[发明专利]一种基于聚类算法的异常行为检测的方法

权利要求书

1.一种基于聚类算法的异常行为检测的方法，其特征在于包括以下步骤：

A、基于采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本；对设备的综合信息采样样本采样点进行分类，形成各个设备的行为模型；

利用网络中部署的探针设备采集网络流量，在学习阶段，周期性地对网络中的每台设备的连接建立频率进行采样，形成各个设备连接建立频率采样样本，如下表所示，

设备	连接建立频率采样样本
设备1	1,1,F1,2,……F1,N-1,F1,N}]]>
设备2	2,1,F2,2,……F2,N-1,F2,N}]]>
…	…
设备M	M,1,FM,2,……FM,N-1,FM,N}]]>

其中，F_M,N表示设备M的连接建立频率采样样本中的第N个采样点；

利用网络中部署的探针设备采集网络流量，在学习阶段，对网络中的每台设备的连接持续时间进行采样，经过一段时间的采样，形成各个设备连接持续时间采样样本，如下表所示，

其中，T_M,N表示设备M的平均连接持续时间采样样本中的第N个采样点；

利用网络中部署的探针设备采集网络流量，在学习阶段，周期性地对网络中的每台设备的流量带宽进行采样，经过一段时间的采样，形成各个设备流量带宽采样样本，如下表所示，

设备	流量带宽采样样本
设备1	1,1,B1,2,……B1,N-1,B1,N}]]>
设备2	2,1,B2,2,……B2,N-1,B2,N}]]>
…	…
设备M	M,1,BM,2,……BM,N-1,BM,N}]]>

其中，B_M,N表示设备M的流量带宽采样样本中的第N个采样点；

将采集到的针对设备的连接建立频率，平均连接持续时间，流量带宽采样信息，形成综合信息采样样本，如下表所示，

其中S_M,N是设备M的综合信息采样样本中的第N个采样点，并且S_M,N＝{F_M,N,T_M,N,B_M,N}；

对设备的综合信息采样样本采样点进行分类包括以下步骤，

随机选择K个点作为初始的质心点，当任意一个点的簇分配结果发生改变时，计算每一个质心与每一个采样点的距离，将采样点分配到距离最近的簇，对每一个簇，计算簇中所有点的均值，并将均值作为质心；

通过轮廓系数来确定K的取值，

对于每个采样点x⁽ⁱ⁾，计算点x⁽ⁱ⁾与其同一个簇内的所有其他采样点距离的平均值，记作a⁽ⁱ⁾，用于量化簇内的凝聚度；

选取x⁽ⁱ⁾外的一个簇b，计算x⁽ⁱ⁾与b中所有点的平均距离，遍历所有其他簇，找到最近的这个平均距离,记作b⁽ⁱ⁾，即为x⁽ⁱ⁾的邻居类，用于量化簇之间分离度；

对于采样点x⁽ⁱ⁾，轮廓系数q⁽ⁱ⁾＝(b⁽ⁱ⁾-a⁽ⁱ⁾)/max(a⁽ⁱ⁾，b⁽ⁱ⁾)；

计算所有采样点x⁽ⁱ⁾的轮廓系数，求出平均值即为整体轮廓系数，度量数据聚类的紧密程度；

建立设备的行为模型包括以下步骤，

计算出每一类采样点中点到该类质心的欧氏距离的均值，标准差，最大值；

该类采样点到该类质心的欧氏距离的均值计算方法如下：

该类采样点到该类质心的欧氏距离的标准差计算方法如下：

该类采样点到该类质心的欧氏距离的最大值计算方法如下：

ED_max＝max{||x₁-μ_j||，||x₂-μ_j||，......||x_m-μ_j||}，

其中，x_i为第i个采样点，μ_j为第j类质心，m为采样点数量；

针对某个具体的设备，可得到如下信息：

类别	所包含采样点	类别质心	欧氏距离标准差	欧氏距离最大值
1	1,1,x1,2,…x1,m1}]]>	1]]>	ED1]]>	1max]]>
2	2,1,x2,2,…x2,m2}]]>	2]]>	ED2]]>	2max]]>
…	…	…	…	…
j	j,1,xj,2,…xj,mj}]]>	j]]>	EDj]]>	jmax]]>
…	…	…	…	…
K	k,1,xk,2,…xk,mk}]]>	k]]>	EDk]]>	kmax]]>

；

B、利用上述设备的行为模型，针对新的采样点进行异常行为检测；

计算该新的采样点到各个分类的质心的欧氏距离，与该新的采样点欧氏距离最小的质心所在的类，即为该新的采样点所属的类，判断该新的采样点与其所属类的质心的欧氏距离是否大于该新的采样点到各个分类的质心的欧氏距离最大值与2倍的欧氏距离标准差之和，如果出现了大于的情况，则认为该新的采样点为异常采样点，否则认为该新的采样点为正常采样点。