[发明专利]网络流量异常检测方法及检测系统

权利要求书

1.网络流量异常检测方法，其特征在于基于小波分析对网络流量数据进行特征提取，通过均值漂移聚类对异常流量进行学习，并对在线的网络流量进行异常识别，所述方法包括如下步骤：

对于待检测的网络流量，按照时间对数据包进行排序，得到数值序列形式的长序列包；

对于长序列包，通过设置的滑动窗口提取具有一定长度的子序列；

基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征提取，并将能量特征融合为最终特征；

通过训练后检测模型对最终特征进行分析，得到检测结果，所述训练后检测模型用于通过均值漂移聚类对最终特征进行学习。

2.根据权利要求1所述的网络流量异常检测方法，其特征在于通过如下步骤构建并训练检测模型，得到训练后检测模型：

获取历史网络流量作为训练集，对于训练集，按照时间对数据包进行排序，得到数值序列形式的长序列包；

对于长序列包，通过设置的滑动窗口提取具有一定长度的子序列；

基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征提取，并将能量特征融合为最终特征；

基于均值漂移聚类方法构建检测模型，将所述最终特征输入所述检测模型进行模型训练，得到训练后检测模型。

3.根据权利要求2所述的网络流量异常检测方法，其特征在于构建并训练检测模型，得到训练后检测模型后，还包括对训练后测试模型进行模型测试，所述模型测试包括如下步骤：

获取历史网络流量作为测试集，对于测试集，按照时间对数据包进行排序，得到数值序列形式的长序列包；

对于长序列包，通过设置的滑动窗口提取具有一定长度的子序列；

基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征提取，并将能量特征融合为最终特征；

将所述最终特征输入所述训练后检测模型，得到的检测结果作为预测检测结果，并将所述预测检测结果与所述历史网络流量对应的现实检测结果进行比对，实现对训练后检测模型的测试。

4.根据权利要求1-3任一项所述的网络流量异常检测方法，其特征在于所述长序列包(序号，包长)形式的数值序列。

5.根据权利要求1-3任一项所述的网络流量异常检测方法，其特征在于对于长序列包，每个窗口内的数据包均作为一个单位数据流，基于小波分析对单位数据流进行特征提取，得到频域特征和时域特征，所述频域特征包括高频分量频域特征和低频分量频域特征，低频分量频域特征用于分析流量异常的整体特征，高频分量频域特征用于区分不同种类流量异常；

对于频域特征，分别对高频分量频域特征和低频分量频域特征进行层数分解，计算高频分量频域特征各层能量在总能量中的占比，得到高频分量频域特征的能量比，并计算低频分量频域特征各层能量在总能量中的占比，得到低频分量频域特征的能量比；

对于时域特征，提取均值和标准差；

所述频域特征相关的能量比以及所述时域特征相关的均值和标准差均为能量特征，将所述能量特征进行融合，得到最终特征。

6.根据权利要求5所述的网络流量异常检测方法，其特征在于基于小波分析分解高频分量频域特征时，当高频分量频域特征仅包含单个样本时分解就可以停止，分解低频分量频域特征时，待低频分量的波形没有变化即可停止分解。

7.网络流量异常检测系统，其特征在于基于如权利要求1-6任一项所述的网络流量异常检测方法对网络流量进行异常检测，所述系统包括：

网络流量处理模块，对于网络流量，所述网络流量处理模块用于按照时间对数据包进行排序，得到数值序列形式的长序列包；

子序列提取模块，对于长序列包，所述子序列提取模块用于通过设置的滑动窗口提取具有一定长度的子序列；

特征提取模块，所述特征提取模块用于基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征提取，并将能量特征融合为最终特征；

检测模型构建模块，所述检测模型构建模块用于基于均值漂移聚类方法构建检测模型，并对检测模型进行训练，得到训练后检测模型；

检测模块，所述检测模块用于通过训练后检测模型对最终特征进行分析，得到检测结果。