[发明专利]一种网络流量的异常检测方法及装置

权利要求书

1.一种网络流量的异常检测方法，其特征在于，所述方法包括：

按照预设周期对网络中的网络设备对应的监控对象的流量数据进行监控；

根据训练好的流量关系模型对监控对象的流量数据进行流量正常或异常的检测，其中，所述流量关系模型是根据内部网络中网络设备的监控对象在预设周期内接收和发送的流量构建的；

当确定所述流量为异常流量时，根据所述监控对象进行溯源；

其中，所述监控对象为网络设备的物理端口或者使用网络设备的用户的账号；

当所述监控对象为物理端口时，所述根据训练好的流量关系模型对监控对象的流量数据进行流量正常或异常的检测，包括：

根据获取到的流入各物理端口的流量数据构建入口流量向量、根据获取到的从各物理端口流出的流量构建出口流量向量；

根据入口流量向量和出口流量向量生成流量矩阵；

将所述流量矩阵输入至训练好的流量关系模型对各物理端口的流量数据进行流量正常或异常的检测；

当所述监控对象为用户的网络账号时，所述根据训练好的流量关系模型对监控对象的流量数据进行流量正常或异常的检测，包括：

根据获取到的流入各用户的网络账号的流量数据构建入口流量向量、根据获取到的从各用户的网络账号流出的流量构建出口流量向量；

根据入口流量向量和出口流量向量生成流量矩阵；

将所述流量矩阵输入至训练好的流量关系模型对各用户的网络账号的流量数据进行流量正常或异常的检测。

2.根据权利要求1所述的方法，其特征在于，获取流入各用户的网络账号的流量数据、获取从各用户的网络账号流出的流量数据包括：

获取流入和流出各物理端口的流量数据；

获取各个时刻使用所述各个物理端口的用户的网络账号的信息；

根据所述流入和流出各个物理端口的流量数据以及各个时刻使用各个物理端口的用户的网络账号信息，确定出流入各用户的网络账号的流量数据以及流出各用户的网络账号的流量数据。

3.根据权利要求1所述的方法，其特征在于，根据训练好的流量关系模型对监控对象的流量数据进行流量正常或异常的检测包括：

根据多个周期内监控到的流量数据对应的流量矩阵作为测试样本构建标准训练数据集，其中，所述标准训练数据集中包括每个测试样本对应的流量标识，所述流量标识用于标识所述流量正常或异常；

计算每个测试样本与标准训练数据集中的其他测试样本之间的欧氏距离；

获取欧氏距离最短的预设数量的测试样本对应的流量标识；

统计所述预设数量中类型最多的流量标识得出测试样本的正常或异常的测试结果。

4.根据权利要求1所述的方法，其特征在于，对进行流量正常或异常的检测，还包括：

对流量数据进行内容是否异常的检测；

根据流量数据的内容的异常检测结果与根据流量关系确定流量是否异常的结果共同确定流量是否异常。