一种网络异常检测方法及装置制造方法及图纸

本申请实施例提供一种网络异常检测方法，涉及互联网领域，能够提高网络异常检测的准确率。该方法包括：首先，获取至少一个标注样本集合，该标注样本集合是基于测试样本集合的标注反馈信息对该测试样本集合进行标注后的样本集合；该标注反馈信息用于指示测试样本集合对应的多个网络设备是正常状态或异常状态，和/或指示测试样本集合中的多个网络设备的KPI数据是正常状态或异常状态；然后，根据该至少一个标注样本集合，确定增量样本集合；最后，基于该增量样本集合，更新网络异常检测模型；其中，网络异常检测模型用于对测试样本集合中的多个网络设备的KPI数据进行检测，以确定该多个网络设备的KPI数据的状态。网络设备的KPI数据的状态。网络设备的KPI数据的状态。

【技术实现步骤摘要】
一种网络异常检测方法及装置


[0001]本申请实施例涉及计算机
，尤其涉及一种网络异常检测方法及装置。

技术介绍

[0002]在通信网络中，通过对网络中的网络设备(例如路由器、交换机等)进行异常检测，可以发现网络中的静默故障，并及时地处理故障，从而降低故障影响。
[0003]目前，常用的网络异常检测方法是：基于监督学习分类算法对训练数据集D1进行训练得到分类模型M1；然后，利用该分类模型M1对网络流量数据(即测试数据集)进行异常检测，得到该测试数据集的测试结果，称为带标签的测试数据集D2；进一步的，利用半监督学习方法，例如改进的K近邻(knearest neighbors，KNN)算法，对带标签的测试数据集D2进行重新标记得到新的带标签的测试数据集D3；然后，将重新标记前的带标签的测试数据集D2和带标签的测试数据集D3进行对比，对不一致的标签进行修正，将修正后的带标签的测试数据集作为新的样本加入训练数据集D1中，最后，对更新后的训练数据集进行训练得到分类模型M2；进而对比分类模型M1与分类模型M2的分类精度，若分类模型M2的分类精度高于分类模型M1，则用分类模型M2替代分类模型M1。
[0004]上述网络异常检测方法中，基于半监督学习的KNN算法中，训练样本集中的带标签的部分样本是通过人工标注的，采用该方法进行网络异常检测的效率较低；此外，上述方法中将修正后的带标签的测试数据集加入训练数据集继续训练分类模型，以此往复随着时间的增加，训练数据集中的样本量越来越大，若选取训练数据集中的部分样本用于训练分类模型，由于部分样本不具有客观性，使得训练的分类模型不能达到最优，从而导致异常检测的准确率降低。

技术实现思路

[0005]本申请实施例提供一种网络异常检测方法及装置，能够提高网络异常检测的准确率。
[0006]为达到上述目的，本申请实施例采用如下技术方案：
[0007]第一方面，本申请实施例提供一种网络异常检测方法，该方法包括：获取至少一个标注样本集合，该标注样本集合是基于测试样本集合的标注反馈信息对测试样本集合进行标注后的样本集合；上述标注反馈信息用于指示测试样本集合对应的多个网络设备是正常状态或异常状态，和/或指示测试样本集合中的多个网络设备的KPI数据是正常状态或异常状态；根据上述至少一个标注样本集合，确定增量样本集合；基于该增量样本集合，更新网络异常检测模型；其中，网络异常检测模型用于对测试样本集合中的多个网络设备的KPI数据进行检测，以确定该多个网络设备的KPI数据的状态。
[0008]本申请实施例中，可以根据获取的多个标注样本集合，确定出增量样本集合，再基于该增量样本集合，更新网络异常检测模型，由于本申请实施例中是基于增量样本集合更新网络异常检测模型的，所以更新后的网络异常检测模型可以不断地自适应网络设备的
KPI数据的变化，因此，该更新后的网络异常检测模型的适用性更高，采用该网络异常检测模型进行检测网络异常检测的准确率更高。
[0009]一种可能的实现方式中，上述测试样本集合的标注反馈信息包括粗粒度的标注反馈信息和/或细粒度的标注反馈信息；其中，粗粒度的标注反馈信息用于指示该测试样本集合对应的多个网络设备是正常状态或异常状态，粗粒度的标注反馈信息是基于网络设备的时延、丢包率或有效时间中的至少一种对网络设备进行标注得到；上述细粒度的标注反馈信息用于指示上述测试样本集合中的多个网络设备的KPI数据是正常状态或异常状态，该细粒度的反馈信息是基于人工和/或网络异常检测模型对网络设备的KPI数据进行标注得到的。
[0010]一种可能的实现方式中，上述测试样本集合的标注反馈信息包括N种标注反馈信息，该N种标注反馈信息包括X种粗粒度的标注反馈信息和Y种细粒度的标注反馈信息；其中，N种标注反馈信息中的每一种标注反馈信息对应一个标注样本集合，N为大于或等于2的正整数，X+Y＝N，X为大于或等于0的正整数，Y为大于或等于1的整数；根据所述至少一个标注样本集合，确定增量样本集合，包括：确定第一样本集合，第一样本集合为N个标注样本集合的交集；确定Y个第二样本集合，Y个第二样本集合中的第i个第二样本集合是按照采样频率w
i
对第i个第三样本集合进行采样得到；其中，该第i个第三样本集合是上述Y种细粒度的标注反馈信息对应的Y个标注样本集合中的第i个标注样本集合与第一样本集合的差集；将上述第一样本集合和上述Y个第二样本集合的并集确定为增量样本集合。
[0011]可以理解的是，粗粒度的标注反馈信息不能对指定的KPI数据进行标注，但粗粒度的标注反馈信息对应的标注结果的准确度较高，能够反映表象网络状态；细粒度的标注反馈信息可以对具体的KPI数据进行标注，但不能反映表象网络状态，可能会存在一定程度的错误标注。在本申请实施例中，可以将粗粒度的标注反馈信息和细粒度的标注反馈信息进行融合(或结合)，得到标注准确率较高的增量样本集合，如此，对该增量样本集合进行训练，可以得到准确率更高的网络异常检测模型(即较优的模型或高质量的模型)。
[0012]一种可能的实现方式中，基于上述增量样本集合，更新网络异常检测模型，包括：对增量样本集合进行特征提取，得到该增量样本集合的特征集合，该增量样本集合的特征集合中包括下述特征中的至少一种：KPI数据的均值、方差、极值、熵、差分值、变化比例；基于上述增量样本集合的特征集合，采用增量训练算法，对网络异常检测模型进行训练，得到更新后的网络异常检测模型；其中，增量训练算法包括下述任一种：增量树算法、支持向量机算法、卷积神经网络算法。
[0013]一种可能的实现方式中，上述在基于增量样本集合，更新网络异常检测模型之前，该方法还包括：对所述增量样本集合做样本均衡处理，使所述增量样本集合中正样本和负样本的比例达到预定比例；负样本是KPI数据为异常状态的样本，正样本是KPI数据为正常状态的样本。
[0014]本申请实施例中，通常，由于网络中的网络设备发生故障次数较少，因此，负样本的数量较少，那么增量样本集合中正样本的比例和负样本的比例相差较大，采用这样的增量样本集合训练的网络异常检测模型的质量不高，即误检率较高。在这种情况下，可以通过样本均衡的方法，增加增量样本集合中负样本的比例。
[0015]一种可能的实现方式中，上述方法还包括：根据用户对更新后的网络异常检测模
型的评价信息，调整第三样本集合的采样频率。
[0016]在一种情况下，第三样本集合对应单一源细粒度的标注样本集合，且该单一源细粒度的标注样本集合为人工标注样本集合(通过人工标注得到的标注样本集合为人工标注样本集合)时，若对该网络异常检测模型的打分低于预定分数，则增加该第三样本集合的采样频率。
[0017]在另一种情况下，第三样本集合对应单一源细粒度的标注样本集合，且该单一源细粒度的标注样本集合为模型标注样本集合(通过模型标注得到的标注样本集合为通过人工标注得到的标注样本集合为人工标注样本集合标注样本集合)时，若对该网络异常检测模型的打分低于预本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络异常检测方法，其特征在于，包括：获取至少一个标注样本集合，所述标注样本集合是基于测试样本集合的标注反馈信息对所述测试样本集合进行标注后的样本集合；所述标注反馈信息用于指示测试样本集合对应的多个网络设备是正常状态或异常状态，和/或指示测试样本集合中的多个网络设备的KPI数据是正常状态或异常状态；根据所述至少一个标注样本集合，确定增量样本集合；基于所述增量样本集合，更新网络异常检测模型；其中，所述网络异常检测模型用于对测试样本集合中的多个网络设备的KPI数据进行检测，以确定所述多个网络设备的KPI数据的状态。2.根据权利要求1所述的方法，其特征在于，所述测试样本集合的标注反馈信息包括粗粒度的标注反馈信息和/或细粒度的标注反馈信息；其中，所述粗粒度的标注反馈信息用于指示所述测试样本集合对应的多个网络设备是正常状态或异常状态，所述粗粒度的标注反馈信息是基于网络设备的时延、丢包率或有效时间中的至少一种对所述网络设备进行标注得到的；所述细粒度的标注反馈信息用于指示所述测试样本集合中的多个网络设备的KPI数据是正常状态或异常状态，所述细粒度的反馈信息是基于人工和/或网络异常检测模型对所述网络设备的KPI数据进行标注得到的。3.根据权利要求1或2所述的方法，其特征在于，所述测试样本集合的标注反馈信息包括N种标注反馈信息，所述N种标注反馈信息包括X种粗粒度的标注反馈信息和Y种细粒度的标注反馈信息；其中，所述N种标注反馈信息中的每一种标注反馈信息对应一个标注样本集合，N为大于或等于2的正整数，X+Y＝N，X为大于或等于0的正整数，Y为大于或等于1的整数；所述根据所述至少一个标注样本集合，确定增量样本集合，包括：确定第一样本集合，所述第一样本集合为N个标注样本集合的交集；确定Y个第二样本集合，所述Y个第二样本集合中的第i个第二样本集合是按照采样频率w
i
对第i个第三样本集合进行采样得到；其中，所述第i个第三样本集合是所述Y种细粒度的标注反馈信息对应的Y个标注样本集合中的第i个标注样本集合与所述第一样本集合的差集；将所述第一样本集合和所述Y个第二样本集合的并集确定为所述增量样本集合。4.根据权利要求1至3任一项所述的方法，其特征在于，基于所述增量样本集合，更新网络异常检测模型，包括：对所述增量样本集合进行特征提取，得到所述增量样本集合的特征集合，所述增量样本集合的特征集合中包括下述特征中的至少一种：KPI数据的均值、方差、极值、熵、差分值、变化比例；基于所述增量样本集合的特征集合，采用增量训练算法，对网络异常检测模型进行训练，得到更新后的网络异常检测模型；其中，所述增量训练算法包括下述任一种：增量树算法、支持向量机算法、卷积神经网络算法。5.根据权利要求4所述的方法，其特征在于，在基于所述增量样本集合，更新网络异常检测模型之前，所述方法还包括：
对所述增量样本集合做样本均衡处理，使所述增量样本集合中正样本和负样本的比例达到预定比例；所述负样本是KPI数据为异常状态的样本，所述正样本是KPI数据为正常状态的样本。6.根据权利要求4或5所述的方法，其特征在于，所述方法还包括：根据用户对更新后的网络异常检测模型的评价信息，调整所述第三样本集合的采样频率。7.根据权利要求1至6任一项所述的方法，其特征在于，所述方法还包括：基于所述更新后的网络异常检测模型和无监督算法检测多个网络设备的KPI数据，确定所述多个网络设备的KPI数据的状态。8.一种网络异常检测装置，其特征在于，所述网络异常检测装置包括获取模块、确定模块和更新模块；所述获取模块，用于获取至少一个标注样本集合，所述标注样本集合是基于测试样本集合的标注反馈信息对所述测试样本集合进行标注后的样本集合；所述标注反馈信息用于指示测试样本集合对应的多个网络设备是正常状态或异常状态，和/或指示测试样本集合中的多个网络设备的KPI数据是正常状态或异常状态；所述确定模块，用于根据所述至少一个标注样本...

【专利技术属性】
技术研发人员：郝娉婷，张亮，齐美玉，张潇潇，于泽阳，程志金，
申请(专利权)人：北京华为数字技术有限公司，
类型：发明
国别省市：