[发明专利]智能音箱网络流量异常的检测方法、系统、设备和介质

权利要求书

1.一种智能音箱网络流量异常的检测方法，其特征在于，所述方法包括：

采集智能音箱网络流量数据；

对所述智能音箱网络流量数据进行预处理，得到特征数据集；

对所述特征数据集中的特征进行Hurst指数估计，根据Hurst值选取异常检测的特征；其中，所述进行Hurst指数估计分别采用重标度极差分析法、方差时间法和迭代估计算法；

根据所述异常检测的特征，对待测智能音箱网络流量进行异常检测。

2.根据权利要求1所述的检测方法，其特征在于，所述对所述特征数据集中的特征进行Hurst指数估计，根据Hurst值选取异常检测的特征，具体包括：

剔除所述特征数据集中的最值特征，得到剔除后特征数据集；

分别采用所述重标度极差分析法、方差时间法和迭代估计算法对所述剔除后特征数据集中的特征进行Hurst指数估计，分别得到相应的Hurst值；

若所述剔除后特征数据集中的任意一个特征，分别采用所述重标度极差分析法、方差时间法和迭代估计算法得到的Hurst值均超过设定范围，则将其从所述剔除后特征数据集中剔除；

同时将数据流持续时间为单点属性、不具备连续性的特征也从所述剔除后特征数据集中剔除，得到的剔除后特征数据集中的特征即为异常检测的特征。

3.根据权利要求2所述的分类方法，其特征在于，所述设定范围为(0，1)。

4.根据权利要求1所述的分类方法，其特征在于，所述智能音箱网络流量数据被保存为PCAP文件，其中每行数据表示一个网络数据包，所述网络数据包包括源端口号、目标端口号、源IP地址、目标IP地址、Unix时间戳、数据包载荷大小和协议类型信息。

5.根据权利要求4所述的检测方法，其特征在于，所述预处理包括流量聚合和特征处理，其中：

所述流量聚合，读取PCAP文件，获取单个数据包的五元组信息；以所述五元组信息为依据，根据传输协议中的SYN和FIN标志位进行流切割，从而保存完整的网络流，得到双向流；

所述特征处理，将所述双向流中的数据转化为特征向量格式，再将双向流分为两个方向的单向流；根据流量数据包长度、载荷以及时间戳的统计特征，分别对双向流和单向流中的数据进行特征提取，特征数据集。

6.根据权利要求1所述的检测方法，其特征在于，所述根据所述异常检测的特征，对待测智能音箱网络流量进行异常检测，具体包括：

对待测智能音箱网络流量数据进行预处理，得到特征数据集；

对所述特征数据集中异常检测的特征进行Hurst指数估计，根据Hurst值确定待测智能音箱网络流量的异常。

7.根据权利要求1～6任一项所述的检测方法，其特征在于，所述采集智能音箱网络流量数据，通过将交换机的流量镜像到流量采集主机，在采集主机上运行采集程序Wireshark，从而实现智能音箱网络流量数据的采集。

8.一种智能音箱网络流量的分类系统，其特征在于，所述系统包括：

数据采集模块，用于采集智能音箱网络流量数据；

数据预处理模块，用于对所述智能音箱网络流量数据进行预处理，得到特征数据集；

异常检测特征选取模块，用于对所述特征数据集中的特征进行Hurst指数估计，根据Hurst值选取异常检测的特征；其中，所述进行Hurst指数估计分别采用重标度极差分析法、方差时间法和迭代估计算法；

异常检测模块，用于根据所述异常检测的特征，对待测智能音箱网络流量进行异常检测。

9.一种电子设备，包括处理器以及用于存储处理器可执行程序的存储器，其特征在于，所述处理器执行存储器存储的程序时，实现权利要求1-7任一项所述的检测方法。

10.一种存储介质，存储有程序，其特征在于，所述程序被处理器执行时，实现权利要求1-7任一项所述的检测方法。