[发明专利]网络异常事件分析装置、方法及其电脑存储介质

权利要求书

1.一种网络异常事件分析装置，其特征在于，包含：

一储存器，储存多笔网络状态数据，其中各该网络状态数据包含多个网络特征值；以及

一处理器，电性连接至该储存器，借由以一降维算法分析该等网络状态数据所包含的该等网络特征值而将各该网络状态数据降维为一主成分数据，选取该主成分数据的一第一子集作为多笔训练数据，借由以一分类算法将该等训练数据分类为多笔第一正常数据及多笔第一异常数据以得一分类模型，借由以一分群算法将该等第一异常数据分群为多个第一异常群组以得一分群模型，

其中，该处理器选取该等主成分数据的一第二子集作为多笔测试数据，以该等测试数据测试该分类模型及该分群模型以得一准确率，判断该准确率未达到一门槛值，于判断该准确率未达到该门槛值后选取该等主成分数据的一第三子集作为多笔确认数据，借由以该分类算法将该等确认数据分类为多笔第二正常数据及多笔第二异常数据以更新该分类模型，借由以该分群算法将该等第二异常数据分群为多个第二异常群组以更新该分群模型，以及输出更新后的该分类模型及更新后的该分群模型。

2.如权利要求1所述的网络异常事件分析装置，其特征在于，该处理器计算各该主成分数据与该分类模型的一距离，且该处理器是自该等主成分数据中选取该距离小于一门槛值者作为该等确认数据。

3.如权利要求1所述的网络异常事件分析装置，其特征在于，各该主成分数据具有一时间信息，该处理器根据该等时间信息将该等主成分数据区分为多个群组，其中该处理器是自各群组选取至少一主成分数据作为该等确认数据。

4.如权利要求1所述的网络异常事件分析装置，其特征在于，各该主成分数据具有一区域信息，该处理器根据该等区域信息将该等主成分数据区分为多个群组，该处理器是自各群组选取至少一主成分数据作为该等确认数据。

5.如权利要求1所述的网络异常事件分析装置，其特征在于，该降维算法为一高相关滤波法、一随机森林法、一前向特征构造法、一反向特征消除法、一缺失值比率法、一低方差滤波法及一主成分分析法其中之一。

6.如权利要求1所述的网络异常事件分析装置，其特征在于，该分类算法为一支持向量机、一线性分类法及一K位最近邻居法其中之一。

7.如权利要求1所述的网络异常事件分析装置，其特征在于，该分群算法为一K均值法、一聚合式分群法及一分列式分群法其中之一。

8.一种网络异常事件分析方法，适用于一电子计算装置，该电子计算装置储存多笔网络状态数据，各该网络状态数据包含多个网络特征值，其特征在于，该网络异常事件分析方法包含下列步骤：

借由以一降维算法分析该等网络状态数据所包含的该等网络特征值而将各该网络状态数据降维为一主成分数据；

选取该主成分数据的一第一子集作为多笔训练数据；

借由以一分类算法将该等训练数据分类为多笔第一正常数据及多笔第一异常数据以得一分类模型；

借由以一分群算法将该等第一异常数据分群为多个第一异常群组以得一分群模型；

选取该等主成分数据的一第二子集作为多笔测试数据；

以该等测试数据测试该分类模型及该分群模型以得一准确率；

判断该准确率未达到一门槛值；

于判断该准确率未达到该门槛值后，选取该等主成分数据的一第三子集作为多笔确认数据；

借由以该分类算法将该等确认数据分类为多笔第二正常数据及多笔第二异常数据以更新该分类模型；

借由以该分群算法将该等第二异常数据分群为多个第二异常群组以更新该分群模型；以及

输出更新后的该分类模型及更新后的该分群模型。

9.如权利要求8所述的网络异常事件分析方法，其特征在于，包含下列步骤：

计算各该主成分数据与该分类模型的一距离；以及

自该等主成分数据中选取该距离小于一门槛值者作为该等确认数据。