(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111505554.3 (22)申请日 2021.12.10 (71)申请人 天元大数据信用管理有限公司 地址 250100 山东省济南市高新区浪潮路 1036号浪潮科技园S01楼 23层 (72)发明人 杨雨萌　杨宝华　崔乐乐　 (74)专利代理 机构 济南信达专利事务所有限公 司 37100 代理人 潘悦梅 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) G06K 9/62(2022.01) (54)发明名称 网络流量异常检测方法及检测系统 (57)摘要 本发明公开了网络流量异常检测方法及检 测系统， 属于网络异常流量检测技术领域， 要解 决的技术问题为如何快速准确的识别在线流量 异常。 包括如下步骤： 对于待检测的网络流量， 按 照时间对数据包进行排序， 得到数值序列形式的 长序列包； 对于长序列包， 通过设置的滑动窗口 提取具有一定长度的子序列； 基于小波分析对每 个滑动窗口内子序列进行不同尺度的能量特征 提取， 并将能量特征融合为最终特征； 通过训练 后检测模型对最终特征进行分析， 得到检测结 果， 所述训练后检测模型用于通过均值漂移聚类 对最终特 征进行学习。 权利要求书3页 说明书7页 附图1页 CN 114244594 A 2022.03.25 CN 114244594 A 1.网络流量异常检测方法， 其特征在于基于小波分析对网络流量数据进行特征提取， 通过均值漂移 聚类对异常流量进行学习， 并对在线的网络流量进行异常识别， 所述方法包 括如下步骤： 对于待检测的网络流 量， 按照时间对数据包进行排序， 得到数值序列形式的长序列包； 对于长序列包， 通过设置的滑动窗口提取 具有一定 长度的子序列； 基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征提取， 并将能量特征 融合为最终特征； 通过训练后检测模型对最终特征进行分析， 得到检测结果， 所述训练后检测模型用于 通过均值漂移聚类对最终特 征进行学习。 2.根据权利要求1所述的网络流量异常检测方法， 其特征在于通过如下步骤构建并训 练检测模型， 得到训练后检测模型： 获取历史网络流量作为训练集， 对于训练集， 按照时间对数据包进行排序， 得到数值序 列形式的长序列包； 对于长序列包， 通过设置的滑动窗口提取 具有一定 长度的子序列； 基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征提取， 并将能量特征 融合为最终特征； 基于均值漂移聚类方法构建检测模型， 将所述最终特征输入所述检测模型进行模型训 练， 得到训练后检测模型。 3.根据权利要求2所述的网络流量异常检测方法， 其特征在于构建并训练检测模型， 得 到训练后检测模型后， 还包括对训练后测试模型进行模型测试， 所述模型测试包括如下步 骤： 获取历史网络流量作为测试集， 对于测试集， 按照时间对数据包进行排序， 得到数值序 列形式的长序列包； 对于长序列包， 通过设置的滑动窗口提取 具有一定 长度的子序列； 基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征提取， 并将能量特征 融合为最终特征； 将所述最终特征输入所述训练后检测模型， 得到的检测结果作为预测检测结果， 并将 所述预测检测结果与所述历史网络流量对应的现实检测结果进行比对， 实现对训练后检测 模型的测试。 4.根据权利要求1 ‑3任一项所述的网络流量异常检测方法， 其特征在于所述长序列包 (序号， 包长)形式的数值序列。 5.根据权利要求1 ‑3任一项所述的网络流量异常检测方法， 其特征在于对于长序列包， 每个窗口内的数据包均作为一个单位数据流， 基于小波分析对单位数据流进行特征提取， 得到频域特征和时域特征， 所述频域特征包括高频分量频域特征和低频分量频域特征， 低 频分量频域特征用于分析流量异常的整体特征， 高频分量频域特征用于区分不同种类流量 异常； 对于频域特征， 分别对高频分量频域特征和低频分量频域特征进行层数分解， 计算高 频分量频域特征各层能量在总能量中的占比， 得到高频分量频域特征 的能量比， 并计算低 频分量频域特 征各层能量在总能量中的占比， 得到低频分量频域特 征的能量比；权　利　要　求　书 1/3 页 2 CN 114244594 A 2对于时域特 征， 提取均值和标准差； 所述频域特征相关的能量比以及所述 时域特征相关的均值和标准差均为 能量特征， 将 所述能量特 征进行融合， 得到最终特 征。 6.根据权利要求5所述的网络流量异常检测方法， 其特征在于基于小波分析分解高频 分量频域特征时， 当高频分量频域特征仅包含单个样本时分解就可以停止， 分解低频分量 频域特征时， 待低频分量的波形没有变化即可停止分解。 7.网络流量异常检测系统， 其特征在于基于如权利要求1 ‑6任一项所述的网络流量异 常检测方法对网络流 量进行异常检测， 所述系统包括： 网络流量处理模块， 对于网络流量， 所述网络流量处理模块用于按照 时间对数据包进 行排序， 得到数值序列形式的长序列包； 子序列提取模块， 对于长序列包， 所述子序列提取模块用于通过设置的滑动 窗口提取 具有一定 长度的子序列； 特征提取模块， 所述特征提取模块用于基于小波分析对每个滑动窗口内子序列进行不 同尺度的能量特 征提取， 并将能量特 征融合为最终特征； 检测模型构建模块， 所述检测模型构建模块用于基于均值漂移聚类方法构建检测模 型， 并对检测模型进行训练， 得到训练后检测模型； 检测模块， 所述检测模块用于通过训练后检测模型对最终特征进行分析， 得到检测结 果。 8.根据权利要求7所述的网络流量异常检测系统， 其特征在于所述检测模型构建模块 用于通过如下步骤构建并训练模型， 得到训练后检测模型： 获取历史网络流量作为训练集， 调用网络流量处理模块， 对于训练集， 按照时间对数据 包进行排序， 得到数值序列形式的长序列包； 调用子序列提取模块， 对于长序列包， 通过设置的滑动 窗口提取具有一定长度的子序 列； 调用特征提取模块， 基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征 提取， 并将能量特 征融合为最终特征； 基于均值漂移聚类方法构建检测模型， 将所述最终特征输入所述检测模型进行模型训 练， 得到训练后检测模型； 获取历史网络流量作为测试集， 调用网络流量处理模块， 对于测试集， 按照时间对数据 包进行排序， 得到数值序列形式的长序列包； 调用子序列提取模块， 对于长序列包， 通过设置的滑动 窗口提取具有一定长度的子序 列； 调用特征提取模块， 基于小波分析对每个滑动窗口内子序列进行不同尺度的能量特征 提取， 并将能量特 征融合为最终特征； 将所述最终特征输入所述训练后检测模型， 得到的检测结果作为预测检测结果， 并将 所述预测检测结果与所述历史网络流量对应的现实检测结果进行比对， 实现对训练后检测 模型的测试。 9.根据权利要求7所述的网络流量异常检测系统， 其特征在于对于长序列包， 特征提取 模块用于将 每个窗口内的数据包均作为一个单位数据流， 基于小波分析对 单位数据流进 行权　利　要　求　书 2/3 页 3 CN 114244594 A 3