[发明专利]一种基于分类的异常检测方法和系统

说明书

本发明提供一种基于分类的异常检测方法和系统，该方法包括对正常日志数据和异常日志数据分别进行预处理；分别提取经过预处理的正常日志数据和异常日志数据的特征，在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘，得到正常频繁项集和异常频繁项集，构建正常行为模型和异常行为模型；对待检测日志数据进行挖掘，获得频繁项集，并将频繁项集与正常行为模型和异常行为模型进行比较，找出异常；该方法和系统提高了异常检测的准确性。

技术领域

本发明属于异常检测领域，特别涉及一种基于分类的异常检测方法和系统。

背景技术

随着网络信息的发展，用户会拥有很多账号，涉及生活、社交等领域。一旦账户被攻击或者被盗，会给用户带来不便。因此，对账户进行异常检测是非常重要的问题。

目前常用的检测方法为人工通过预设的检测规则针对每一异常行为进行检测，检测量大，且当异常行为发生变化时，规则不能及时更新，检测准确性降低。

发明内容

为了解决现有技术中存在的问题，本发明提供一种基于分类的异常检测方法和系统。

本发明其中一个技术方案提供一种基于分类的异常检测方法，该方法包括如下步骤：

对正常日志数据和异常日志数据分别进行预处理；

分别提取经过预处理的正常日志数据和异常日志数据的特征，在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘，得到正常频繁项集和异常频繁项集，构建正常行为模型和异常行为模型；

对待检测日志数据进行挖掘，获得频繁项集，并将频繁项集与正常行为模型和异常行为模型进行比较，找出异常。

进一步改进的方案中，所述对正常日志数据和异常日志数据分别进行预处理包括如下步骤：

对正常日志数据和异常日志数据分别进行清洗；

对经过清洗后的正常日志数据和异常日志数据进行数据集成；

对经过数据集成的正常日志数据和异常日志数据进行压缩处理。

进一步改进的方案中，所述数据挖掘为利用长周期的频繁项集挖掘算法进行数据挖掘。

进一步改进的方案中，所述利用长周期的频繁项集挖掘算法进行数据挖掘包括如下步骤：

将提取的日志数据特征作为候选集，扫描一遍候选集，找到支持率大于等于λ_n,n-1·ρ_s长度为1的所有模式；

连接这些模式，找到支持率大于等于λ_n,n-2·ρ_s产生长度为2的模式的候选集，以此类推，在第i次迭代中产生一个由长度为i的模式组成的候选集U_i，其中，这些模式满足支持率大于等于λ_n,n-i·ρ_s；

在i+1次迭代中，将候选集U_i中的模式连接产生i+1的模式的候选集C_i+1；在C_i+1的模式中找到支持率大于等于λ_n,n-(i+1)·ρ_s的模式，形成候选集U_i+1，继续迭代，直到候选集为空，停止迭代，最终形成的候选集即为频繁项集。

进一步改进的方案中，所述利用长周期的频繁项集挖掘算法进行数据挖掘还包括如下步骤：

当迭代后产生的候选集不为空，产生长度为n+1的模式的候选集时，利用APRIORI算法挖掘频繁项集。

进一步改进的方案中，所述将频繁项集与正常行为模型和异常行为模型进行比较，找出异常包括如下步骤：