[发明专利]一种基于PAM聚类算法的网络异常流量检测方法有效
| 申请号: | 201610416192.3 | 申请日: | 2016-06-15 |
| 公开(公告)号: | CN106101102B | 公开(公告)日: | 2019-07-26 |
| 发明(设计)人: | 何道敬;倪谢俊 | 申请(专利权)人: | 华东师范大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 上海麦其知识产权代理事务所(普通合伙) 31257 | 代理人: | 董红曼 |
| 地址: | 200062 上*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于改进PAM聚类算法的网络流量异常检测方法,包括:流量采集阶段:通过网络分析工具监听网络获取网络数据包;特征提取阶段:提取网络数据包的属性,对一时间段内的网络数据包的属性分别进行信息熵值计算,得到多条多维数据记录;中心选择阶段:根据多维数据记录采用PAM聚类方法对网络数据包的数据点进行聚类,获取近似聚类中心后,通过近似聚类中心选择精确聚类中心;离群点判定阶段:设定阈值,筛选出精确聚类中心距离和局部利群因子均高于阈值的数据点得到离群的异常数据。该方法将改进的PAM聚类算法运用到异常流量检测中去,在继承了聚类无需标记的优势的同时,也降低算法需要的运行时间,具备处理更多数据的能力。 | ||
| 搜索关键词: | 一种 基于 pam 算法 网络 异常 流量 检测 方法 | ||
【主权项】:
1.一种基于PAM聚类算法的网络异常流量检测方法,其特征在于,包括如下阶段:流量采集阶段:通过网络分析工具监听网络获取网络数据包;特征提取阶段:提取所述网络数据包的属性,对一时间段内的网络数据包的属性分别进行信息熵值计算,得到多条多维数据记录;中心选择阶段:根据多维数据记录采用PAM聚类方法对所述网络数据包的数据点进行聚类,获取近似聚类中心后,通过所述近似聚类中心选择精确聚类中心;所述中心选择阶段包括下述步骤:c1.将所述多维数据记录及所述网络数据包导入系统中用于聚类分析;c2.对所述网络数据包进行抽样,并根据抽出的数据点对其他所有数据点进行邻域内密度值计算,得到数据点的密度值;c3.对数据点按密度值进行排序,依次挑出密度最高且离更高密度样本之间距离超过距离阈值的多个数据点;根据密度排序的第一个数据点作为第一个近似聚类中心,依次计算选择密度次高的样本与所述近似聚类中心的距离值;c4.根据已获取近似聚类中心,为其选择半径并从半径里的数据点里选择候选聚类中心,重复上述操作直至得到精确聚类中心;离群点判定阶段:设定阈值,筛选出所述精确聚类中心距离和局部利群因子均高于所述阈值的数据点,得到离群的异常数据;所述离群点判定阶段包括以下步骤:d1.将成员离其聚类中心较远的数据点选择出来,作为候选离群点;d2.将同时具有较高的局部利群因子的数据点选择出来,作为最终的选择出来的离群点。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华东师范大学,未经华东师范大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610416192.3/,转载请声明来源钻瓜专利网。
