[发明专利]一种基于业务流量空间图的网络异常数据挖掘方法

说明书

本发明提供一种基于业务流量空间图的网络异常数据挖掘方法，包括如下步骤:分析业务流量特征；根据部门间的业务流量形成业务流量矩阵，其中，业务流量矩阵中的每个元素代表两部门之间的业务流量可达关系；根据业务流量特征识别流量数据的具体业务数据并对业务流量矩阵进行初始化；通过对部门间的业务流量数据进行检测判断，进行业务流量矩阵的刷新；业务流量矩阵中表示部门之间流量可达占比变化低于设定阈值时视为网络关系确定，完成网络异常数据的筛选。

技术领域

本发明涉及数据挖掘技术领域，具体涉及一种基于业务流量空间图的网络异常数据挖掘方法。

背景技术

随着国内各行业、部门间的数据不断融合，相互之间的沟通交流数据形成了大数据。能否实时、准确发现这些存在在各行业、部门中及之间的泄密窃密事件，已经成为相关安全部门关注的焦点。

国内各安全厂商和行业研究机构针对上述安全问题，推出了一系列的数据挖掘和数据分析方法，取得了丰硕的成果，解决了大量的信息安全问题。这其中基于流量异常的数据挖掘分析方法较为前沿，但是随着信息技术的飞速发展，流量数据变的越来越复杂，传统的流量分析方法呈现自身的不足：

1.面向设备单一，如：单个终端上的出现的攻击或异常；

2.未全局统筹考虑，如：单个设备或者非常小的局域网上的异常流量；

3.人为处理工作量巨大，准确率不高，如：基于概率的流量分析；

所以当前需要一种解决行业结合全网、准确率高的基于异常流量的数据挖掘方法。

发明内容

为了克服上述现有技术中的不足，本发明提供一种基于业务流量空间图的网络异常数据挖掘方法，以解决上述技术问题。

本发明的技术方案是：

一种基于业务流量空间图的网络异常数据挖掘方法，包括如下步骤:

分析业务流量特征；

根据部门间的业务流量形成业务流量矩阵，其中，业务流量矩阵中的每个元素代表两部门之间的业务流量可达关系；

根据业务流量特征识别流量数据的具体业务数据并对业务流量矩阵进行初始化；

通过对部门间的业务流量数据进行检测判断，进行业务流量矩阵的刷新；

业务流量矩阵中表示部门之间流量可达占比变化低于设定阈值时视为网络关系确定，完成网络异常数据的筛选。

进一步的，步骤分析业务流量特征，包括：

通过分析部门之间的业务往来的业务特征梳理出具体业务形成用向量表示的流量特征集合，其中，全部符合流量特征的流量为业务流量。

进一步的，步骤根据部门间的业务流量形成初始化的业务流量矩阵，包括：

将多部门之间的业务流量形成一个有向网状结构即业务流量矩阵；

其中，多部门之间B_i业务流量可达性用业务流量矩阵表示如下：

n_ij代表部门P_i和部门P_j之间的可达关系，值为0表示不可达，1为表示可达；

将全部的业务流量矩阵BN初始化为零矩阵。

进一步的，步骤根据业务流量特征识别流量数据的具体业务数据并对业务流量矩阵进行对应关系值的填充，之前包括：

获取流量采集设备采集的流量数据，其中，流量数据中包含源目的IP信息以及IP属于的部门信息。