[发明专利]一种网络流量异常检测方法、装置、设备及存储介质

权利要求书

1.一种网络流量异常检测方法，其特征在于，包括：

获取目标网络的网络流量数据；

利用时间检测方案对所述网络流量数据进行检测，得到第一检测结果；

对经所述时间检测方案检测后的网络流量数据，利用空间检测方案对所述网络流量数据进行检测，得到第二检测结果；

若所述第一检测结果和所述第二检测结果中的网络节点均为异常，则判定与所述网络流量数据对应的网络节点为异常网络节点。

2.根据权利要求1所述的网络流量异常检测方法，其特征在于，所述利用时间检测方案对所述网络流量数据进行检测包括：

确定与所述网络流量数据对应的网络节点，以及与所述网络节点对应的时间周期，所述时间周期为多个；

计算所述网络节点在各所述时间周期内的相关性矩阵；

计算相邻时间周期内的相关性矩阵的差值，得到所述相邻周期内的相关性变化量矩阵；

将所述相关性变化量矩阵中的每一个元素与阈值进行比对；

若所述相关性变化量矩阵中存在大于所述阈值的元素，则判定所述网络节点为异常网络节点。

3.根据权利要求2所述的网络流量异常检测方法，其特征在于，所述计算所述网络节点在各所述时间周期内的相关性矩阵包括：

确定所述网络节点在各所述时间周期内的参量数据；

计算各所述时间周期内的各参量数据之间的相关性系数；

将各所述相关性系数作为所述相关性矩阵中的元素以得到所述相关性矩阵。

4.根据权利要求2或3所述的网络流量异常检测方法，其特征在于，所述利用时间检测方案对所述网络流量数据进行检测包括：

确定与所述网络节点在各所述时间周期内的参量数据；

基于皮尔森相关系数计算各所述时间周期内的参量数据之间的相关性系数；

确定与各所述时间周期的相关性系数对应的目标图像；

分析相邻时间周期的目标图像中相同类型的相关性系数所在区域的图像颜色变化程度；

若所述相邻的目标图像中相同类型的相关性系数所在区域的图像颜色变化程度出预设范围，则判定所述网络节点为异常网络节点。

5.根据权利要求2所述的网络流量异常检测方法，其特征在于，所述对经所述时间检测方案检测后的网络流量数据，利用空间检测方案对所述网络流量数据进行检测包括：

确定与经所述时间检测方案检测后的网络流量数据对应的异常网络节点以及所述异常网络节点出现异常时所处的异常时间周期；

在所述异常时间周期内，对与所述网络流量数据对应的所有的网络节点进行聚类以对所述网络流量数据进行检测，并得到所述第二检测结果。

6.根据权利要求5所述的网络流量异常检测方法，其特征在于，所述对与所述网络流量数据对应的所有的网络节点进行聚类以对所述网络流量数据进行检测包括：

确定各所述网络节点的相关性矩阵并对所述相关性矩阵进行降维，得到相关性降维矩阵；

计算与所述相关性降维矩阵对应的协方差矩阵；

计算所述协方差矩阵的特征值和特征向量；

从多个所述特征值中选取目标特征值，并确定与所述目标特征值对应的特征向量；

将与所述目标特征值对应的特征向量构成目标矩阵并对所述目标矩阵进行降维得到目标降维矩阵；

随机确定初始聚类中心，并依据所述初始聚类中心对所述目标降维矩阵中的元素进行聚类得到聚类结果；

若所述聚类结果中的异常网络节点与所述第一检测结果中的异常网络节点相一致，则将所述异常网络节点作为最终的异常网络节点。

7.一种流量异常检测装置，其特征在于，包括：

获取模块，用于获取目标网络的网络流量数据；

第一检测模块，用于利用时间检测方案对所述网络流量数据进行检测，得到第一检测结果；

第二检测模块，用于对经所述时间检测方案检测后的网络流量数据，利用空间检测方案对所述网络流量数据进行检测，得到第二检测结果；

判定模块，用于若所述第一检测结果和所述第二检测结果中的网络节点均为异常，则判定与所述网络流量数据对应的网络节点为异常网络节点。