[发明专利]网络异常检测方法及装置

权利要求书

1.一种网络异常检测方法，其特征在于，所述方法包括：

获取网络节点的至少一个网络流量指标的指标数据，所述网络流量指标用于表示网络节点在单位时间内数据流量的进出情况；

分别从所述指标数据中获取所述至少一个网络流量指标的周期信息和趋势信息，所述周期信息用于表示所述网络流量指标的短期波动信息，所述趋势信息用于表示所述网络流量指标的长期波动信息；

根据所述周期信息和所述趋势信息，分别确定所述至少一个网络流量指标的异常结果，包括：将所述周期信息和所述趋势信息的信息之和，确定为所述网络流量指标的待检测数据；获取所述网络流量指标的基准数据；根据所述待检测数据和所述基准数据之间的差异，确定所述网络流量指标的异常结果；

根据所述至少一个网络流量指标的异常结果，确定所述网络节点的异常结果。

2.根据权利要求1所述的网络异常检测方法，其特征在于，所述获取网络节点的至少一个网络流量指标的指标数据，包括：

获取网络节点的原始流量数据；

从所述原始流量数据中提取至少一个网络流量指标的指标数据。

3.根据权利要求1所述的网络异常检测方法，其特征在于，所述分别从所述指标数据中获取所述至少一个网络流量指标的周期信息和趋势信息，包括：

利用时序序列分解算法从所述指标数据中分别分解得到所述至少一个网络流量指标的周期信息和趋势信息。

4.根据权利要求1所述的网络异常检测方法，其特征在于，所述获取所述网络流量指标的基准数据，包括：

确定所述网络流量指标的类别信息，其中，所述网络流量指标与其属于相同类别的网络流量指标之间的相关度大于第一阈值；

根据所述类别信息，确定所述类别信息对应的基准网络流量指标；

将所述基准网络流量指标的待检测数据作为所述网络流量指标的基准数据。

5.根据权利要求4所述的网络异常检测方法，其特征在于，所述根据所述类别信息，确定所述类别信息对应的基准网络流量指标，包括：

分别获取所述类别信息对应的多个网络流量指标；

分别确定所述多个网络流量指标与所述类别中其他网络流量指标的待检测数据之间的相似度之和；

将所述相似度之和最大的网络流量指标作为所述类别信息对应的基准网络流量指标。

6.根据权利要求1所述的网络异常检测方法，其特征在于，所述根据所述待检测数据和所述基准数据之间的差异，确定所述网络流量指标的异常结果，包括：

确定所述待检测数据和所述基准数据之间的残差信息；

在确定所述残差信息大于第二阈值的情况下，确定所述网络流量指标存在异常。

7.根据权利要求6所述的网络异常检测方法，其特征在于，所述第二阈值包括根据所述残差信息调节的自适应阈值。

8.根据权利要求1所述的网络异常检测方法，其特征在于，所述根据所述至少一个网络流量指标的异常结果，确定所述网络节点的异常结果，包括：

将所述至少一个网络流量指标的异常结果输入至异常检测模型组件中，经所述异常检测模型组件输出所述网络节点的异常结果；其中，所述异常检测模型组件被设置为利用所述至少一个网络流量指标的异常结果和所述网络节点的异常结果之间的对应关系训练得到。

9.根据权利要求1所述的网络异常检测方法，其特征在于，所述根据所述至少一个网络流量指标的异常结果，确定所述网络节点的异常结果，包括：

根据所述至少一个网络流量指标的异常结果，确定所述网络节点的第一异常结果；

获取所述网络节点的第二异常结果，所述第二异常结果基于人工决策；

根据所述第一异常结果和所述第二异常结果，确定所述网络节点的异常结果。