[发明专利]一种异常IP识别方法、系统及计算机设备

权利要求书

1.一种异常IP识别方法，其特征在于，包括：

数据获取步骤，用于实时获取一服务端的流量数据，并统计一间隔时间所述流量数据中各IP的流量次数；

数据量化步骤，用于将所述流量次数进行离散化处理后，计算并存储其不同时间段的信息熵为信息熵熵值的时间序列；

异常IP识别步骤，用于获取一已知异常IP组并结合所述已知异常IP组通过数据挖掘算法对所述时间序列进行特征挖掘，识别得到异常IP；

其中，所述数据量化步骤进一步包括：

数据离散化步骤，用于将所述各IP的流量次数进行离散化处理，得到离散化的流量次数；

信息熵序列化步骤，用于基于离散化的流量次数计算不同时间段流量次数的信息熵，存储所述信息熵熵值为所述时间序列，利用信息熵表示IP流量次数随时间的不确定性。

2.如权利要求1所述的异常IP识别方法，其特征在于，所述异常IP识别步骤进一步包括：

已知异常IP组获取步骤，用于获取一组已知异常IP；

数据挖掘步骤，用于通过K-Means算法对所述信息熵熵值的时间序列进行特征挖掘，得到多个类别及其聚类中心；

异常IP标注步骤，用于计算所述已知异常IP与每一类别的所述聚类中心的平均距离，并将平均距离最小的类别标注为异常IP类别，从而得到异常IP。

3.如权利要求2所述的异常IP识别方法，其特征在于，所述数据挖掘步骤进一步包括：

聚类中心获取步骤，用于设定一聚类类别数k，并随机选取k个样本作为聚类中心；

样本归类步骤，用于计算每一所述样本到所述k个聚类中心的距离，并将其分到距离最小聚类中心所对应的类中；

聚类中心更新步骤，用于重新计算每一类别的聚类中心；

结果迭代步骤，用于重复所述样本归类步骤、聚类中心更新步骤，直至所有的聚类中心变化范围小于一设定阈值。

4.如权利要求3所述的异常IP识别方法，其特征在于，所述数据离散化步骤的离散化采用但不限于等宽法。

5.一种异常IP识别系统，其特征在于，包括：

数据获取模块，用于实时获取一服务端的流量数据，并统计一间隔时间所述流量数据中各IP的流量次数；

数据量化模块，用于将所述流量次数进行离散化处理后，计算并存储其不同时间段的信息熵为信息熵熵值的时间序列；

异常IP识别模块，用于获取一已知异常IP组并结合所述已知异常IP组通过数据挖掘算法对所述时间序列进行特征挖掘，识别得到异常IP；

其中，所述数据量化模块进一步包括：

数据离散化模块，用于将所述各IP的流量次数进行离散化处理，得到离散化的流量次数；

信息熵序列化模块，用于基于离散化的流量次数计算不同时间段的流量次数的信息熵，存储所述信息熵熵值为所述时间序列，利用信息熵表示IP流量次数随时间的不确定性。

6.如权利要求5所述的异常IP识别系统，其特征在于，所述异常IP识别模块进一步包括：

已知异常IP组获取模块，用于获取一组已知异常IP；

数据挖掘模块，用于通过K-Means算法对所述信息熵熵值的时间序列进行特征挖掘，得到多个类别及其聚类中心；

异常IP标注模块，用于计算所述已知异常IP与每一类别的所述聚类中心的平均距离，并将平均距离最小的类别标注为异常IP类别，从而得到异常IP。

7.如权利要求6所述的异常IP识别系统，其特征在于，所述数据挖掘模块进一步包括：

聚类中心获取模块，用于设定一聚类类别数k，并随机选取k个样本作为聚类中心；

样本归类模块，用于计算每一所述样本到所述k个聚类中心的距离，并将其分到距离最小聚类中心所对应的类中；

聚类中心更新模块，用于重新计算每一类别的聚类中心；

结果迭代模块，用于重复所述样本归类模块、聚类中心更新模块的计算，直至所有的聚类中心变化范围小于一设定阈值。

8.一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的异常IP识别方法。