[发明专利]改善异常检测率的方法

权利要求书

1.一种用于改善通信网络中异常检测率的方法，其特征在于，所述方法包括：

服务器计算机接收包含通过通信网络传送的流量的数据集；

所述服务器计算机基于所述流量的传输控制协议TCP端口号或用户数据报协议UDP端口号将所述流量分组到数据类别中；以及

基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。

2.根据权利要求1所述的方法，其特征在于，还包括：

基于所述数据类别中预定数量的流量所共享的共同点识别所述数据类别的至少一个共同特征。

3.根据权利要求1和2中任一项所述的方法，其特征在于，所述检测每个数据类别中的异常包括：

将数据类别中流量的特征与关联于良性数据集的特征进行比较；以及

当关联于所述流量的特征与关联于所述良性数据集的特征之间的不一致性超过阈值时，确定流量是离群值。

4.根据权利要求1-3中任一项所述的方法，其特征在于，关联于所述数据类别的至少一个共同特征基于与所述数据类别对应的训练模型。

5.根据权利要求4所述的方法，其特征在于，通过应用与所述数据类别对应的模式识别过程，利用流量的分类预测来识别所述至少一个共同特征，并且与所述数据类别对应的所述训练模型包括至少一个正常类和至少一个异常类。

6.根据权利要求5所述的方法，其特征在于，所述模式识别过程是数据预处理、数据归一化、特征选择、特征空间缩减或参数选择中的至少一个。

7.根据权利要求5所述的方法，其特征在于，所述模式识别过程是对关联于所述数据类别的模型的训练、验证以及测试。

8.根据权利要求5所述的方法，其特征在于，所述分类预测包括：

将所述数据类别中流量的特征与关联于所述至少一个正常类的特征进行比较；

将所述数据类别中流量的特征与关联于所述至少一个异常类的特征进行比较；以及

当关联于所述流量的特征与关联于所述至少一个正常类的特征之间的不一致性超过第一阈值或者当关联于所述流量的特征与关联于所述至少一个异常类的特征之间的不一致性不超过第二阈值时，确定流量是异常的。

9.根据权利要求1-8中任一项所述的方法，其特征在于，所述数据集是存储在数据库中的互联网流量数据，并且由TCP或UDP端口号表征的不同类别对应于不同的互联网服务类型。

10.一种用于改善通信网络中异常检测率的方法，其特征在于，所述方法包括：

服务器计算机接收包含通过通信网络传送的流量的数据集；

所述服务器计算机基于关联于所述流量的应用层协议将所述流量分组到数据类别中，其中，每个所述数据类别包括与不同应用层协议相关联的流量；以及

基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个所述数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。

11.根据权利要求10所述的方法，其特征在于，还包括：

基于所述数据类别中预定数量的流量所共享的共同点识别所述数据类别的至少一个共同特征。

12.根据权利要求10和11中任一项所述的方法，其特征在于，所述检测每个数据类别中的异常包括：

将数据类别中流量的特征与关联于良性数据集的特征进行比较；以及

当关联于所述流量的特征与关联于所述良性数据集的特征之间的不一致性超过阈值时，确定流量是离群值。

13.根据权利要求10-12中任一项所述的方法，其特征在于，关联于所述数据类别的至少一个共同特征基于与所述数据类别对应的训练模型。