[发明专利]一种基于高斯混合模型的通信数据异常检测方法

权利要求书

1.一种基于高斯混合模型的通信数据异常检测方法，其特征在于，包括以下步骤：

输入数据集：输入网络通信行为数据集，数据集为若干条通信在各个阶段的时间成本集合；

确定隐变量：每个阶段的数据均来自高斯混合模型，设定隐变量为链路编号Z，且取值范围为[1,K]；构成每个高斯混合模型的高斯分布的数量等于链路条数K；

参数求解：通过EM算法，进行迭代求解，对该隐变量确定的高斯混合模型进行参数求解；

异常检测：新通信行为出现时，通过计算该通信行为的数据点来自高斯混合模型的概率，来预测是否存在异常攻击。

2.如权利要求1所述的基于高斯混合模型的通信数据异常检测方法，其特征在于：所述输入数据集中，所述数据集还需要经过预处理，将数据集划分为训练集、测试集，所述训练集包含未受到攻击的数据，所述测试数据集包含未受到攻击的数据、受到攻击的数据。

3.如权利要求2所述的基于高斯混合模型的通信数据异常检测方法，其特征在于：所述参数求解的公式如下：

其中，Y为观测变量，Z为隐变量，取值范围设置为[1,K]，K为链路条数，下标k代表第k个高斯分布，下标i代表第i轮迭代，则Z_ik为该数据点使用第Z条链路进行通信；μ，σ，α分别为高斯分布的均值、标准差和权重系数；

将所述训练集代入其中的Y，进行迭代求解；得到各个高斯混合模型的均值矩阵μ、标准差σ和权重系数α。

4.如权利要求1所述的基于高斯混合模型的通信数据异常检测方法，其特征在于：所述异常检测中，设定阈值，若所述概率小于阈值，认为该数据点来自高斯混合模型的概率太小，判定所述通信行为存在异常，可能受到了攻击；否则，判定所述通信行为正常，不会受到攻击。

5.如权利要求3所述的基于高斯混合模型的通信数据异常检测方法，其特征在于：所述K值根据经验值设定；或，为K设置1～100的循环，使用测试集并记录不同K值下的预测准确率，并选择准确率最高的K值。

6.如权利要求2所述的基于高斯混合模型的通信数据异常检测方法，其特征在于：所述预处理还包括，将数据集中相同加密算法的不同阶段数据列进行合并。

7.如权利要求1-6任一所述的基于高斯混合模型的通信数据异常检测方法，其特征在于：所述异常检测中，所述概率计算具体是，将新数据点在所述高斯混合模型中每一分布的概率密度函数值归一化后，取最大值作为概率。