[发明专利]一种离群度检测方法

权利要求书

1.一种离群度检测方法，其特征在于，包括：

在联网进行IP行为时从服务器端收集IP特征参数集合W，并将所述IP特征参数集合W写入消息中心，记为原始数据；

对所述消息中心的数据进行实时统计并将中间结果写回所述消息中心，所述中间结果包括对所述消息中心的原始数据或历史中间结果对应IP行为进行次数统计或累计；

对所述消息中心的数据进行近实时统计并将计算结果写入所述消息中心，所述计算结果包括在给定时间内对所述消息中心的原始数据或历史计算结果对应IP行为进行次数统计或累计；

获取所述计算结果并使用存在模型仓库里面的模型及参数信息库中的参数得到IP行为对应的离群度计算结果；

基于离群度检测结果判断所述IP行为是否异常，所述离群度检测结果包括所述中间结果或所述离群度计算结果。

2.如权利要求1所述的离群度检测方法，其特征在于，所述IP特征参数集合W包括：

至少一种网络信息，所述网络信息包括：IP地址信息、IP类型信息、TCP协议栈信息及通信网络类型信息；

至少一种设备信息，所述设备信息包括：设备类型信息、设备操作系统版本及型号信息、浏览器信息、设备品牌信息、设备机型信息及浏览器版本信息。

3.如权利要求1所述的离群度检测方法，其特征在于，所述原始数据为所述IP特征参数集合W中参数对应IP行为的次数统计的初始化次数。

4.如权利要求1所述的离群度检测方法，其特征在于，根据所述模型的数量，所述IP行为对应的离群度计算结果有多个。

5.如权利要求1或4所述的离群度检测方法，其特征在于，所述模型包括：置信度模型；所述参数信息库至少包括：IP行为次数对应的置信度；所述获取所述计算结果并使用存在模型仓库里面的模型及参数信息库中的参数得到IP行为对应的离群度计算结果包括：

基于所述计算结果，查询该计算结果对应IP行为对应的置信度；

基于所查询置信度计算该IP行为对应的第一离群度计算结果。

6.如权利要求5所述的离群度检测方法，其特征在于，对于数值型变量的置信度模型F(a)，定义所述IP行为对应的置信度为：

F(a)＝1-F_x(a)

其中F_x为累积分布函数，a为当前变量的取值，F_x(a)表示x小于a的概率；

对于字符型变量的置信度模型F(a)，定义所述IP行为对应的置信度为：

F(a)＝1-P(x＝a)

其中P为概率分布函数，a为当前变量的取值，P(x＝a)表示x等于a的概率；

所述第一离群度计算结果FS的计算公式为：

FS＝G(F(a))

其中，G为置信度到离群度的转换函数。

7.如权利要求1或4所述的离群度检测方法，其特征在于，所述模型包括：聚类模型；所述参数信息库至少包括：IP行为对应设备信息的分布函数、两两分布函数之间距离的定义；所述获取所述计算结果并使用存在模型仓库里面的模型及参数信息库中的参数得到IP行为对应的离群度计算结果包括：

基于计算结果获取第一特定时间内IP行为对应设备信息的分布函数；

计算所述特定时间内之分布函数与所定义历史分布函数之间的距离，得到该IP行为对应的第二离群度计算结果。

8.如权利要求7所述的离群度检测方法，其特征在于，定义分布函数f、g之间的距离为：

D(f，g)＝(∑|f(i)-g(i)|^p)^1/p

所述第二离群度计算结果FS’的计算公式如下：

FS′＝G(D(f，g))

其中f，g为需要计算距离的概率分布函数；i为所有可能的取值；p为正整数，表示距离的乘方数；G为置信度到离群度的转换函数。