[发明专利]一种基于虚拟网络流量分析的5G切片网络异常检测方法

权利要求书

1.一种基于虚拟网络流量分析的5G切片网络异常检测方法，其特征在于：基于中心服务器所连各个采集服务器，以及各采集服务器分别所接各个分布于目标5G切片网络中的采集节点，各采集节点分别按预设第一周期，周期执行如下步骤A至步骤F，更新各采集节点分别所对应的正常累计数据量波动范围集合；并由各采集节点分别按步骤i至步骤iii，针对经过其的各数据流量进行异常分析；

步骤A.采集节点获得其所设目标5G切片网络中虚拟网络设备对应预设目标时长内的各条数据流量，并获得各条数据流量分别所对应包含源IP地址特征、源端口特征、目标IP地址特征、目标端口特征、流量数据量、TCP标识、以及预设各其它特征的各个流量特征，然后进入步骤B；

步骤B.该采集节点分别针对各个流量特征，统计各条数据流量，构建以流量特征为横坐标、累计流量数据量为纵坐标，构建该流量特征所对应的直方图，并以该流量特征横坐标上顺序各对象分别所对应的累计流量数据量，构成该流量特征所对应的直方图向量；进而获得各流量特征分别所对应的直方图向量，然后进入步骤C；

步骤C.该采集节点针对各流量特征分别所对应的直方图向量，基于两两直方图向量之间预设类型的距离，针对各直方图向量进行聚类处理，获得各个簇，然后进入步骤D；

步骤D.该采集节点针对各个簇，基于簇的数据量进行分析，剔除其中的异常簇，获得剩余各个正常簇，然后进入步骤E；

步骤E.该采集节点分别针对各个正常簇中的各个直方图向量，获得直方图向量所对应流量特征对应的累计流量数据量上限与累计流量数据量下限，进而获得各正常簇中各流量特征分别所对应的累计流量数据量上限与累计流量数据量下限，构成该采集节点所对应各分析流量特征下的正常累计数据量波动范围，然后进入步骤F；

步骤F.该采集节点将步骤E中所构成对应的各分析流量特征下的正常累计数据量波动范围，添加该采集节点所对应的正常累计数据量波动范围集合中，更新该采集节点所对应的正常累计数据量波动范围集合；其中，针对相同分析流量特征，应用新正常累计数据量波动范围替换旧正常累计数据量波动范围；

步骤i.采集节点针对经过其、对应预设目标时长内的各条数据流量，并根据该采集节点所对应正常累计数据量波动范围集合中的各分析流量特征，获得该各条数据流量分别所对应的该各个分析流量特征，然后进入步骤ii；

步骤ii.该采集节点按步骤B的方法，获得该各条数据流量所对应该各分析流量特征分别对应的直方图向量，作为各个待分析直方图向量，然后进入步骤iii；

步骤iii.该采集节点分别针对各个待分析直方图向量，判断待分析直方图向量中是否存在不满足相应分析流量特征下正常累计数据量波动范围的累计流量数据量，是则判定该累计流量数据量所对应的数据流量为异常，否则判定该待分析直方图向量中的各个累计流量数据量为正常；进而由该采集节点针对经过其的各数据流量进行异常分析。

2.根据权利要求1所述一种基于虚拟网络流量分析的5G切片网络异常检测方法，其特征在于：所述步骤C包括如下步骤C1至步骤C5；

步骤C1.采集节点将各流量特征分别所对应的直方图向量，定义为各个待分析对象，并进入步骤C2；

步骤C2.获得两两待分析对象之间预设类型的距离，并判断其中最小距离是否小于预设阈值距离，是则进入步骤C3；否则进入步骤C4；

步骤C3.若该最小距离所对应的两个待分析对象为两个直方图向量，则将该两个直方图向量归为同一个簇，并定义该两个直方图向量为非待分析对象，以及获得该簇的簇中心，将该簇中心定义为待分析对象，然后返回步骤C2；

若该最小距离所对应的两个待分析对象为一个直方图向量与一个簇中心，则将该直方图向量归至该簇中心所对应的簇中更新，并定义该直方图向量为非待分析对象，以及删除该簇原簇中心定义的待分析对象，获得该簇的新簇中心，将该新簇中心定义为待分析对象，然后返回步骤C2；

若该最小距离所对应的两个待分析对象为两个簇中心，则将该两个簇中心分别所对应的簇归为同一个簇，并获得该簇的簇中心，将该簇中心定义为待分析对象，以及删除该两个原簇中心定义的待分析对象，然后返回步骤C2；

步骤C4.判断是否存在为直方图向量的待分析对象，是则将各个直方图向量的待分析对象分别构成各个簇，否则不做任何进一步处理；然后进入步骤C5；

步骤C5.即获得各直方图向量进行聚类处理所对应的各个簇，然后进入步骤D。