CN114422213A - 基于int的异常流量检测方法和装置 - Google Patents

Abstract

本申请涉及一种基于INT的异常流量检测方法和装置。该方法包括：发送方根据交互请求，将交互数据和遥测指令封装到数据包中通过传输链路上的交换机向接收方传输；传输链路上的交换机根据数据包中携带的遥测指令，将遥测数据包头和采集到的流量相关数据封装到数据包中发送出去，直至到达最后一跳交换机；最后一跳交换机根据数据包中携带的遥测指令，采集流量相关数据，并将数据包中的流量相关数据拆分出来，将所有流量相关数据作为遥测数据，发送至遥测服务器，将交互数据发送至接收方；遥测服务器从接收到的遥测数据中，提取出流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果，提高了异常流量检测过程的准确度和效率。

Description

基于INT的异常流量检测方法和装置

技术领域

本申请涉及计算机网络技术领域，特别是涉及一种基于INT的异常流量检测方法和装置。

背景技术

随着信息时代的到来，网络普及和使用量激增，网络流量也呈指数式增长，网络流量的大小一定程度上反映了网络的安全性，异常流量的出现意味着网络上出现了某些未经授权的信息，因此通过异常流量检测减小网络流量负载，缓解网络拥塞，维护网络安全是当前面临的迫切问题。异常流量检测是一种通过对系统网络信息收集和分析，从而发现异常的技术。它主要是通过对计算机系统和网络进行实时监控，发现和识别网络流量中的异常流量，给出异常流量警报，方便网络管理员及时采取相应措施保护网络安全。

带内遥测(INT)是一种新的网络监测方法。INT直接在数据平面上执行异常流量监测过程，以线路速率将实时网络状态附加到每个数据包，通过在数据平面上收集信息，提供对网络性能和负载的监控，但目前带内遥测技术在异常流量检测方面存在以下缺陷：

(1)检测速度慢。由于带内遥测将遥测数据和指令封装到正常数据包中，遥测到的流量数据的封装，提取等都靠具有遥测功能的交换机实现，交换机处理负担较重，导致检测速度慢。

(2)功能完整性不够。目前带内遥测技术目前只能实现遥测数据的采集和上传，交换机只能提取流量数据，不能进行异常流量检测和溯源工作。

(3)准确性低。目前在带内遥测上层嵌入的一些异常流量检测算法可识别的异常流量种类较少，不能识别流量的深层特征，从而影响异常流量检测的准确性。

上述缺陷导致基于带内遥测的异常流量检测不够准确高效，进一步影响对网络攻击的判断和处理，影响网络安全。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高常流量检测效率和准确性的基于INT的异常流量检测方法和装置。

一种基于INT的异常流量检测方法，所述方法包括：

发送方根据交互请求，将交互数据和遥测指令封装到数据包中通过传输链路上的交换机向接收方传输；

传输链路上的第一跳交换机根据接收到的数据包中携带的遥测指令，将遥测数据包头和采集到的流量相关数据封装到所述数据包中，并发送至下一跳交换机；

下一跳交换机根据接收到的数据包中携带的遥测指令，将采集到的流量相关数据封装到所述数据包中后，继续传递给下一跳交换机进行采集到的流量相关数据封装，直至到达最后一跳交换机；

最后一跳交换机根据接收到的数据包中携带的遥测指令，采集流量相关数据，并将所述数据包中的流量相关数据拆分出来，将所有流量相关数据作为遥测数据，发送至遥测服务器，将交互数据发送至接收方；

遥测服务器从接收到的遥测数据中，提取出流量数据；

遥测服务器根据所述流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果。

在其中一个实施例中，所述方法还包括：

所述遥测服务器根据检测结果生成遥测报告反馈至发送方，当所述检测结果为异常时，向发送方发送停止数据包发送指令，使发送发停止数据包的发送，并根据所述流量数据进行异常流量的溯源。

在其中一个实施例中，所述遥测服务器根据所述流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果的步骤，包括：

所述遥测服务器采用标签编码器对所述流量数据进行编码，形成初步流量特征；

所述遥测服务器将所述初步流量特征输入特征提取模型中提取出频繁出现的特征，获得频繁流量特征向量；

所述遥测服务器所述频繁流量特征向量输入重塑模型中进行重塑，形成二维矩阵数据特征；

所述遥测服务器使用与所述二维矩阵数据特征相同形状的k个卷积核对所述二维矩阵数据特征进行特征提取，获得三维数据特征；

所述遥测服务器将所述三维数据特征输入到分类模型中进行分类，获得检测结果。

在其中一个实施例中，所述方法还包括：根据三维数据特征生成可视化界面在显示器上显示。

在其中一个实施例中，所述遥测服务器采用标签编码器对所述流量数据进行编码，形成初步流量特征的步骤，包括：

所述遥测服务器从流量数据中取n组流量数据样本，根据归一化公式对n组流量数据样本进行归一化编码处理，获得初步流量特征；

所述归一化公式为：

s_i＝}c_ij|i∈1,2,3......n}，

其中，s_ij标识第i组流量数据样本中的每个数据，j表示第i组流量数据样本中的第j个时间点的数据，s_{i_min}为第i组流量数据样本中的最小值，s_{i_max}为第i组流量数据样本中的最大值，c_ij表示第i组的第j个时间点的数据的归一化后数据，s_i表示初步流量特征。

在其中一个实施例中，所述特征提取模型为：

其中，x_i代表输出的频繁流量特征向量，w为形状重塑向量，a₁为生成特征向量的参数值，f为特征获取函数，n为流量数据样本的总组数。

在其中一个实施例中，所述重塑模型为：

M＝(h,x_i)

其中，h为形状重塑样本，x_i代表输出的频繁流量特征向量，w为形状重塑向量，a₁为生成特征向量的参数值，M为二维矩阵数据特征。

在其中一个实施例中，所述卷积核进行特征提取的公式为：

O_i＝((h-k+1)/2*k，(h-k+1)/x_i，(h-k+1)/1)

其中，k为卷积核的个数，h为形状重塑样本，x_i代表输出的频繁流量特征向量，O_i为提取出的三维数据特征。

在其中一个实施例中，所述分类模型为：

其中，e为自然底数，sig为sigmoid激活功能函数，class为检测结果，class为0代表正常，class为1代表异常，O_i为提取出的三维数据特征。

一种基于INT的异常流量检测装置，所述装置包括：

发送方的数据传输模块，用于发送方根据交互请求，将交互数据和遥测指令封装到数据包中通过传输链路上的交换机向接收方传输；

交换机的第一封装模块，用于传输链路上的第一跳交换机根据接收到的数据包中携带的遥测指令，将遥测数据包头和采集到的流量相关数据封装到所述数据包中，并发送至下一跳交换机；

交换机的第二封装模块，用于下一跳交换机根据接收到的数据包中携带的遥测指令，将采集到的流量相关数据封装到所述数据包中后，继续传递给下一跳交换机进行采集到的流量相关数据封装，直至到达最后一跳交换机；

交换机的第三封装模块，用于最后一跳交换机根据接收到的数据包中携带的遥测指令，采集流量相关数据，并将所述数据包中的流量相关数据拆分出来，将所有流量相关数据作为遥测数据，发送至遥测服务器，将交互数据发送至接收方；

遥测服务器的提取模块，用于遥测服务器从接收到的遥测数据中，提取出流量数据；

遥测服务器的检测模块，用于遥测服务器根据所述流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果。

上述基于INT的异常流量检测方法和装置，通过发送方根据交互请求，将交互数据和遥测指令封装到数据包中通过传输链路上的交换机向接收方传输；传输链路上的第一跳交换机根据接收到的数据包中携带的遥测指令，将遥测数据包头和采集到的流量相关数据封装到所述数据包中，并发送至下一跳交换机；下一跳交换机根据接收到的数据包中携带的遥测指令，将采集到的流量相关数据封装到所述数据包中后，继续传递给下一跳交换机进行采集到的流量相关数据封装，直至到达最后一跳交换机；最后一跳交换机根据接收到的数据包中携带的遥测指令，采集流量相关数据，并将所述数据包中的流量相关数据拆分出来，将所有流量相关数据作为遥测数据，发送至遥测服务器，将交互数据发送至接收方；遥测服务器从接收到的遥测数据中，提取出流量数据；遥测服务器根据所述流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果，可以识别网络流量的深层特征，从而增加异常流量检测过程的精度和准确度，进一步的减轻了交换机的处理负担，有助于更有效的进行流量检测，提高了检测效率。

附图说明

图1为一个实施例中基于INT的异常流量检测方法的流程示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在一个实施例中，如图1所示，提供了一种基于INT的异常流量检测方法，包括以下步骤：

步骤S220，发送方根据交互请求，将交互数据和遥测指令封装到数据包中通过传输链路上的交换机向接收方传输。

其中，交互请求可以是发送方与接收方进行交互发出的请求，如互联网访问请求、数据传输请求等等，发送方可以是终端或服务器，接收方可以是终端或服务器。

步骤S240，传输链路上的第一跳交换机根据接收到的数据包中携带的遥测指令，将遥测数据包头和采集到的流量相关数据封装到数据包中，并发送至下一跳交换机。

其中，第一跳交换机在封装数据包时，将遥测数据包头添加到收到的数据包中，并将自身采集的流量相关数据添加到遥测数据包头字段后面。流量相关数据包括网络状态、网络性能、事件类型和流量成分等等。

步骤S260，下一跳交换机根据接收到的数据包中携带的遥测指令，将采集到的流量相关数据封装到数据包中后，继续传递给下一跳交换机进行采集到的流量相关数据封装，直至到达最后一跳交换机。

步骤S280,最后一跳交换机根据接收到的数据包中携带的遥测指令，采集流量相关数据，并将数据包中的流量相关数据拆分出来，将所有流量相关数据作为遥测数据，发送至遥测服务器，将交互数据发送至接收方。

其中，遥测数据封装为遥测数据包发送至遥测服务器，遥测数据包中不包括交互数据。交互数据封装为交互数据包发送至接收方，交互数据包中不包括遥测数据。

步骤S300，遥测服务器从接收到的遥测数据中，提取出流量数据。

其中，流量数据包括网络状态、网络性能、事件类型和流量成分等。

步骤S320，遥测服务器根据流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果。

上述基于INT的异常流量检测方法，通过发送方根据交互请求，将交互数据和遥测指令封装到数据包中通过传输链路上的交换机向接收方传输；传输链路上的第一跳交换机根据接收到的数据包中携带的遥测指令，将遥测数据包头和采集到的流量相关数据封装到数据包中，并发送至下一跳交换机；下一跳交换机根据接收到的数据包中携带的遥测指令，将采集到的流量相关数据封装到数据包中后，继续传递给下一跳交换机进行采集到的流量相关数据封装，直至到达最后一跳交换机；最后一跳交换机根据接收到的数据包中携带的遥测指令，采集流量相关数据，并将数据包中的流量相关数据拆分出来，将所有流量相关数据作为遥测数据，发送至遥测服务器，将交互数据发送至接收方；遥测服务器从接收到的遥测数据中，提取出流量数据；遥测服务器根据流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果，可以识别网络流量的深层特征，从而增加异常流量检测过程的精度和准确度，进一步的减轻了交换机的处理负担，有助于更有效的进行流量检测，提高了检测效率。

在一个实施例中，该基于INT的异常流量检测方法还包括：遥测服务器根据检测结果生成遥测报告反馈至发送方，当检测结果为异常时，向发送方发送停止数据包发送指令，使发送发停止数据包的发送，并根据流量数据进行异常流量的溯源。

其中，进行异常流量的溯源时，依据遥测报告的内容对异常流量的网络拓扑信息进行编辑，通过触发机制重现INT数据包的传输过程，标记异常交换机，确定异常流量的来源并进行相应的网络故障预警。

在一个实施例中，遥测服务器根据流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果的步骤，包括：遥测服务器采用标签编码器对流量数据进行编码，形成初步流量特征；遥测服务器将初步流量特征输入特征提取模型中提取出频繁出现的特征，获得频繁流量特征向量；遥测服务器频繁流量特征向量输入重塑模型中进行重塑，形成二维矩阵数据特征；遥测服务器使用与二维矩阵数据特征相同形状的k个卷积核对二维矩阵数据特征进行特征提取，获得三维数据特征；遥测服务器将三维数据特征输入到分类模型中进行分类，获得检测结果。

其中，通过特征提取模型进行特征提取为二维矩阵的数据特征，再经过重塑模型进行特征提取，可以更好地提取流量数据的局部特征，更全面地提取出流量特征，

在一个实施例中，该基于INT的异常流量检测方法还包括：根据三维数据特征生成可视化界面在显示器上显示。

其中，可视化界面可以实现对异常流量的实时监控。

在一个实施例中，遥测服务器采用标签编码器对流量数据进行编码，形成初步流量特征的步骤，包括：

遥测服务器从流量数据中取n组流量数据样本，根据归一化公式对n组流量数据样本进行归一化编码处理，获得初步流量特征；

归一化公式为：

s_i＝{c_ij|i∈1,2,3......n}，

其中，s_ij标识第i组流量数据样本中的每个数据，j表示第i组流量数据样本中的第j个时间点的数据，s_{i_min}为第i组流量数据样本中的最小值，s_{i_max}为第i组流量数据样本中的最大值，c_ij表示第i组的第j个时间点的数据的归一化后数据，s_i表示初步流量特征。

其中，为了使初步流量特征保持在一定精度，将使用数字归一化的方式得到映射在一定范围内的初步流量特征。

在一个实施例中，特征提取模型为：

其中，x_i代表输出的频繁流量特征向量，w为形状重塑向量，a₁为生成特征向量的参数值，f为特征获取函数，n为流量数据样本的总组数。

在一个实施例中，重塑模型为：

M＝(h,x_i)

其中，h为形状重塑样本，x_i代表输出的频繁流量特征向量，w为形状重塑向量，a₁为生成特征向量的参数值，M为二维矩阵数据特征。

在一个实施例中，卷积核进行特征提取的公式为：

O_i＝((h-k+1)/2*k，(h-k+1)/x_i，(h-k+1)/1)

其中，k为卷积核的个数，h为形状重塑样本，x_i代表输出的频繁流量特征向量，O_i为提取出的三维数据特征。

在一个实施例中，分类模型为：

其中，e为自然底数，sig为sigmoid激活功能函数，class为检测结果，class为0代表正常，class为1代表异常，O_i为提取出的三维数据特征。

上述基于INT的异常流量检测方法，采用了遥测服务器解析数据包的方式，交换机获取到遥测数据包后可以直接转发至遥测服务器进行统一的提取和解析，这一定程度上减轻了交换机的处理负担，有助于更有效的进行流量检测。

进一步地，在遥测服务器中嵌入异常流量检测算法，以此弥补传统带内遥测方式只能采集上传不能检测的缺陷。

进一步地，使用的自适应的异常流量识别算法，通过采用标签编码器对流量数据进行编码，形成初步流量特征数据的预处理方式，以及过特征提取模型进行特征提取为二维矩阵的数据特征，再经过重塑模型进行特征提取的方式，可以识别网络流量的深层特征，从而增加异常流量检测过程的精度和准确度。

应该理解的是，虽然图1的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，提供了一种基于INT的异常流量检测装置，包括：发送方的数据传输模块、交换机的第一封装模块、交换机的第二封装模块、交换机的第三封装模块、遥测服务器的提取模块和遥测服务器的检测模块。

发送方的数据传输模块，用于发送方根据交互请求，将交互数据和遥测指令封装到数据包中通过传输链路上的交换机向接收方传输。

交换机的第一封装模块，用于传输链路上的第一跳交换机根据接收到的数据包中携带的遥测指令，将遥测数据包头和采集到的流量相关数据封装到数据包中，并发送至下一跳交换机。

交换机的第二封装模块，用于下一跳交换机根据接收到的数据包中携带的遥测指令，将采集到的流量相关数据封装到数据包中后，继续传递给下一跳交换机进行采集到的流量相关数据封装，直至到达最后一跳交换机。

交换机的第三封装模块，用于最后一跳交换机根据接收到的数据包中携带的遥测指令，采集流量相关数据，并将数据包中的流量相关数据拆分出来，将所有流量相关数据作为遥测数据，发送至遥测服务器，将交互数据发送至接收方。

遥测服务器的提取模块，用于遥测服务器从接收到的遥测数据中，提取出流量数据。

遥测服务器的检测模块，用于遥测服务器根据流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果。

在一个实施例中，该基于INT的异常流量检测装置还包括：遥测服务器的反馈模块，用于遥测服务器根据检测结果生成遥测报告反馈至发送方，当检测结果为异常时，向发送方发送停止数据包发送指令，使发送发停止数据包的发送，并根据流量数据进行异常流量的溯源。

在一个实施例中，遥测服务器的检测模块还用于：遥测服务器采用标签编码器对流量数据进行编码，形成初步流量特征；遥测服务器将初步流量特征输入特征提取模型中提取出频繁出现的特征，获得频繁流量特征向量；遥测服务器频繁流量特征向量输入重塑模型中进行重塑，形成二维矩阵数据特征；遥测服务器使用与二维矩阵数据特征相同形状的k个卷积核对二维矩阵数据特征进行特征提取，获得三维数据特征；遥测服务器将三维数据特征输入到分类模型中进行分类，获得检测结果。

在一个实施例中，该基于INT的异常流量检测装置还包括：遥测服务器的可视化模块，用于根据三维数据特征生成可视化界面在显示器上显示。

在一个实施例中，遥测服务器的检测模块还用于：遥测服务器从流量数据中取n组流量数据样本，根据归一化公式对n组流量数据样本进行归一化编码处理，获得初步流量特征；归一化公式为：

s_i＝{c_ij|i∈1,2,3......n}，

其中，s_ij标识第i组流量数据样本中的每个数据，j表示第i组流量数据样本中的第j个时间点的数据，s_{i_min}为第i组流量数据样本中的最小值，s_{i_max}为第i组流量数据样本中的最大值，c_ij表示第i组的第j个时间点的数据的归一化后数据，s_i表示初步流量特征。

在一个实施例中，特征提取模型为：

其中，x_i代表输出的频繁流量特征向量，w为形状重塑向量，a₁为生成特征向量的参数值，f为特征获取函数，n为流量数据样本的总组数。

在一个实施例中，重塑模型为：

M＝(h,x_i)

其中，h为形状重塑样本，x_i代表输出的频繁流量特征向量，w为形状重塑向量，a₁为生成特征向量的参数值，M为二维矩阵数据特征。

在一个实施例中，卷积核进行特征提取的公式为：

O_i＝((h-k+1)/2*k，(h-k+1)/x_i，(h-k+1)/1)

其中，k为卷积核的个数，h为形状重塑样本，x_i代表输出的频繁流量特征向量，O_i为提取出的三维数据特征。

在一个实施例中，分类模型为：

其中，e为自然底数，sig为sigmoid激活功能函数，class为检测结果，class为0代表正常，class为1代表异常，O_i为提取出的三维数据特征。

关于基于INT的异常流量检测装置的具体限定可以参见上文中对于基于INT的异常流量检测方法的限定，在此不再赘述。上述基于INT的异常流量检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供一种计算机设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现上述的基于INT的异常流量检测方法的步骤。

在一个实施例中，提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述的基于INT的异常流量检测方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成的，计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于INT的异常流量检测方法，其特征在于，所述方法包括：

发送方根据交互请求，将交互数据和遥测指令封装到数据包中通过传输链路上的交换机向接收方传输；

传输链路上的第一跳交换机根据接收到的数据包中携带的遥测指令，将遥测数据包头和采集到的流量相关数据封装到所述数据包中，并发送至下一跳交换机；

下一跳交换机根据接收到的数据包中携带的遥测指令，将采集到的流量相关数据封装到所述数据包中后，继续传递给下一跳交换机进行采集到的流量相关数据封装，直至到达最后一跳交换机；

最后一跳交换机根据接收到的数据包中携带的遥测指令，采集流量相关数据，并将所述数据包中的流量相关数据拆分出来，将所有流量相关数据作为遥测数据，发送至遥测服务器，将交互数据发送至接收方；

遥测服务器从接收到的遥测数据中，提取出流量数据；

遥测服务器根据所述流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述遥测服务器根据检测结果生成遥测报告反馈至发送方，当所述检测结果为异常时，向发送方发送停止数据包发送指令，使发送发停止数据包的发送，并根据所述流量数据进行异常流量的溯源。

3.据权利要求1所述的方法，其特征在于，所述遥测服务器根据所述流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果的步骤，包括：

所述遥测服务器采用标签编码器对所述流量数据进行编码，形成初步流量特征；

所述遥测服务器将所述初步流量特征输入特征提取模型中提取出频繁出现的特征，获得频繁流量特征向量；

所述遥测服务器所述频繁流量特征向量输入重塑模型中进行重塑，形成二维矩阵数据特征；

所述遥测服务器使用与所述二维矩阵数据特征相同形状的k个卷积核对所述二维矩阵数据特征进行特征提取，获得三维数据特征；

所述遥测服务器将所述三维数据特征输入到分类模型中进行分类，获得检测结果。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：根据三维数据特征生成可视化界面在显示器上显示。

5.根据权利要求3所述的方法，其特征在于，所述遥测服务器采用标签编码器对所述流量数据进行编码，形成初步流量特征的步骤，包括：

所述遥测服务器从流量数据中取n组流量数据样本，根据归一化公式对n组流量数据样本进行归一化编码处理，获得初步流量特征；

所述归一化公式为：

s_i＝{c_ij|i∈1,2,3......n}，

其中，s_ij标识第i组流量数据样本中的每个数据，j表示第i组流量数据样本中的第j个时间点的数据，s_{i_min}为第i组流量数据样本中的最小值，s_{i_max}为第i组流量数据样本中的最大值，c_ij表示第i组的第j个时间点的数据的归一化后数据，s_i表示初步流量特征。

6.根据权利要求3所述的方法，其特征在于，所述特征提取模型为：

其中，x_i代表输出的频繁流量特征向量，w为形状重塑向量，a₁为生成特征向量的参数值，f为特征获取函数，n为流量数据样本的总组数。

7.根据权利要求3所述的方法，其特征在于，所述重塑模型为：

M＝(h,x_i)

其中，h为形状重塑样本，x_i代表输出的频繁流量特征向量，w为形状重塑向量，a₁为生成特征向量的参数值，M为二维矩阵数据特征。

8.根据权利要求3所述的方法，其特征在于，所述卷积核进行特征提取的公式为：

O_i＝((h-k+1)/2*k，(h-k+1)/x_i，(h-k+1)/1)

其中，k为卷积核的个数，h为形状重塑样本，x_i代表输出的频繁流量特征向量，O_i为提取出的三维数据特征。

9.根据权利要求3所述的方法，其特征在于，所述分类模型为：

其中，e为自然底数，sig为sigmoid激活功能函数，class为检测结果，class为0代表正常，class为1代表异常，O_i为提取出的三维数据特征。

10.一种基于INT的异常流量检测装置，其特征在于，所述装置包括：

发送方的数据传输模块，用于发送方根据交互请求，将交互数据和遥测指令封装到数据包中通过传输链路上的交换机向接收方传输；

交换机的第一封装模块，用于传输链路上的第一跳交换机根据接收到的数据包中携带的遥测指令，将遥测数据包头和采集到的流量相关数据封装到所述数据包中，并发送至下一跳交换机；

交换机的第二封装模块，用于下一跳交换机根据接收到的数据包中携带的遥测指令，将采集到的流量相关数据封装到所述数据包中后，继续传递给下一跳交换机进行采集到的流量相关数据封装，直至到达最后一跳交换机；

交换机的第三封装模块，用于最后一跳交换机根据接收到的数据包中携带的遥测指令，采集流量相关数据，并将所述数据包中的流量相关数据拆分出来，将所有流量相关数据作为遥测数据，发送至遥测服务器，将交互数据发送至接收方；

遥测服务器的提取模块，用于遥测服务器从接收到的遥测数据中，提取出流量数据；

遥测服务器的检测模块，用于遥测服务器根据所述流量数据，采用自适应的流量检测算法进行异常流量检测，输出检测结果。

Images