本发明专利技术提供一种上网流量异常检测方法及装置,方法包括:获取多条上网流量记录的至少两种特征信息;对所述至少两种特征信息进行聚类运算,以对所述多条上网流量记录进行分类;根据所述上网流量记录的分类结果所确定的类别以及所述类别对应的异常特征,确定所述上网流量记录是否为异常流量。本发明专利技术实施例有效解决了通过人工方式进行检测带来的检测时间长,效率低的问题。
【技术实现步骤摘要】
本专利技术涉及移动通信
,尤其涉及一种上网流量异常检测方法及装置。
技术介绍
随着智能终端、互联网应用的快速发展,第三代移动通信技术Urd-Generation,3G)业务流量增长十分迅速,随之而来的是上网流量越来越成为用户投诉的焦点。现有技术中主要采取人工方式从成千上万的上网记录中对用户上网流量记录进行异常检测。然而,这种方法检测时间长,效率低。
技术实现思路
本专利技术提供一种上网流量异常检测方法及装置,用以解决通过人工方式进行检测带来的检测时间长,效率低的问题。一方面,本专利技术实施例提供一种上网流量异常检测方法,包括:获取多条上网流量记录的至少两种特征信息;对所述至少两种特征信息进行聚类运算,以对所述多条上网流量记录进行分类;根据所述上网流量记录的分类结果所确定的类别以及所述类别对应的异常特征,确定所述上网流量记录是否为异常流量。另一方面,本专利技术实施例提供一种上网流量异常检测装置,包括:获取模块、分类模块和处理模块;所述获取模块,用于获取多条上网流量记录的至少两种特征信息;所述分类模块,用于对所述至少两种特征信息进行聚类运算,以对所述多条上网流量记录进行分类;所述处理模块,用于根据所述上网流量记录的分类结果所确定的类别以及所述类别对应的异常特征,确定所述上网流量记录是否为异常流量。本专利技术提供的上网流量异常检测方法及装置,通过对多条上网流量记录的至少两种特征信息进行聚类运算实现对上网流量记录进行分类,并判断分类后的各类别是否存在异常类别特征来确定该类别下的上网流量记录为异常流量,缩短了检测时间,提高了检测效率。附图说明图1为本专利技术提供的上网流量异常检测方法一个实施例的流程图;图2为本专利技术提供的上网流量异常检测方法另一个实施例的流程图;图3为本专利技术提供的上网流量异常检测装置一个实施例的结构示意图;图4为本专利技术提供的上网流量异常检测装置另一个实施例的结构示意图。具体实施方式图1为本专利技术提供的上网流量异常检测方法一个实施例的流程图,该方法可应用于对移动用户終端上网流量异常的检测。如图1所示,以下步骤的执行主体可以为设置在网络中的服务器,或是集成在该服务器上的模块或芯片,该上网流量异常检测方法具体包括:S101,获取多条上网流量记录的至少两种特征信息;本专利技术实施例中,可以采用现有的各种方法获取上网流量记录。例如:可以采用现有的上网流量查询系统来获取上网流量记录。获取的上网流量记录中通常可以包括如下字段:该条流量记录的流量类型(可以是指业务类型,例如,可以是彩信、网页浏览、即时通信、流媒体、文件传输、网络电话(Voice over Internet Protocol, VoIP)、点对点通信(Peerto Peer ,P2P),邮件),该条流量记录产生的时间,时长、流量大小、访问的目标IP和URL等。可以从这些字段中提取用于聚类分析的特征信息。S102,对上述至少两种特征信息进行聚类运算,以对该多条上网流量记录进行分类;具体地,对上述如:上网时间,所使用的业务类型、流量大小、流量时长、访问的IP地址、访问的URL等提取出的至少两种特征信息进行聚类运算,该聚类运算可以是现有的各种聚类算法,例如:均值聚类算法,系统聚类算法等。经过聚类运算后得到的上网流量记录的类别可以为业务类型、也可以为某一时间段内高频率的访问同一 IP地址或URL等,这些类别有些可以是上网操作,即时通信、视频等正常操作产生的,还有些可以是某个应用程序频繁的后台流量产生的,还有些孤立点,可能是异常的大流量。而对于进行聚类运算预先输入的类别个数的选取,可以根据经验选取,比如可以根据经验值将流量类型分为:彩信、网页浏览、即时通信、流媒体、文件传输、VoIP、P2P、邮件,此外还可以增加多个未知类别,得到聚类个数K,然后进行聚类运算。举例来说:假如流量特征有2个:(时长,流量大小),有这样3条流量记录A:(1,I) ;B (2,2) ;C (4,2),那么A,B间的欧氏距为1.41,A,C间的欧式距为3.16,B,C间欧氏距为2,假如聚成两类,那么A,B是ー类,C是另ー类。S103,根据上网流量记录的分类结果所确定的类别以及该类别对应的异常特征,确定该上网流量记录是否为异常流量。上述上网流量记录的分类结果可以为流量记录的具体类型,例如:可以包括彩信、网页浏览、即时通信、流媒体、文件传输、VoIP、P2P、邮件,此外还可以包括多个未知类别,通过进ー步对聚类运算得到的各个类别的具体特征进行分析,判断各类别中是否存在异常特征。对于流量类别特征的判断,通常可以通过前期的训练学习获得,即:选取大量已知的上述类型的正常流量和异常流量(可以是用户进行投诉的流量记录)进行上述聚类运算,聚类个数K的选取可以是上述流量类型个数(8个)再加上多个未知流量(异常流量)个数(如2个)的和(10个);通过分析聚类后的结果(即聚类结果在坐标系中的空间分布情況),判定各类别最終是正常流量类还是异常流量类,通常将包含上述正常流量的类别定义为正常流量类,而包含上述异常流量的类别定义为异常流量类。通过将当前聚类的结果和前期的训练学习获得的类别的特征进行比较(当前聚类结果和训练学习获得的聚类结果在坐标系中空间位置上的分布做比较,即吻合度作比较),判定当前各聚类后的类别所属的流量类型是正常流量还是异常流量。若当前的聚类结果中包含既不属于训练学习获得的正常流量类别,也不属于训练学习获得的异常流量类别,则把该类别也视为异常流量类别(通常对于聚类后无法判断其类别的,为安全考虑,都可视为异常流量)。其中,正常流量类特征对应的可以是上述流量类型中的正常流量在坐标系中的空间分布位置。而异常流量类特征对应的可以是上述流量类型中的异常流量在坐标系中的空间分布位置,在实际场景下,可以表现为:某些客户端在特定时间段内频繁产生大流量或频繁的产生流量数据;或某些孤立的异常大流量点(在聚类结果的空间分布上远离正常流量类别的异常大流量的孤立点),如:某用户使用某影音在线看视频,刚开启视频意识到需要走很多流量,随即按退出键退出,但是该影音软件未必真的退出,它可能在后台不断地缓冲视频,产生大流量;或是某个下载软件,虽然没有下载,但是它在后台分享你下载的文件也可能产生大流量。通过对聚类运算后得到的各个类别的具体类别特征进行分析,综合考虑这些流量类别中是否包含上述异常流量类特征,来判定所判断的类别包含的上网流量记录是否为异常流量。本专利技术提供的上网流量异常检测方法,通过对多条上网流量记录的至少两种特征信息进行聚类运算实现对上网流量记录进行分类,并判断分类后的各类别是否存在异常流量特征来确定该类别下的上网流量记录为异常流量,缩短了检测时间,提高了检测效率。图2为本专利技术提供的上网流量异常检测方法另一个实施例的流程图,本实施例提供了如图1所示的上网流量异常检测方法的一种具体的实施方式,如图2所示,所述方法具体包括:S201,获取多条上网流量记录的至少两种特征信息;该步骤具体可参见步骤101的相应内容。S202,对上述至少两种特征信息进行标准化处理,以使该至少两种特征信息具有相同的取值范围;在上述特征信息中,不同的特征信息的格式和取值范围通常不同,为使它们具有相同的格式和取值范围,以便进行聚类运算,可以将上述特征信息进行标准化处本文档来自技高网...
【技术保护点】
一种上网流量异常检测方法,其特征在于,包括:获取多条上网流量记录的至少两种特征信息;对所述至少两种特征信息进行聚类运算,以对所述多条上网流量记录进行分类;根据所述上网流量记录的分类结果所确定的类别以及所述类别对应的异常特征,确定所述上网流量记录是否为异常流量。
【技术特征摘要】
1.一种上网流量异常检测方法,其特征在于,包括: 获取多条上网流量记录的至少两种特征信息; 对所述至少两种特征信息进行聚类运算,以对所述多条上网流量记录进行分类;根据所述上网流量记录的分类结果所确定的类别以及所述类别对应的异常特征,确定所述上网流量记录是否为异常流量。2.根据权利要求1所述的上网流量异常检测方法,其特征在于,所述对所述至少两种特征信息进行聚类运算之前,还包括: 对所述至少两种特征信息进行标准化处理,以使所述至少两种特征信息具有相同的取值范围。3.根据权利要求1所述的上网流量异常检测方法,其特征在于,若所述特征信息包括流量大小信息,则所述对所述至少两种特征信息进行聚类运算之前,还包括: 根据设定的影响因子对所述流量大小信息进行调整,所述影响因子用于增加所述流量大小信息的影响权重。4.根据权利要求f3任一项所述的上网流量异常检测方法,其特征在于,所述对所述至少两种特征信息进行聚类运算,包括: 采用K-means聚类运算对所述至少两种特征信息进行聚类运算。5.根据权利要求广3任一项所述的上网流量异常检测方法,其特征在于,还包括: 将所述上网流量记录与本地知识库中存储的异常流量信息进行匹配,以确定所述上网流量记录是否为异常流量。6.一种上网流量异常检测装置,其特征在于,包括:获取模块、分类模块和处理模块; ...
【专利技术属性】
技术研发人员:肖吉,王志军,王蓉,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。