[发明专利]基于网络流结构特征融合的异常流量检测方法及装置

权利要求书

1.一种基于网络流结构特征融合的异常流量检测方法，其特征在于，包括：

获取待检测的网络流；

将所述待检测的网络流输入至预设的预判器，得到与所述待检测的网络流对应的判断结果；

若与所述待检测的网络流对应的判断结果为所述待检测的网络流能够仅依靠网络流结构特征进行检测，则将所述待检测的网络流输入至预设的网络流结构特征检测器进行所述待检测的网络流的检测，并确定异常网络流量检测结果；

若与所述待检测的网络流对应的判断结果为所述待检测的网络流不能够仅依靠网络流结构特征进行检测，则将所述待检测的网络流输入至预设的全特征检测器进行所述待检测的网络流的检测，并确定异常网络流量检测结果；所述预设的全特征检测器为基于网络流特征和网络流结构特征构建的检测器；

所述网络流的网络流结构特征采用源节点和目的节点分别在网络通信图中的出度与入度组成的四维向量来表示，且使用过去一段时间网络流形成的网络结构，来表示当前时刻网络流结构。

2.根据权利要求1所述的基于网络流结构特征融合的异常流量检测方法，其特征在于，所述预设的网络流结构特征检测器，包括：

获取数据集的网络流特征；所述网络流特征包括网络流的标识特征和统计特征；

基于所述网络流的标识特征提取网络流的结构特征；

基于所述网络流的结构特征采用KNN分类算法构建预设的网络流结构特征检测器。

3.根据权利要求1所述的基于网络流结构特征融合的异常流量检测方法，其特征在于，所述预设的全特征检测器，包括：

获取数据集的网络流特征；所述网络流特征包括网络流的标识特征和统计特征；

基于所述网络流的标识特征提取网络流的结构特征；

基于所述网络流的结构特征和所述网络流特征组成全特征向量；

基于所述全特征向量采用KNN分类算法构建预设的全特征检测器。

4.根据权利要求2或3所述的基于网络流结构特征融合的异常流量检测方法，其特征在于，所述网络流的标识特征包括源节点的IP地址、目的节点的IP地址、时间戳、源端口和目的端口。

5.根据权利要求1所述的基于网络流结构特征融合的异常流量检测方法，其特征在于，所述预设的预判器，包括：

使用预设的网络流结构特征检测器和预设的全特征检测器的测试结果构建数据集；

基于所述数据集采用KNN分类算法构建预设的预判器；

若所述预设的预判器输出结果为0，则表示输入的网络流能够仅依靠网络流结构特征进行检测；

若所述预设的预判器输出结果为1，则表示输入的网络流不能够仅依靠网络流结构特征进行检测。

6.一种基于网络流结构特征融合的异常流量检测装置，其特征在于，包括：

获取模块，用于获取待检测的网络流；

预判模块，用于将所述待检测的网络流输入至预设的预判器，得到与所述待检测的网络流对应的判断结果；

检测模块，用于若与所述待检测的网络流对应的判断结果为所述待检测的网络流能够仅依靠网络流结构特征进行检测，则将所述待检测的网络流输入至预设的网络流结构特征检测器进行所述待检测的网络流的检测，并确定异常网络流量检测结果；若与所述待检测的网络流对应的判断结果为所述待检测的网络流不能够仅依靠网络流结构特征进行检测，则将所述待检测的网络流输入至预设的全特征检测器进行所述待检测的网络流的检测，并确定异常网络流量检测结果；所述预设的全特征检测器为基于网络流特征和网络流结构特征构建的检测器；

所述网络流的网络流结构特征采用源节点和目的节点分别在网络通信图中的出度与入度组成的四维向量来表示，且使用过去一段时间网络流形成的网络结构，来表示当前时刻网络流结构。