本發明提供了一種網絡流量異常檢測方法及裝置，涉及信息安全技術領域，用于解決網絡流量異常檢測準確性及效率偏低的問題。該方法包括：采用預設聚類分析算法分析網絡流量異常檢測樣本并獲取其數據點分布特征進行聚類分析，剔除聚類分析結果中的密集數據點以獲取初步異常檢測數據集；預設聚類分析算法為每個數據點增加一個referrer域以將該數據點指向與其相距最近的最相鄰數據點；根據預設離群分析算法獲取初步異常檢測數據集的第一離群點集及離群點數，以及根據預設離群分析算法、離群點數以及局部離群因子個數調整距離參數值以獲取第二離群點集，將第一離群點集與第二離群點集的交集作為網絡流量異常檢測結果。本發明用于網絡流量異常的檢測。

技術鄰域

本發明涉及信息安全技術領域，尤其涉及一種網絡流量異常檢測方法及裝置。

背景技術

網絡流量異常是指網絡的流量行為偏離正常行為的情形，例如網絡業務流量突然出現不正常的重大變化等等。引起網絡流量異常的原因有很多，例如網絡設備異常、網絡操作異常、閃現擁擠異常、網絡攻擊行為等。網絡流量異常不僅影響網絡和業務系統的正常使用，還會威脅網絡用戶信息安全，給網絡用戶造成諸多危害。

目前，涉及機器學習中無監督學習的網絡流量異常檢測方法通常采用聚類分析算法及離群分析算法實現，其存在缺陷如下：現有技術中采用的聚類分析算法存在對輸入參數的敏感性過高、或者實現過程的時間復雜度過高同時又占據大量存儲空間等問題，導致網絡流量異常的檢測結果準確性偏低并且檢測效率偏低；現有技術中的離群分析算法在已知異常點個數的情況下具有很高的檢測精度，但是在無法提前獲知網絡流量異常點個數的情況下，其常常會將大量正常數據當作異常數據，并且在處理較大網絡數據集時，現有技術中的離群分析算法計算的時間復雜度過高，因此同樣導致網絡流量異常檢測結果的準確性偏低并且檢測效率偏低。

發明內容

本發明的實施例提供一種網絡流量異常檢測方法及裝置，用于解決現有技術中網絡流量異常的檢測準確性及檢測效率偏低的問題。

為了達到上述目的，本發明采用如下技術方案：

第一方面，提供一種網絡流量異常檢測方法，包括：

獲取網絡流量異常檢測樣本以及網絡流量異常檢測樣本的數據點分布特征；其中，網絡流量檢測樣本包括網絡流量數據以及與網絡流量數據關聯的網絡行為特征；根據預設聚類分析算法對數據點分布特征進行聚類分析，將剔除聚類分析結果中的密集數據點之后的數據集作為初步異常檢測數據集；其中，預設聚類分析算法中為每個數據點增加一個referrer域，referrer域中存儲有指向信息以將數據點指向與該數據點相距最近的最相鄰數據點；根據預設離群分析算法獲取初步異常檢測數據集的第一離群點集以及離群點數，以及根據預設離群分析算法、離群點數以及預設離群分析算法的局部離群因子調整距離參數值以獲取初步異常檢測數據集的第二離群點集；獲取第一離群點集與第二離群點集的交集作為網絡流量異常檢測結果。

在本發明實施例提供的網絡流量異常檢測方法中，能夠采用預設聚類分析算法對獲取的數據點分布特征進行聚類分析，將剔除聚類分析結果中的密集數據點之后的數據集作為初步異常檢測數據集，其中預設聚類分析算法中為每個數據點增加一個referrer域，referrer域中存儲有指向信息以將數據點指向與該數據點相距最近的最相鄰數據點，通過設置上述referrer域能夠將聚類分析中遠離各簇的稀疏數據點放入與該數據點相距最近的簇中，簡化聚類分析的計算過程并提升聚類分析結果的準確性；在此之后通過預設離群分析算法獲取初步異常檢測數據集的第一離群點集以及離群點數，并根據預設離群分析算法、離群點數以及預設離群分析算法的局部離群因子對初步異常檢測數據集的離群分析結果進行矯正，通過調整目標距離參數值獲取初步異常檢測數據集的第二離群點集，最后獲取第一離群點集以及第二離群點集的交集作為網絡流量異常檢測結果。上述離群分析過程中無需獲知異常點個數，因此采用上述過程使得網絡流量異常檢測結果具有較高準確性；同時初步異常檢測數據集能夠有效減少離群分析過程所要處理的數據量，提高檢測效率。