CN108141349A - 改善异常检测率的方法 - Google Patents

Abstract

一种改善通信网络中异常检测率的系统与方法。服务器计算机可以接收包含通过通信网络传送的流量的数据集，并且基于诸如传输控制协议(TCP)端口号或用户数据报协议(UDP)端口号等网络服务类型或者基于关联于所述流量的应用层协议将所述流量分组到数据类别中。所述服务器计算机还可以基于关联于数据类别的至少一个共同特征与所述数据类别中的流量之间的不一致性检测每个数据类别中的异常。不同的数据类别可以与不同的所述至少一个共同特征相关联。可以对异常检测进行监督或不监督。

Description

改善异常检测率的方法

相关申请交叉引用

本申请要求享有于2016年9月23日提交的申请号为15/274,315、发明名称为“改善异常检测率的方法”的美国非临时专利申请的优先权，该美国非临时专利申请又要求享有于2015年10月2日提交的申请号为62/236,745、发明名称为“改善异常检测率的方法”的美国临时专利申请的优先权，以上两专利申请的全部内容通过引用结合在本申请中。

技术领域

本发明一般涉及管理网络中资源的分配，并且在具体实施例中涉及改善异常检测率的方法的技术和机制。

背景技术

在机器学习中，通常将聚类分析用作无监督算法来检测异常。聚类分析基于描述了对象及其间关系的特征对数据对象进行分组。聚类分析将一组对象分成多组，使得相似的对象分组在一起，不同的组包含具有不同特征的对象。良好的聚类通常以组内相似性较高且不同组间差异较大为特征。

数据集可以包含特征显著不同于数据集中其它对象的对象。这些差异性显著的数据对象称为离群值或异常值。离群值识别对与其余数据有很大不同的较小数据对象组进行查找。离群值挖掘对不符合其余数据的数据模式进行识别。离群值挖掘用于电信、金融欺诈检测、稀有基因识别和数据清理等领域。

发明内容

技术优点通常通过对改善异常检测率的方法进行描述的本申请实施例来实现。

根据实施例，提供了一种可以由服务器计算机执行的用于改善通信网络中异常检测率的方法。在本示例中，所述方法包括：接收包含通过通信网络传送的流量的数据集，并基于所述流量的传输控制协议(TCP)端口号或用户数据报协议(UDP)端口号将所述流量分组到数据类别中。所述方法还包括：基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个数据类别中的异常。不同的数据类别与不同的所述至少一个共同特征相关联。还提供了一种用于执行该方法的装置。

根据一实施例，所述方法还包括：基于所述数据类别中预定数量的流量所共享的共同点识别对所述数据类别的至少一个共同特征。

根据一实施例，所述检测每个数据类别中的异常包括：将数据类别中流量的特征与关联于良性数据集的特征进行比较；以及当关联于所述流量的特征与关联于所述良性数据集的特征之间的不一致性超过阈值时，确定流量是离群值。

根据一实施例，关联于所述数据类别的至少一个共同特征基于与所述数据类别对应的训练模型。

根据一实施例，通过应用与所述数据类别对应的模式识别过程，利用流量的分类预测来识别所述至少一个共同特征，并且与所述数据类别对应的所述训练模型包括至少一个正常类和至少一个异常类。

根据一实施例，所述模式识别过程是数据预处理、数据归一化、特征选择、特征空间缩减或参数选择中的至少一个。

根据一实施例，所述模式识别过程是对关联于所述数据类别的模型的训练、验证以及测试。

根据一实施例，所述分类预测包括：将所述数据类别中流量的特征与关联于所述至少一个正常类的特征进行比较；将所述数据类别中流量的特征与关联于所述至少一个异常类的特征进行比较；以及当关联于所述流量的特征与关联于所述至少一个正常类的特征之间的不一致性超过第一阈值或者当关联于所述流量的特征与关联于所述至少一个异常类的特征之间的不一致性不超过第二阈值时，确定流量是异常的。

根据一实施例，所述数据集是存储在数据库中的互联网流量数据，并且由TCP或UDP端口号表征的不同类别对应于不同的互联网服务类型。

根据另一实施例，提供了一种可以由服务器计算机执行的用于改善通信网络中异常检测率的方法。在本示例中，所述方法包括：接收包含通过通信网络传送的流量的数据集，并基于关联于所述流量的应用层协议将所述流量分组到数据类别中。每个所述数据类别包括与不同应用层协议相关联的流量。所述方法还包括：基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个所述数据类别中的异常。不同的数据类别与不同的所述至少一个共同特征相关联。

根据一实施例，所述方法还包括：基于所述数据类别中预定数量的流量所共享的共同点识别对所述数据类别的至少一个共同特征。

根据一实施例，所述检测每个数据类别中的异常包括：将数据类别中流量的特征与关联于良性数据集的特征进行比较；以及当关联于所述流量的特征与关联于所述良性数据集的特征之间的不一致性超过阈值时，确定流量是离群值。

根据一实施例，关联于所述数据类别的至少一个共同特征基于与所述数据类别对应的训练模型。

根据一实施例，通过应用与所述数据类别对应的模式识别过程，利用流量的分类预测来识别所述至少一个共同特征，并且与所述数据类别对应的所述训练模型包括至少一个正常类和至少一个异常类。

根据一实施例，所述模式识别过程是数据预处理、数据归一化、特征选择、特征空间缩减或参数选择中的至少一个。

根据一实施例，所述模式识别过程是对关联于所述数据类别的模型的训练、验证以及测试。

根据一实施例，所述分类预测包括：将所述数据类别中流量的特征与关联于所述至少一个正常类的特征进行比较；将所述数据类别中流量的特征与关联于所述至少一个异常类的特征进行比较；以及当关联于所述流量的特征与关联于所述至少一个正常类的特征之间的不一致性超过第一阈值或者当关联于所述流量的特征与关联于所述至少一个异常类的特征之间的不一致性不超过第二阈值时，确定流量是异常的。

根据一实施例，所述数据集是存储在数据库中的互联网流量数据。

根据又一实施例，提供了一种用于改善通信网络中异常检测率的服务器计算机。所述服务器计算机包括：包括指令的非暂时性存储器；以及与所述存储器通信的一个或多个处理器，其中，所述一个或多个处理器执行所述指令以进行以下操作：接收包含通过通信网络传送的流量的数据集；基于所述流量的传输控制协议(TCP)端口号或用户数据报协议(UDP)端口号将所述流量分组到数据类别中；以及基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。

根据又一实施例，提供了一种用于改善通信网络中异常检测率的服务器计算机。所述服务器计算机包括：包括指令的非暂时性存储器；以及与所述存储器通信的一个或多个处理器，其中，所述一个或多个处理器执行所述指令以进行以下操作：接收包含通过通信网络传送的流量的数据集；基于关联于所述流量的应用层协议将所述流量分组到数据类别中，其中，每个所述数据类别包括与不同应用层协议相关联的流量；以及基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个所述数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。

根据又一实施例，提供了一种用于改善通信网络中异常检测率的服务器计算机。所述服务器计算机包括：接收元件，其接收包含通过通信网络传送的流量的数据集；分组元件，其基于所述流量的传输控制协议(TCP)端口号或用户数据报协议(UDP)端口号将所述流量分组到数据类别中；以及检测元件，其基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。

根据又一实施例，提供了一种用于改善通信网络中异常检测率的服务器计算机。所述服务器计算机包括：接收元件，其接收包含通过通信网络传送的流量的数据集；分组元件，其基于关联于所述流量的应用层协议将所述流量分组到数据类别中，其中，每个所述数据类别包括与不同应用层协议相关联的流量；以及检测元件，其基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个所述数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。

附图说明

为了更全面地理解本申请及其优点，现结合附图参见以下描述，其中：

图1示出了无线通信网络的实施例的示意图；

图2示出了通信网络的实施例的示意图；

图3示出了异常检测方法的实施例的流程图；

图4示出了改善通信网络中异常检测率的方法的实施例的流程图；

图5示出了改善通信网络中异常检测率的方法的另一实施例的流程图；

图6示出了处理系统的实施例的示意图；以及

图7示出了收发器的实施例的示意图。

除非另有说明，不同附图中的相应数字和符号通常指代相应部件。对附图进行绘制以清楚说明各实施例的相关方面，并且不一定按比例进行绘制。

具体实施方式

以下对本申请实施例的形成和使用进行详细讨论。然而，应当理解，本文公开的概念可以在各种特定上下文中进行体现，并且本文讨论的具体实施例仅仅是说明性的并不用于限制权利要求的范围。此外，应当理解，在不脱离由所附权利要求限定的本申请的精神和范围的情况下，可以在本文中进行各种改变、替换和修改。

在当前实践中，在将数据集作为基线基数的训练集馈送给机器学习模型之前，对观测数据集进行预处理和归一化，所述基线基数随后用于检测数据异常。机器学习训练的观测数据集没有分类，可能导致异常检测率低下。例如，研究人员使用的普遍数据集是包含大约500万个观测值的KDD CUP 99数据集，其包含来自四个普遍IP协议的网络流数据，其中每个协议包含多个服务。由于每个服务具有显著不同的特征，因此在不区分协议和服务的情况下使用数据集可能会导致更大的故障阳性或故障阴性预测率。因此，需要用于检测不同类别的数据异常的机制。

本文中公开了一种用于改善通信网络中异常检测率的方法的实施例。当服务器计算机接收包含通过通信网络传送的流量的数据集时，服务器计算机可以基于诸如流量的传输控制协议(transport control protocol，TCP)端口号或用户数据报协议(userdatagram protocol，UDP)端口号等网络服务类型将流量分组到数据类别中。数据集可以是存储在数据库中的互联网流量数据，由TCP或UDP端口号表征的不同数据类别可以对应于不同的互联网服务类型。可选地，代替TCP端口号或UDP端口号，服务器计算机可以基于关联于流量的应用层协议将流量分组到数据类别中。可以以分级分类或高维分类的方式将来自数据集的流量分组到数据类别中。

每个数据类别可以包括具有不同TCP端口号、UDP端口号或关联于不同应用层协议的流量。服务器计算机可以基于关联于数据类别的共同特征和所述数据类别中的流量之间的不一致性检测每个数据类别中的异常。不同的数据类别可以与不同的共同特征相关联，例如，源IP地址、目的IP地址、流量、流量频率、数据包大小或从TCP/UDP/IP数据包报头获得的特征。

可以对异常检测进行监督或不监督。例如，在无监督异常检测中，可以基于给定数据类别中大多数流量所共享的共同点来识别给定数据类别的一组共同特征。

另一方面，在监督的异常检测或威胁检测中，关联于给定数据类别的共同特征可以基于相应的训练模型。训练模型可以包括至少一个正常类和至少一个异常类。可以将给定数据类别中流量的特征分别与关联于正常类的特征集合以及与关联于异常类的特征集合进行比较。当关联于流量的特征与关联于正常类的特征集合之间的不一致性超过第一阈值时，或者当关联于流量的特征与关联于异常类的特征集合之间的不一致性不超过第二阈值时，可以确定流量异常。

应当注意，尽管本申请通信领域中应用了优选实施例方法，但是所提出的方法也可以应用于诸如金融欺诈检测、稀有基因识别和数据清理等其它领域。

图1示出了用于传送数据的网络100。网络100包括具有覆盖区域112的基站110、多个移动设备120(120a，120b)和回程网络130。如图所示，基站110与移动设备120建立上行链路(虚线)和/或下行链路(点划线)连接，所述连接用于将数据从移动设备120向基站110输送，反之亦然。通过上行链路/下行链路连接输送的数据可以包括在移动设备120之间传送的数据以及通过回程网络130传送至/自远端(未示出)的数据。如本文中所使用的，术语“基站”是指任何用于提供与网络的无线接入的组件(或组件集合)，例如，增强型基站(enhanced base station，eNB)、宏小区、毫微微小区(femtocell)、Wi-Fi接入点(accesspoint，AP)或者其它无线使能设备。基站可以根据一个或多个无线通信协议提供无线接入，例如，长期演进(long term evolution，LTE)、高级LTE(LTE advanced，LTE-A)、高速分组接入(High Speed Packet Access，HSPA)、Wi-Fi 802.11a/b/g/n/ac等。如本文中所使用的，术语“移动设备”是指任何能够与诸如用户设备(user equipment，UE)、移动站(mobilestation，STA)和其它无线使能设备等基站建立无线连接的组件(或组件集合)。在一些实施例中，网络100可以包括各种其它无线设备，例如，中继器、低功率节点等。

图2示出了通信系统200。如图所示，数据库202和服务器计算机204与网络230通信耦合。可选地，数据库202和服务器计算机204彼此可以直接通信耦合，或者数据库202和服务器计算机204可以驻留在一个服务器计算机中。服务器计算机204可以包括异常检测应用206。数据库202可以包括一个或多个数据集208。服务器计算机204或异常检测应用206可以接收包含通过通信网络(例如，通信网络100)传送的流量的数据集。例如，服务器计算机204可以周期性地从数据库202请求数据集，或者当数据集中已经记录了预定量的流量信息时，数据库202可以向服务器计算机204发送所述数据集。通信网络可以与网络203相同或不同。

服务器计算机204可以基于诸如流量的传输控制协议(TCP)端口号或用户数据报协议(UDP)端口号等网络服务类型将流量分组到数据类别中。数据集可以是存储在数据库202中的互联网流量数据的数据集208，由TCP或UDP端口号表征的不同数据类别可以对应于不同的互联网服务类型。

互联网服务类型可以是文件传输协议(file transfer protocol，FTP)、安全外壳(secure shell，SH)、Telnet远程登录服务、简单邮件传输协议(Simple Mail TransferProtocol，SMTP)、域名系统(Domain Name System，DNS)服务、超文本传输协议(HypertextTransfer Protocol，HTTP)、邮局协议(Post Office Protocol，POP3)、网络新闻传输协议(Network News Transfer Protocol，NNTP)、网络时间协议(Network Time Protocol，NTP)、互联网消息访问协议(Intemet Message Access Protocol，IMAP)、简单网络管理协议(Simple Network Management Protocol，SNMP)、互联网中继聊天(Internet RelayChat，IRC)或安全HTTP(HTTP Secure，HTTPS)中的一种。

可选地，代替TCP端口号或UDP端口号，服务器计算机204可以基于关联于流量的应用层协议将流量分组到数据类别中。可以以分级分类或高维分类的方式将来自数据集208的流量分组到数据类别中。

每个数据类别可以包括具有不同TCP端口号、UDP号或关联于不同应用层协议的流量。服务器计算机204或异常检测应用206可以基于关联于数据类别的共同特征和所述数据类别中的各个流量之间的不一致性检测每个数据类别中的异常。不同的数据类别可以与不同的共同特征相关联，例如，源IP地址、目的IP地址、流量、流量频率、数据包大小或从TCP/UDP/IP数据包报头获得的特征。

可以将数据类别中流量的特征与关联于良性数据集的特征进行比较，并且当关联于流量的特征与关联于良性数据集的特征之间的不一致性超过阈值时，可以确定流量异常。单个数据类别的流量可以进一步划分为训练集、验证集和测试集。可以基于单个数据类别中的流量来构建预测模型，并且可以将预测模型应用于单个数据类别的未来流量以便进行分类。

异常检测应用206可以执行无监督异常检测、监督威胁预测或其组合。例如，在无监督异常检测中，可以基于数据类别中大多数流量所共享的共同点来识别数据类别的共同特征集合。另一方面，在监督威胁预测中，关联于数据类别的共同特征可以基于与所述数据类别对应的训练模型。

例如，对于无监督的异常检测，可以基于数据类别中预定量的流量所共享的共同点来识别数据类别的共同特征集合，例如，99％的流量。例如，第一数据类别中99％的流量包括罕见的大数据包，比如：电子邮件流量；第二数据类别中99％的流量包括突发的小数据包，比如：音频流流量。应注意，大多数流量可以是大于一半且小于全部流量中的任一比例。

对于监督的威胁检测，异常检测应用206可以利用诸如聚类或模式识别等不同技术来进行无监督异常检测。不同的数据类别可以应用不同的模式识别过程，例如，对关联于给定数据类别的模型进行数据预处理、数据归一化、特征选择、特征空间缩减、参数选择或者训练、验证和测试。关联于数据类别的训练模型可以包括至少一个正常类和至少一个异常类。为了预测数据类别中的分类，异常检测应用206可以将数据类别中流量的特征分别与关联于正常类的特征集合以及关联于异常类的特征集合进行比较。

对于监督的威胁预测，异常检测应用206中的算法可以基于关联于要确定的流量的特征集合来确定不可见实例(例如，流量)的类标签。预测类可以正常或异常。当关联于流量的特征与关联于正常类的特征集合之间的不一致性超过第一阈值时，可以确定流量异常。可选地或另外地，当关联于流量的特征与关联于异常类的特征集合之间的不一致性不超过第二阈值时，可以确定流量异常。

可以基于所述至少一个正常类和所述至少一个异常类中的每个的单个数据类别中的流量来构建预测模型，并且可以将其应用于所述单个数据类别的未来流量以便进行分类。

图3示出了可由服务器计算机执行的异常检测方法300的实施例。如图所示，方法300开始于步骤302，其中，提供互联网流量的原始数据。此后，方法300进行到步骤304，其中，将特征工程应用于原始数据以在数据集中生成对象。随后，方法300进行到步骤306，其中，对数据集中的对象进行分类，例如，基于协议和/或服务类别。

在步骤308-324中，将独立机器学习过程应用于数据集中每个类别的对象。在步骤308中，将主成分分析(principal component analysis，PCA)应用于每个类别。例如，可以将每个类别的数据划分为训练数据(框310)、验证数据(框312)和测试数据(框314)。

在步骤316中，可以将为特定数据类别选择的机器学习模型应用于训练数据以对数据进行聚类。例如，可以将k-均值算法应用于训练数据。可以将相同或不同的机器学习模型应用于每个类别。在步骤318中，可以将异常检测算法应用于每个类别的聚类数据。例如，可以将一类支持向量机(one-class support vector machine，OCSVM)应用于聚类数据以检测异常。可以将相同或不同的异常检测算法应用于每个类别的数据。也可以将异常检测算法应用于验证数据。在步骤320中，从训练数据生成初始模型。可以根据验证数据对初始模型进行验证。在步骤322中，生成最终模型，并且可以使用测试数据来测试最终模型。在步骤324中，为每个类别生成输出模型。

在表1中提供了用于实现方法300的示例性算法。

表1

在第5-10行中，将特征工程应用于原始数据(例如，步骤304)。在第11-15行中，对数据集中的数据对象进行分类(例如，步骤306)。在第16-14行中，将独立的机器学习过程应用于数据集中的每个类别i(例如，图3的步骤308-324)。例如，在第18行中，为了实现维数缩减，应用PCA。在第22行中，应用诸如k-均值算法等机器学习建模(例如，步骤316)。在第23行中，通过轮廓值选择最佳k值。在第32-36行中，应用诸如OCSMV等异常检测方法(例如，步骤318)。在第38行中，为了生成输出模型，采用测试数据对模型进行测试(例如，步骤322)。

当各实施例应用于KDD CUP 99数据集时，观察到异常检测得以改善。表2提供了通过将异常检测技术实施例应用于KDD CUP 99数据集所获得的测试结果。

表2

采用KDD 99数据获得的结果

图4示出了可以由服务器计算机执行的用于改善通信网络中异常检测率的方法400的实施例。如图所示，方法400开始于步骤410，其中，服务器计算机接收包含通过通信网络传送的流量的数据集。此后，方法400进行到步骤420，其中，服务器计算机基于流量的传输控制协议(TCP)端口号或用户数据报协议(UDP)端口号将流量分组到数据类别中。

随后，方法400进行到步骤430，其中，基于关联于相应数据类别的共同特征和相应数据类别中的各个流量之间的不一致性检测每个数据类别中的异常。不同的数据类别可以与不同的共同特征相关联。

图5示出了可以由服务器计算机执行的用于改善通信网络中异常检测率的方法500的另一实施例。如图所示，方法500开始于步骤510，其中，服务器计算机接收包含通过通信网络传送的流量的数据集。

此后，方法500进行到步骤520，其中，服务器计算机基于关联于流量的应用层协议将流量分组到数据类别中。每个数据类别可以包括与不同应用层协议相关联的流量。随后，方法500进行到步骤530，其中，基于关联于相应数据类别的共同特征和相应数据类别中的各个流量之间的不一致性检测每个数据类别中的异常。不同的数据类别可以与不同的共同特征相关联。

图6示出了用于执行本文中所述方法的处理系统600的实施例的框图，其可以安装在主机设备中。如图所示，处理系统600包括处理器604、存储器606和接口610-614，其可以(或也可以不)如图6所示进行布置。处理器604可以是适于执行计算和/或其它处理相关任务的任一组件或组件集合，存储器606可以是适于存储由处理器604执行的编程和/或指示的任一组件或组件集合。在实施例中，存储器606包括非暂时性计算机可读介质。接口610，612，614可以是使处理系统600与其它设备/组件和/或用户通信的任一组件或组件集合。例如，接口610，612，614中的一个或多个可以适于将数据、控制或管理消息从处理器604向安装在主机设备和/或远程设备上的应用传送。作为另一示例，接口610，612，614中的一个或多个可以适于使用户或用户设备(例如，个人计算机(personal computer，PC)等)与处理系统600交互/通信。处理系统600可以包括未在图6中描绘的诸如长期存储器等附加组件(例如，非易失性存储器等)。

在一些实施例中，处理系统600包括在网络设备中，所述网络设备正在访问电信网络或者是电信网络的一部分。在一个示例中，处理系统600位于无线或有线电信网络中的网络侧设备(例如，基站、中继站、调度器、控制器、网关、路由器、应用服务器)或电信网络中的任一其它设备中。在其它实施例中，处理系统600位于访问无线或有线电信网络的用户侧设备(例如，移动台、用户设备(user equipment，UE)、个人计算机(personal computer，PC)、平板电脑、可穿戴通信设备(诸如智能手表等))或适于访问电信网络的任一其它设备中。

在一些实施例中，接口610，612，614中的一个或多个将处理系统600与适于通过电信网络发送并接收信令的收发器连接。图7示出了适于通过电信网络发送并接收信令的收发器700的框图。收发器700可以安装在主机设备中。如图所示，收发器700包括网络侧接口702、耦合器704、发送器706、接收器708、信号处理器710和设备侧接口712。网络侧接口702可以包括适于通过无线或有线电信网络发送或接收信令的任一组件或组件集合。耦合器704可以包括适于通过网络侧接口702促进双向通信的任一组件或组件集合。发送器706可以包括适于将基带信号转换成适合于通过网络侧接口702传输的调制载波信号的任一组件或组件集合(例如，上变频器、功率放大器等)。接收器708可以包括适于将通过网络侧接口702接收到的载波信号转换成基带信号的任一组件或组件集合(例如，下变频器、低噪声放大器等)。信号处理器710可以包括适于将基带信号转换成适合于通过设备侧接口712进行通信的数据信号的任一组件或组件集合，反之亦然。设备侧接口712可以包括适于在信号处理器710和主机设备内的组件之间传送数据信号的任一组件或组件集合(例如，处理系统600、局域网(local area network，LAN)端口等)。

收发器700可以通过任何类型的通信介质发送并接收信令。在一些实施例中，收发器700通过无线介质发送并接收信令。例如，收发器700可以是适于根据诸如蜂窝协议(例如，长期演进(LTE)等)、无线局域网(wireless local areanetwork，WLAN)协议(例如，Wi-Fi等)或任一其它类型的无线协议(例如，蓝牙、近场通信(near field communication，NFC)等)等无线电信协议进行通信的无线收发器。在这样的实施例中，网络侧接口702包括一个或多个天线/辐射元件。例如，网络侧接口702可以包括单个天线、多个单独的天线或配置用于多层通信的多天线阵列，例如，单输入多输出(single inputmultiple output，SIMO)、多输入单输出(multiple input single output，MISO)、多输入多输出(multipleinput multiple output，MIMO)等。在其它实施例中，收发器700通过诸如双绞线电缆、同轴电缆、光纤等有线介质发送并接收信令。具体的处理系统和/或收发器可以利用示出的所有组件或组件的子集，并且集成度可以依据设备的不同而有所不同。

应当理解，本文中提供的方法实施例的一个或多个步骤可以由相应的单元或模块来执行。例如，信号可以由发送单元或发送模块发送。信号可以由接收单元或接收模块接收。信号可以由处理单元或处理模块来处理。其它步骤可以由生成单元/模块、监听单元/模块、确定单元/模块、抑制单元/模块和/或执行单元/模块来执行。各个单元/模块可以是硬件、软件或其组合。例如，单元/模块中的一个或多个可以是诸如现场可编程门阵列(fieldprogrammable gate array，FPGA)或专用集成电路(application-specificintegrated circuit，ASIC)等集成电路。

尽管已经对说明书进行了详细描述，但是应当理解，在不脱离由所附权利要求书所限定的本申请的精神和范围的情况下，可以进行各种改变、替换和修改。此外，本申请的范围并不限于本文中所述的特定实施例，因此本领域普通技术人员通过本申请能够轻而易举地理解，现有或将来要开发的过程、机器、制造、物质组成、装置、方法或步骤可以执行与本文中所述相应实施例基本上相同的功能或基本上实现基本相同的结果。因此，所附权利要求书旨在在其范围内包括这种过程、机器、制造、物质组成、装置、方法或步骤。

Claims (20)

1.一种用于改善通信网络中异常检测率的方法，其特征在于，所述方法包括：

服务器计算机接收包含通过通信网络传送的流量的数据集；

所述服务器计算机基于所述流量的传输控制协议TCP端口号或用户数据报协议UDP端口号将所述流量分组到数据类别中；以及

基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。

2.根据权利要求1所述的方法，其特征在于，还包括：

基于所述数据类别中预定数量的流量所共享的共同点识别所述数据类别的至少一个共同特征。

3.根据权利要求1和2中任一项所述的方法，其特征在于，所述检测每个数据类别中的异常包括：

将数据类别中流量的特征与关联于良性数据集的特征进行比较；以及

当关联于所述流量的特征与关联于所述良性数据集的特征之间的不一致性超过阈值时，确定流量是离群值。

4.根据权利要求1-3中任一项所述的方法，其特征在于，关联于所述数据类别的至少一个共同特征基于与所述数据类别对应的训练模型。

5.根据权利要求4所述的方法，其特征在于，通过应用与所述数据类别对应的模式识别过程，利用流量的分类预测来识别所述至少一个共同特征，并且与所述数据类别对应的所述训练模型包括至少一个正常类和至少一个异常类。

6.根据权利要求5所述的方法，其特征在于，所述模式识别过程是数据预处理、数据归一化、特征选择、特征空间缩减或参数选择中的至少一个。

7.根据权利要求5所述的方法，其特征在于，所述模式识别过程是对关联于所述数据类别的模型的训练、验证以及测试。

8.根据权利要求5所述的方法，其特征在于，所述分类预测包括：

将所述数据类别中流量的特征与关联于所述至少一个正常类的特征进行比较；

将所述数据类别中流量的特征与关联于所述至少一个异常类的特征进行比较；以及

当关联于所述流量的特征与关联于所述至少一个正常类的特征之间的不一致性超过第一阈值或者当关联于所述流量的特征与关联于所述至少一个异常类的特征之间的不一致性不超过第二阈值时，确定流量是异常的。

9.根据权利要求1-8中任一项所述的方法，其特征在于，所述数据集是存储在数据库中的互联网流量数据，并且由TCP或UDP端口号表征的不同类别对应于不同的互联网服务类型。

10.一种用于改善通信网络中异常检测率的方法，其特征在于，所述方法包括：

服务器计算机接收包含通过通信网络传送的流量的数据集；

所述服务器计算机基于关联于所述流量的应用层协议将所述流量分组到数据类别中，其中，每个所述数据类别包括与不同应用层协议相关联的流量；以及

基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个所述数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。

11.根据权利要求10所述的方法，其特征在于，还包括：

基于所述数据类别中预定数量的流量所共享的共同点识别所述数据类别的至少一个共同特征。

12.根据权利要求10和11中任一项所述的方法，其特征在于，所述检测每个数据类别中的异常包括：

将数据类别中流量的特征与关联于良性数据集的特征进行比较；以及

当关联于所述流量的特征与关联于所述良性数据集的特征之间的不一致性超过阈值时，确定流量是离群值。

13.根据权利要求10-12中任一项所述的方法，其特征在于，关联于所述数据类别的至少一个共同特征基于与所述数据类别对应的训练模型。

14.根据权利要求13所述的方法，其特征在于，通过应用与所述数据类别对应的模式识别过程，利用流量的分类预测来识别所述至少一个共同特征，并且与所述数据类别对应的所述训练模型包括至少一个正常类和至少一个异常类。

15.根据权利要求14所述的方法，其特征在于，所述模式识别过程是数据预处理、数据归一化、特征选择、特征空间缩减或参数选择中的至少一个。

16.根据权利要求14所述的方法，其特征在于，所述模式识别过程是对关联于所述数据类别的模型的训练、验证以及测试。

17.根据权利要求14所述的方法，其特征在于，所述分类预测包括：

将所述数据类别中流量的特征与关联于所述至少一个正常类的特征进行比较；

将所述数据类别中流量的特征与关联于所述至少一个异常类的特征进行比较；以及

当关联于所述流量的特征与关联于所述至少一个正常类的特征之间的不一致性超过第一阈值或者当关联于所述流量的特征与关联于所述至少一个异常类的特征之间的不一致性不超过第二阈值时，确定流量是异常的。

18.根据权利要求10-17中任一项所述的方法，其特征在于，所述数据集是存储在数据库中的互联网流量数据。

19.一种用于改善通信网络中异常检测率的服务器计算机，其特征在于，所述服务器计算机包括：

包括指令的非暂时性存储器；以及

与所述存储器通信的一个或多个处理器，其中，所述一个或多个处理器执行所述指令以进行以下操作：

接收包含通过通信网络传送的流量的数据集；

基于所述流量的传输控制协议TCP端口号或用户数据报协议UDP端口号将所述流量分组到数据类别中；以及

基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。

20.一种用于改善通信网络中异常检测率的服务器计算机，其特征在于，所述服务器计算机包括：

包括指令的非暂时性存储器；以及

与所述存储器通信的一个或多个处理器，其中，所述一个或多个处理器执行所述指令以进行以下操作：

接收包含通过通信网络传送的流量的数据集；

基于关联于所述流量的应用层协议将所述流量分组到数据类别中，其中，每个所述数据类别包括与不同应用层协议相关联的流量；以及

基于关联于数据类别的至少一个共同特征和所述数据类别中的流量之间的不一致性检测每个所述数据类别中的异常，其中，不同的数据类别与不同的所述至少一个共同特征相关联。