模型的異常檢測(cè).基于統(tǒng)計(jì)模型的檢測(cè)方法是從正常的流量數(shù)據(jù)中分析各種參數(shù)，并假設(shè)其滿足某種概率分布，然后進(jìn)行異常流量檢測(cè).Ward等人[3]提出，若時(shí)間足夠長(zhǎng)，流量序列中各參數(shù)過(guò)程服從正態(tài)分布，再調(diào)整觀測(cè)值界限之后即可對(duì)未知流量進(jìn)行檢測(cè).這類模型能夠自適應(yīng)地對(duì)用戶行為進(jìn)行建模，并獲得較高的準(zhǔn)確率；然而如果需要精確刻畫用戶現(xiàn)實(shí)中復(fù)雜的情況，則模型會(huì)非常復(fù)雜.4)基于自相似特征的異常檢測(cè).自相似性是指特征周期性地表現(xiàn)出相似性.Leland等人[4]首次提出互聯(lián)網(wǎng)流量在統(tǒng)計(jì)上是自相似的.在此基礎(chǔ)上，Cheng等人[5]結(jié)合小波分析與HHT的方法，設(shè)計(jì)了一種自相似參數(shù)估計(jì)算法.

2 背景原理與模型設(shè)計(jì)

2.1 時(shí)間序列分析原理

自回歸滑動(dòng)平均模型(ARMA)是研究時(shí)間序列的主要方法，是由自回歸模型(AR)和滑動(dòng)平均模型(MA)混合而成.但自回歸滑動(dòng)平均模型假設(shè)殘差服從同方差的假設(shè)，對(duì)于像網(wǎng)絡(luò)流量這類波動(dòng)性隨時(shí)間變動(dòng)的數(shù)據(jù)使用ARMA模型難以捕獲方差變動(dòng)的信息.而在對(duì)波動(dòng)性建模中，廣義自回歸條件異方差模型(GARCH)對(duì)時(shí)間序列中出現(xiàn)的波動(dòng)性變動(dòng)與爆發(fā)的特性具有較好的擬合能力，得到極大發(fā)展.ARMA(p,q)模型的一般形式為

(1)

其中，εt為時(shí)刻t的殘差，且εt～N(0,σ2)，c為常數(shù)，p,q為ARMA模型的階數(shù)，ai,bj為待估計(jì)的自回歸參數(shù)和滑動(dòng)平均參數(shù)[6].ARMA模型是最常用的時(shí)間序列模型之一，在逼近許多平穩(wěn)過(guò)程時(shí)表現(xiàn)出很強(qiáng)的適用性，同時(shí)對(duì)于數(shù)據(jù)的時(shí)間趨勢(shì)和周期特征可以對(duì)數(shù)據(jù)進(jìn)行差分，使其轉(zhuǎn)化為平穩(wěn)的時(shí)間序列數(shù)據(jù).ARMA模型適合波動(dòng)性小的非平穩(wěn)時(shí)間序列，很難捕獲外生變量對(duì)數(shù)據(jù)的影響.

某一時(shí)刻殘差服從正態(tài)分布，此正態(tài)分布的均值為0，方差是一個(gè)隨時(shí)間變化的量時(shí)稱為條件異方差.并且這個(gè)隨時(shí)間變化的方差是該時(shí)間點(diǎn)過(guò)去有限項(xiàng)噪聲值平方的線性組合時(shí)，稱為自回歸條件異方差模型(ARCH)，Bollerslev對(duì)ARCH模型的改進(jìn)而引進(jìn)了廣義自回歸條件異方差模型(GARCH)，GARCH(p,q)模型的結(jié)構(gòu)如下：

(2)

2.2 小波分析原理

小波分析是一種信號(hào)與信息處理的工具，是除傅里葉分析之外又一種時(shí)頻分析方法.小波分析具有多分辨特性和時(shí)域局部化特征，因此既可以對(duì)時(shí)域分析又可以對(duì)頻域分析，對(duì)處理非平穩(wěn)信號(hào)有很強(qiáng)的適用性.設(shè)函數(shù)Ψ為一平方可積函數(shù)，Ψ∈L2(R)，如果傅里葉變換滿足條件：

(3)

則稱Ψ是一個(gè)基小波.設(shè)f∈L2(R)，稱

(4)

(5)

式(5)中,dj,k=〈f(t),φj,k(t)〉稱為小波展開(kāi)系數(shù)，CJ,k=〈f(t),φJ(rèn),k(t)〉稱為尺度展開(kāi)系數(shù)[8].

2.3 模型構(gòu)建

網(wǎng)絡(luò)流量數(shù)據(jù)可以看作是一個(gè)時(shí)間序列數(shù)據(jù)，可以根據(jù)時(shí)間序列分析的方法對(duì)流量數(shù)據(jù)進(jìn)行檢測(cè)分析.

首先對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行時(shí)間序列的平穩(wěn)性檢驗(yàn)，并根據(jù)結(jié)果決定是否進(jìn)行差分.由于虛假回歸問(wèn)題，在我們進(jìn)行動(dòng)態(tài)回歸模型的擬合時(shí)，必須先對(duì)序列的平穩(wěn)性進(jìn)行檢驗(yàn)，只有當(dāng)序列通過(guò)平穩(wěn)性檢驗(yàn)時(shí)才能使用時(shí)間序列分析模型.檢驗(yàn)的方法主要有DF檢驗(yàn)、ADF檢驗(yàn)、PP檢驗(yàn)、協(xié)整檢驗(yàn)等[9].對(duì)銀聯(lián)網(wǎng)絡(luò)流量數(shù)據(jù)主要采用ADF檢驗(yàn)的方法，ADF檢驗(yàn)(augmented Dickey-Fuller)常用于對(duì)序列的自回歸過(guò)程進(jìn)行平穩(wěn)性檢驗(yàn)，對(duì)一個(gè)自回歸過(guò)程：

xt=φ1xt -1+…+φpxt -p+εt,

(6)

其特征方程為

λp-φ1λp-1-…-φp=0.

(7)

若特征方程的根都在單位圓內(nèi)，即

|λi|<1,i=1,2,…,p，

(8)

則說(shuō)明序列平穩(wěn).若有單位根存在則序列非平穩(wěn)，且可以推得自回歸系數(shù)之和為1，因此通過(guò)自回歸系數(shù)之后是否為1可以判斷序列的平穩(wěn)性.因此我們得到：

xt-xt -1=φ1xt -1+…+φpxt -p-xt -1+εt=

(φ2+…+φp)xt -1+φ1xt -1-xt -1-

(φ2+…+φp)xt -1+φ2xt -2+

(φ3+…+φp)xt -2-(φ3+…+φp)xt -2+

φ3xt -3+(φ4+…+φp)xt -3+…-

φpxt -p+1+φpxt -p+εt.

(9)

整理得：

(10)

其中：

ρ=φ1+φ2+…+φp-1,

(11)

βj=-φj+1-φj+2-…-φp,j=1,2,…,p-1.

(12)

如果序列平穩(wěn)，則ρ<0，若不平穩(wěn)，則ρ=0.則單位根檢驗(yàn)的假設(shè)條件為

H0:ρ=0(序列非平穩(wěn))?H1:ρ<0(序列平穩(wěn)).

構(gòu)造統(tǒng)計(jì)量：

(13)

其次根據(jù)網(wǎng)絡(luò)流量波動(dòng)性大的特征，我們采用小波變換分解與重構(gòu)的方法將網(wǎng)絡(luò)流量分為低頻項(xiàng)和高頻項(xiàng)，并對(duì)各個(gè)子序列建立ARMA模型，確定模型的參數(shù).

之后針對(duì)低頻項(xiàng)和高頻項(xiàng)進(jìn)行ARCH效應(yīng)檢驗(yàn)，根據(jù)檢驗(yàn)結(jié)果考慮是否建立ARMA-GARCH模型，具體為若不存在ARCH效應(yīng)，則保留已建立的ARMA模型，若存在ARCH效應(yīng)，則建立ARMA-GARCH模型.

對(duì)ARCH效應(yīng)進(jìn)行檢驗(yàn)是一種特殊的條件異方差檢驗(yàn)，其在要求序列具有異方差性的同時(shí)，需要異方差性是由某種自相關(guān)關(guān)系造成的，這種自相關(guān)關(guān)系可以由殘差序列的自回歸模型擬合得到.常用的ARCH效應(yīng)檢驗(yàn)的方法有PortmanteauQ檢驗(yàn)、LM檢驗(yàn)等[11].PortmanteauQ檢驗(yàn)的假設(shè)為

H0：殘差平方序列完全隨機(jī)(方差齊性)?H1：殘差平方序列自相關(guān)(方差非齊).

H0:ρ1=ρ2=…=ρq=0?H1:ρ1,ρ2,…,ρq不全為0.

對(duì)PortmanteauQ檢驗(yàn)統(tǒng)計(jì)量的構(gòu)造為

(14)

其中,n為序列長(zhǎng)度，ρi為殘差序列延遲i階自相關(guān)系數(shù):

(15)

最后考慮特定的業(yè)務(wù)情況.針對(duì)網(wǎng)絡(luò)流量業(yè)務(wù)上合理的激增時(shí)間點(diǎn)，加入激增項(xiàng).最終將各個(gè)序列建立的模型進(jìn)行線性疊加得到網(wǎng)絡(luò)流量預(yù)測(cè)模型，對(duì)未來(lái)的流量數(shù)據(jù)進(jìn)行預(yù)測(cè)，并根據(jù)制定的檢測(cè)基線對(duì)網(wǎng)絡(luò)流量異常進(jìn)行檢測(cè)并予以預(yù)警.

3 實(shí)證分析

選取2016-7—2017-10的銀聯(lián)網(wǎng)絡(luò)流量數(shù)據(jù)作為數(shù)據(jù)源，以2016-7—2017-6數(shù)據(jù)作為模型構(gòu)建，以2017-7—2017-10數(shù)據(jù)作為測(cè)試驗(yàn)證.

圖1 自相關(guān)圖

1) 首先對(duì)數(shù)據(jù)進(jìn)行ADF單位根檢驗(yàn)，檢驗(yàn)數(shù)據(jù)的平穩(wěn)性，檢驗(yàn)結(jié)果接受原假設(shè)，需要對(duì)數(shù)據(jù)進(jìn)行差分，二階差分后時(shí)間序列數(shù)據(jù)平穩(wěn).

2) 對(duì)網(wǎng)絡(luò)流量時(shí)間序列數(shù)據(jù)通過(guò)小波分析進(jìn)行分解與重構(gòu)，得到低頻序列和高頻序列[13].在對(duì)最優(yōu)小波基和分解尺度的選擇上，采用時(shí)頻緊支集和高正則性的Daubechies小波基函數(shù)[14]，確定尺度為3的分解并對(duì)單支進(jìn)行重構(gòu)，得到3個(gè)序列，包括1個(gè)低頻序列和2個(gè)高頻序列，低頻序列定義為L(zhǎng)1，表示網(wǎng)絡(luò)流量的趨勢(shì)項(xiàng)，高頻序列定義為H1,H2，表示網(wǎng)絡(luò)流量的周期性和隨機(jī)性.

3) 確定自相關(guān)和偏相關(guān)系數(shù).以高頻序列H1為例，由于自相關(guān)系數(shù)和偏相關(guān)系數(shù)具有拖尾效應(yīng)，考慮使用自回歸移動(dòng)平均過(guò)程ARMA模型.如圖1及圖2，回歸系數(shù)逐漸減小至0附近，為拖尾.根據(jù)ARMA(p,q)中參數(shù)的顯著性、極大似然估計(jì)、AIC準(zhǔn)則、SC準(zhǔn)則、殘差的白噪聲情況確定參數(shù)p=4，q=1.如圖1及圖2，自相關(guān)圖為4階拖尾，偏自相關(guān)圖為1階拖尾.

圖2 偏相關(guān)圖

yt=3.128yt -1-2.949yt -2-0.0193yt -3+

1.365yt -4+εt-2.479εt -1，

(16)

其中εt為殘差序列.之后對(duì)模型的顯著性和適應(yīng)性進(jìn)行檢驗(yàn)，得到AIC為-0.3921，SC為-0.3102，表明數(shù)據(jù)是適應(yīng)的.

4) ARCH效應(yīng)檢驗(yàn).對(duì)序列ARCH效應(yīng)檢驗(yàn)的方法是拉格朗日乘子法檢驗(yàn).如果序列存在低階ARCH效應(yīng)，則考慮構(gòu)建ARCH模型，如果序列存在高階ARCH效應(yīng)，則考慮構(gòu)建GARCH模型.對(duì)序列的殘差進(jìn)行ARCH-LM檢驗(yàn)，檢驗(yàn)結(jié)果如表1所示.ARMA(4,1)的殘差LM值為43.7973，相伴概率為0，小于顯著性水平，拒絕原假設(shè)ARCH效應(yīng)是顯著的.對(duì)H1序列進(jìn)行ARMA(4,1)-GARCH(1,1)建模.

表1 殘差的ARCH-LM檢驗(yàn)結(jié)果

5) 引入激增項(xiàng)B(t).根據(jù)銀聯(lián)網(wǎng)絡(luò)流量過(guò)往1年的歷史數(shù)據(jù)，發(fā)現(xiàn)在“活動(dòng)日”的流量有明顯的激增現(xiàn)象，比如銀聯(lián)“62活動(dòng)日”、“重陽(yáng)活動(dòng)日”以及“十一”黃金周和春節(jié)等.這類由于特定業(yè)務(wù)引起的流量激增現(xiàn)象無(wú)法通過(guò)時(shí)間序列模型擬合獲取，但可以通過(guò)對(duì)過(guò)往歷史數(shù)據(jù)的分析和業(yè)務(wù)場(chǎng)景的需要進(jìn)行擬合，為了最終預(yù)測(cè)模型的準(zhǔn)確性，我們通過(guò)在模型中引入激增項(xiàng)對(duì)該類突發(fā)的正常流量進(jìn)行捕獲.

6) 模型的建立.由于殘差序列存在ARCH效應(yīng)，采用GARCH進(jìn)行建模，對(duì)模型參數(shù)進(jìn)行擬合得到的結(jié)果如表2所示:

表2 ARMA-ARCH模型參數(shù)擬合結(jié)果[15]

由表2可知，所有參數(shù)的概率均小于0.05，說(shuō)明GARCH模型的參數(shù)擬合是顯著的.最終得到H1序列的ARMA(4,1)-GARCH(1,1)模型為

(17)

其中，εt為殘差，et是獨(dú)立同分布的標(biāo)準(zhǔn)正態(tài)分布隨機(jī)變量，ht為殘差的條件方差.

同理可以得到L1和H2序列的ARMA-GARCH模型.

對(duì)L1序列建立ARMA(2,3)-GARCH(1,1)模型，得到結(jié)果如下：

(18)

對(duì)H2序列建立ARMA(4,3)-ARCH(1)模型，得到結(jié)果如下：

(19)

因此，網(wǎng)絡(luò)流量模型為所有子序列模型的線性組合，具體公式如下：

Y(t)=L1(t)+H1(t)+H2(t)+B(t).

(20)

根據(jù)網(wǎng)絡(luò)流量模型預(yù)測(cè)的網(wǎng)絡(luò)流量和實(shí)際的流量序列圖如圖3、圖4所示：

圖3 實(shí)際流量時(shí)間序列

圖4 流量模型預(yù)測(cè)序列

為了更好地說(shuō)明通過(guò)小波的分解與重構(gòu)提高了GARCH模型的準(zhǔn)確性，我們選取了網(wǎng)絡(luò)流量預(yù)測(cè)研究成果中比較新并且結(jié)果較好的方法來(lái)進(jìn)行對(duì)比，再此額外構(gòu)建了不含有ARCH效應(yīng)的時(shí)間序列模型、沒(méi)有通過(guò)小波分析分解與重構(gòu)的ARMA-GARCH時(shí)間序列模型、結(jié)合小波分析與HHT的自相似特征預(yù)測(cè)模型.這幾種模型的對(duì)比結(jié)果如表3所示：

表3 不同預(yù)測(cè)模型結(jié)果比較 %

從結(jié)果可以看出，本文構(gòu)建的網(wǎng)絡(luò)流量模型對(duì)數(shù)據(jù)的預(yù)測(cè)更優(yōu)，估計(jì)的誤差值更小，更能反映原始數(shù)據(jù)的波動(dòng)情況，在此基礎(chǔ)上對(duì)網(wǎng)絡(luò)異常流量制定的基線閾值也更加準(zhǔn)確.

4 結(jié)束語(yǔ)

本文采用小波分析和時(shí)間序列分析對(duì)2016-7—2017-10的銀聯(lián)部分網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分析與預(yù)測(cè).首先對(duì)原始數(shù)據(jù)進(jìn)行分解與重構(gòu)，得到低頻項(xiàng)和高頻項(xiàng)，之后根據(jù)具體業(yè)務(wù)場(chǎng)景引入激增項(xiàng)，再將所有低頻項(xiàng)和高頻項(xiàng)依據(jù)各自特征用帶有ARCH效應(yīng)的時(shí)間序列模型進(jìn)行建模，最終將各項(xiàng)進(jìn)行組合，得到網(wǎng)絡(luò)流量預(yù)測(cè)模型.通過(guò)與傳統(tǒng)模型和實(shí)際數(shù)據(jù)進(jìn)行對(duì)比，發(fā)現(xiàn)模型是有效并且準(zhǔn)確的，為根據(jù)預(yù)測(cè)模型建立流量基線閾值提供了良好基礎(chǔ).

[1]Maxion R A, Feather F E. A case study of ethernet anomalies in a distributed computing environment. Reliability[J]. IEEE Trans on Reliability, 1990, 39(4), 433-443

[2]李中魁. 基于動(dòng)態(tài)閾值的網(wǎng)絡(luò)流量異常檢測(cè)方法研究與實(shí)現(xiàn)[D]. 成都: 電子科技大學(xué), 2010

[3]Ward A, Glynn P, Richardson K. Internet service performance failure detection[J]. Performance Evaluation Review, 1998, 26(3): 38-44

[4]Leland W E, Taqqu M S, Willinger W, et al. On the self-similar nature of Ethernet traffic[C] //Proc of ACM SIGCOMM Computer Communication Review. New York: ACM, 1993: 183-193

[5]Cheng X, Xie K, Wang D. Network traffic anomaly detection based on self-similarity using HHT and wavelet transform[C] //Proc of the 5th IEEE Int Conf on Information Assurance and Security (IAS’09). Piscataway, NJ: IEEE, 2009: 710-713

[6]王沁. 時(shí)間序列分析及其應(yīng)用[M]. 成都: 西南交通大學(xué)出版社, 2008

[7]崔錦泰, 程正興. 小波分析導(dǎo)論[M]. 西安: 西安交通大學(xué)出版社, 1995

[8]向杰, 程昌明, 張軼. 小波分析在時(shí)間序列中的分析應(yīng)用[J]. 節(jié)水灌溉, 2013 (12): 15-17

[9]王振龍, 胡永宏. 應(yīng)用時(shí)間序列分析[M]. 北京: 科學(xué)出版社, 2007

[10]潘貴豪, 胡乃聯(lián), 劉煥中, 等. 基于ARMA-GARCH模型的黃金價(jià)格實(shí)證分析[J]. 黃金, 2010, 31(1): 5-8

[11]肖云湘, 李星野. 基于小波的回歸-GARCH模型及其在外匯儲(chǔ)備中的應(yīng)用[J]. 上海理工大學(xué)學(xué)報(bào), 2015 (1): 18-22

[12]吳淑萍, 樊穎, 楊贊. 利率政策對(duì)房?jī)r(jià)的“非對(duì)稱性”影響路徑——基于小波分析和GARCH模型的研究[J]. 上海金融, 2017 (2): 3-10

[13]余健, 郭平. 基于改進(jìn)小波神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量預(yù)測(cè)研究[J]. 計(jì)算機(jī)應(yīng)用, 2007, 27(12): 2986-2988

[14]Aurea Gran, Helena Veiga. Wavelet-based detection of outliers in financial timeseries[J]. Computational Statistics and Data Analysis, 2010, 54(11): 2580-2593

[15]張永山. 基于小波多分辨率GARCH模型的匯率去噪預(yù)測(cè)[J]. 統(tǒng)計(jì)與決策, 2017 (12): 161-164