1.一種基于網(wǎng)絡流量報文的異常檢測和攻擊發(fā)起者分析系統(tǒng)，其特征在于，該系統(tǒng)包括數(shù)據(jù)屬性提取模塊、攻擊者群類特征生成模塊以及攻擊檢測模塊；

所述的數(shù)據(jù)屬性提取模塊用于從防火墻網(wǎng)關截獲網(wǎng)絡流量的原始報文數(shù)據(jù)，并且根據(jù)截獲的原始報文數(shù)據(jù)提取網(wǎng)絡流速，解析報文信息生成基礎屬性特征，并且將這些屬性特征存儲在數(shù)據(jù)庫；

所述的攻擊者群類特征生成模塊先對原始數(shù)據(jù)標準化處理，標準化處理時，首先丟棄無效數(shù)據(jù)，然后判斷數(shù)據(jù)類型，統(tǒng)一非數(shù)字類型數(shù)據(jù)的格式標準，正規(guī)化部分數(shù)據(jù)，數(shù)字化部分枚舉類型；然后通過結(jié)合多個原始數(shù)據(jù)屬性計算數(shù)據(jù)的復雜屬性，采用分類器交叉驗證，根據(jù)最優(yōu)結(jié)果分配各個屬性的權重，最后采用聚類算法的交叉驗證，引入無監(jiān)督機器學習聚類指標，采取聚類指標得分最高的聚類模型得出攻擊者群類特征聚類；

所述的攻擊檢測模塊用于對所有觸發(fā)自定義規(guī)則的網(wǎng)絡流量報文進行攻擊群類特征的匹配分析和攻擊者群類特征的增量修正；

其中，所述的攻擊檢測模塊進行攻擊群類特征的匹配分析時，首先根據(jù)新攻擊標準化、復雜屬性計算得到的屬性特征，計算其與現(xiàn)有的不同攻擊群類特征簇質(zhì)心的映射距離，映射距離不超過最大閾值時，歸于映射距離最小的攻擊群類特征中；

所述的攻擊檢測模塊進行攻擊者群類特征的增量修正時，對于所述的映射距離大于最大閾值的攻擊特征，生成新的攻擊群類簇，并將其添加至現(xiàn)有攻擊群類特征中，如此循環(huán)更新特征群類簇的質(zhì)心。