本發明專利技術提供一種上網流量異常檢測方法及裝置,方法包括:獲取多條上網流量記錄的至少兩種特征信息;對所述至少兩種特征信息進行聚類運算,以對所述多條上網流量記錄進行分類;根據所述上網流量記錄的分類結果所確定的類別以及所述類別對應的異常特征,確定所述上網流量記錄是否為異常流量。本發明專利技術實施例有效解決了通過人工方式進行檢測帶來的檢測時間長,效率低的問題。
【技術實現步驟摘要】
本專利技術涉及移動通信
,尤其涉及一種上網流量異常檢測方法及裝置。
技術介紹
隨著智能終端、互聯網應用的快速發展,第三代移動通信技術Urd-Generation,3G)業務流量增長十分迅速,隨之而來的是上網流量越來越成為用戶投訴的焦點。現有技術中主要采取人工方式從成千上萬的上網記錄中對用戶上網流量記錄進行異常檢測。然而,這種方法檢測時間長,效率低。
技術實現思路
本專利技術提供一種上網流量異常檢測方法及裝置,用以解決通過人工方式進行檢測帶來的檢測時間長,效率低的問題。一方面,本專利技術實施例提供一種上網流量異常檢測方法,包括:獲取多條上網流量記錄的至少兩種特征信息;對所述至少兩種特征信息進行聚類運算,以對所述多條上網流量記錄進行分類;根據所述上網流量記錄的分類結果所確定的類別以及所述類別對應的異常特征,確定所述上網流量記錄是否為異常流量。另一方面,本專利技術實施例提供一種上網流量異常檢測裝置,包括:獲取模塊、分類模塊和處理模塊;所述獲取模塊,用于獲取多條上網流量記錄的至少兩種特征信息;所述分類模塊,用于對所述至少兩種特征信息進行聚類運算,以對所述多條上網流量記錄進行分類;所述處理模塊,用于根據所述上網流量記錄的分類結果所確定的類別以及所述類別對應的異常特征,確定所述上網流量記錄是否為異常流量。本專利技術提供的上網流量異常檢測方法及裝置,通過對多條上網流量記錄的至少兩種特征信息進行聚類運算實現對上網流量記錄進行分類,并判斷分類后的各類別是否存在異常類別特征來確定該類別下的上網流量記錄為異常流量,縮短了檢測時間,提高了檢測效率。附圖說明圖1為本專利技術提供的上網流量異常檢測方法一個實施例的流程圖;圖2為本專利技術提供的上網流量異常檢測方法另一個實施例的流程圖;圖3為本專利技術提供的上網流量異常檢測裝置一個實施例的結構示意圖;圖4為本專利技術提供的上網流量異常檢測裝置另一個實施例的結構示意圖。具體實施方式圖1為本專利技術提供的上網流量異常檢測方法一個實施例的流程圖,該方法可應用于對移動用戶終端上網流量異常的檢測。如圖1所示,以下步驟的執行主體可以為設置在網絡中的服務器,或是集成在該服務器上的模塊或芯片,該上網流量異常檢測方法具體包括:S101,獲取多條上網流量記錄的至少兩種特征信息;本專利技術實施例中,可以采用現有的各種方法獲取上網流量記錄。例如:可以采用現有的上網流量查詢系統來獲取上網流量記錄。獲取的上網流量記錄中通常可以包括如下字段:該條流量記錄的流量類型(可以是指業務類型,例如,可以是彩信、網頁瀏覽、即時通信、流媒體、文件傳輸、網絡電話(Voice over Internet Protocol, VoIP)、點對點通信(Peerto Peer ,P2P),郵件),該條流量記錄產生的時間,時長、流量大小、訪問的目標IP和URL等。可以從這些字段中提取用于聚類分析的特征信息。S102,對上述至少兩種特征信息進行聚類運算,以對該多條上網流量記錄進行分類;具體地,對上述如:上網時間,所使用的業務類型、流量大小、流量時長、訪問的IP地址、訪問的URL等提取出的至少兩種特征信息進行聚類運算,該聚類運算可以是現有的各種聚類算法,例如:均值聚類算法,系統聚類算法等。經過聚類運算后得到的上網流量記錄的類別可以為業務類型、也可以為某一時間段內高頻率的訪問同一 IP地址或URL等,這些類別有些可以是上網操作,即時通信、視頻等正常操作產生的,還有些可以是某個應用程序頻繁的后臺流量產生的,還有些孤立點,可能是異常的大流量。而對于進行聚類運算預先輸入的類別個數的選取,可以根據經驗選取,比如可以根據經驗值將流量類型分為:彩信、網頁瀏覽、即時通信、流媒體、文件傳輸、VoIP、P2P、郵件,此外還可以增加多個未知類別,得到聚類個數K,然后進行聚類運算。舉例來說:假如流量特征有2個:(時長,流量大小),有這樣3條流量記錄A:(1,I) ;B (2,2) ;C (4,2),那么A,B間的歐氏距為1.41,A,C間的歐式距為3.16,B,C間歐氏距為2,假如聚成兩類,那么A,B是ー類,C是另ー類。S103,根據上網流量記錄的分類結果所確定的類別以及該類別對應的異常特征,確定該上網流量記錄是否為異常流量。上述上網流量記錄的分類結果可以為流量記錄的具體類型,例如:可以包括彩信、網頁瀏覽、即時通信、流媒體、文件傳輸、VoIP、P2P、郵件,此外還可以包括多個未知類別,通過進ー步對聚類運算得到的各個類別的具體特征進行分析,判斷各類別中是否存在異常特征。對于流量類別特征的判斷,通常可以通過前期的訓練學習獲得,即:選取大量已知的上述類型的正常流量和異常流量(可以是用戶進行投訴的流量記錄)進行上述聚類運算,聚類個數K的選取可以是上述流量類型個數(8個)再加上多個未知流量(異常流量)個數(如2個)的和(10個);通過分析聚類后的結果(即聚類結果在坐標系中的空間分布情況),判定各類別最終是正常流量類還是異常流量類,通常將包含上述正常流量的類別定義為正常流量類,而包含上述異常流量的類別定義為異常流量類。通過將當前聚類的結果和前期的訓練學習獲得的類別的特征進行比較(當前聚類結果和訓練學習獲得的聚類結果在坐標系中空間位置上的分布做比較,即吻合度作比較),判定當前各聚類后的類別所屬的流量類型是正常流量還是異常流量。若當前的聚類結果中包含既不屬于訓練學習獲得的正常流量類別,也不屬于訓練學習獲得的異常流量類別,則把該類別也視為異常流量類別(通常對于聚類后無法判斷其類別的,為安全考慮,都可視為異常流量)。其中,正常流量類特征對應的可以是上述流量類型中的正常流量在坐標系中的空間分布位置。而異常流量類特征對應的可以是上述流量類型中的異常流量在坐標系中的空間分布位置,在實際場景下,可以表現為:某些客戶端在特定時間段內頻繁產生大流量或頻繁的產生流量數據;或某些孤立的異常大流量點(在聚類結果的空間分布上遠離正常流量類別的異常大流量的孤立點),如:某用戶使用某影音在線看視頻,剛開啟視頻意識到需要走很多流量,隨即按退出鍵退出,但是該影音軟件未必真的退出,它可能在后臺不斷地緩沖視頻,產生大流量;或是某個下載軟件,雖然沒有下載,但是它在后臺分享你下載的文件也可能產生大流量。通過對聚類運算后得到的各個類別的具體類別特征進行分析,綜合考慮這些流量類別中是否包含上述異常流量類特征,來判定所判斷的類別包含的上網流量記錄是否為異常流量。本專利技術提供的上網流量異常檢測方法,通過對多條上網流量記錄的至少兩種特征信息進行聚類運算實現對上網流量記錄進行分類,并判斷分類后的各類別是否存在異常流量特征來確定該類別下的上網流量記錄為異常流量,縮短了檢測時間,提高了檢測效率。圖2為本專利技術提供的上網流量異常檢測方法另一個實施例的流程圖,本實施例提供了如圖1所示的上網流量異常檢測方法的一種具體的實施方式,如圖2所示,所述方法具體包括:S201,獲取多條上網流量記錄的至少兩種特征信息;該步驟具體可參見步驟101的相應內容。S202,對上述至少兩種特征信息進行標準化處理,以使該至少兩種特征信息具有相同的取值范圍;在上述特征信息中,不同的特征信息的格式和取值范圍通常不同,為使它們具有相同的格式和取值范圍,以便進行聚類運算,可以將上述特征信息進行標準化處本文檔來自技高網...
【技術保護點】
一種上網流量異常檢測方法,其特征在于,包括:獲取多條上網流量記錄的至少兩種特征信息;對所述至少兩種特征信息進行聚類運算,以對所述多條上網流量記錄進行分類;根據所述上網流量記錄的分類結果所確定的類別以及所述類別對應的異常特征,確定所述上網流量記錄是否為異常流量。
【技術特征摘要】
1.一種上網流量異常檢測方法,其特征在于,包括: 獲取多條上網流量記錄的至少兩種特征信息; 對所述至少兩種特征信息進行聚類運算,以對所述多條上網流量記錄進行分類;根據所述上網流量記錄的分類結果所確定的類別以及所述類別對應的異常特征,確定所述上網流量記錄是否為異常流量。2.根據權利要求1所述的上網流量異常檢測方法,其特征在于,所述對所述至少兩種特征信息進行聚類運算之前,還包括: 對所述至少兩種特征信息進行標準化處理,以使所述至少兩種特征信息具有相同的取值范圍。3.根據權利要求1所述的上網流量異常檢測方法,其特征在于,若所述特征信息包括流量大小信息,則所述對所述至少兩種特征信息進行聚類運算之前,還包括: 根據設定的影響因子對所述流量大小信息進行調整,所述影響因子用于增加所述流量大小信息的影響權重。4.根據權利要求f3任一項所述的上網流量異常檢測方法,其特征在于,所述對所述至少兩種特征信息進行聚類運算,包括: 采用K-means聚類運算對所述至少兩種特征信息進行聚類運算。5.根據權利要求廣3任一項所述的上網流量異常檢測方法,其特征在于,還包括: 將所述上網流量記錄與本地知識庫中存儲的異常流量信息進行匹配,以確定所述上網流量記錄是否為異常流量。6.一種上網流量異常檢測裝置,其特征在于,包括:獲取模塊、分類模塊和處理模塊; ...
【專利技術屬性】
技術研發人員:肖吉,王志軍,王蓉,
申請(專利權)人:中國聯合網絡通信集團有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。