[发明专利]一种基于带内遥测和机器学习的异常流量检测方法及装置

权利要求书

1.一种基于带内遥测和机器学习的异常流量检测方法，其特征及具体步骤如下：

通过源路由结合带内遥测技术(INT)，实现实时的、端到端的、具有数据包级别细粒度的网络流量信息监控；

通过SVM支持向量机算法，根据带内遥测所得到的流量特征集，训练流量分类模型；

使用训练后模型对遥测所得的流量特征进行分析，实现异常流量的实时分类；

对带内遥测所获得的遥测信息以及异常流量检测结果进行可视化展示，实现异常流量可视化。

2.根据权利要求1所述的基于带内遥测和机器学习的异常流量检测方法，其特征在于，所述通过源路由结合带内遥测技术(INT)，实现实时的、端到端的、具有数据包级别细粒度的网络流量信息监控，进一步包括：

数据包到达数据平面源交换机，在数据包中插入INT探测数据包头，在INT探测数据包头中嵌入INT指令，指定每个交换机上采集哪些类型的网络信息；

在最后一跳收集INT信息探测包交给监控平台，原数据包正常地转发。

3.根据权利要求1所述的基于带内遥测和机器学习的异常流量检测方法，其特征在于，所述通过SVM支持向量机算法，根据带内遥测所得到的流量特征集，训练流量分类模型，进一步包括：

向网络下发大量正常流量与异常流量并使用带内遥测获取流量信息集；

对所获流量数据集进行数据预处理，包括特征的归一化和使用FCBF特征选择算法来选择用于分类的特征项；

使用SVM分类算法，使用流量数据集的选定特征项训练出异常流量分类模型。

4.根据权利要求1所述的基于带内遥测和机器学习的异常流量检测方法，其特征在于，所述使用训练后模型对遥测所得的流量特征进行分析，实现异常流量的实时分类，进一步包括：

将遥测所获得的网络遥测数据特征代入训练好的分类模型中从而得到流量分类结果。

5.根据权利要求1所述的基于带内遥测和机器学习的异常流量检测方法，其特征在于，所述对带内遥测所获得的遥测信息以及异常流量检测结果进行可视化展示，实现异常流量可视化，进一步包括：

将所搭建的网络拓扑结构以及交换机端口进行可视化显示；

收集并分析所获得的异常流量状态的遥测数据，将部分重要的遥测信息分析生成清晰可见的图例进行图形化展示。

6.一种基于带内遥测和机器学习的异常流量检测装置，其特征在于，包括：

监控模块，用于通过源路由结合带内遥测技术(INT)，实现实时的、端到端的、具有数据包级别细粒度的网络流量信息监控；

模型训练模块，用于通过SVM支持向量机算法，根据带内遥测所得到的流量特征集，训练流量分类模型；

异常流量检测模块，用于对遥测所得的流量特征进行分析，实现异常流量的实时分类；

可视化模块，用于对带内遥测所获得的遥测信息以及异常流量检测结果进行可视化展示，实现异常流量可视化。

7.根据权利要求6所述的基于带内遥测和机器学习的异常流量检测装置，其特征在于，所述监控模块还包括：

源交换机，当数据包到达数据平面时，向数据包中插入INT探测包头，在其中嵌入INT指令，指定流经交换机时采集哪些类型的网络信息；

核心交换机，负责转发数据包；

末交换机，当数据包到达末交换机时，收集INT信息探测包并交给监控平台进行分析，原数据包正常进行转发。

8.根据权利要求6所述的基于带内遥测和机器学习的异常流量检测装置，其特征在于，所述模型训练模块还用于向网络下发大量正常流量与异常流量并使用带内遥测获取流量信息集。然后对所获流量数据集进行数据预处理，包括特征的归一化和使用FCBF特征选择算法来选择用于分类的特征项。使用SVM分类算法，使用流量数据集的选定特征训练出异常流量分类模型。