WO2022037130A1 - 网络流量异常的检测方法、装置、电子装置和存储介质 - Google Patents

Abstract

网络流量异常的检测方法、装置、电子装置和存储介质。其中，该网络流量异常的检测方法包括：获取不同监控状态下的多段流量数据；获取多段流量数据中的异常特征向量；根据异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器；根据异常特征向量和多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器；使用Adaboost分类器对采集到的流量数据进行分类。

Description

网络流量异常的检测方法、装置、电子装置和存储介质

相关申请

本申请要求2020年8月21日申请的，申请号为202010847761.6，发明名称为“网络流量异常的检测方法、装置、电子装置和存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及数据处理技术领域，特别是涉及网络流量异常的检测方法、装置、电子装置和存储介质。

背景技术

网络流量异常是指网络流量行为偏离正常行为的情形。网络流量异常不仅影响网络和业务系统的正常使用，还会威胁网络用户的信息安全，给网络用户造成诸多危害。通过分类监控网络中的不同流量，从而及时发现计算机网络中所存在的诸多异常行为，同时对其予以针对性控制，从而有效确保计算机网络的正常运转。因此，检测异常流量是网络运行维护工作中的重要方面，如何能够有效诊断网络异常流量，保证网络可用性及通畅性，对网络的可持续、正常发展起到至关紧要的作用。

目前，针对异常流量的检测方法技术实现主要为以下三种方式：(1)固定阙值检测方式：主要借助量化分析方法，整体操作较为简单，但要求网络管理人员针对相应阙值联合实际情况，需要有丰富的理论认知及管理经验。(2)统计检测法：借助数据完成统计分析进行判断，但是只能察觉网络流量异常，并未对其属性加以明确，且仅适用于非实时的网络流量异常检测情况。(3)基于SNMP检测法：主要借助软件完成对网络流量异常检测，但无法对于复杂化的网络流量加以检测。

在相关技术中，为了提高网络流量异常的检测效果，首先通过使用初始有标记数据作为训练样本，利用监督学习训练初始分类模型；然后，利用初始分类模型对网络流量无标记数据进行分类，得到初始分类数据；再利用半监督学习模型对初始分类数据进行重新标记和修正；最后，利用新的分类数据重新训练分类模型，并更新初始分类模型，如此往复不断更新分类模型的方式，来提高检测效果。然而，在研究过程中发现，上述方式需要不断进行标记和修正，导致了网络流量异常的检测过程繁琐，且存在网络流量异常的检测效 果低的问题。

目前针对相关技术中网络流量异常的检测效果低的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种网络流量异常的检测方法、装置、电子装置和存储介质，以至少解决相关技术中网络流量异常的检测效果低的问题。

第一方面，本申请实施例提供了一种网络流量异常的检测方法，包括：

获取不同监控状态下的多段流量数据；

获取所述多段流量数据中的异常特征向量；

根据所述异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器；

根据所述异常特征向量和所述多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器；

使用所述Adaboost分类器对采集到的流量数据进行分类。

在其中一些实施例中，获取所述多段流量数据的异常特征向量包括：

确定所述多段流量数据中的流量异常数据，并进行标记；

确定被标记之后的所述流量异常数据的特征数据；

根据所述特征数据，生成所述多段流量数据的异常特征向量。

在其中一些实施例中，根据所述异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器包括：

将第一预设阈值个所述异常特征向量作为训练集；

对所述训练集中的异常特征向量进行数据归一化处理；

确定进行数据归一化处理之后的所述训练集中的各个异常特征向量的之间的距离；

根据所述距离和KNN算法训练所述初始分类模型，得到所述多个初始分类器。

在其中一些实施例中，对所述训练集中的异常特征向量进行数据归一化处理包括：

使用最值归一化，将所述训练集中的异常特征向量映射到0至1之间。

在其中一些实施例中，在根据所述距离和KNN算法训练所述初始分类模型，得到所述多个初始分类器之后，所述方法还包括：

将第二预设阈值个所述异常特征向量作为测试集；

将所述测试集输入到所述多个初始分类器中，得到每个初始分类器对应的分类结果；

确定每个初始分类器对应的分类结果的准确率；

判断所述每个初始分类器对应的分类结果的准确率是否均大于第三预设阈值；

若否，则获取不大于所述第三预设阈值的初始分类器；

根据所述距离和KNN算法训练所述初始分类器。

在其中一些实施例中，根据所述异常特征向量和所述多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器包括：

将第四预设阈值个异常特征向量作为训练组；

将所述训练组输入到多个初始分类器中，计算每个初始分类器的误差；

根据所述每个初始分类器的误差，确定所述每个初始分类器的权重；

根据所述每个初始分类器的权重训练与所述每个初始分类器的权重对应的初始分类器，直至收敛；

将训练之后的初始分类器输入到所述Adaboost分类模型，得到Adaboost分类器。

在其中一些实施例中，根据所述每个初始分类器的误差，确定所述每个初始分类器的权重包括：

初始化每个初始分类器；

将预设值分别赋予给初始化之后的每个初始分类器；

根据所述每个初始分类器的误差，确定所述每个初始分类器的权重。

第二方面，本申请实施例还提供了一种网络流量异常的检测装置，包括：

第一获取模块，用于获取不同监控状态下的多段流量数据；

第二获取模块，用于获取所述多段流量数据中的异常特征向量；

第一训练模块，用于根据所述异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器；

第二训练模块，根据所述异常特征向量和所述多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器；

分类模块，用于使用所述Adaboost分类器对采集到的流量数据进行分类。

第三方面，本申请实施例提供了一种电子装置，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的网络流量异常的检测方法。

第四方面，本申请实施例提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的网络流量异常的检测方法。

相比于相关技术，本申请实施例提供的网络流量异常的检测方法、装置、电子装置和存储介质，通过获取不同监控状态下的多段流量数据；获取多段流量数据中的异常特征向 量；根据异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器；根据异常特征向量和多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器；使用Adaboost分类器对采集到的流量数据进行分类的方式，解决了相关技术中网络流量异常的检测效果低的问题，提高了网络流量异常的检测精度。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本申请实施例的网络流量异常的检测方法的终端的硬件结构框图。

图2是根据本申请实施例的网络流量异常的检测方法的流程图。

图3是根据本申请可选实施例的网络流量异常的检测方法的流程图。

图4是根据本申请实施例的网络流量异常的检测装置的结构框图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、 “具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例，图1是本申请实施例的网络流量异常的检测方法的终端的硬件结构框图。如图1所示，终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104，可选地，上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限定。例如，终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如本申请实施例中的网络流量异常的检测方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端10的通信供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

本实施例提供了一种网络流量异常的检测方法，图2是根据本申请实施例的网络流量异常的检测方法的流程图，如图2所示，该流程包括如下步骤：

步骤S201：获取不同监控状态下的多段流量数据。

本步骤中，多段流量数据可以实时获取的，也可以是在多段流量数据对应的数据库中获取的。

步骤S202：获取多段流量数据中的异常特征向量。

在其中一些实施例中，可以先确定多段流量数据中的流量异常数据，并进行标记；确定被标记之后的流量异常数据的特征数据；根据特征数据，生成多段流量数据的异常特征向量。通过该方式，提供了一种获取异常特征向量的方式。

步骤S203：根据异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器。

在本步骤中，KNN算法，又称邻近算法，或者说K最近邻(KNN，K-NearestNeighbor)分类算法是数据挖掘分类技术中最简单的方法之一。所谓K最近邻，就是K个最近的邻居的意思，说的是每个样本都可以用它最接近的K个邻近值来代表。近邻算法就是将数据集合中每一个记录进行分类的方法。

在其中一些实施例中，步骤S203可以以下方式来实现：将第一预设阈值个异常特征向量作为训练集；对训练集中的异常特征向量进行数据归一化处理；确定进行数据归一化处理之后的训练集中的各个异常特征向量的之间的距离；根据距离和KNN算法训练初始分类模型，得到多个初始分类器。

本实施例中，对训练集中的异常特征向量进行数据归一化处理包括：使用最值归一化，将训练集中的异常特征向量映射到0至1之间。通过该方式，可以保证不同维数的特征处于同一空间，以便于提高网络流量异常的检测效果。

基于上述实施例，在根据距离和KNN算法训练初始分类模型，得到多个初始分类器之后，还可以将第二预设阈值个异常特征向量作为测试集；将测试集输入到多个初始分类器中，得到每个初始分类器对应的分类结果；确定每个初始分类器对应的分类结果的准确率；判断每个初始分类器对应的分类结果的准确率是否均大于第三预设阈值；若否，则获取不大于第三预设阈值的初始分类器；根据距离和KNN算法训练初始分类器。通过该方式，以实现对初始分类器的检测，便于提高初始分类器的检测效果和准确率。

步骤S204：根据异常特征向量和多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器。

在本步骤中，Adaboost算法：是一种迭代算法，其核心思想是针对同一个训练集训练不同的分类器(弱分类器)，然后把这些弱分类器集合起来，构成一个更强的最终分类器(强分类器)。

在其中一些实施例中，步骤S204可以通过以下步骤来实现：可以将第四预设阈值个异常特征向量作为训练组；将训练组输入到多个初始分类器中，计算每个初始分类器的误差；根据每个初始分类器的误差，确定每个初始分类器的权重；根据每个初始分类器的权重训练与每个初始分类器的权重对应的初始分类器，直至收敛；将训练之后的初始分类器输入到Adaboost分类模型，得到Adaboost分类器。通过该方式，实现了对Adaboost分类器的训练。

在本实施例中，根据每个初始分类器的误差，确定每个初始分类器的权重包括：初始化每个初始分类器；将预设值分别赋予给初始化之后的每个初始分类器；根据每个初始分类器的误差，确定每个初始分类器的权重。通过该方式，确保了每个初始分类器的初始赋值一致，以便于提高了初始分类器的检测效果。

步骤S205：使用Adaboost分类器对采集到的流量数据进行分类。

基于步骤S201至S205，通过获取网络流量监控不同状态下的多段流量数据，提取多组流量异常特征向量，使用多组流量异常特征向量基于KNN算法训练得到多个初始分类器，再组合多个初始分类器训练得到Adaboost强分类器，使用Adaboost强分类器对采集到的网络流量异常数据进行分类，从而提高检测效果，解决了相关技术中网络流量异常的检测效果低的问题。

且本申请基于KNN的Adaboost网络流量异常检测方法，能够依据大量的流量监测数据进行异常判断和分类，可对复杂化的网络流量加以检测，自适应强，有助于提高流量数据异常的检测准确率。

下面通过可选实施例对本申请实施例进行描述和说明。

图3是根据本申请可选实施例的网络流量异常的检测方法的流程图。如图3所述，该可选流程包括：

步骤S301：获取多组网络流量不同监控状态下流量异常数据并进行数据预处理，获得多组流量异常特征向量。

步骤S301可以按照下述步骤进行：

(1)获取网络流量不同监控状态下的多段流量异常数据并标记；

(2)采用流量特征提取工具提取流量异常数据的特征数据；

(3)基于特征数据生成特征向量。

步骤S302：基于KNN算法构建初始分类器。

步骤S302可以按照下述步骤进行：

(1)数据集划分：随机取80％流量异常特征向量组作为训练集，剩余20％的流量异 常特征向量组作为测试集；

(2)数据归一化处理：将流量异常特征向量通过线性函数转换进行归一化处理，把所有数据映射到0-1之间，以保证不同维数的特征处于同一空间；

(3)初始分类模型训练：使用加权欧氏距离公式计算各个训练数据之间的距离，并基于KNN算法构建初始分类模型：k个距离最近的邻居训练样本中标记为同一类别；

(4)初始分类模型测试：将测试集输入至初始分类模型中，根据输出结果与标记结果判断初始分类模型的准确率，若初始准确率不小于设定值，则将初始分类模型作为初始分类器，若小于设定值，则重复步骤3，进行初始分类模型优化。

步骤S303：重复步骤S302多次，得到多个基于KNN的初始分类器。

步骤S304：根据多个基于KNN的初始分类器组合训练得到Adaboost强分类器。

步骤S304可以按照下述步骤进行：

(1)将多组流量异常特征向量进行分类，随机取70％的流量异常特征向量组作为训练组，剩余30％的流量异常特征向量组作为测试组；

(2)将训练组和多个初始分类器输入Adaboost分类器中；

(3)初始化每个初始分类器的权重，给每个KNN分类器赋予相同的权值；

(4)将训练组输入每个初始分类器中，计算每个分类器的误差；

(5)计算每个初始分类器的权值；

(6)更新每个初始分类器的权值，判断当前迭代次数是否满足当前迭代次数小于设定迭代次数，若满足，则重复步骤(4)-(6)至当前迭代次数不小于设定迭代次数；若不满足，则将多个初始分类器组合为Adaboost强分类器。

步骤S305：使用Adaboost强分类器对采集到的网络流量异常数据特征向量进行分类，进而进行流量异常判断。

本实施例还提供了一种网络流量异常的检测装置，该装置用于实现上述实施例及可选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图4是根据本申请实施例的网络流量异常的检测装置的结构框图，如图4所示，该装置包括：

第一获取模块41，用于获取不同监控状态下的多段流量数据；

第二获取模块42，耦合至第一获取模块41，用于获取多段流量数据中的异常特征向量；

第一训练模块43，耦合至第二获取模块42，用于根据异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器；

第二训练模块44，耦合至第一训练模块43，根据异常特征向量和多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器；

分类模块45，耦合至第二训练模块44，用于使用Adaboost分类器对采集到的流量数据进行分类。

在本实施例中，通过第一获取模块41，用于获取不同监控状态下的多段流量数据；第二获取模块42，耦合至第一获取模块41，用于获取多段流量数据中的异常特征向量；第一训练模块43，耦合至第二获取模块42，用于根据异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器；第二训练模块44，耦合至第一训练模块43，根据异常特征向量和多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器；分类模块45，耦合至第二训练模块44，用于使用Adaboost分类器对采集到的流量数据进行分类的方式，解决了相关技术中网络流量异常的检测效果低的问题，提高了网络流量异常的检测精度。

在其中一些实施例中，第二获取模块42包括：第一确定单元，用于确定多段流量数据中的流量异常数据，并进行标记；第二确定单元，用于确定被标记之后的流量异常数据的特征数据；生成单元，用于根据特征数据，生成多段流量数据的异常特征向量。

在其中一些实施例中，第一训练模块43包括：第一作为单元，用于将第一预设阈值个异常特征向量作为训练集；处理单元，用于对训练集中的异常特征向量进行数据归一化处理；第三确定单元，用于确定进行数据归一化处理之后的训练集中的各个异常特征向量的之间的距离；第一训练单元，用于根据距离和KNN算法训练初始分类模型，得到多个初始分类器。

在其中一些实施例中，处理单元包括：映射子单元，用于使用最值归一化，将训练集中的异常特征向量映射到0至1之间。

在其中一些实施例中，该装置还包括：作为模块，用于将第二预设阈值个异常特征向量作为测试集；输入模块，用于将测试集输入到多个初始分类器中，得到每个初始分类器对应的分类结果；确定模块，用于确定每个初始分类器对应的分类结果的准确率；判断模块，用于判断每个初始分类器对应的分类结果的准确率是否均大于第三预设阈值；第三获取模块，用于若否，则获取不大于第三预设阈值的初始分类器；第三训练模块，用于根据距离和KNN算法训练初始分类器。

在其中一些实施例中，第二训练模块44包括：第二作为单元，用于将第四预设阈值 个异常特征向量作为训练组；计算单元，用于将训练组输入到多个初始分类器中，计算每个初始分类器的误差；第四确定单元，用于根据每个初始分类器的误差，确定每个初始分类器的权重；第二训练单元，用于根据每个初始分类器的权重训练与每个初始分类器的权重对应的初始分类器，直至收敛；输入单元，用于将训练之后的初始分类器输入到Adaboost分类模型，得到Adaboost分类器。

在其中一些实施例中，确定单元包括：初始化子单元，用于初始化每个初始分类器；赋予子单元，用于将预设值分别赋予给初始化之后的每个初始分类器；子单元，用于根据每个初始分类器的误差，确定每个初始分类器的权重。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

本实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：

S201：获取不同监控状态下的多段流量数据。

S202：获取多段流量数据中的异常特征向量。

S203：根据异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器。

S204：根据异常特征向量和多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器。

S205：使用Adaboost分类器对采集到的流量数据进行分类。

需要说明的是，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

另外，结合上述实施例中的网络流量异常的检测方法，本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种网络流量异常的检测方法。

本领域的技术人员应该明白，以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1. 一种网络流量异常的检测方法，其特征在于，所述方法包括：

   获取不同监控状态下的多段流量数据；

   获取所述多段流量数据中的异常特征向量；

   根据所述异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器；

   根据所述异常特征向量和所述多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器；

   使用所述Adaboost分类器对采集到的流量数据进行分类。
2. 根据权利要求1所述的网络流量异常的检测方法，其中，获取所述多段流量数据的异常特征向量包括：

   确定所述多段流量数据中的流量异常数据，并进行标记；

   确定被标记之后的所述流量异常数据的特征数据；

   根据所述特征数据，生成所述多段流量数据的异常特征向量。
3. 根据权利要求1所述的网络流量异常的检测方法，其中，根据所述异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器包括：

   将第一预设阈值个所述异常特征向量作为训练集；

   对所述训练集中的异常特征向量进行数据归一化处理；

   确定进行数据归一化处理之后的所述训练集中的各个异常特征向量的之间的距离；

   根据所述距离和KNN算法训练所述初始分类模型，得到所述多个初始分类器。
4. 根据权利要求3所述的网络流量异常的检测方法，其中，对所述训练集中的异常特征向量进行数据归一化处理包括：

   使用最值归一化，将所述训练集中的异常特征向量映射到0至1之间。
5. 根据权利要求3所述的网络流量异常的检测方法，其中，在根据所述距离和KNN算法训练所述初始分类模型，得到所述多个初始分类器之后，所述方法还包括：

   将第二预设阈值个所述异常特征向量作为测试集；

   将所述测试集输入到所述多个初始分类器中，得到每个初始分类器对应的分类结果；

   确定每个初始分类器对应的分类结果的准确率；

   判断所述每个初始分类器对应的分类结果的准确率是否均大于第三预设阈值；

   若否，则获取不大于所述第三预设阈值的初始分类器；

   根据所述距离和KNN算法训练所述初始分类器。
6. 根据权利要求1所述的网络流量异常的检测方法，其中，根据所述异常特征向量和所述多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器包括：

   将第四预设阈值个异常特征向量作为训练组；

   将所述训练组输入到多个初始分类器中，计算每个初始分类器的误差；

   根据所述每个初始分类器的误差，确定所述每个初始分类器的权重；

   根据所述每个初始分类器的权重训练与所述每个初始分类器的权重对应的初始分类器，直至收敛；

   将训练之后的初始分类器输入到所述Adaboost分类模型，得到Adaboost分类器。
7. 根据权利要求6所述的网络流量异常的检测方法，其中，根据所述每个初始分类器的误差，确定所述每个初始分类器的权重包括：

   初始化每个初始分类器；

   将预设值分别赋予给初始化之后的每个初始分类器；

   根据所述每个初始分类器的误差，确定所述每个初始分类器的权重。
8. 一种网络流量异常的检测装置，其特征在于，所述装置包括：

   第一获取模块，用于获取不同监控状态下的多段流量数据；

   第二获取模块，用于获取所述多段流量数据中的异常特征向量；

   第一训练模块，用于根据所述异常特征向量，以及基于KNN算法训练初始分类模型，得到多个初始分类器；

   第二训练模块，根据所述异常特征向量和所述多个初始分类器，以及基于Adaboost算法训练初始Adaboost分类模型，得到Adaboost分类器；

   分类模块，用于使用所述Adaboost分类器对采集到的流量数据进行分类。
9. 一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的网络流量异常的检测方法。
10. 一种存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1至7中任一项所述的网络流量异常的检测方法。

Images