CN118337534B - 一种确定异常流量的数据监控系统 - Google Patents

Abstract

本发明公开了一种确定异常流量的数据监控系统，属于异常流量的数据监控技术领域，包括初始模块和验证模块；初始模块用于进行异常流量监测，设置各监测点，实时获取各监测点的监测数据；基于孤立森林算法建立异常识别模型，通过异常识别模型对相应监测点的监测数据进行分析，识别对应的异常流量，获取异常流量对应的异常数据，异常数据由各单元数据组成；验证模块用于对异常数据进行验证，获得对应的验证结果；通过设置初始模块，实现对大量的数据的快速监测，高效的确定各异常流量，提高异常流量的监测效率；并与后续的验证模块进行相互配合，通过验证模块对异常数据进行分析，实现对异常流量进行验证，保障数据分析的精确性。

Description

一种确定异常流量的数据监控系统

技术领域

本发明属于异常流量的数据监控技术领域，具体是一种确定异常流量的数据监控系统。

背景技术

随着信息技术的飞速发展，网络安全问题日益突出，异常流量检测作为网络安全领域的重要任务之一，受到了广泛关注。异常流量可能由网络攻击、恶意软件、非法访问等多种原因引起，对网络的正常运行和信息安全构成严重威胁。因此，开发一种高效、准确的异常流量检测系统具有重要意义。

目前，异常流量监测技术已经取得了一定的进展，但仍存在一些问题。传统的异常流量检测方法通常基于规则或阈值进行判断，但这种方式容易受到攻击者的欺骗和绕过。此外，随着网络流量的不断增长和复杂化，传统的检测方法在处理海量数据时面临着性能瓶颈和准确度下降的问题。

基于此，本发明提供了一种确定异常流量的数据监控系统。

发明内容

为了解决上述方案存在的问题，本发明提供了一种确定异常流量的数据监控系统，以解决现有的异常流量的数据监控问题。

本发明的目的可以通过以下技术方案实现：

一种确定异常流量的数据监控系统，包括初始模块和验证模块；

所述初始模块用于进行异常流量监测，设置各监测点，实时获取各所述监测点的监测数据；

基于孤立森林算法建立异常识别模型，所述异常识别模型的表达式为；式中：x为相应监测点的监测数据；

通过所述异常识别模型对相应监测点的监测数据进行分析，识别对应的异常流量，获取异常流量对应的异常数据，所述异常数据由各单元数据组成。

进一步地，监测点的设置方法包括：

识别各待选点；建立模拟集，通过模拟集对各待选点进行模拟，获得对应的模拟结果，模拟结果包括异常流量识别结果、异常数据；

根据模拟结果统计各待选点的识别率和异常量；

根据公式计算各待选点的优先值；

式中：RQ为优先值；b3、b4均为比例系数，取值范围为0<b3≤1，0<b4≤1；SP为识别率；e为常数；YD为异常量；lg()为以10为底的对数函数；

选择优先值最高的待选点为监测点。

进一步地，根据异常流量获取异常数据的方法包括：

识别异常流量的异常特征；根据所述异常特征进行数据筛选，获得符合异常特征的各待选数据；评估各待选数据对应的关联值和验证时长；所述验证时长为根据相应待选数据对异常流量进行验证所需要的时长；

根据公式计算各待选数据的评估值；

式中：PU为评估值；T为验证时长；GL为关联值；

将评估值大于阈值X1的各待选数据标记为单元数据，将各单元数据组合为异常数据。

进一步地，关联值的设置方法包括：

建立数据类型库，所述数据类型库用于储存各种数据类型以及各数据类型能够对相应异常流量进行验证的数量占比；

根据待选数据匹配对应的数量占比，则关联值=数量占比×100。

所述验证模块用于对异常数据进行验证，设置特征识别模板，通过特征识别模板对异常数据中各单元数据进行识别，获得各单元数据对应的单元特征；

分析各单元特征对应的各判断值，根据各单元数据对应的判断值生成评估矩阵R，将评估矩阵中的元素用rcv表示，c表示对应的单元数据，c=1、2、……、p，p为正整数；v表示对应的特征识别项，v=1、2、……、q，q为正整数；；

根据公式计算对应的验证值；

式中：PQ为验证值；rcv为评估矩阵中的对应元素，c=1、2、……、p，p为正整数；v=1、2、……、q，q为正整数；

根据验证值获得对应的验证结果。

进一步地，特征识别模板的设置方法包括：

建立参照库，所述参照库用于储存各参照数据以及各参照数据对应的异常显示特征和特征识别项集合；参照数据为异常流量；

识别异常数据对应的异常流量，识别异常流量对应的异常显示特征，计算异常显示特征与参照库中各参照数据的异常显示特征之间的相似度；

当具有相似度为100%的参照数据时，根据相应参照数据的特征识别项集合生成特征识别模板；

当无相似度为100%的参照数据时，对相似度大于阈值X2的各参照数据的特征识别项集合进行去重整合，获得目标集合，根据目标集合生成特征识别模板。

进一步地，分析各单元特征对应的各判断值的方法包括：

根据参照库确定具有的各特征识别项，为各所述特征识别项设置对应的特征项要求；基于各所述特征识别项和特征项要求建立对应的判断模型；

所述判断模型的表达式为：；j表示对应的特征识别项，j=1、2、……、m，m为正整数；sj为单元特征中各特征识别项数据；输出为判断值1或0；

通过判断模型对各单元特征进行分析，确定单元数据对应的各判断值。

进一步地，还包括需求分析模块，所述需求分析模块用于根据各目标方向确定客户列表，将获得的客户列表发送给对应的管理人员。

进一步地，需求分析模块的工作方法包括：

识别目标方向，根据目标方向设置对应的客户筛选依据；根据客户筛选依据采集对应的检索客户，将获得的检索客户信息建立对应的客户列表。

进一步地，对客户列表中的检索客户信息进行评估，获得对应的评估值，按照获得的评估值从大到小的顺序对各检索客户进行排序。

进一步地，评估值的计算方法包括：

获取各检索客户的客户信息，对所述客户信息进行分析，获得检索客户具有的各数据种类对应的数据重要值和业务量值；

将数据种类标记为i，i=1、2、……、n，n为正整数；将获得的数据重要值和业务量值分别标记为QZi和YWi；根据评估公式PG=∑（b1×QZi+b2×YWi）计算对应的评估值PG；其中，b1、b2均为比例系数，取值范围为0<b1≤1，0<b2≤1；业务量值的范围为（0，10]；数据重要值的范围为（0，100]。

与现有技术相比，本发明的有益效果是：

通过设置初始模块，实现对大量的数据的快速监测，高效的确定各异常流量，提高异常流量的监测效率；并与后续的验证模块进行相互配合，通过验证模块对异常数据进行分析，实现对异常流量进行验证，保障数据分析的精确性；通过对监测点的采用智能分析的方式，实现更加高效的异常流量监测和验证，实现在前期减少异常数据中单元数据的数量，提高分析效率；通过设置需求分析模块，辅助业务人员进行客户开发，为业务人员标记各潜在客户对数据质量监测的需求程度，便于业务人员有针对性的进行客户开发。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明原理框图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，一种确定异常流量的数据监控系统，包括需求分析模块、初始模块和验证模块；

所述初始模块用于对数据进行快速的异常流量识别，设置各监测点，监测点即为进行流量监测的各监测设备以及对应的位置信息；实时获取各监测点的监测数据；

获取各监测点相应的历史监测数据，基于孤立森林算法建立对应的异常识别模型，异常识别模型的表达式为；式中：x为输入数据，即相应监测点的监测数据；1或0为异常值；

通过异常识别模型对相应监测点的监测数据进行分析，识别对应的异常流量，获取异常流量对应的异常数据。

根据异常流量获取异常数据的方法包括：

识别异常流量的异常特征，如对应时间区间、监测点等对异常数据筛选具有限制条件的各特征，即用于筛选出符合该异常特征的数据，也相当于可能受该异常流量影响的数据，进而设置对应的特征项提取对应的异常特征，需要结合对应的监测点进行设置；

根据异常特征进行数据筛选，获得符合异常特征的各待选数据；评估各待选数据对应的关联值；关联值是根据该待选数据的异常确定概率进行设置的，即统计该类型的待选数据在相应流量异常的背景下，根据该类型的待选数据能够验证流程异常是否正确的数量占比，指的是通过该类型的待选数据能够验证的数量除以选择该类型待选数据的总数量；去除百分号后乘以100为关联值；该类型的待选数据指的是同类型，如2024年度员工名单统计表，只要属于员工统计表，无论是什么年度的均可视为同类型的数据。

预估验证各待选数据需要的时长，根据待选数据的大小、格式等进行预估；标记为验证时长；

根据公式计算各待选数据的评估值；

式中：PU为评估值；T为验证时长；GL为关联值；

将评估值大于阈值X1的各待选数据标记为单元数据，将各单元数据组合为异常数据，即异常数据由各单元数据组合而成；

阈值X1根据用户需求进行设置，主要是依据关联值进行设置，如可以设置为0、0.3、0.6等。

在一个实施例中，对于监测点的设置可以采用如下方式进行，用于实现更加高效的异常流量监测和验证，实现在前期减少异常数据中单元数据的数量，提高分析效率。方法如下：

识别能够满足监测要求的各监测位置、监测设备，将具有冲突选择的标记为待选点，即需要从待选点中选择一个为监测点；

建立模拟集，模拟集即为对应的各预设的异常流量或者可能被认定为异常流量的正常数据，通过模拟集对各待选点进行模拟，获得对应的模拟结果，模拟结果包括异常流量识别结果、异常数据（若识别到异常流量具有异常数据，反之无异常数据）；

根据模拟结果统计各待选点的识别率和异常量；识别率即为识别到该模拟的异常流量的概率，异常量为根据异常数据中各单元数据验证需要的时间进行计算的总和，即验证该异常数据所需时间；

根据公式计算各待选点的优先值；

式中：RQ为优先值；b3、b4均为比例系数，取值范围为0<b3≤1，0<b4≤1；SP为识别率；e为常数；YD为异常量；lg()为以10为底的对数函数；

选择优先值最高的待选点为监测点。

通过设置初始模块，实现对大量的数据的快速监测，高效的确定各异常流量，提高异常流量的监测效率；并与后续的验证模块进行相互配合，通过验证模块对异常数据进行分析，实现对异常流量进行验证，保障数据分析的精确性。

所述验证模块用于对异常数据进行验证，识别异常数据对应的异常流量，根据异常流量设置对应的特征识别模板，特征识别模板是根据该异常流程可能对应的影响特征进行设置，如该异常流量可能会导致数据不满足一致性、完整性、唯一性等要求，即可根据其相应影响确定各特征识别项，将各特征识别项组合为特征识别模板；通过特征识别模板对异常数据中各单元数据进行识别，获得各单元数据对应的单元特征；

根据参照库确定具有的各特征识别项，获取各特征识别项对应的历史数据，根据历史数据建立判断模型，即判断是否符合该特征识别项的要求，如一致性、完整性、及时性等相应要求；符合要求输出0，反之输出1；结合当前对于数据质量的评估技术可以明确判断相应数据是否符合该特征识别项要求；判断模型的表达式为：；j表示对应的特征识别项，j=1、2、……、m，m为正整数；sj为单元特征中各特征识别项数据；输出为判断值1或0；

通过判断模型对各单元特征进行分析，确定单元数据对应的各判断值；根据各单元数据对应判断值生成评估矩阵R，；评估矩阵中的元素用rcv表示；c表示对应的单元数据，c=1、2、……、p，p为正整数；v表示对应的特征识别项，v=1、2、……、q，q为正整数；

根据公式计算对应的验证值；

式中：PQ为验证值；rcv为评估矩阵中的对应元素，c=1、2、……、p，p为正整数；v=1、2、……、q，q为正整数；

当验证值大于1时，验证结果为监测正确，即为异常流量；

当验证值等于1时，验证结果为监测错误。

特征识别模板可以采用如下方式进行设置：

根据历史监测数据分析各监测点可能出现的各种异常流量，标记为参照数据；根据各参照数据的区别设置对应的异常显示特征；因为数据的局限性，可能确定的各参照数据并不全面；

获取各参照数据对相应异常数据具有的各种影响情况，进而设置各参照数据对应的各特征识别项，整理为特征识别项集合；

根据各参照数据以及对应的异常显示特征和特征识别项集合建立参照库；

识别异常数据对应的异常流量，识别异常流量对应的异常显示特征，计算异常显示特征与参照库中各参照数据的异常显示特征之间的相似度；

当具有相似度为100%的参照数据时，根据相应参照数据的特征识别项集合生成特征识别模板；

当无相似度为100%的参照数据时，对相似度大于阈值X2的各参照数据的特征识别项集合进行去重整合，获得目标集合，目标集合即为去重后的各特征识别项组成的集合；根据目标集合生成特征识别模板。

在一个实施例中，因为很多的中小微企业对数据质量并不重视，导致往往会忽视对异常流量的监测，因此在平台方角度，就需要一个为了客户开发需要而设置的需求分析模块。

所述需求分析模块用于根据各目标方向确定各个待开发企业，通过根据目标方向筛选符合营业方向的企业，视为待开发企业，用于帮助业务人员提高客户开发效率，

目标方向为数据质量监测方向，根据实际需求和平台方的需求范围内具有的企业数据质量监测需求设置目标方向；即目标方向根据平台方的实际需求进行设置；需求分析模块的工作方法包括：

识别各目标方向，根据各目标方向设置各客户从事范围以及对应的质量监测数据，即根据目标方向设置可以服务哪些范围内的企业，以及服务该行业企业主要服务的什么质量监测数据，根据现有大量的数据质量监测记录可以获得各目标方向对应的客户从事范围以及对应的质量监测数据，整合为客户筛选依据；

基于现有的大数据技术，根据客户筛选依据采集对应的检索客户，即利用大数据技术，从当前公开的各企业信息中匹配符合客户筛选依据的企业，标记为检索客户。

因为具有大量的检索客户，因此为了帮助业务人员有针对性的进行客户开发，需要对各检索客户进行评估，评估各检索客户的评估值，具体方法包括：

获取各检索客户的客户信息，客户信息包括从事方向、具有的数据种类、人员规模、位置等相关信息，根据获得的客户信息分析对应的数据重要值和业务量值，数据重要值是根据具有的数据种类进行评估的，如财务数据、电力行业的电力数据等，不同数据种类在该行业领域的数据质量监测的重要性是具有差异的，因此，可以预设各领域数据种类的数据重要值，数据越重要，数据重要值越高，如同样是财务数据，但是企业内一般的财务数据与会计事务所中对应领域的财务数据的重要性是具有差异的，一般数据重要值的范围为（0，100]，因此可以预设一个评估指标，如各行业的主营业务的重要值为100，其他根据其与主营业务之间的比重进行设置，根据营业额、利润等计算相应比重；具体的需要根据实际需求进行设置；业务量值是根据从事方向、数据种类、人员规模等分析该数据种类数据数量，预设各个数据种类对应的数据量区间，为每个数据量区间设置对应的业务量值，进行相应的匹配，业务量值的范围为（0，10]，即分为10个量级；具体的是根据从事方向、数据种类、人员规模等数据确定在平台方当前的运行模式下，按照一个标准人员的工作方式进行工作，需要多少天完成，获得一个数据量，再根据对应区间进行匹配，获得对应的业务量值；主要还是依据平台方的成本核算方式进行设置，如还可以考虑各员工的成本差异。在其他实施例中，还可以通过人工的方式建立对应的训练集，训练集包括各种模拟设置的客户信息以及对应设置的数据重要值和业务量值，基于神经网络建立对应的客户评估模型，神经网络包括CNN网络、DNN网络等，通过建立的训练集进行训练，通过训练成功后的客户评估模型对各客户信息进行分析，获得各数据种类对应的数据重要值和业务量值。

将数据种类标记为i，i=1、2、……、n，n为正整数；将获得的数据重要值和业务量值分别标记为QZi和YWi；根据评估公式PG=∑（b1×QZi+b2×YWi）计算对应的评估值PG；b1、b2均为比例系数，取值范围为0<b1≤1，0<b2≤1；

按照获得的评估值从大到小的顺序对各检索客户进行排序，获得客户列表，将获得的客户列表发送给对应的管理人员。

经过业务人员开发成功的客户或者客户自行商谈等均视为系统的用户。

通过设置需求分析模块，辅助业务人员进行客户开发，为业务人员标记各潜在客户对数据质量监测的需求程度，便于业务人员有针对性的进行客户开发。

上述公式均是去除量纲取其数值计算，公式是由采集大量数据进行软件模拟得到最接近真实情况的一个公式，公式中的预设参数和预设阈值由本领域的技术人员根据实际情况设定或者大量数据模拟获得。

以上实施例仅用以说明本发明的技术方法而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方法进行修改或等同替换，而不脱离本发明技术方法的精神和范围。

Claims (7)

1.一种确定异常流量的数据监控系统，其特征在于，包括初始模块和验证模块；

所述初始模块用于进行异常流量监测，设置各监测点，实时获取各所述监测点的监测数据；

基于孤立森林算法建立异常识别模型，所述异常识别模型的表达式为；式中：x为相应监测点的监测数据；

通过所述异常识别模型对相应监测点的监测数据进行分析，识别对应的异常流量，获取异常流量对应的异常数据，所述异常数据由各单元数据组成；

所述验证模块用于对异常数据进行验证，设置特征识别模板，通过特征识别模板对异常数据中各单元数据进行识别，获得各单元数据对应的单元特征；

分析各单元特征对应的各判断值，根据各单元数据对应的判断值生成评估矩阵R，将评估矩阵中的元素用rcv表示，c表示对应的单元数据，c=1、2、……、p，p为正整数；v表示对应的特征识别项，v=1、2、……、q，q为正整数；；

根据公式计算对应的验证值；

式中：PQ为验证值；rcv为评估矩阵中的对应元素，c=1、2、……、p，p为正整数；v=1、2、……、q，q为正整数；

根据验证值获得对应的验证结果；

监测点的设置方法包括：

识别各待选点；建立模拟集，通过模拟集对各待选点进行模拟，获得对应的模拟结果，模拟结果包括异常流量识别结果、异常数据；

根据模拟结果统计各待选点的识别率和异常量；

根据公式计算各待选点的优先值；

式中：RQ为优先值；b3、b4均为比例系数，取值范围为0<b3≤1，0<b4≤1；SP为识别率；e为常数；YD为异常量；lg()为以10为底的对数函数；

选择优先值最高的待选点为监测点；

根据异常流量获取异常数据的方法包括：

识别异常流量的异常特征；根据所述异常特征进行数据筛选，获得符合异常特征的各待选数据；评估各待选数据对应的关联值和验证时长；所述验证时长为根据相应待选数据对异常流量进行验证所需要的时长；

根据公式计算各待选数据的评估值；

式中：PU为评估值；T为验证时长；GL为关联值；

将评估值大于阈值X1的各待选数据标记为单元数据，将各单元数据组合为异常数据；

关联值的设置方法包括：

建立数据类型库，所述数据类型库用于储存各种数据类型以及各数据类型能够对相应异常流量进行验证的数量占比；

根据待选数据匹配对应的数量占比，则关联值=数量占比×100。

2.根据权利要求1所述的一种确定异常流量的数据监控系统，其特征在于，特征识别模板的设置方法包括：

建立参照库，所述参照库用于储存各参照数据以及各参照数据对应的异常显示特征和特征识别项集合；参照数据为异常流量；

识别异常数据对应的异常流量，识别异常流量对应的异常显示特征，计算异常显示特征与参照库中各参照数据的异常显示特征之间的相似度；

当具有相似度为100%的参照数据时，根据相应参照数据的特征识别项集合生成特征识别模板；

当无相似度为100%的参照数据时，对相似度大于阈值X2的各参照数据的特征识别项集合进行去重整合，获得目标集合，根据目标集合生成特征识别模板。

3.根据权利要求1所述的一种确定异常流量的数据监控系统，其特征在于，分析各单元特征对应的各判断值的方法包括：

根据参照库确定具有的各特征识别项，为各所述特征识别项设置对应的特征项要求；基于各所述特征识别项和特征项要求建立对应的判断模型；

所述判断模型的表达式为：；j表示对应的特征识别项，j=1、2、……、m，m为正整数；sj为单元特征中各特征识别项数据；输出为判断值1或0；

通过判断模型对各单元特征进行分析，确定单元数据对应的各判断值。

4.根据权利要求1所述的一种确定异常流量的数据监控系统，其特征在于，还包括需求分析模块，所述需求分析模块用于根据各目标方向确定客户列表，将获得的客户列表发送给对应的管理人员。

5.根据权利要求4所述的一种确定异常流量的数据监控系统，其特征在于，客户列表的设置方法包括：

识别目标方向，根据目标方向设置对应的客户筛选依据；根据客户筛选依据采集对应的检索客户，将获得的检索客户信息建立对应的客户列表。

6.根据权利要求5所述的一种确定异常流量的数据监控系统，其特征在于，对客户列表中的检索客户信息进行评估，获得对应的评估值，按照获得的评估值从大到小的顺序对各检索客户进行排序。

7.根据权利要求6所述的一种确定异常流量的数据监控系统，其特征在于，评估值的计算方法包括：

获取各检索客户的客户信息，对所述客户信息进行分析，获得检索客户具有的各数据种类对应的数据重要值和业务量值；

将数据种类标记为i，i=1、2、……、n，n为正整数；将获得的数据重要值和业务量值分别标记为QZi和YWi；根据评估公式PG=∑（b1×QZi+b2×YWi）计算对应的评估值PG；其中，b1、b2均为比例系数，取值范围为0<b1≤1，0<b2≤1；业务量值的范围为（0，10]；数据重要值的范围为（0，100]。