一种基于机器学习的网络流量异常检测方法与流程

本发明涉及网络流量异常检测，具体而言，涉及一种基于机器学习的网络流量异常检测方法。

背景技术：

1、随着网络技术的快速发展，网络流量数据量呈爆炸性增长，如何有效地检测出异常流量成为网络安全领域的重要问题，传统的异常检测方法主要基于固定的规则或模型，对于复杂多变的网络流量往往难以准确检测，因此，急需一种能够自适应学习并准确检测网络流量异常的方法。

2、现有的网络流量异常检测方法中还存在以下几个方面的问题：1、当前网络流量异常检测中可以识别出异常终端设备ip，但未结合在线时长、消耗流量和流量传输速度对异常终端设备ip的流量异常预警情况进行深度分析，一些恶意行为或异常流量模式可能隐藏在更深层次的网络流中，仅通过ip地址分析可能无法发现这些异常，无法更准确地检测和预警潜在的流量异常，同时缺乏全面的流量异常分析可能导致应对策略的局限性。

3、2、当前可以检测出流量异常的终端设备，但对各异常终端设备的流量异常类型未进行深度分析，即未对异常运行app或者异常访问网页网址的确认进行深度分析，不知道异常流量的具体类型，就无法制定针对性的措施来处理或缓解问题，没有深度分析，检测和预防流量异常的效率可能会降低，可能需要更多的时间和资源来定位和解决问题，从而增加了运营成本和风险，同时异常的app或网页访问可能导致网络延迟、数据泄露或其他不良的用户体验问题。

技术实现思路

1、鉴于此，为解决上述背景技术中所提出的问题，现提出一种基于机器学习的网络流量异常检测方法。

2、本发明的目的可以通过以下技术方案实现：本发明提供一种基于机器学习的网络流量异常检测方法，包括以下步骤：s1、异常终端设备ip确认：收集目标公司的无限局域网历史所连接的各终端设备的ip地址，并构建目标公司的终端设备ip库，监测目标公司的无限局域网在当前监测周期内所连接的终端设备ip，确认当前监测周期内的各异常终端设备ip。

3、s2、严重异常终端设备ip反馈：提取各异常终端设备ip在当前监测周期内的各次连接对应的在线时长、消耗流量和流量传输速度，分析各异常终端设备ip的流量异常预警系数，确认当前监测周期内的各严重异常终端设备ip，并将各严重异常终端设备ip反馈至网络管理员。

4、s3、异常终端设备确认：提取目标公司的各终端设备在历史各监测日的各监测时间段对应的消耗流量，并采集各终端设备在当前监测日的各监测时间段对应的消耗流量，确认目标公司在当前监测日的各监测时间段对应的各异常终端设备。

5、s4、流量异常类型反馈：提取目标公司的各终端设备的历史使用记录，得到各终端设备的历史使用信息，并提取目标公司在当前监测日的各监测时间段对应的各异常终端设备的ip、后台运行各app名称和访问的各网页网址，确认当前监测日的各监测时间段对应的各异常终端设备的流量异常类型，并将各异常终端设备的流量异常类型反馈至网络管理员。

6、具体地，所述确认当前监测周期内的各异常终端设备ip的方式为：将目标公司的无限局域网在当前监测周期内所连接的终端设备ip与目标公司的终端设备ip库内的终端设备ip进行匹配对比，若当前监测周期内所连接的某终端设备ip不位于终端设备ip库内，则将该终端设备ip记为异常终端设备ip，由此得到当前监测周期内的各异常终端设备ip。

7、具体地，所述分析各异常终端设备ip的流量异常预警系数，具体分析过程为：a1、基于各异常终端设备ip在当前监测周期内的各次连接对应的在线时长、消耗流量和流量传输速度，计算各异常终端设备ip在当前监测周期内的各次连接对应的流量异常行为指数χij，其中，i表示异常终端设备ip的编号，i＝1,2,...,n，j表示各次连接的编号，j＝1,2,...,m。

8、a2、将各异常终端设备ip在当前监测周期内的各次连接对应的流量异常行为指数与设定参照的流量异常行为指数进行对比，若某次连接对应的流量异常行为指数大于或者等于设定参照的流量异常行为指数，则将该次连接记为严重异常连接，统计各异常终端设备ip在当前监测周期内的严重异常连接次数，记为βi。

9、a3、计算各异常终端设备ip的流量异常预警系数δi，其中，χ′和k1分别表示设定参照的流量异常行为指数和严重异常连接次数占比，a1和a2分别表示设定的流量异常行为指数和严重异常连接次数占比对应流量异常预警占比权重，m表示连接次数。

10、具体地，所述计算各异常终端设备ip在当前监测周期内的各次连接对应的流量异常行为指数，具体计算过程为：b1、将各异常终端设备ip在当前监测周期内的各次连接对应的在线时长、消耗流量和流量传输速度分别记为tij、εij和vij。

11、b2、计算各异常终端设备ip在当前监测周期内的各次连接对应的流量异常行为指数χij，其中，t′、ε′和v′分别表示设定参照的在线时长、消耗流量和流量传输速度，a3、a4和a5分别表示设定的在线时长、消耗流量和流量传输速度对应流量异常行为评估占比权重。

12、具体地，所述确认当前监测周期内的各严重异常终端设备ip的方式为：将各异常终端设备ip的流量异常预警系数与设定参照的流量异常预警系数进行对比，并将流量异常预警系数大于或者等于设定参照的流量异常预警系数的异常终端设备ip记为严重异常终端设备ip，由此得到当前监测周期内的各严重异常终端设备ip。

13、具体地，所述确认目标公司在当前监测日的各监测时间段对应的各异常终端设备，具体确认方式为：c1、将目标公司的各终端设备在历史各监测日的各监测时间段对应的消耗流量进行均值计算，得到各终端设备在历史监测日的各监测时间段对应的消耗流量。

14、c2、以监测时间段为横坐标，以消耗流量为纵坐标，根据各终端设备在历史监测日的各监测时间段对应的消耗流量，建立各终端设备在历史监测日的消耗流量波动图，并将消耗流量波动图上的各点记为各参照点。

15、c3、将各终端设备在当前监测日的各监测时间段对应的消耗流量标注在对应消耗流量波动图中，并将各标注点记为各目标标注点，若某监测时间段对应的目标标注点位于对应监测时间段的参照点上方，则提取该监测时间段对应的目标标注点与参照点之间的距离，并将其记为该监测时间段的消耗流量偏差，由此得到各终端设备在各监测时间段的消耗流量偏差。

16、c4、将各终端设备在各监测时间段的消耗流量偏差与设定参照的消耗流量偏差进行对比，若某终端设备在某监测时间段的消耗流量偏差大于设定参照的消耗流量偏差，则将该终端设备在该监测时间段记为异常终端设备，由此得到目标公司在当前监测日的各监测时间段对应的各异常终端设备。

17、具体地，所述历史使用信息包括历史运行的各app名称和历史访问的各网页网址。

18、具体地，所述确认当前监测日的各监测时间段对应的各异常终端设备的流量异常类型，具体确认方式为：d1、从各终端设备的历史使用信息中提取历史运行的各app名称和历史访问的各网页网址，构建各终端设备的历史运行app名称库和历史访问网页网址库。

19、d2、将各终端设备的ip地址和目标公司在当前监测日的各监测时间段对应的各异常终端设备的ip进行匹配对比，筛选出当前监测日的各监测时间段对应的各异常终端设备的历史运行app名称库和历史访问网页网址库。

20、d3、将目标公司在当前监测日的各监测时间段对应的各异常终端设备的后台运行各app名称与对应异常终端设备的历史运行app名称库进行匹配对比，若某异常终端设备的后台运行某app名称不位于对应异常终端设备的历史运行app名称库内，则将该app记为异常运行app，由此确认该异常终端设备的流量异常类型为存在异常运行app。

21、d4、将目标公司在当前监测日的各监测时间段对应的各异常终端设备的访问的各网页网址与对应异常终端设备的历史访问网页网址库进行匹配对比，若某异常终端设备的访问的某网页网址不位于对应异常终端设备的历史访问网页网址库内，则将该网页网址记为异常访问网页网址，由此确认该异常终端设备的流量异常类型为存在异常访问网页网址。

22、d5、综上得到当前监测日的各监测时间段对应的各异常终端设备的流量异常类型为存在异常运行app或者存在异常访问网页网址。

23、相较于现有技术，本发明的实施例至少具有如下优点或有益效果：(1)本发明通过提取各异常终端设备ip在当前监测周期内的各次连接对应的在线时长、消耗流量和流量传输速度，分析各异常终端设备ip的流量异常预警系数，确认严重异常终端设备ip，并进行反馈，通过结合在线时长、消耗流量和流量传输速度，可以更准确地检测和预警潜在的流量异常，同时可以更全面地揭示流量的真实行为，可以帮助缩小范围并更准确地定位问题根源，从而进行更有效的处理，避免缺乏全面的流量分析导致应对策略的局限性。

24、(2)本发明通过结合各终端设备的历史使用信息，并提取各异常终端设备的ip、后台运行各app名称和访问的各网页网址，确认各异常终端设备的流量异常类型，并进行反馈，可以制定针对性的措施来处理或缓解问题，对异常流量的深入分析可以揭示出攻击模式、恶意软件或其他安全威胁的线索，通过深度分析，可以提高检测和预防流量异常的效率，从而减少了运营成本和风险，同时减少了异常的app或网页访问可能导致网络延迟、数据泄露或其他不良的用户体验问题的出现。