[发明专利]一种检测异常流量的方法、分类模型的构建方法及设备

权利要求书

1.一种检测异常流量的分类模型的构建方法，其特征在于，所述方法包括：

获取样本网络流量数据；

根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型，从所述样本网络流量数据中抽取特征数据；

根据所述特征数据生成所述分类模型。

2.如权利要求1所述的检测异常流量的分类模型的构建方法，其特征在于，所述获取样本网络流量数据，包括：

获取多个协议层的样本流量数据。

3.如权利要求2所述的检测异常流量的分类模型的构建方法，其特征在于，所述根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型，从所述样本网络流量数据中抽取特征数据，包括：

根据预设的分组字节数量，将所述多个协议层的样本网络流量数据进行分组；

根据所述分组和所述自然语言处理N-Gram模型，从所述多个协议层的样本流量数据中抽取所述特征数据。

4.如权利要求3所述的检测异常流量的分类模型的构建方法，其特征在于，所述根据预设的分组字节数量，将所述多个协议层的样本网络流量数据进行分组，包括：

将所述多个协议层的样本网络流量数据的十六进制数据格式，按照2字节1组进行分组。

5.如权利要求4所述的检测异常流量的分类模型的构建方法，其特征在于，所述根据所述分组和所述自然语言处理N-Gram模型，从所述多个协议层的样本网络流量数据中抽取所述特征数据，包括：

抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据，所述N取正整数。

6.如权利要求1所述的检测异常流量的分类模型的构建方法，其特征在于，所述抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据之后，包括：

通过关联规则算法Apriori筛选出频繁模式下的所述特征数据。

7.如权利要求6所述的检测异常流量的分类模型的构建方法，其特征在于，所述根据所述特征数据生成所述分类模型之前，包括：

对所述特征数据进行向量化及归一化处理，获得双精度double型特征数据。

8.如权利要求7所述的检测异常流量的分类模型的构建方法，其特征在于，所述根据所述特征数据生成所述分类模型，包括：

根据预先构建的学习模型和所述双精度double型特征数据，生成所述分类模型。

9.如权利要求2-7中任意一项所述的检测异常流量的分类模型的构建方法，其特征在于，所述多个协议层包括：IP层、传输层及应用层。

10.一种检测异常流量的方法，其特征在于，包括：

获取待测网络流量数据；

通过如权利要求1所述的分类模型识别所述待测网络流量数据是否异常。

11.一种检测异常流量的设备，其特征在于，所述设备包括处理器和存储器，所述存储器存储有检测异常流量的分类模型的构建方法的第一计算机程序，所述处理器执行所述第一计算机程序，以实现如权利要求1-9任意一项所述方法的步骤。

12.一种检测异常流量的设备，其特征在于，所述设备包括第二处理器和第二存储器，所述第二存储器存储有检测异常流量的方法的第二计算机程序，所述第二处理器执行所述第二计算机程序，以实现如权利要求10所述方法的步骤。