[发明专利]基于可视化聚类的网络流量异常分析方法

说明书

技术领域

本发明涉及一种基于可视化聚类的网络流量异常分析方法。

背景技术

流量是网络中传播的数据量，数据传输是网络活动的基础，网络流量就是网络活动最重要的标志之一，几乎所有的网络应用和网络攻击在流量变化上都有迹可循。如今信息社会进入大数据时代，网络规模日益壮大，设备集成程度越来越高，数据容量越来越大，新兴的网络业务正在逐渐被开发，网络流量呈爆发性的增长，这些都有可能使得网络出现状况。

由于网络流量数据的海量和高维，传统的数据挖掘技术和算法让用户难以理解和使用，往往耗费大量的时间，也未能分析清楚数据之间的关联来反应完整的网络状态，而且不能以用户为驱动进行交互。而实践证明，用可视化的方法描述庞大的流量数据集合和复杂的关联规则，让用户在易于理解的图形结构中对流量进行直观的可视分析，效率和效果都会比对着一堆数据操作好很多。用户在看到直观的图片形式的网络流量表示图后，可以较快的对当前流量有一个清楚的认识，同时也便于用户继续执行流量分析及异常判断的步骤。

基于可视化方法对网络流量进行异常分析，能帮助用户直观地感受网络状态的发展，使用户能够在及时找出故障原因，预测运行态势，规避网络危险，从而做到防微杜渐，稳定网络环境，提升网络性能。

发明内容

本发明的主要目的是针对如今呈爆发性的增长的网络流量和网络问题，提出一种基于可视化聚类的，结合多角度快速对网络流量进行协同过滤可视聚类的方法，能高效分析出网络流量的异常。

为了实现上述技术目的，本发明的技术方案是，

一种基于可视化聚类对网络流量进行异常分析的方法，包括：

步骤1)：对需监控的时间段内网络流量监控数据记录进行预处理，得到反应流量特征的关于各个时隙slot点的集合p的流量信息表Netflow_Info_Table；

步骤2)：根据步骤1)得到的流量信息表Netflow_Info_Table，对集合p进行RadViz可视聚类，得到网络流量特征类似的时隙点聚类；

步骤3)：初步归纳步骤2)得到的时隙点聚类的网络流量特征，得到Radviz中流量特征异常聚类中的时隙点集s1；

步骤4)：根据步骤2)得到的时隙点聚类图像进行过滤选择，得到不在聚类内的离散时隙点集s2；

步骤5)：根据步骤3)和步骤4)得到的点集合s1、s2，用IPPort矩阵反映每个时隙点的IP和端口的流量、连接情况，利用IPPort矩阵判断哪些时间点发生了何种异常，完成对该时间段网络流量的异常分析。

所述的一种基于可视化聚类对网络流量进行异常分析的方法，所述步骤1)包括：

步骤1.1)：提取需监控时间段内的网络流量监控数据中的描述网络流量特征数据，即提取每一条流记录的时隙slot、发送方源IPsip、接收方目的IPdip、发送方端口sport、接收方端口dport、传输流大小byte字段；

步骤1.2)：根据步骤1.1)得到的网络流量特征数据，计算对应每个时隙网络流量数据特征的相关统计信息，包括该时隙的源IP标准熵sipNormEntro、目的IP标准熵dipNormEntro，源端口标准熵sportNormEntro、目的端口标准熵dportNormEntro；该时隙的主机总连接数sumCount；该时隙的总流量大小sumByte；并将每一个时隙点加入时隙slot点集合p中，其中Pi代表集合p中第i个时隙点；

步骤1.3)：根据步骤1.2)计算得到的对应每个时隙网络流量数据特征的相关统计信息，建立关于各个时隙slot点集合p的流量信息表Netflow_Info_Table。

所述的一种基于可视化聚类对网络流量进行异常分析的方法，所述步骤2)包括：

步骤2.1)：选取源IP标准熵sipNormEntro、目的IP标准熵dipNormEntro，源端口标准熵sportNormEntro、目的端口标准熵dportNormEntro；主机总连接数sumCount；总流量大小sumByte作为6个维度的锚点，将其均匀分布在RadViz圆周；

步骤2.2)：对时隙slot点集p中每个流量时隙点进行Radviz聚类，每个时隙点在Radviz以半径r的圆表示，r介于RadViz圆半径的1/60与1/70之间，受其对应维度锚点产生的弹簧力而在RadViz中处于平衡位置；