[发明专利]一种基于智能终端的异常流量分析方法及装置

权利要求书

1.一种基于智能终端的异常流量分析方法，其特征在于，包括：

收集物联网设备的流量数据；

对所述流量数据进行处理得到预测数据集；

利用预设流量分析模型对所述预测数据集进行分析，确定所述流量数据是否存在异常；

当确定所述流量数据存在异常时，根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图。

2.根据权利要求1所述的方法，其特征在于，预设流量分析模型的获取方式包括：

通过在设备端安装agent的方式，实时或定时向云端服务器上报流量数据；

云端服务器收集设备正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据；

对收集到的流量数据，记录所述流量数据所属的类别；

分别对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理，完成特征提取，得到特征数据集；

对所述特征数据集进行拆分得到训练集和测试集；

使用所述训练集和所述测试集对流量分析模型进行训练和验证得到预设流量分析模型。

3.根据权利要求2所述的方法，其特征在于，对正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行处理包括：

对收集到的正常运行状态下的流量数据和受恶意控制后发起DDoS攻击状态下的流量数据进行清洗；

对清洗后的流量数据进行格式转换，转换为每个流量包的描述数据；

对转换后的描述数据按照预设维度进行汇聚。

4.根据权利要求2所述的方法，其特征在于，使用所述特征数据对流量分析模型进行训练和验证得到预设流量分析模型包括：

利用训练集的特征数据对流量分析模型进行训练；并记录流量分析模型的各项评估指标；

根据评估指标优劣调整流量分析模型的参数获得测试测试流量分析模型；

使用测试集的特征数据对所述测试流量分析模型进行验证；

若测试流量分析模型的各项评估指标达到期望值，则将所述测试流量分析模型作为预设流量分析模型；否则，重新调整流量分析模型的算法及其参数，得到各项评估指标达到期望值的预设流量分析模型。

5.根据权利要求2所述的方法，其特征在于，还包括：当确定所述流量数据存在异常时，发出告警。

6.根据权利要求1所述的方法，其特征在于，根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图包括：

对收集到的攻击数据算法分析得到恶意控制端ip和攻击目标ip；

通过ip白名单对分析得到的恶意控制端ip和攻击目标ip数据进行确认与优化；

统计得到设备与恶意控制端ip、攻击目标ip的流量交互过程中的参数及攻击类型，绘制恶意网络流量拓扑图；

所述流量交互过程中的参数包括以下的的一项或者多项：

数据包种类、流量大小、攻击开始时间与攻击结束时间。

7.一种基于智能终端的异常流量分析装置，其特征在于，包括：

搜集模块，设置为收集物联网设备的流量数据；

处理模块，设置为对所述流量数据进行处理得到预测数据集；

分析模块，设置为利用预设流量分析模型对所述预测数据集进行分析，确定所述流量数据是否存在异常；

拓扑模块，设置为当确定所述流量数据存在异常时，根据所述流量数据对应的恶意控制端信息确定恶意网络流量拓扑图。