本發(fā)明提供一種面向工業(yè)互聯(lián)網(wǎng)的GSSK?means異常流量檢測方法、存儲(chǔ)器和處理器，包括：流量數(shù)據(jù)預(yù)處理：對流量數(shù)據(jù)進(jìn)行歸一化處理，并對流量數(shù)據(jù)特征優(yōu)化選擇，避免維度過高，提高異常檢測的準(zhǔn)確性。構(gòu)建異常流量檢測模型，將遺傳算法的選擇、交叉和變異操作引入樽海鞘種群更新，保證每次迭代時(shí)種群會(huì)產(chǎn)生一些新的樽海鞘個(gè)體，降低樽海鞘種群跳出局部最優(yōu)的難度。再將GSS算法與改進(jìn)的K?means算法相結(jié)合，提出GSSK?means算法，將聚類算法的適應(yīng)度函數(shù)看做是GSS算法的目標(biāo)函數(shù)，通過GSS算法求得改進(jìn)K?means算法中的最優(yōu)初始聚類中心，再對數(shù)據(jù)進(jìn)行聚類，最終得到最優(yōu)的異常流量檢測模型。該方法可以應(yīng)用在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全領(lǐng)域。

技術(shù)領(lǐng)域

本發(fā)明涉及機(jī)器學(xué)習(xí)領(lǐng)域，具體地涉及一種面向工業(yè)互聯(lián)網(wǎng)的GSSK-means異常流量檢測方法、存儲(chǔ)器和處理器。

背景技術(shù)

流量異常檢測是指以流數(shù)據(jù)為輸入，通過統(tǒng)計(jì)分析、數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)等方法，發(fā)現(xiàn)異常的數(shù)據(jù)分組和異常交互等信息。流量異常檢測過程首先需要使用sniffer、NetFlow、fprobe和flow-tools等數(shù)據(jù)流抓取工具來采集海量的數(shù)據(jù)流信息，然后從數(shù)據(jù)中提取和選擇出可用于檢測異常的數(shù)據(jù)屬性，通過對數(shù)據(jù)屬性的分析得出該數(shù)據(jù)記錄為正常或異常的結(jié)論。網(wǎng)絡(luò)流量異常檢測方法主要包括基于無監(jiān)督學(xué)習(xí)、監(jiān)督學(xué)習(xí)和半監(jiān)督學(xué)習(xí)的方法。

聚類是研究數(shù)據(jù)間邏輯上或物理上的相互關(guān)系的技術(shù)，其分析結(jié)果不僅可以揭示數(shù)據(jù)間的內(nèi)在聯(lián)系與區(qū)別，還可以為進(jìn)一步的數(shù)據(jù)分析與知識(shí)發(fā)現(xiàn)提供重要依據(jù)。聚類算法大致分為基于劃分的聚類算法、基于層次的聚類、基于網(wǎng)格的聚類、基于密度的聚類、基于模型的聚類這幾種，Macqueen提出的K-means算法是解決聚類問題的一種經(jīng)典算法，具有簡單、高效的特點(diǎn)，可以應(yīng)用于流量異常檢測。

隨著網(wǎng)絡(luò)應(yīng)用的逐漸增加，流量特征的整體復(fù)雜性不斷增加，數(shù)據(jù)采集與數(shù)據(jù)分析之間的主觀判斷差異使得異常流量檢測的準(zhǔn)確性仍有待提高。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是提供一種面向工業(yè)互聯(lián)網(wǎng)的GSSK-means異常流量檢測方法，將機(jī)器學(xué)習(xí)算法與智能優(yōu)化算法相結(jié)合，構(gòu)建高效準(zhǔn)確的異常流量檢測模型。

一方面，本發(fā)明提供了一種面向工業(yè)互聯(lián)網(wǎng)的GSSK-means異常流量檢測方法，主要包括：

S100、獲取流量數(shù)據(jù)，對數(shù)據(jù)進(jìn)行預(yù)處理；

S200、采用GSS算法和K-means算法得到最優(yōu)初始聚類中心，對流量數(shù)據(jù)進(jìn)行聚類，得到最優(yōu)的異常流量檢測模型；所述GSS算法是將遺傳算法的選擇、交叉和變異操作引入樽海鞘種群優(yōu)化算法；

S300、對模型訓(xùn)練完成后，使流量數(shù)據(jù)進(jìn)入模型，判斷是否為異常流量。

具體的，所述預(yù)處理包括歸一化處理。

具體的，所述預(yù)處理還包括獲取數(shù)據(jù)特征權(quán)重值。

具體的，所述S200具體包括：初始化樽海鞘種群，計(jì)算樽海鞘種群中每個(gè)個(gè)體的適應(yīng)度函數(shù)值，以及整個(gè)種群的平均適應(yīng)度值；如果達(dá)到迭代停止條件，則得到初始聚類中心，計(jì)算數(shù)據(jù)中心的點(diǎn)對各個(gè)聚類中心的距離，根據(jù)距離最近原則選擇距離最近的聚類中心形成類簇，計(jì)算適應(yīng)度，如果達(dá)到迭代停止條件，則得到異常流量檢測模型。

具體的，所述S300具體包括：工業(yè)互聯(lián)網(wǎng)系統(tǒng)流量數(shù)據(jù)實(shí)時(shí)采集；對流量信息進(jìn)行預(yù)處理，并送入檢測模型；計(jì)算實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)與模型中各聚類中心的距離 D_CP₀,D_CP₁,...,D_CP_k；當(dāng)實(shí)時(shí)監(jiān)控樣本點(diǎn)與各正常聚類中心的距離D_CP_i均大于設(shè)置的閾值距離時(shí)，則識(shí)別其為異常數(shù)據(jù)，進(jìn)行異常預(yù)警。

另一方面，本發(fā)明還提供一種存儲(chǔ)器，用于存儲(chǔ)軟件，其中，所述軟件用于執(zhí)行上述的方法。