技术特征:
1.一种基于主机数据流特征提取的网络数据流异常检测方法,其特征在于,方法步骤如下:s1、获取待检测主机的历史流量数据集;s2、对历史流量数据集进行预处理;预处理内容包括缺失值处理、格式与内容处理、去除重复的数据和噪音数据的处理;s3、对预处理后的历史流量数据集进行数据流特征提取:从n维度对历史流量数据集中的流量特征属性进行选取,并定义,再将定义后的特征属性一一对应映射到k维上,获得新的数据流量特征;s4、对上述的新的数据流量特征取平均值;s5、以s4中的平均值为基础,建立偏差计算模型;s6、将所有新的数据流量特征带入偏差计算模型,计算出所有新的数据流量特征的偏差;s7、进行偏差汇总,得到偏离集合,设定偏离阈值;s8、进行流量异常检测时,获取实时的数据流特征;s9、将实时的数据流特征带入偏差计算模型,得到实时偏差;s10、根据偏离阈值判断实时偏差的偏离情况,超出阈值时,判断为网络数据流异常,在阈值范围内,判断为网络数据流量正常。2.根据权利要求1所述的一种基于主机数据流特征提取的网络数据流异常检测方法,其特征在于,s1中的历史流量数据集包括多个特定时间段内,所有时间窗口的报文传输类型、报文传输数量、报文传输速度和报文传输内容。3.根据权利要求1所述的一种基于主机数据流特征提取的网络数据流异常检测方法,其特征在于,在s2中,缺失值处理需要根据缺失率和重要性,去除字段、填充缺失值、重新取数据。4.根据权利要求1所述的一种基于主机数据流特征提取的网络数据流异常检测方法,其特征在于,检测后,将异常网络数据流存入数据库,并对偏差计算模型进行优化。