网络异常流量检测方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术实施例提供的网络异常流量检测方法、装置、电子设备及存储介质，该方法包括：从网络流量信息中获取网络流量特征信息；根据特征空间划分曲面对所述网络流量特征信息进行识别，得到网络异常流量监测结果；其中，所述特征空间划分曲面是在目标子空间中应用无监督聚类算法对网络流量基准样例集进行建模得到的。通过对流量基准样例集选择聚类性最强的目标子空间，然后在目标子空间中应用无监督聚类算法对基准流量进行建模，确定特征空间划分曲面，从而网络异常流量检测，本发明专利技术实施例基于无监督机器学习聚类算法，无需流量特征的人工标注。同时该方法应用子空间聚类技术，实现了网络特征维度的自动发现。网络特征维度的自动发现。网络特征维度的自动发现。

【技术实现步骤摘要】
网络异常流量检测方法、装置、电子设备及存储介质


[0001]本专利技术涉及信息处理
，尤其涉及网络异常流量检测方法、装置、电子设备及存储介质。

技术介绍

[0002]随近年机器学习技术的快速发展和计算机系统性能/算力的不断增长，机器学习方法逐渐应用到网络异常流量检测任务上，并成为主流技术。
[0003]网络异常流量检测的机器学习方法首先以应用层会话、固定时间间隔、网络Burst间隔等统计单元对网络流量进行多种特征，例如网络包大小、包时间间隔的数值统计。被统计的这些特征构成网络流量特征空间，其中每种特征为空间中一个特征维度，而一个统计单元拥有所有特征维度的确定值，成为特征空间中的一个点。机器学习方法使用网络流量样例集训练机器学习模型以实现模型对于流量样例的分类检测。
[0004]但是现有技术中，基于机器学习技术的网络流量异常检测方法仍然需要经验技术人员手工设置标签，耗时且成本较高，当需要应对新网络应用协议或预确定的网络应用协议流量特性随时间演化后，异常流量检测系统可能失效。
[0005]因此，如何更有效的进行网络异常流程检测已经成为业界亟待解决的问题。

技术实现思路

[0006]本专利技术实施例提供一种网络异常流量检测方法及装置，用以解决上述
技术介绍
中提出的技术问题，或至少部分解决上述
技术介绍
中提出的技术问题。
[0007]第一方面，本专利技术实施例提供一种网络异常流量检测方法，包括：
[0008]从网络流量信息中获取网络流量特征信息；
[0009]根据特征空间划分曲面对所述网络流量特征信息进行识别，得到网络异常流量监测结果；
[0010]其中，所述特征空间划分曲面是在目标子空间中应用无监督聚类算法对网络流量基准样例集进行建模得到的。
[0011]更具体的，在所述根据特征空间划分曲面对所述网络流量特征信息进行识别，得到网络异常流量监测结果的步骤之前，所述方法还包括：
[0012]在预定义特征维度的特征空间中对网络流量基准样例集由低维子空间逐维度向高维子空间构建空间网格，以进行子空间密度聚类，并以密度判定规则筛选每个子空间上的所有密度网格包含的基准样例点总数，得到聚类性指标信息；
[0013]根据所述聚类性指标信息确定聚类性最强的子空间，得到目标子空间。
[0014]更具体的，在所述根据所述聚类性指标信息确定聚类性最强的子空间，得到目标子空间的步骤之后，所述方法还包括：
[0015]在所述目标子空间中，应用无监督类算法，对网络流量基准样例进行建模，得到特征空间划分曲面。
[0016]更具体的，当所述无监督类算法为CLIQUE算法时，相应地，在所述目标子空间中，应用无监督类算法，对网络流量基准样例进行建模，得到特征空间划分曲面的步骤，具体包括：
[0017]采用CLIQUE算法的析取范式(Disjunctive Normal Form；DNF)输出流程，将所述目标子空间中的所有密度网格合并为超立方体集合；
[0018]将所述超立方体集合作为特征空间划分曲面。
[0019]更具体的，当所述无监督类算法为K-means算法时，相应地，在所述目标子空间中，应用无监督类算法，对网络流量基准样例进行建模，得到特征空间划分曲面的步骤，具体包括：
[0020]根据预设聚类数量，通过K-means算法对网络流量基准样例进行聚类；
[0021]计算每个聚类类别包含的所有样本网络流量样例点与各个聚类类别中心的欧氏距离；
[0022]将所有样本网络流量样例点与各个聚类类别中心的欧氏距离按照大小排序，然后按照预设排序信息得到特征空间划分曲面。
[0023]更具体的，当所述无监督类算法为DBSCAN算法时，相应地，在所述目标子空间中，应用无监督类算法，对网络流量基准样例进行建模，得到特征空间划分曲面的步骤，具体包括：
[0024]在所述目标子空间中，以网络流量基准样例中的任意密度点为起始，查找所述密度点的预设空间半径内的临近点，若所述临近点也为密度点，则在所述临近点的预设空间半径区域内递归查找临近点，扩展样例点集形成密度聚类，直至遍历所述目标子空间中所有样例点，得到各个聚类点集；
[0025]为每一个聚类点集中的样例点分配聚类类别信息，将不属于任何一个聚类点集的样例点标注为无类别信息；
[0026]根据所述聚类类别信息和所述无类别信息得到特征空间划分曲面；
[0027]其中，所述密度点是指样本网络流量样例点为中心的预设空间半径内的其它样本网络流量样例点数量超过预设密度阈值的样例点。
[0028]第二方面，本专利技术实施例提供一种网络异常流量检测装置，包括：
[0029]获取模块，用于从网络流量信息中获取网络流量特征信息；
[0030]检测模块，用于根据特征空间划分曲面对所述网络流量特征信息进行识别，得到网络异常流量监测结果；
[0031]其中，所述特征空间划分曲面是在目标子空间中应用无监督聚类算法对流量基准样例集进行建模得到的。
[0032]第三方面，本专利技术实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述网络异常流量检测方法的步骤。
[0033]第四方面，本专利技术实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述网络异常流量检测方法的步骤。
[0034]本专利技术实施例提供的网络异常流量检测方法、装置、电子设备及存储介质，通过对
流量基准样例集应用子空间聚类检索算法依据算法输出的子维度空间聚类性指标选择聚类性最强的目标子空间，然后在目标子空间中应用无监督聚类算法对基准流量进行建模，确定特征空间划分曲面，从而网络异常流量检测，本专利技术实施例基于无监督机器学习聚类算法，无需流量特征的人工标注。同时该方法应用子空间聚类技术，实现了网络特征维度的自动发现。
附图说明
[0035]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0036]图1为本专利技术一实施例中所描述的网络异常流量检测方法流程示意图；
[0037]图2为本专利技术一实施例所描述的实时网络流量检测示意图；
[0038]图3为本专利技术一实施例所描网络异常流量检测装置示意图；
[0039]图4为本专利技术一实施例所描述的电子设备结构示意图。
具体实施方式
[0040]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络异常流量检测方法，其特征在于，包括：从网络流量信息中获取网络流量特征信息；根据特征空间划分曲面对所述网络流量特征信息进行识别，得到网络异常流量监测结果；其中，所述特征空间划分曲面是在目标子空间中应用无监督聚类算法对网络流量基准样例集进行建模得到的。2.根据权利要求1所述网络异常流量检测方法，其特征在于，在所述根据特征空间划分曲面对所述网络流量特征信息进行识别，得到网络异常流量监测结果的步骤之前，所述方法还包括：在预定义特征维度的特征空间中对网络流量基准样例集由低维子空间逐维度向高维子空间构建空间网格，以进行子空间密度聚类，并以密度判定规则筛选每个子空间上的所有密度网格包含的基准样例点总数，得到聚类性指标信息；根据所述聚类性指标信息确定聚类性最强的子空间，得到目标子空间。3.根据权利要求2所述网络异常流量检测方法，其特征在于，在所述根据所述聚类性指标信息确定聚类性最强的子空间，得到目标子空间的步骤之后，所述方法还包括：在所述目标子空间中，应用无监督类算法，对网络流量基准样例进行建模，得到特征空间划分曲面。4.根据权利要求3所述网络异常流量检测方法，其特征在于，当所述无监督类算法为CLIQUE算法时，相应地，在所述目标子空间中，应用无监督类算法，对网络流量基准样例进行建模，得到特征空间划分曲面的步骤，具体包括：采用CLIQUE算法的析取范式(Disjunctive Normal Form；DNF)输出流程，将所述目标子空间中的所有密度网格合并为超立方体集合；将所述超立方体集合作为特征空间划分曲面。5.根据权利要求3所述网络异常流量检测方法，其特征在于，当所述无监督类算法为K-means算法时，相应地，在所述目标子空间中，应用无监督类算法，对网络流量基准样例进行建模，得到特征空间划分曲面的步骤，具体包括：根据预设聚类数量，通过K-means算法对网...

【专利技术属性】
技术研发人员：赵述芳，张坤，李鼎权，严仑，
申请(专利权)人：北京中科网威信息技术有限公司，
类型：发明
国别省市：