[发明专利]异常流量检测方法、装置、设备及存储介质

权利要求书

1.一种异常流量检测方法，其特征在于，包括：

获取待检测流量数据；

根据预设规则，从所述待检测流量数据中筛选出初始异常账户；

构建所述初始异常账户的关系网络模型；

基于所述关系网络模型，分别生成对应于每个所述初始异常账户的局部社区；

对所述局部社区进行合并聚类，得到不超过第一预设数量的目标社区；

根据所述关系网络模型，于所述目标社区中，查找符合预设条件的目标异常账户；

所述构建所述初始异常账户的关系网络模型，包括：

获取所述初始异常账户的属性信息；

基于所述属性信息，查找所述初始异常账户的关联账户；

构建以所述初始异常账户和所述关联账户为节点的关系网络模型；其中，

所述关系网络模型为无向图结构，以所有所述初始异常账户和所述初始异常账户的关联账户为节点，两个存在相同属性信息的节点具有相连的边；

所述基于所述关系网络模型，分别生成对应于每个所述初始异常账户的局部社区，包括：

分别以每个所述初始异常账户为中心，生成多个节点集合；

分别计算每个所述节点集合的电导率；

选取所述电导率最低的所述节点集合为对应于所述初始异常账户的所述局部社区。

2.根据权利要求1所述的方法，其特征在于，所述对所述局部社区进行合并聚类，得到不超过第一预设数量的目标社区，包括：

将存在相同节点的所述局部社区进行合并去重；

判断所述局部社区的当前数量是否超过所述第一预设数量；

若所述局部社区的当前数量不超过所述第一预设数量，则当前的所述局部社区为所述目标社区；

若所述局部社区的当前数量超过所述第一预设数量，则对所述局部社区进行层次聚类，得到所述目标社区。

3.根据权利要求2所述的方法，其特征在于，所述对所述局部社区进行层次聚类，得到所述目标社区，包括：

计算所述关系网络模型的邻接矩阵；

基于所述邻接矩阵和所述关系网络模型中的节点总数，计算所述关系网络模型中所有节点的相似度向量；

根据所述相似度向量，得到当前的每个所述局部社区的相似度矩阵；

根据所述相似度矩阵的特征向量，对所述局部社区进行聚类合并。

4.根据权利要求3所述的方法，其特征在于，在所述根据所述相似度矩阵的特征向量，对所述局部社区进行聚类合并之后，还包括：

判断所述局部社区的当前数量是否超过所述第一预设数量；

若所述局部社区的当前数量超过所述第一预设数量，则继续执行根据所述相似度向量，得到当前的每个所述局部社区的相似度矩阵；

根据所述相似度矩阵的特征向量，对所述局部社区进行聚类合并，直至所述局部社区的当前数量不超过所述第一预设数量，则当前的所述局部社区为所述目标社区。

5.根据权利要求1所述的方法，其特征在于，所述根据所述关系网络模型，于所述目标社区中，查找符合预设条件的目标异常账户，包括：

根据目标账户在所述关系网络模型中关联的所述初始异常账户的数量，以及所述目标账户与所述初始异常账户的关联距离，计算所述目标账户的异常分值；

判断所述异常分值是否超过预设阈值；

当所述异常分值超过所述预设阈值时，所述目标账户为所述目标异常账户。