CN113794680B - 基于频域分析的高带宽场景下的恶意流量检测方法和装置 - Google Patents

Abstract

本申请提出一种基于频域分析的高带宽场景下的恶意流量检测方法，该方法包括：对网络流量进行数据包粒度的特征提取得到数据包粒度的特征；对数据包粒度的特征进行编码得到矩阵表示进行切合操作得到若干帧，对每一帧进行频域分析得到对应的频域特征；计算频域特征的功率得到功率表示进行对数变换得到频域特征表示，对频域特征表示进行切割和平均化作为统计聚类算法的输入，输出聚类中心；计算频域特征表示与对应最近的聚类中心的距离，若距离大于训练误差的预定倍数，频域特征表示对应的流量为异常流量，否则为正常流量。本申请具有检测吞吐高、精度高、时延低等优点，能够在兼顾计算开销和存储开销的同时，在高带宽的场景下精准地检测出恶意流量。

Description

基于频域分析的高带宽场景下的恶意流量检测方法和装置

技术领域

本申请涉及网络安全技术领域，尤其涉及一种基于频域分析的高带宽场景下的恶意流量检测方法和装置。

背景技术

近几年，网络安全逐渐成为了国家安全的重要组成部分，“没有网络安全就没有国家安全”这句话充分展示出互联网安全建设在国家安全建设当中的重要地位。然而，每年都有大量的新型网络攻击被提出。如何快速检测新型网络攻击成为了网络安全研究领域的一个重要问题。

在骨干网或企业网关这类高带宽场景下，检测并拦截恶意流量可以保护大量的合法网络用户，可以显著提升互联网安全。此外，高速地检测与分析广域网高带宽流量的工具可以帮助安全研究人员发现新型网络攻击，促进互联网安全的研究进展

区别于传统的离线流量分析或者低带宽场景下的而已流量监测任务，在高带宽场景下的恶意流量监测具有如下的困难。其一，广域网高带宽的流量模式十分复杂，这将造成检测器误报率高。其二，在高带宽的工作场景下，检测系统需要保证极高的检测吞吐量，以确保检测的实时性，并防止检测器被流量淹没。其三，需要考虑未知的恶意流量模式，考虑未被发现并公开过的新型攻击。

然而，传统的恶意流量监测方案无法适用于高带宽场景。基于固定规则网络入侵检测系统无法检测出未知的恶意流量，且检测精度不高。近年来基于机器学习的恶意流量监测方案被提出并使用。然而这些基于机器学习的方案均采用离线执行的方式工作，不保证检测具有实时性；或仅可以工作在低带宽的场景下。

发明内容

本申请旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本申请的第一个目的在于提出一种基于频域分析的高带宽场景下的恶意流量检测方法，解决了现有方法无法适用于高带宽场景，并且检测精度不高的问题，同时还解决了现有方法工作于低带宽场景下，或者以离线分析的方式工作，不保证检测具有实时性的问题，利用频域分析抽取网络流量的特征，在保证高处理效率的条件下实现了对网络流量的特征的有效提取，并使用统计聚类算法对恶意流量进行精准实时地检测，同时在保证了较高的检测吞吐量和较低的时间延迟的条件下，具有极高的检测精度。

本申请的第二个目的在于提出一种基于频域分析的高带宽场景下的恶意流量检测装置。

为达上述目的，本申请第一方面实施例提出了一种基于频域分析的高带宽场景下的恶意流量检测方法，包括：在网关处持续监听通过网关的流量，得到网络流量，并对网络流量进行数据包粒度的特征提取，得到数据包粒度的特征；使用编码向量对数据包粒度的特征进行编码，得到矩阵表示，并对矩阵表示进行切合操作，得到若干帧，之后对若干帧中的每一帧进行频域分析，得到对应的频域特征；计算频域特征的功率，得到功率表示，对获得的功率表示做对数变换，得到频域特征表示，之后对频域特征表示进行切割和平均化，作为统计聚类算法的输入，输出聚类中心；计算频域特征表示与对应最近的聚类中心的距离，若距离大于训练误差的预定倍数，频域特征表示对应的流量为异常流量，否则为正常流量，其中，训练误差为全部参与聚类的频域特征表示的平均距离。

可选地，在本申请的一个实施例中，数据包粒度的特征表示为：

其中，S表示监听到的数据包序列表示矩阵，第i行第j列个元素代表从监听到的第i个数据包提取的第j个特征，N表示监听到的数据包个数，M表示对每个数据包提取的特征个数。

可选地，在本申请的一个实施例中，矩阵表示的表达式为：

v＝Sw＝[v₁，...，v_i，...，v_N]^T(1≤i≤N)

其中，v表示矩阵表示，v_i表示第i个数据包的编码，M表示对每个数据包提取的特征个数，s_ij表示第i个数据包提取的第j个特征，w_j表示第j个特征对应的权重系数，S表示监听到的数据包序列表示矩阵，w表示编码向量。

可选地，在本申请的一个实施例中，对矩阵表示进行切合操作，表示为：

其中，f_i为第i帧，N_f为帧的个数，v为矩阵表示，w_seg为每一帧的长度，N表示数据包的总数。

可选地，在本申请的一个实施例中，采用离散傅里叶变换对若干帧中的每一帧进行频域分析，得到每一帧对应的频域特征，表示为：

F_i＝DFT(f_i)(1≤i≤N_f)

其中，F_i表示第i帧对应的频域特征，F_ik表示第k个频率分量，f_i为第i帧，w_win为离散傅里叶变换中不同频率的分量总数，f_in为第i帧的第n个离散傅里叶变换分量，w_seg为每一帧的长度。

可选地，在本申请的一个实施例中，计算频域特征的功率，得到功率表示，具体为将频域特征转换为复数的标准形式表示，然后计算实部和虚部的平方平均数，最后保留功率表示的前半部分，计算过程表示为：

F_ik＝a_ik+jb_ik

其中，F_ik表示第i帧的第k个频率分量，F_ik是虚数，a_ik为虚数的实部，j为虚数单位，jb_ik为虚数的虚部，w_seg为每一帧的长度，f_in为第i帧的第n个离散傅里叶变换中的频率分量，p_ik为第i帧的第k个频率分量的功率，P_i表示第i帧的频域特征的功率表示，K_f为P_i向量的长度。

可选地，在本申请的一个实施例中，对功率表示做对数变换，得到频域特征表示，表示为：

其中，R_i表示经过对数变换后的功率，P_i表示第i帧的频域特征的功率表示，C为控制特征范围的常数，

表示数据包序列的频域表示。

可选地，在本申请的一个实施例中，对频域特征表示进行切割和平均化，表示为：

其中，w_win为固定切割步长，N_t为切割帧数，R为频域特征表示，i表示帧的编号，N_f为帧的个数，l表示切割后的结果，r_i表示平均化后的结果，

聚类中心表示为：

C_i(1≤i≤K)

其中，K表示执行统计聚类算法得到的聚类中心个数。

可选地，在本申请的一个实施例中，频域特征表示与对应最近的聚类中心的距离表示为：

其中，N_t表示帧数，C_j表示第j个聚类中心，r_i表示频域特征表示平均化后的结果，训练误差表示为：

其中，

表示频域特征表示与对应最近的聚类中心的距离，N_t表示帧数，r_i表示频域特征表示平均化后的结果。

为达上述目的，本申请第二方面实施例提出了一种基于频域分析的高带宽场景下的恶意流量检测装置，包括获取模块、高速数据包解析模块、频域特征提取模块、统计聚类模块，其中，

获取模块，用于在网关处持续监听通过网关的流量，得到网络流量；

高速数据包解析模块，用于对网络流量进行数据包粒度的特征提取，得到数据包粒度的特征；

频域特征提取模块，用于使用编码向量对数据包粒度的特征进行编码，得到矩阵表示，对矩阵表示进行切合操作，得到若干帧，对若干帧中的每一帧进行频域分析，得到对应的频域特征，计算频域特征的功率，得到功率表示，对功率表示做对数变换，得到频域特征表示；

统计聚类模块，用于计算频域特征表示与对应最近的聚类中心的距离，若距离大于训练误差的预定倍数时频域特征表示对应的流量为异常流量，否则为正常流量，并将异常流量输出，其中，训练误差为全部参与聚类的频域特征表示的平均距离。

本申请实施例的基于频域分析的高带宽场景下的恶意流量检测方法和装置，解决了现有方法无法适用于高带宽场景，并且检测精度不高的问题，同时还解决了现有方法工作于低带宽场景下，或者以离线分析的方式工作，不保证检测具有实时性的问题，利用频域分析的方法，从频域的角度提取网络流的时间尺度特征，并且使用统计机器学习算法学习流量的频域特征表示，实现了在高带宽场景下实时精准地检测出恶意流量的目的，同时在保证了较高的检测吞吐量和较低的时间延迟的条件下，具有极高的检测精度。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本申请实施例一所提供的一种基于频域分析的高带宽场景下的恶意流量检测方法的流程图；

图2为本申请实施例的基于频域分析的高带宽场景下的恶意流量检测方法的系统架构图；

图3为本申请实施例二所提供的一种基于频域分析的高带宽场景下的恶意流量检测装置的结构示意图。

具体实施方式

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

下面参考附图描述本申请实施例的基于频域分析的高带宽场景下的恶意流量检测方法和装置。

图1为本申请实施例一所提供的一种基于频域分析的高带宽场景下的恶意流量检测方法的流程图。

如图1所示，该基于频域分析的高带宽场景下的恶意流量检测方法包括以下步骤：

步骤101，在网关处持续监听通过网关的流量，得到网络流量，并对网络流量进行数据包粒度的特征提取，得到数据包粒度的特征；

步骤102，使用编码向量对数据包粒度的特征进行编码，得到矩阵表示，并对矩阵表示进行切合操作，得到若干帧，之后对若干帧中的每一帧进行频域分析，得到对应的频域特征；

步骤103，计算频域特征的功率，得到功率表示，对获得的功率表示做对数变换，得到频域特征表示，之后对频域特征表示进行切割和平均化，作为统计聚类算法的输入，输出聚类中心；

步骤104，计算频域特征表示与对应最近的聚类中心的距离，若距离大于训练误差的预定倍数，频域特征表示对应的流量为异常流量，否则为正常流量，其中，训练误差为全部参与聚类的频域特征表示的平均距离。

本申请实施例的基于频域分析的高带宽场景下的恶意流量检测方法，通过在网关处持续监听通过网关的流量，得到网络流量，并对网络流量进行数据包粒度的特征提取，得到数据包粒度的特征；使用编码向量对数据包粒度的特征进行编码，得到矩阵表示，并对矩阵表示进行切合操作，得到若干帧，之后对若干帧中的每一帧进行频域分析，得到对应的频域特征；计算频域特征的功率，得到功率表示，对获得的功率表示做对数变换，得到频域特征表示，之后对频域特征表示进行切割和平均化，作为统计聚类算法的输入，输出聚类中心；计算频域特征表示与对应最近的聚类中心的距离，若距离大于训练误差的预定倍数，频域特征表示对应的流量为异常流量，否则为正常流量，其中，训练误差为全部参与聚类的频域特征表示的平均距离。由此，能够解决现有方法无法适用于高带宽场景，并且检测精度不高的问题，同时还可以解决现有方法工作于低带宽场景下，或者以离线分析的方式工作，不保证检测具有实时性的问题，利用频域分析的方法，从频域的角度提取网络流的时间尺度特征，并且使用统计机器学习算法学习流量的频域特征表示，实现了在高带宽场景下实时精准地检测出恶意流量的目的，同时在保证了较高的检测吞吐量和较低的时间延迟的条件下，具有极高的检测精度。

进一步地，在本申请实施例中，数据包粒度的特征表示为：

其中，S表示监听到的数据包序列表示矩阵，第i行第j列个元素代表从监听到的第i个数据包提取的第j个特征，N表示监听到的数据包个数，M表示对每个数据包提取的特征个数。

流量检测系统工作在网关处，持续监听通过网关的流量。对监听得到的流量进行数据包粒度的特征抽取。恶意流量检测系统在Δt的时间内监听到了N个数据包通过网关。

进一步地，在本申请实施例中，矩阵表示的表达式为：

v＝Sw＝[v₁，...，v_i，...，v_N]^T(1≤i≤N)

其中，v表示矩阵表示，v_i表示第i个数据包的编码，M表示对每个数据包提取的特征个数，s_ij表示第i个数据包提取的第j个特征，w_j表示第j个特征对应的权重系数，S表示监听到的数据包序列表示矩阵，w表示编码向量。

使用编码向量w对从流量当中抽取得到的数据包粒度的特征进行编码，得到网络流量的矩阵表示v。

进一步地，在本申请实施例中，对矩阵表示进行切合操作，表示为：

其中，f_i为第i帧，N_f为帧的个数，v为矩阵表示，w_seg为每一帧的长度，N表示数据包的总数。

对网络流的向量进行一定步长的切割，得到一系列的固定长度的流量帧。

进一步地，在本申请实施例中，采用离散傅里叶变换对若干帧中的每一帧进行频域分析，得到每一帧对应的频域特征，表示为：

F_i＝DFT(f_i)(1≤i≤N_f)

其中，F_i表示第i帧对应的频域特征，F_ik表示第k个频率分量，f_i为第i帧，w_win为离散傅里叶变换中不同频率的分量总数，f_in为第i帧的第n个离散傅里叶变换分量，w_seg为每一帧的长度。

使用离散傅里叶变换，从频域的角度抽取网络流量的时间尺度上的特征，得到网络流量的频域特征。

进一步地，在本申请实施例中，计算频域特征的功率，得到功率表示，具体为将频域特征转换为复数的标准形式表示，然后计算实部和虚部的平方平均数，最后保留功率表示的前半部分，计算过程表示为：

F_ik＝a_ik+jb_ik

其中，F_ik表示第i帧的第k个频率分量，F_ik是虚数，a_ik为虚数的实部，j为虚数单位，jb_ik为虚数的虚部，w_seg为每一帧的长度，f_in为第i帧的第n个离散傅里叶变换中的频率分量，p_ik为第i帧的第k个频率分量的功率，P_i表示第i帧的频域特征的功率表示，K_f为P_i向量的长度。

进一步地，在本申请实施例中，对功率表示做对数变换，得到频域特征表示，表示为：

其中，R_i表示经过对数变换后的功率，P_i表示第i帧的频域特征的功率表示，C为控制特征范围的常数，

表示数据包序列的频域表示。

将每一帧对应的频域特征表示R作为输出。

进一步地，在本申请实施例中，对频域特征表示进行切割和平均化，表示为：

其中，w_win为固定切割步长，N_t为切割帧数，R为频域特征表示，i表示帧的编号，N_f为帧的个数，l表示切割后的结果，r_i表示平均化后的结果，

聚类中心表示为：

C_i(1≤i≤K)

其中，K表示执行统计聚类算法得到的聚类中心个数。

当抽取得到流量的频域特征表示之后，使用统计聚类方法学习流量的特征。将切割得到的第i部分平均化后的结果表示为r_i，作为统计聚类算法的输入，计算得到聚类中心。

进一步地，在本申请实施例中，频域特征表示与对应最近的聚类中心的距离表示为：

其中，N_t表示帧数，C_j表示第j个聚类中心，r_i表示频域特征表示平均化后的结果，全部参与聚类的频域特征表示到距离其最近的聚类中心的距离的平均作为训练误差，训练误差表示为：

其中，

表示频域特征表示与对应最近的聚类中心的距离，N_t表示帧数，r_i表示频域特征表示平均化后的结果。

计算各流量的频域特征偏离聚类中心的距离，将显著偏离聚类中心的频域特征对应的流量标注为异常流量，即如果全部参与聚类的频域特征表示到距离其最近的聚类中心的距离大于

倍的训练误差则判定输入的频域特征对应的流量为异常流量。反之，当频域特征表示到距离其最近的聚类中心的距离较小时则可以判定输入的频域特征对应的流量为正常流量。

图2为本申请实施例的基于频域分析的高带宽场景下的恶意流量检测方法的系统架构图。

如图2所示，该基于频域分析的高带宽场景下的恶意流量检测方法，包含：高速数据包解析模块，对输入的数据包提取数据包粒度的特征，输出数据包粒度特征；频域特征抽取模块，将数据包粒度特征作为输入，对数据包粒度的特征进行编码，并从频域的角度抽取数据包的时间尺度上的特征，得到网络流量的频域特征表示；统计聚类学习模块，将网络流量的频域特征表示作为统计聚类算法的输入，计算得到聚类中心，并将拥有偏离聚类中心的频域特征的流量标记为异常流量。

图3为本申请实施例二所提供的一种基于频域分析的高带宽场景下的恶意流量检测装置的结构示意图。

如图3所示，该基于频域分析的高带宽场景下的恶意流量检测装置，包括获取模块、高速数据包解析模块、频域特征提取模块、统计聚类模块，其中，

获取模块10，用于在网关处持续监听通过网关的流量，得到网络流量；

高速数据包解析模块20，用于对网络流量进行数据包粒度的特征提取，得到数据包粒度的特征；

频域特征提取模块30，用于使用编码向量对数据包粒度的特征进行编码，得到矩阵表示，对矩阵表示进行切合操作，得到若干帧，对若干帧中的每一帧进行频域分析，得到对应的频域特征，计算频域特征的功率，得到功率表示，对功率表示做对数变换，得到频域特征表示；

统计聚类模块40，用于计算频域特征表示与对应最近的聚类中心的距离，若距离大于训练误差的预定倍数时频域特征表示对应的流量为异常流量，否则为正常流量，并将异常流量输出，其中，训练误差为全部参与聚类的频域特征表示的平均距离。

本申请实施例的基于频域分析的高带宽场景下的恶意流量检测装置，包括获取模块、高速数据包解析模块、频域特征提取模块、统计聚类模块，其中，获取模块，用于在网关处持续监听通过网关的流量，得到网络流量；高速数据包解析模块，用于对网络流量进行数据包粒度的特征提取，得到数据包粒度的特征；频域特征提取模块，用于使用编码向量对数据包粒度的特征进行编码，得到矩阵表示，对矩阵表示进行切合操作，得到若干帧，对若干帧中的每一帧进行频域分析，得到对应的频域特征，计算频域特征的功率，得到功率表示，对功率表示做对数变换，得到频域特征表示；统计聚类模块，用于计算频域特征表示与对应最近的聚类中心的距离，若距离大于训练误差的预定倍数时频域特征表示对应的流量为异常流量，否则为正常流量，并将异常流量输出，其中，训练误差为全部参与聚类的频域特征表示的平均距离。由此，能够解决现有方法无法适用于高带宽场景，并且检测精度不高的问题，同时还可以解决现有方法工作于低带宽场景下，或者以离线分析的方式工作，不保证检测具有实时性的问题，利用频域分析的方法，从频域的角度提取网络流的时间尺度特征，并且使用统计机器学习算法学习流量的频域特征表示，实现了在高带宽场景下实时精准地检测出恶意流量的目的，同时在保证了较高的检测吞吐量和较低的时间延迟的条件下，具有极高的检测精度。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (9)

1.一种基于频域分析的高带宽场景下的恶意流量检测方法，其特征在于，包括以下步骤：

在网关处持续监听通过网关的流量，得到网络流量，并对所述网络流量进行数据包粒度的特征提取，得到数据包粒度的特征；

使用编码向量对所述数据包粒度的特征进行编码，得到矩阵表示，并对所述矩阵表示进行切合操作，得到若干帧，之后对所述若干帧中的每一帧进行频域分析，得到对应的频域特征；

计算所述频域特征的功率，得到功率表示，对获得的功率表示做对数变换，得到频域特征表示，之后对所述频域特征表示进行切割和平均化，作为统计聚类算法的输入，输出聚类中心；

计算所述频域特征表示与对应最近的聚类中心的距离，若所述距离大于训练误差的预定倍数，所述频域特征表示对应的流量为异常流量，否则为正常流量，其中，所述训练误差为全部参与聚类的频域特征表示的平均距离；

其中，所述数据包粒度的特征表示为：

其中，S表示监听到的数据包序列表示矩阵，第i行第j列个元素代表从监听到的第i个数据包提取的第j个特征，N表示监听到的数据包个数，M表示对每个数据包提取的特征个数。

2.如权利要求1所述的方法，其特征在于，所述矩阵表示的表达式为：

v＝Sw＝[v₁,…,v_i,…,v_N]^T，1≤i≤N

其中，v表示所述矩阵表示，v_i表示第i个数据包的编码，M表示对每个数据包提取的特征个数，s_ij表示第i个数据包提取的第j个特征，w_j表示第j个特征对应的权重系数，N表示数据包的总数，S表示监听到的数据包序列表示矩阵，w表示所述编码向量。

3.如权利要求2所述的方法，其特征在于，对所述矩阵表示进行切合操作，表示为：

其中，F为全体帧，f_i为第i帧，N_f为帧的个数，v为所述矩阵表示，w_seg为每一帧的长度，N表示数据包的总数。

4.如权利要求3所述的方法，其特征在于，采用离散傅里叶变换对所述若干帧中的每一帧进行频域分析，得到每一帧对应的频域特征，表示为：

F_i＝DFT(f_i)，1≤i≤N_f

其中，F_i表示第i帧对应的频域特征，F_ik表示第k个频率分量，f_i为第i帧，N_f为帧的个数，w_win为离散傅里叶变换中不同频率的分量总数，f_in为第i帧的第n个离散傅里叶变换分量，w_seg为每一帧的长度。

5.如权利要求4所述的方法，其特征在于，计算所述频域特征的功率，得到功率表示，具体为将所述频域特征转换为复数的标准形式表示，然后计算实部和虚部的平方平均数，最后保留功率表示的前半部分，计算过程表示为：

F_ik＝a_ik+jb_ik

其中，F_ik表示第i帧的第k个频率分量，F_ik是虚数，a_ik为虚数的实部，j为虚数单位，jb_ik为虚数的虚部，w_seg为每一帧的长度，f_in为第i帧的第n个离散傅里叶变换中的频率分量，p_ik为第i帧的第k个频率分量的功率，P_i表示第i帧的频域特征的功率表示，K_f为P_i向量的长度。

6.如权利 要求5所述的方法，其特征在于，对所述功率表示做对数变换，得到频域特征表示，表示为：

其中，R_i表示经过对数变换后的功率，P_i表示第i帧的频域特征的功率表示，C为控制特征范围的常数，

表示数据包序列的频域表示，K_f为频域特征长度，N_f为帧的个数。

7.如权利要求6所述的方法，其特征在于，对所述频域特征表示进行切割和平均化，表示为：

l＝iW_win，

其中，w_win为固定切割步长，N_t为切割帧数，R为所述频域特征表示，i表示帧的编号，N_f为帧的个数，l表示切割后的结果，r_i表示平均化后的结果，

所述聚类中心表示为：

C_i，1≤i≤K

其中，K表示执行统计聚类算法得到的聚类中心个数。

8.如权利要求7所述的方法，其特征在于，所述频域特征表示与对应最近的聚类中心的距离表示为：

其中，N_t表示帧数，C_j表示第j个聚类中心，r_i表示所述频域特征表示平均化后的结果，

所述训练误差表示为：

其中，

表示所述频域特征表示与对应最近的聚类中心的距离，N_t表示帧数，r_i表示所述频域特征表示平均化后的结果。

9.一种基于频域分析的高带宽场景下的恶意流量检测装置，其特征在于，包括获取模块、高速数据包解析模块、频域特征提取模块、统计聚类模块，其中，

所述获取模块，用于在网关处持续监听通过网关的流量，得到网络流量；

所述高速数据包解析模块，用于对所述网络流量进行数据包粒度的特征提取，得到数据包粒度的特征；

所述频域特征提取模块，用于使用编码向量对所述数据包粒度的特征进行编码，得到矩阵表示，对所述矩阵表示进行切合操作，得到若干帧，对所述若干帧中的每一帧进行频域分析，得到对应的频域特征，计算所述频域特征的功率，得到功率表示，对所述功率表示做对数变换，得到频域特征表示，之后对所述频域特征表示进行切割和平均化，作为统计聚类算法的输入，输出聚类中心；

所述统计聚类模块，用于计算所述频域特征表示与对应最近的聚类中心的距离，若所述距离大于训练误差的预定倍数时所述频域特征表示对应的流量为异常流量，否则为正常流量，并将所述异常流量输出，其中，所述训练误差为全部参与聚类的频域特征表示的平均距离；

其中，所述数据包粒度的特征表示为：

其中，S表示监听到的数据包序列表示矩阵，第i行第j列个元素代表从监听到的第i个数据包提取的第j个特征，N表示监听到的数据包个数，M表示对每个数据包提取的特征个数。

Images