[发明专利]上网流量异常检测方法及装置

说明书

技术领域

本发明涉及移动通信技术领域，尤其涉及一种上网流量异常检测方法及装置。

背景技术

随着智能终端、互联网应用的快速发展，第三代移动通信技术（3rd-Generation，3G）业务流量增长十分迅速，随之而来的是上网流量越来越成为用户投诉的焦点。

现有技术中主要采取人工方式从成千上万的上网记录中对用户上网流量记录进行异常检测。然而，这种方法检测时间长，效率低。

发明内容

本发明提供一种上网流量异常检测方法及装置，用以解决通过人工方式进行检测带来的检测时间长，效率低的问题。

一方面，本发明实施例提供一种上网流量异常检测方法，包括：

获取多条上网流量记录的至少两种特征信息；

对所述至少两种特征信息进行聚类运算，以对所述多条上网流量记录进行分类；

根据所述上网流量记录的分类结果所确定的类别以及所述类别对应的异常特征，确定所述上网流量记录是否为异常流量。

另一方面，本发明实施例提供一种上网流量异常检测装置，包括：获取模块、分类模块和处理模块；

所述获取模块，用于获取多条上网流量记录的至少两种特征信息；

所述分类模块，用于对所述至少两种特征信息进行聚类运算，以对所述多条上网流量记录进行分类；

所述处理模块，用于根据所述上网流量记录的分类结果所确定的类别以及所述类别对应的异常特征，确定所述上网流量记录是否为异常流量。

本发明提供的上网流量异常检测方法及装置，通过对多条上网流量记录的至少两种特征信息进行聚类运算实现对上网流量记录进行分类，并判断分类后的各类别是否存在异常类别特征来确定该类别下的上网流量记录为异常流量，缩短了检测时间，提高了检测效率。

附图说明

图1为本发明提供的上网流量异常检测方法一个实施例的流程图；

图2为本发明提供的上网流量异常检测方法另一个实施例的流程图；

图3为本发明提供的上网流量异常检测装置一个实施例的结构示意图；

图4为本发明提供的上网流量异常检测装置另一个实施例的结构示意图。

具体实施方式

图1为本发明提供的上网流量异常检测方法一个实施例的流程图，该方法可应用于对移动用户终端上网流量异常的检测。如图1所示，以下步骤的执行主体可以为设置在网络中的服务器，或是集成在该服务器上的模块或芯片，该上网流量异常检测方法具体包括：

S101，获取多条上网流量记录的至少两种特征信息；

本发明实施例中，可以采用现有的各种方法获取上网流量记录。例如：可以采用现有的上网流量查询系统来获取上网流量记录。获取的上网流量记录中通常可以包括如下字段：该条流量记录的流量类型（可以是指业务类型，例如，可以是彩信、网页浏览、即时通信、流媒体、文件传输、网络电话（Voice over Internet Protocol，VoIP）、点对点通信（Peer to Peer，P2P）、邮件），该条流量记录产生的时间，时长、流量大小、访问的目标IP和URL等。可以从这些字段中提取用于聚类分析的特征信息。

S102，对上述至少两种特征信息进行聚类运算，以对该多条上网流量记录进行分类；

具体地，对上述如：上网时间，所使用的业务类型、流量大小、流量时长、访问的IP地址、访问的URL等提取出的至少两种特征信息进行聚类运算，该聚类运算可以是现有的各种聚类算法，例如：均值聚类算法，系统聚类算法等。经过聚类运算后得到的上网流量记录的类别可以为业务类型、也可以为某一时间段内高频率的访问同一IP地址或URL等，这些类别有些可以是上网操作，即时通信、视频等正常操作产生的，还有些可以是某个应用程序频繁的后台流量产生的，还有些孤立点，可能是异常的大流量。

而对于进行聚类运算预先输入的类别个数的选取，可以根据经验选取，比如可以根据经验值将流量类型分为：彩信、网页浏览、即时通信、流媒体、文件传输、VoIP、P2P、邮件，此外还可以增加多个未知类别，得到聚类个数K，然后进行聚类运算。举例来说：假如流量特征有2个：（时长，流量大小），有这样3条流量记录A：（1,1）；B（2,2）；C（4,2），那么A，B间的欧氏距为1.41，A，C间的欧式距为3.16，B，C间欧氏距为2，假如聚成两类，那么A，B是一类，C是另一类。