结合云计算和用户行为分析的流量检测方法及大数据中心技术

本说明书公开的结合云计算和用户行为分析的流量检测方法及大数据中心，首先按照确定出的当前时段的流量检测持续时长获取业务端设备上传的实时数据流量并提取业务端设备在生成实时数据流量时的实时用户行为数据，其次按照设备运行日志对实时用户行为数据进行分析得到用户行为分析结果并生成业务端设备从上一时段到当前时段的用户行为变化曲线，最后将绘制得到的实时流量曲线映射到用户行为变化曲线所在的坐标平面中得到流量映射曲线，根据流量映射曲线和用户行为变化曲线检测业务端设备在当前时段内是否存在异常流量。如此，能够以用户行为数据为基准进行流量检测，提高流量检测的准确性和可靠性，避免将业务端设备的正常流量误判为异常流量。

【技术实现步骤摘要】
结合云计算和用户行为分析的流量检测方法及大数据中心
本申请涉及云计算和网络通信
，尤其涉及结合云计算和用户行为分析的流量检测方法及大数据中心。
技术介绍
网络通信的发展为现代社会的生产生活提供便利的同时也带来了些许风险。例如，恶意流量入侵是导致数据服务器崩溃主要原因之一，由此引发的一些列网络通信事故是不可忽视的。因此，如何对恶意流量进行检测并进行流量拦截是确保数据服务器安全可靠运行的关键。然而常见的流量检测方法往往容易将正常流量误判为恶意流量。
技术实现思路
本说明书提供了一种结合云计算和用户行为分析的流量检测方法及大数据中心，以解决或者部分解决常见的流量检测方法往往容易将正常流量误判为恶意流量的技术问题。第一方面地，用以提供一种结合云计算和用户行为分析的流量检测方法，所述方法包括：根据在上一时段对业务端设备进行流量检测的检测结果确定当前时段的流量检测持续时长，按照所述流量检测持续时长启动对所述业务端设备的流量检测，获取所述业务端设备上传的实时数据流量并提取所述业务端设备在生成所述实时数据流量时的实时用户行为数据；按照预存的与所述业务端设备对应的设备运行日志，对所述实时用户行为数据进行分析，得到用户行为分析结果；基于所述用户行为分析结果生成所述业务端设备从上一时段到当前时段的用户行为变化曲线；按照设定时间步长提取所述实时数据流量在当前时段的每个时间节点上的流量值并绘制实时流量曲线，将所述实时流量曲线映射到所述用户行为变化曲线所在的坐标平面中得到流量映射曲线；根据所述流量映射曲线和所述用户行为变化曲线检测所述业务端设备在当前时段内是否存在异常流量。在第一方面的一个可以实现的实施例中，根据所述流量映射曲线和所述用户行为变化曲线检测所述业务端设备在当前时段内是否存在异常流量，包括：提取所述流量映射曲线的第一曲线描述数据以及所述用户行为变化曲线的第二曲线描述数据；其中，所述第一曲线描述数据用于表征所述流量映射曲线的曲线特征，所述第二曲线描述数据用于表征所述用户行为变化曲线的曲线特征，所述第一曲线描述数据中包括多个流量波动性系数，所述第二曲线描述数据中包括与所述流量波动性系数的数量相同的多个用户行为标签；确定与每个流量波动性系数对应的用户行为标签的行为风险系数并计算每个流量波动性系数与其对应的行为风险系数之间的时序相关性权重；根据与每个流量波动性系数对应的用户行为标签的标签特征值确定每个流量波动性系数对应的时间节点的第一网络环境参数以及对应的用户行为标签在该时间节点上的第二网络环境参数；基于每个第一网络环境参数及其对应的第二网络环境参数确定每个时间节点上的网络环境扰动率；通过所述网络环境扰动率生成用于对所述时序相关性权重进行判断的权重区间；判断每个时序相关性权重是否位于其对应的权重区间内；在所述时序相关性权重位于其对应的权重区间内时，判断所述时序相关性权重对应的时间节点的实时流量值是否超过第一设定流量值，在所述时序相关性权重对应的时间节点的实时流量值超过所述第一设定流量值时判定所述业务端设备在当前时段内存在异常流量，在所述时序相关性权重对应的时间节点的实时流量值未超过所述第一设定流量值时判定所述业务端设备在当前时段内不存在异常流量；在所述时序相关性权重没有位于其对应的权重区间内时，判断所述时序相关性权重对应的时间节点的实时流量值是否超过第二设定流量值，在所述时序相关性权重对应的时间节点的实时流量值超过所述第二设定流量值时判定所述业务端设备在当前时段内存在异常流量，在所述时序相关性权重对应的时间节点的实时流量值未超过所述第二设定流量值时判定所述业务端设备在当前时段内不存在异常流量；其中，所述第一设定流量值大于所述第二设定流量值。在第一方面的一个可以实现的实施例中，若判定所述业务端设备在当前时段内存在异常流量，所述方法还包括：确定所述业务端设备对应的设备标识；根据所述设备标识生成用于拦截所述业务端设备上传的数据流量的拦截机制并激活所述拦截机制。在第一方面的一个可以实现的实施例中，按照设定时间步长提取所述实时数据流量在当前时段的每个时间节点上的流量值并绘制实时流量曲线，包括：按照所述设定时间步长依次提取所述实时数据流量在当前时段的每个时间节点上的流量值以及该流量值的流量指向信息，根据所述流量指向信息确定每个时间节点上的流量值所对应的关联流量区间，并从所述关联流量区间中筛分出与该流量值对应的流量区间相连续的第一流量区间以及与该流量值对应的流量区间之间存在间隔的第二流量区间；按照所述第一流量区间对应的第一时序相对系数以及所述第二流量区间对应的第二时序相对系数确定每个时间节点对应的流量值的曲线节点修正系数；将每个时间节点对应的流量值进行拟合得到初始流量曲线；按照所述时间节点的先后顺序依次采用每个曲线节点修正系数对所述初始流量曲线上与每个曲线节点修正系数对应的流量值进行修正，在每次对流量值进行修正的过程中并行地对当前曲线节点修正系数之后的至少两个曲线节点修正系数进行加权，直至对倒数第三个曲线节点修正系数对应的流量值进行修正；通过修正之后的流量值对所述初始流量曲线进行校正以得到所述实时流量曲线。在第一方面的一个可以实现的实施例中，将所述实时流量曲线映射到所述用户行为变化曲线所在的坐标平面中得到流量映射曲线，包括：提取所述实时流量曲线对应的第一曲线特征集合以及所述用户行为变化曲线对应的第二曲线特征集合，根据所述第一曲线特征集合以及所述第二曲线特征集合判断所述实时流量曲线的第一特征维度和所述用户行为变化曲线的第二特征维度是否相同；在所述第一特征维度和所述第二特征维度不相同时，以所述第二特征维度的基准对所述第一曲线特征集合进行特征重构以使重构之后的第一曲线特征集合对应的第一目标特征维度与所述第二特征维度相同；在所述第一特征维度与所述第二特征维度相同时，基于所述第一特征维度或所述第二特征维度对预设特征聚类模型的模型参数进行调整，将特征重构之后的第一曲线特征集合以及所述第二曲线特征集合输入到所述预设特征聚类模型，得到所述预设特征聚类模型输出的与特征重构之后的第一曲线特征集合对应的第一特征聚类分布图以及与所述第二曲线特征集合对应的第二特征聚类分布图；从所述第一特征聚类分布图中确定出任意一个子图对应的图数据描述信息，将所述图数据描述信息映射到所述第二特征聚类分布图中以得到所述图数据描述信息对应的映射描述信息；计算所述映射描述信息与所述图数据描述信息之间的信息匹配度，在所述信息匹配度低于预设匹配度时从所述第一特征聚类分布图中确定出除前面的子图之外的任意一个子图对应的图数据描述信息并将该图数据描述信息映射到所述第二特征聚类分布图中以得到所述图数据描述信息对应的映射描述信息，直至计算得到的信息匹配度大于等于所述预设匹配度，并确定计算得到的信息匹配度大于等于所述预设匹配度时所述实时流量曲线与所述用户行为变化曲线之间的映射路径；按照所述映射路径将所述实时流量曲线中的每个曲线节点映射到所述用户行为变化本文档来自技高网...

【技术保护点】
1.一种结合云计算和用户行为分析的流量检测方法，其特征在于，所述方法包括：/n根据在上一时段对业务端设备进行流量检测的检测结果确定当前时段的流量检测持续时长，按照所述流量检测持续时长启动对所述业务端设备的流量检测，获取所述业务端设备上传的实时数据流量并提取所述业务端设备在生成所述实时数据流量时的实时用户行为数据；/n按照预存的与所述业务端设备对应的设备运行日志，对所述实时用户行为数据进行分析，得到用户行为分析结果；基于所述用户行为分析结果生成所述业务端设备从上一时段到当前时段的用户行为变化曲线；/n按照设定时间步长提取所述实时数据流量在当前时段的每个时间节点上的流量值并绘制实时流量曲线，将所述实时流量曲线映射到所述用户行为变化曲线所在的坐标平面中得到流量映射曲线；根据所述流量映射曲线和所述用户行为变化曲线检测所述业务端设备在当前时段内是否存在异常流量；/n其中，基于所述用户行为分析结果生成所述业务端设备从上一时段到当前时段的用户行为变化曲线，包括：/n确定基于所述用户行为分析结果所查询到的设备状态数据集；针对所述设备状态数据集中的当前设备状态数据，基于当前设备状态数据在上一时段内的第一状态变化轨迹以及所述设备状态数据集中除所述当前设备状态数据之外的其他设备状态数据在当前时段内的第二状态变化轨迹，确定当前设备状态数据在所述上一时段内的状态变化置信度；/n根据当前设备状态数据在所述上一时段内的状态变化置信度以及在所述当前时段内的状态变化置信度确定当前设备状态数据在所述上一时段和所述当前时段之间的用户行为更新信息；/n基于所述用户行为更新信息生成所述业务端设备从上一时段到当前时段的用户行为变化曲线。/n...

【技术特征摘要】
1.一种结合云计算和用户行为分析的流量检测方法，其特征在于，所述方法包括：
根据在上一时段对业务端设备进行流量检测的检测结果确定当前时段的流量检测持续时长，按照所述流量检测持续时长启动对所述业务端设备的流量检测，获取所述业务端设备上传的实时数据流量并提取所述业务端设备在生成所述实时数据流量时的实时用户行为数据；
按照预存的与所述业务端设备对应的设备运行日志，对所述实时用户行为数据进行分析，得到用户行为分析结果；基于所述用户行为分析结果生成所述业务端设备从上一时段到当前时段的用户行为变化曲线；
按照设定时间步长提取所述实时数据流量在当前时段的每个时间节点上的流量值并绘制实时流量曲线，将所述实时流量曲线映射到所述用户行为变化曲线所在的坐标平面中得到流量映射曲线；根据所述流量映射曲线和所述用户行为变化曲线检测所述业务端设备在当前时段内是否存在异常流量；
其中，基于所述用户行为分析结果生成所述业务端设备从上一时段到当前时段的用户行为变化曲线，包括：
确定基于所述用户行为分析结果所查询到的设备状态数据集；针对所述设备状态数据集中的当前设备状态数据，基于当前设备状态数据在上一时段内的第一状态变化轨迹以及所述设备状态数据集中除所述当前设备状态数据之外的其他设备状态数据在当前时段内的第二状态变化轨迹，确定当前设备状态数据在所述上一时段内的状态变化置信度；
根据当前设备状态数据在所述上一时段内的状态变化置信度以及在所述当前时段内的状态变化置信度确定当前设备状态数据在所述上一时段和所述当前时段之间的用户行为更新信息；
基于所述用户行为更新信息生成所述业务端设备从上一时段到当前时段的用户行为变化曲线。


2.如权利要求1所述的方法，其特征在于，根据所述流量映射曲线和所述用户行为变化曲线检测所述业务端设备在当前时段内是否存在异常流量，包括：
提取所述流量映射曲线的第一曲线描述数据以及所述用户行为变化曲线的第二曲线描述数据；其中，所述第一曲线描述数据用于表征所述流量映射曲线的曲线特征，所述第二曲线描述数据用于表征所述用户行为变化曲线的曲线特征，所述第一曲线描述数据中包括多个流量波动性系数，所述第二曲线描述数据中包括与所述流量波动性系数的数量相同的多个用户行为标签；
确定与每个流量波动性系数对应的用户行为标签的行为风险系数并计算每个流量波动性系数与其对应的行为风险系数之间的时序相关性权重；根据与每个流量波动性系数对应的用户行为标签的标签特征值确定每个流量波动性系数对应的时间节点的第一网络环境参数以及对应的用户行为标签在该时间节点上的第二网络环境参数；
基于每个第一网络环境参数及其对应的第二网络环境参数确定每个时间节点上的网络环境扰动率；通过所述网络环境扰动率生成用于对所述时序相关性权重进行判断的权重区间；
判断每个时序相关性权重是否位于其对应的权重区间内；在所述时序相关性权重位于其对应的权重区间内时，判断所述时序相关性权重对应的时间节点的实时流量值是否超过第一设定流量值，在所述时序相关性权重对应的时间节点的实时流量值超过所述第一设定流量值时判定所述业务端设备在当前时段内存在异常流量，在所述时序相关性权重对应的时间节点的实时流量值未超过所述第一设定流量值时判定所述业务端设备在当前时段内不存在异常流量；在所述时序相关性权重没有位于其对应的权重区间内时，判断所述时序相关性权重对应的时间节点的实时流量值是否超过第二设定流量值，在所述时序相关性权重对应的时间节点的实时流量值超过所述第二设定流量值时判定所述业务端设备在当前时段内存在异常流量，在所述时序相关性权重对应的时间节点的实时流量值未超过所述第二设定流量值时判定所述业务端设备在当前时段内不存在异常流量；其中，所述第一设定流量值大于所述第二设定流量值。


3.如权利要求2所述的方法，其特征在于，若判定所述业务端设备在当前时段内存在异常流量，所述方法还包括：
确定所述业务端设备对应的设备标识；
根据所述设备标识生成用于拦截所述业务端设备上传的数据流量的拦截机制并激活所述拦截机制。


4.如权利要求1-3任一项所述的方法，其特征在于，按照设定时间步长提取所述实时数据流量在当前时段的每个时间节点上的流量值并绘制实时流量曲线，包括：
按照所述设定时间步长依次提取所述实时数据流量在当前时段的每个时间节点上的流量值以及该流量值的流量指向信息，根据所述流量指向信息确定每个时间节点上的流量值所对应的关联流量区间，并从所述关联流量区间中筛分出与该流量值对应的流量区间相连续的第一流量区间以及与该流量值对应的流量区间之间存在间隔的第二流量区间；
按照所述第一流量区间对应的第一时序相对系数以及所述第二流量区间对应的第二时序相对系数确定每个时间节点对应的流量值的曲线节点修正系数；
将每个时间节点对应的流量值进行拟合得到初始流量曲线；按照所述时间...

【专利技术属性】
技术研发人员：黄天红，
申请(专利权)人：黄天红，
类型：发明
国别省市：云南;53