[发明专利]计算机网络异常检测的方法

说明书

本发明公开一种计算机网络异常检测方法、系统及移动终端，异常检测方法包括步骤：从计算机网络事务中获取事件；从事件中同时提取多个特征并输出；将输出的多个特征与已学习趋势作比较，得到异常；对异常进行判断与推理，根据判断与推理发出警报与操作；多个特征包括包含实数的连续值型特征和呈现为集合的有限集型特征；已学习趋势包括一系列连续值型特征。本发明提供的计算机网络异常检测方法及系统，能够检测不可预见类型的网络威胁和其他网络相关问题，异常的检测的准确率提高。

技术领域

本发明涉及计算机网络异常的检测技术领域，更具体地说，本发明涉及一种计算机网络异常检测的方法、系统及移动终端。

背景技术

随着计算机网络的迅速发展，网络威胁和其他网络相关问题日益增多，如网络攻击、数据盗窃、病毒、蠕虫、恶意端口扫描活动等网络威胁的作用速度更快、变化速率更快、更加复杂。当前，尽管有外围防御，网络威胁还是会通过计算机网络直接潜入，因此出现了很多威胁检测工具。

传统的检测包含简单的或者深度的数据包检测，通常可以被归类为入侵检测防护设备或者防病毒系统。这些设备以特征的形式设置了威胁数据库，让威胁数据库的特征和计算机网络传输的数百万个工具包进行匹配。由于特征创造过程是人为操作的，出现新的网络威胁特征，或者网络威胁特征发生变化，威胁数据库就不能及时创造出这些新型特征。

另一个传统检测是通过监测流量率来检测异常。流量监测异常的方法会产生大量的错误警报，因为与威胁无关的许多原因会导致流量的变化率或者其他可观察量的发生。另外，传统的流量异常检测系统起初是用来检测在预设定行为中的变化，所以传统的异常检测系统是不用来检测新型网络威胁的。

发明内容

针对上述技术中存在的不足之处，本发明提供一种计算机网络异常检测方法、系统及移动终端，能够检测不可预见类型的网络威胁和其他网络相关问题，异常的检测的准确率提高。

为了实现根据本发明的这些目的和其它优点，本发明通过以下技术方案实现：

本发明提供一种计算机网络异常检测方法，其包括步骤：

从计算机网络事务中获取事件；

从所述事件中同时提取多个所述特征并输出；

将输出的多个所述特征与已学习趋势作比较，得到异常；对所述异常进行判断与推理，根据所述判断与推理发出警报与操作；

其中，多个所述特征包括包含实数的连续值型特征和呈现为集合的有限集型特征；所述已学习趋势包括一系列所述连续值型特征。

优选的是，获取的所述事件包括一个事件或将一系列事件按照事件之间的逻辑关系进行捆绑形成的事件捆绑。

优选的是，获取所述事件，包括步骤：

收集计算机网络事务中的数据包；

将所述数据包按照事务属性分类存储于数据结构中，形成所述事件。

优选的是，获取所述事件，还包括步骤：从其他来源获取所述事件。

优选的是，获取所述事件后，还包括步骤：对所述事件进行聚合、选择以及过滤处理。

优选的是，提取所述特征，包括步骤：

从所述事件中提取所述数据结构各字段之间的交互相关；或，

从所述事件中提取所述数据结构各行之间的顺序相关。

优选的是，多个所述特征输出，包括步骤；

将所述连续值型特征从所述有限集型特征中分离出来；

将分离后的有限集型特征转化成学习趋势模块的地址；