[发明专利]一种检测异常流量的方法、分类模型的构建方法及设备

说明书

本发明公开了一种检测异常流量的方法、分类模型的构建方法及设备，根据样本网络流量数据中数据的关联关系和预设的自然语言处理N‑Gram模型，从所述样本网络流量数据中抽取特征数据，根据所述特征数据生成所述分类模型，通过所述分类模型识别待测网络流量数据是否异常，本发明根据自然语言处理N‑Gram模型，从多个协议层分析网络流量数据，来获取分类模型进行异常流量的检测，提高了分类准确率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种检测异常流量的方法、分类模型的构建方法及设备。

背景技术

网络流量异常是指网络流量行为偏离其正常行为的情形，随着网络规模的扩大，这些异常的流量可能会对网络性能产生较大影响，如占用资源等。更甚者，如果是一种攻击性行为产生的流量，它将威胁到整个网络的安全。流量异常检测的目的就是要及时发现这些异常，并做出快速的反映。它是网络异常监视及响应应用的基础，是网络及安全管理领域的重要研究内容。

目前最接近的也比较主流的方法是基于统计分析的检测方法和基于机器学习进行异常流量检测的方法。其中，基于统计分析的方法，通常根据时间序列对数据流量采样分析，从数据分布、流量变化、子资源占用情况等多个维度进行统计分析，作为描述流量的特征，利用这些特征数据分析出一些阈值结果作为判别标准。而基于机器学习的检测方法首先根据领域知识提取相关特征，特征来自大量的正例和反例样本，从而构建分类模型进行预测。上述两种方案都需要领域背景较强的专业人员来确定阈值和分析特征，以确保用于判断的阈值和用于建模的特征的准确性，人工特征选择过程需要花费大量时间进行分析，同时，这类专业人员也很稀缺，所以，上述技术的人工成本较高，另外，由于上述技术采用的算法单一，其模型准确率也较低。

发明内容

本发明提供一种检测异常流量的方法、分类模型的构建方法及设备，用以解决现有技术中分类模型的准确率较低的问题。

依据本发明的一个方面，提供一种检测异常流量的分类模型的构建方法，所述方法包括：

获取样本网络流量数据；

根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型，从所述样本网络流量数据中抽取特征数据；

根据所述特征数据生成所述分类模型。

可选的，所述获取样本网络流量数据，包括：

获取多个协议层的样本流量数据。

可选的，所述根据所述样本网络流量数据中数据的关联关系和预设的自然语言处理N-Gram模型，从所述样本网络流量数据中抽取特征数据，包括：

根据预设的分组字节数量，将所述多个协议层的样本网络流量数据进行分组；

根据所述分组和所述自然语言处理N-Gram模型，从所述多个协议层的样本流量数据中抽取所述特征数据。

可选的，所述根据预设的分组字节数量，将所述多个协议层的样本网络流量数据进行分组，包括：

将所述多个协议层的样本网络流量数据的十六进制数据格式，按照2字节1组进行分组。

可选的，所述根据所述分组和所述自然语言处理N-Gram模型，从所述多个协议层的样本网络流量数据中抽取所述特征数据，包括：

抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据，所述N取正整数。

可选的，所述抽取所述多个协议层的样本流量数据中每组十六进制数据及其之前的N-1组十六进制数据组合后构成所述特征数据之后，包括：

通过关联规则算法Apriori筛选出频繁模式下的所述特征数据。