CN106506556A - 一种网络流量异常检测方法及装置 - Google Patents

Abstract

本发明公开一种网络流量异常检测方法及装置，该方法包括：获取网络监测节点在设定时间段内生成的网络数据流；针对所述网络数据流中的任一属性，根据所述任一属性，将所述网络数据流以设定时间间隔进行聚合，生成关于所述任一属性的N个时间序列；根据各个属性分别对应的N个时间序列，确定所述网络数据流对应的N个待检测样本，计算所述第一时间序列分别与其余N‑1个待检测样本中的所述第一属性对应的N‑1个第二时间序列之间的角度相异度，根据所述第一时间序列对应的N‑1个角度相异度，确定出关于所述第一时间序列的第一检测结果；根据每个待检测样本中的每个时间序列的检测结果，确定所述每个待检测样本是否为异常数据流。

Description

一种网络流量异常检测方法及装置

技术领域

本发明涉及网络安全领域，尤其涉及一种网络流量异常检测方法及装置。

背景技术

入侵检测系统(IDS)等安全设备构成的防御系统大多部署在网络的入口处，在入口处对内网环境进行防护。这样，来自网络外部的安全威胁大大减小。而内网的安全却常常被忽视。由于很多内网的防护能力较弱，由内部人员造成的越权访问，恶意访问，数据泄露等安全事故频发。另外，如果黑客突破了内外网之间的防护设备成功突入内网，则相当于进入了一个完全开放的网络环境，内网中的一切资源都会成为黑客攻击和盗取的目标。

为了对内网进行防护，现有的技术方法多是基于规则的防御方法。在现有的基于时间序列的异常检测方法中，多是采用欧式距离来度量时间序列的相异度。但是这种异常检测方法对平移变换和扩张变换是敏感的，会将这类变换消除。例如，在很多场合下设备的时钟并没有完全同步，所记录的数据在时间轴上会出现一定的平移。例如字节数量，可能使用不同的量级进行记录，因此时间序列会出现扩张变换。一旦这些变换被消除，所记录的数据可能会显示出相似的变化趋势，导致数据流的检测结果出现偏差。

综上分析，现有的方法难以达到对网络中的异常流量的准确检测，不能够保证检测结果的准确度。

发明内容

本发明实施例提供一种网络流量异常检测方法及装置，用以提供一种更加精确的网络流量异常检测方法，提高检测结果的准确性。

本发明方法包括网络流量异常检测方法，该方法包括：

获取网络监测节点在设定时间段内生成的网络数据流；

针对所述网络数据流中的任一属性，根据所述任一属性，将所述网络数据流以设定时间间隔进行聚合，生成关于所述任一属性的N个时间序列；

根据各个属性分别对应的N个时间序列，确定所述网络数据流对应的N个待检测样本，其中，所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列；

针对第一待检测样本中的第一属性对应的第一时间序列，计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度，其中，所述第一待检测样本为N个待检测样本中的任意一个，所述第一属性为所述网络数据流中的属性的任意一个，每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值；根据所述所述第一时间序列对应的N-1个角度相异度，确定出关于所述第一时间序列的第一检测结果；

根据每个待检测样本中的每个时间序列的检测结果，确定所述每个待检测样本是否为异常数据流。

基于同样的发明构思，本发明实施例进一步地提供一种网络流量异常检测装置，该装置包括：

获取单元，用于获取网络监测节点在设定时间段内生成的网络数据流；

处理单元，用于针对所述网络数据流中的任一属性，根据所述任一属性，将所述网络数据流以设定时间间隔进行聚合，生成关于所述任一属性的N个时间序列；

确定单元，用于根据各个属性分别对应的N个时间序列，确定所述网络数据流对应的N个待检测样本，其中，所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列；

计算单元，用于针对第一待检测样本中的第一属性对应的第一时间序列，计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度，其中，所述第一待检测样本为N个待检测样本中的任意一个，所述第一属性为所述网络数据流中的属性的任意一个，每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值；

检测单元，用于根据所述所述第一时间序列对应的N-1个角度相异度，确定出关于所述第一时间序列的第一检测结果，根据每个待检测样本中的每个时间序列的检测结果，确定所述每个待检测样本是否为异常数据流。

本发明实例采用的是对多个维度的时间序列进行异常检测，所谓的维度是指网络数据流中的各个属性，如源IP地址，源端口号，目的IP地址，目的端口号等，利用角度相异度的方法通过分析网络数据流中的同一属性的时间序列的相似性，找出其中的异常序列，因为角度相异度是时间序列向量之间的夹角的正弦值，因此即使设备的时钟并没有完全同步，也不会导致检测结果偏差，故本发明实施例提供的网络异常数据流的检测方法得到的检测结果更加准确，这样就可以及时、快速地发现网络异常行为，有效地对网络攻击进行预防。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供一种网络流量异常检测方法流程示意图；

图2a～图2c为本发明实施例提供一种网络流量异常检测结果示意图；

图3为本发明实施例提供一种网络流量异常检测装置架构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

参见图1所示，本发明实施例提供一种网络流量异常检测方法流程示意图，具体地实现方法包括：

步骤S101，获取网络监测节点在设定时间段内生成的网络数据流。

步骤S102，针对所述网络数据流中的任一属性，根据所述任一属性，将所述网络数据流以设定时间间隔进行聚合，生成关于所述任一属性的N个时间序列。

步骤S103，根据各个属性分别对应的N个时间序列，确定所述网络数据流对应的N个待检测样本，其中，所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列。

步骤S104，针对第一待检测样本中的第一属性对应的第一时间序列，计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度，其中，所述第一待检测样本为N个待检测样本中的任意一个，所述第一属性为所述网络数据流中的属性的任意一个，每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值；根据所述第一时间序列对应的N-1个角度相异度，确定出关于所述第一时间序列的第一检测结果；

步骤S105，根据每个待检测样本中的每个时间序列的检测结果，确定所述每个待检测样本是否为异常数据流。

上述步骤通常由网络数据流的分析工具执行，其中，网络监测节点通常指的是各个路由器或者交换机，在步骤S101中，一般可以利用采集器采集各个路由器或者交换机的NetFlow(网络数据流)数据，然后将采集到的数据流存储到服务器上，以便利用各种NetFlow数据分析工具对网络数据流进行进一步的处理。

Netflow本身主要是一套网络流量统计协议，路由器通过源IP地址、源端口号、目的IP地址、目的端口号、协议类型、服务种类以及路由器输入界面这些控制信息来区分Netflow流。任何时间当路由器接受到新的数据包时，路由器将检查数据流中的这些控制信息来判断这个数据包是否属于任何已经记录的Netflow流，如果有的话则将新收集的数据包相关信息整合到相应的Netflow流记录中，如果没有则产生一条新的记录。

在步骤S102中，网络数据流的属性一般是源IP地址、源端口、目的IP地址、目的端口和传输层协议号这五个属性，包含这五个属性的数据包形成业务流，例如：(192.168.1.1、10000、121.14.88.76、80)表示：一个IP地址为192.168.1.1的终端通过端口10000，利用TCP协议，和IP地址为121.14.88.76，端口为80的终端进行连接，由以上五个属性可以唯一确定一个会话。

在上述步骤中，时间序列本身是向量的形式表示，时间序列向量是由一系列数据元素组成的有序集合，这些数据元素本身由记录时刻和记录值构成，记为X＝<x₁＝(t₁,v₁),x₂＝(t₂,v₂),...,x_i＝(t_i,v_i),...,x_n＝(t_n,v_n)>，其中元素x_i＝(t_i,v_i)表示在t_i时刻取得记录值为v_i，这里记录时刻t_i是严格单调增加的，即随着时间的前进，不断累积的各个数据，|X|称为时间序列向量X的模，表示时间序列的长度。对于广义时间序列，记录值v_i可以是离散符号、结构数据、多媒体数据等，对于狭义的时间序列，记录值v_i为实数类型。

举例来说，NetFlow数据采集软件采集一个小时内的业务流，然后存储到服务器上，然后NetFlow数据分析工具从服务器上获取连续存储的十个小时的网络数据流，对获取的网络数据流按照一个小时作为时长进行聚合，聚合得到10个聚合时段的网络数据流，然后生成每段网络数据流的三个属性(源IP地址、源端口、传输层协议号)的三个时间序列，这样，对于属性源IP地址来说，10段网络数据流就有10条时间序列，将属于同一时段的源IP地址对应的时间序列、源端口对应的时间序列、传输层协议号对应的时间序列组成为一个待检测样本，因此就会形成10个待检测样本，接着就可以对每个待检测样本中的时间序列进行检测，将异常的样本检测出来。

进一步地，对每个待检测样本中的时间序列进行检测的方法如下：针对第一待检测样本的第一时间序列，按照公式一计算所述第一时间序列与分别其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列中之间的N-1个角度相异度，所述公式一为：

其中，x为第一时间序列向量，y为第二时间序列向量，θ_xy为时间序列向量之间的角度，所述sinθ_xy为角度相异度。

接续上例，对于属性源IP地址来说，10段网络数据流就有10个时间序列，假设第一段待检测样本中的关于属性源IP地址的第一时间序列向量为X1，第二段待检测样本中的关于属性源IP地址的时间序列向量为X2，依次类推，第十段待检测样本中的关于属性源IP地址的时间序列向量为X10，利用公式一就可以依次计算出X1分别与X2、X3…X10之间的角度相异度，例如，X1与X2之间的角度互异度为：

类似地，就可以计算得出第一时间序列向量与其它九个时间序列向量之间的角度相异度sinθ_X1X2、sinθ_X1X3、sinθ_X1X4、sinθ_X1X5、sinθ_X1X6、sinθ_X1X7、sinθ_X1X8、sinθ_X1X9、sinθ_X1X10，同理，第一待检测样本中的其余属性的时间序列向量也是按照上述方法依次计算角度相异度，当然，其它九个待检测样本中每个时间序列向量的角度互异度与第一待检测样本计算方法一致，在此不再赘述。

进一步地，当得出各个待检测样本中的每个时间序列的角度互异度之后，判断所述第一时间序列对应的N-1个角度相异度的总和是否大于设定阈值，若大于，则生成所述第一时间序列为异常时间序列的第一检测结果，否则，则生成所述第一时间序列为正常时间序列的第一检测结果。

也就是说，将上述第一时间序列中计算得到的这九个角度相异度sinθ_X1X2、sinθ_X1X3、sinθ_X1X4、sinθ_X1X5、sinθ_X1X6、sinθ_X1X7、sinθ_X1X8、sinθ_X1X9、sinθ_X1X10进行相加，将和值与设定阈值进行比较，若发现大于设定阈值，则说明第一时间序列为异常时间序列，否则的话，则说明是正常时间序列。

进一步地，确定每个待检测样本中的异常时间序列的数量是否大于所述待检测样本中正常时间序列的数量，若大于，则所述待检测样本为异常数据流，否则，则为正常数据流。

比如说，按照上述检测方法得到如下检测结果，第一待检测样本中的属性为源IP地址的第一时间序列向量为异常时间序列，第一待检测样本中的属性为源端口的时间序列向量为异常时间序列，第一待检测样本中的属性为传输层协议号的时间序列向量为正常时间序列，所述第一待检测样本中异常时间序列的数量大于正常时间序列的数量，则第一待检测样本对应的该段时间序列就为异常时间序列。

进一步地，除了利用角度相异度进行检测，还可以再结合单类SVM分类器对每个待检测样本中的时间序列进行检测，检测方法如下：

将第一待检测样本中的第一属性对应的第一时间序列，利用预设的与所述第一属性对应的单类SVM(支持向量机)分类器进行分类；

根据分类结果确定出关于所述第一时间序列的第二检测结果，其中，若分类结果为同类别，则所述第二检测结果为正常时间序列，若分类结果为不同类别，则所述第二检测结果为异常时间序列；

将所述第一检测结果与所述第二检测结果进行加权求和，得到所述第一时间序列的目标检测结果。

然后确定每个待检测样本各个时间序列对应的目标检测结果中异常时间序列是否大于正常时间序列，若大于，则所述待检测样本为异常数据流，否则，则为正常数据流。

其中，数据分类是指在已有分类的训练数据的基础上，根据某种原理，经过训练形成一个分类器；然后使用分类器判断没有分类的数据的类别。注意，数据都是以向量形式出现的。单类SVM的基本原理为，对于给定的数据样本，通过核函数Φ将其映射到高维特征空间。在高维特征空间中求解一个最优超平面实现目标数据与坐标原点的最大分离。其中，坐标原点被假设为唯一的一个异常样本。采用单一类别的数据训练单类SVM分类器，然后可以用训练好的分类器对新的数据进行检测，判断新的数据是否与训练数据属于同一类别。基于单类支持向量机的单分类方法具有训练，决策速度快，分类准确率高等特点，适合处理高维，有噪声和有限样本的单分类问题。单类支持向量机的单分类划分方法可以根据所获得的目标数据估计其边界，做出正确的分类。

在本发明实施例中，预先选择M个历史同期的样本训练出一个单类SVM分类器，然后用训练好的分类器来判断待检测样本是否为异常。具体地，所述预设的与所述第一属性对应的SVM分类器是按照如下方式生成的：

获取所述设定时间段之前的历史网络数据流；针对所述历史网络数据流中的第一属性，根据所述第一属性，将所述历史网络数据流以设定时间间隔进行聚合，生成关于所述第一属性的N个时间序列，所述第一属性为所述网络数据流中的属性的任意一个；

将第一属性对应的N个时间序列作为训练数据，生成关于所述第一属性的SVM分类器。

也就是说，用历史网络数据流中的每个属性的时间序列训练出每个属性对应的SVM分类器，这样，就可以用训练好的每个属性的SVM分类器对获取的新的网络数据流进行检测。其中，检测方法又分为在线检测和离线检测，在线检测主要是实时获取路由器等网络监测节点的网络数据流，然后实时地给出检测结果，显然，这种检测方法的实时性较强，另外一种离线检测主要是将服务器上存储的一段时间的网络数据流进行检测，这种检测方法显然实时性不够强，但是可以进行不同时间长度的检测，使得检测的准确率提高。

具体来说，场景一，在线检测的目的是能够实时的发现系统中的异常流量，及时给出异常的报警。由于在线检测对实时性的要求较高，所以在线检测中不能同时对多种长度和多种粒度的时间序列进行检测。在检测的过程中，首先基于Netflow数据生成当前时刻往前T时间窗口的时间序列，对该序列进行异常检测分析，检测方法如上文所述。场景二，离线检测是对在线检测的补充。由于在线检测有实时性的要求，检测的过程中可能会有漏检的情况。因此，还需要对历史数据进行离线的检测。在离线检测的过程中，可以生成多种长度和多种粒度的时间序列，并且可以采用更多的历史同期的时间序列来计算相异度和训练分类器。

下面给出异常检测的示例，对内网环境中的Netflow数据进行检测。在本发明实施例中，对于网络中的一个关键节点，考虑其作为源IP的访问次数，每条流的持续时间，传输的数据包数量这三个字段，因此每个检测样本包括三条时间序列。对于给定的时刻，按照上文的方法生成时间序列，其中，T＝24小时，Δt＝1小时，M＝10。在所有的10条时间序列中，第8条序列为异常序列，其余为正常序列。在角度异常检测方法中，按照上文角度相异度的计算方法计算时间序列的角度相异度。计算的结果如图2a、图2b、图2c所示。从图2a、图2b、图2c中可以看出，第8组中的三条时间序列的相异度加和要远高于其他的序列，所以第八组时间序列中对应的Netflow有异常情况。在单类SVM方法中，用正常的序列训练分类器，并对异常序列进行检测，其检测结果与实际也是相符合的。

基于相同的技术构思，本发明实施例还提供一种网络流量异常检测装置，该装置可执行上述方法实施例。本发明实施例提供的装置如图3所示，包括：获取单元301、处理单元302、确定单元303、计算单元304、检测单元305，其中：

获取单元301，用于获取网络监测节点在设定时间段内生成的网络数据流；

处理单元302，用于针对所述网络数据流中的任一属性，根据所述任一属性，将所述网络数据流以设定时间间隔进行聚合，生成关于所述任一属性的N个时间序列；

确定单元303，用于根据各个属性分别对应的N个时间序列，确定所述网络数据流对应的N个待检测样本，其中，所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列；

计算单元304，用于针对第一待检测样本中的第一属性对应的第一时间序列，计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度，其中，所述第一待检测样本为N个待检测样本中的任意一个，所述第一属性为所述网络数据流中的属性的任意一个，每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值；

检测单元305，用于根据所述所述第一时间序列对应的N-1个角度相异度，确定出关于所述第一时间序列的第一检测结果，根据每个待检测样本中的每个时间序列的检测结果，确定所述每个待检测样本是否为异常数据流。

进一步地，所述检测单元305具体用于：

判断所述第一时间序列对应的N-1个角度相异度的总和是否大于设定阈值，若大于，则生成所述第一时间序列为异常时间序列的第一检测结果，否则，则生成所述第一时间序列为正常时间序列的第一检测结果；

确定每个待检测样本中的异常时间序列是否大于所述待检测样本中正常时间序列，若大于，则所述待检测样本为异常数据流，否则，则为正常数据流。

进一步地，所述计算单元304具体用于：

按照公式一计算所述第一时间序列与分别其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列中之间的N-1个角度相异度，

所述公式一为：

其中，x为第一时间序列向量，y为第二时间序列向量，θ_xy为时间序列向量之间的角度，所述sinθ_xy为角度相异度。

进一步地，还包括：分类单元306，用于将第一待检测样本中的第一属性对应的第一时间序列，利用预设的与所述第一属性对应的单类支持向量机SVM分类器进行分类；

所述检测单元305，还用于根据分类结果确定出关于所述第一时间序列的第二检测结果，其中，若分类结果为同类别，则所述第二检测结果为正常时间序列，若分类结果为不同类别，则所述第二检测结果为异常时间序列；将所述第一检测结果与所述第二检测结果进行加权求和，得到所述第一时间序列的目标检测结果。确定每个待检测样本各个时间序列对应的目标检测结果中异常时间序列是否大于正常时间序列，若大于，则所述待检测样本为异常数据流，否则，则为正常数据流。

进一步地，还包括：生成单类SVM分类器单元307，用于按照如下方式生成所述预设的与所述第一属性对应的单类SVM分类器：

获取所述设定时间段之前的历史网络数据流；

针对所述历史网络数据流中的第一属性，根据所述第一属性，将所述历史网络数据流以设定时间间隔进行聚合，生成关于所述第一属性的N个时间序列，所述第一属性为所述网络数据流中的属性的任意一个；

将第一属性对应的N个时间序列作为训练数据，生成关于所述第一属性的单类SVM分类器。

综上所述，本发明实施例采用的是对多个维度的时间序列进行异常检测，所谓的维度是指网络数据流中的各个属性，例如源IP地址，源端口号，目的IP地址，目的端口号等，利用角度相异度的方法通过分析各段网络数据流中的同一属性的时间序列的相似性，找出其中的异常序列，因为角度相异度是时间序列向量之间的夹角的正弦值，因此即使设备的时钟并没有完全同步，也不会导致检测结果偏差，故本发明实施例提供的网络异常数据流的检测方法得到的检测结果更加准确，这样就可以及时、快速地发现网络异常行为，有效地对网络攻击进行检测。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种网络流量异常检测方法，其特征在于，该方法包括：

获取网络监测节点在设定时间段内生成的网络数据流；

针对所述网络数据流中的任一属性，根据所述任一属性，将所述网络数据流以设定时间间隔进行聚合，生成关于所述任一属性的N个时间序列；

根据各个属性分别对应的N个时间序列，确定所述网络数据流对应的N个待检测样本，其中，所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列；

针对第一待检测样本中的第一属性对应的第一时间序列，计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度，其中，所述第一待检测样本为N个待检测样本中的任意一个，所述第一属性为所述网络数据流中的属性的任意一个，每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值；根据所述所述第一时间序列对应的N-1个角度相异度，确定出关于所述第一时间序列的第一检测结果；

根据每个待检测样本中的每个时间序列的检测结果，确定所述每个待检测样本是否为异常数据流。

2.如权利要求1所述的方法，其特征在于，所述根据所述第一时间序列对应的N-1个角度相异度，确定出关于所述第一时间序列的第一检测结果，包括：

判断所述第一时间序列对应的N-1个角度相异度的总和是否大于设定阈值，若大于，则生成所述第一时间序列为异常时间序列的第一检测结果，否则，则生成所述第一时间序列为正常时间序列的第一检测结果；

所述根据所述每个待检测样本中的每个时间序列的检测结果，确定所述待检测样本是否为异常数据流，包括：

确定每个待检测样本中的异常时间序列的数量是否大于所述待检测样本中正常时间序列的数量，若大于，则所述待检测样本为异常数据流，否则，则为正常数据流。

3.如权利要求1所述的方法，其特征在于，所述计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度，包括：

按照公式一计算所述第一时间序列与分别其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列中之间的N-1个角度相异度，

所述公式一为：

${\mathrm{sin\&theta;}}_{xy}=\sqrt{1-{\cos }^2{\mathrm{\&theta;}}_{xy}}=\sqrt{1-{\left(\frac{x\&CenterDot;y}{\left|\right|x\left|\right|\&CenterDot;\left|\right|y\left|\right|}\right)}^2}$

其中，x为第一时间序列向量，y为第二时间序列向量，θ_xy为时间序列向量之间的角度，所述sinθ_xy为角度相异度。

4.如权利要求1所述的方法，其特征在于，还包括：

将第一待检测样本中的第一属性对应的第一时间序列，利用预设的与所述第一属性对应的单类支持向量机SVM分类器进行分类；

根据分类结果确定出关于所述第一时间序列的第二检测结果，其中，若分类结果为同类别，则所述第二检测结果为正常时间序列，若分类结果为不同类别，则所述第二检测结果为异常时间序列；

将所述第一检测结果与所述第二检测结果进行加权求和，得到所述第一时间序列的目标检测结果；

所述根据所述每个待检测样本中的每个时间序列的检测结果，确定所述待检测样本是否为异常数据流，包括：

确定每个待检测样本各个时间序列对应的目标检测结果中异常时间序列是否大于正常时间序列，若大于，则所述待检测样本为异常数据流，否则，则为正常数据流。

5.如权利要求1所述的方法，其特征在于，所述预设的与所述第一属性对应的单类SVM分类器是按照如下方式生成的：

获取所述设定时间段之前的历史网络数据流；

针对所述历史网络数据流中的第一属性，根据所述第一属性，将所述历史网络数据流以设定时间间隔进行聚合，生成关于所述第一属性的N个时间序列，所述第一属性为所述网络数据流中的属性的任意一个；

将第一属性对应的N个时间序列作为训练数据，生成关于所述第一属性的单类SVM分类器。

6.一种网络流量异常检测装置，其特征在于，该装置包括：

获取单元，用于获取网络监测节点在设定时间段内生成的网络数据流；

处理单元，用于针对所述网络数据流中的任一属性，根据所述任一属性，将所述网络数据流以设定时间间隔进行聚合，生成关于所述任一属性的N个时间序列；

确定单元，用于根据各个属性分别对应的N个时间序列，确定所述网络数据流对应的N个待检测样本，其中，所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列；

计算单元，用于针对第一待检测样本中的第一属性对应的第一时间序列，计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度，其中，所述第一待检测样本为N个待检测样本中的任意一个，所述第一属性为所述网络数据流中的属性的任意一个，每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值；

检测单元，用于根据所述所述第一时间序列对应的N-1个角度相异度，确定出关于所述第一时间序列的第一检测结果，根据每个待检测样本中的每个时间序列的检测结果，确定所述每个待检测样本是否为异常数据流。

7.如权利要求6所述的装置，其特征在于，所述检测单元具体用于：

判断所述第一时间序列对应的N-1个角度相异度的总和是否大于设定阈值，若大于，则生成所述第一时间序列为异常时间序列的第一检测结果，否则，则生成所述第一时间序列为正常时间序列的第一检测结果；

确定每个待检测样本中的异常时间序列的数量是否大于所述待检测样本中正常时间序列的数量，若大于，则所述待检测样本为异常数据流，否则，则为正常数据流。

8.如权利要求6所述的装置，其特征在于，所述计算单元具体用于：

按照公式一计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列中之间的N-1个角度相异度，

所述公式一为：

${\mathrm{sin\&theta;}}_{xy}=\sqrt{1-{\cos }^2{\mathrm{\&theta;}}_{xy}}=\sqrt{1-{\left(\frac{x\&CenterDot;y}{\left|\right|x\left|\right|\&CenterDot;\left|\right|y\left|\right|}\right)}^2}$

其中，x为第一时间序列向量，y为第二时间序列向量，θ_xy为时间序列向量之间的角度，所述sinθ_xy为角度相异度。

9.如权利要求6所述的装置，其特征在于，还包括：

分类单元，用于将第一待检测样本中的第一属性对应的第一时间序列，利用预设的与所述第一属性对应的单类支持向量机SVM分类器进行分类；

所述检测单元，还用于根据分类结果确定出关于所述第一时间序列的第二检测结果，其中，若分类结果为同类别，则所述第二检测结果为正常时间序列，若分类结果为不同类别，则所述第二检测结果为异常时间序列；将所述第一检测结果与所述第二检测结果进行加权求和，得到所述第一时间序列的目标检测结果；确定每个待检测样本各个时间序列对应的目标检测结果中异常时间序列是否大于正常时间序列，若大于，则所述待检测样本为异常数据流，否则，则为正常数据流。

10.如权利要求6所述的装置，其特征在于，还包括：

生成单类SVM分类器单元，用于按照如下方式生成所述预设的与所述第一属性对应的单类SVM分类器：

获取所述设定时间段之前的历史网络数据流；

针对所述历史网络数据流中的第一属性，根据所述第一属性，将所述历史网络数据流以设定时间间隔进行聚合，生成关于所述第一属性的N个时间序列，所述第一属性为所述网络数据流中的属性的任意一个；

将第一属性对应的N个时间序列作为训练数据，生成关于所述第一属性的单类SVM分类器。