專利名稱：上網(wǎng)流量異常檢測方法及裝置的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及移動通信技術(shù)領(lǐng)域，尤其涉及一種上網(wǎng)流量異常檢測方法及裝置。
背景技術(shù)：
隨著智能終端、互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展，第三代移動通信技術(shù)Urd-Generation，3G)業(yè)務(wù)流量增長十分迅速，隨之而來的是上網(wǎng)流量越來越成為用戶投訴的焦點?，F(xiàn)有技術(shù)中主要采取人工方式從成千上萬的上網(wǎng)記錄中對用戶上網(wǎng)流量記錄進行異常檢測。然而，這種方法檢測時間長，效率低。

發(fā)明內(nèi)容
本發(fā)明提供一種上網(wǎng)流量異常檢測方法及裝置，用以解決通過人工方式進行檢測帶來的檢測時間長，效率低的問題。一方面，本發(fā)明實施例提供一種上網(wǎng)流量異常檢測方法，包括:獲取多條上網(wǎng)流量記錄的至少兩種特征信息；對所述至少兩種特征信息進行聚類運算，以對所述多條上網(wǎng)流量記錄進行分類；根據(jù)所述上網(wǎng)流量記錄的分類結(jié)果所確定的類別以及所述類別對應(yīng)的異常特征，確定所述上網(wǎng)流量記錄是否為異常流量。另一方面，本發(fā)明實施例提供一種上網(wǎng)流量異常檢測裝置，包括:獲取模塊、分類模塊和處理模塊；所述獲取模塊，用于獲取多條上網(wǎng)流量記錄的至少兩種特征信息；所述分類模塊，用于對所述至少兩種特征信息進行聚類運算，以對所述多條上網(wǎng)流量記錄進行分類；所述處理模塊，用于根據(jù)所述上網(wǎng)流量記錄的分類結(jié)果所確定的類別以及所述類別對應(yīng)的異常特征，確定所述上網(wǎng)流量記錄是否為異常流量。本發(fā)明提供的上網(wǎng)流量異常檢測方法及裝置，通過對多條上網(wǎng)流量記錄的至少兩種特征信息進行聚類運算實現(xiàn)對上網(wǎng)流量記錄進行分類，并判斷分類后的各類別是否存在異常類別特征來確定該類別下的上網(wǎng)流量記錄為異常流量，縮短了檢測時間，提高了檢測效率。


圖1為本發(fā)明提供的上網(wǎng)流量異常檢測方法一個實施例的流程圖；圖2為本發(fā)明提供的上網(wǎng)流量異常檢測方法另一個實施例的流程圖；圖3為本發(fā)明提供的上網(wǎng)流量異常檢測裝置一個實施例的結(jié)構(gòu)示意圖；圖4為本發(fā)明提供的上網(wǎng)流量異常檢測裝置另一個實施例的結(jié)構(gòu)示意圖。
具體實施方式
圖1為本發(fā)明提供的上網(wǎng)流量異常檢測方法一個實施例的流程圖，該方法可應(yīng)用于對移動用戶終端上網(wǎng)流量異常的檢測。如圖1所示，以下步驟的執(zhí)行主體可以為設(shè)置在網(wǎng)絡(luò)中的服務(wù)器，或是集成在該服務(wù)器上的模塊或芯片，該上網(wǎng)流量異常檢測方法具體包括:S101,獲取多條上網(wǎng)流量記錄的至少兩種特征信息；本發(fā)明實施例中，可以采用現(xiàn)有的各種方法獲取上網(wǎng)流量記錄。例如:可以采用現(xiàn)有的上網(wǎng)流量查詢系統(tǒng)來獲取上網(wǎng)流量記錄。獲取的上網(wǎng)流量記錄中通?？梢园ㄈ缦伦侄?該條流量記錄的流量類型(可以是指業(yè)務(wù)類型，例如，可以是彩信、網(wǎng)頁瀏覽、即時通信、流媒體、文件傳輸、網(wǎng)絡(luò)電話(Voice over Internet Protocol, VoIP)、點對點通信(Peerto Peer ,P2P),郵件)，該條流量記錄產(chǎn)生的時間，時長、流量大小、訪問的目標IP和URL等?？梢詮倪@些字段中提取用于聚類分析的特征信息。S102，對上述至少兩種特征信息進行聚類運算，以對該多條上網(wǎng)流量記錄進行分類；具體地，對上述如:上網(wǎng)時間，所使用的業(yè)務(wù)類型、流量大小、流量時長、訪問的IP地址、訪問的URL等提取出的至少兩種特征信息進行聚類運算，該聚類運算可以是現(xiàn)有的各種聚類算法，例如:均值聚類算法，系統(tǒng)聚類算法等。經(jīng)過聚類運算后得到的上網(wǎng)流量記錄的類別可以為業(yè)務(wù)類型、也可以為某一時間段內(nèi)高頻率的訪問同一 IP地址或URL等，這些類別有些可以是上網(wǎng)操作，即時通信、視頻等正常操作產(chǎn)生的，還有些可以是某個應(yīng)用程序頻繁的后臺流量產(chǎn)生的，還有些孤立點，可能是異常的大流量。而對于進行聚類運算預(yù)先輸入的類別個數(shù)的選取，可以根據(jù)經(jīng)驗選取，比如可以根據(jù)經(jīng)驗值將流量類型分為:彩信、網(wǎng)頁瀏覽、即時通信、流媒體、文件傳輸、VoIP、P2P、郵件，此外還可以增加多個未知類別，得到聚類個數(shù)K，然后進行聚類運算。舉例來說:假如流量特征有2個:(時長，流量大小)，有這樣3條流量記錄A:(1，I) ;B (2,2) ；C (4，2)，那么A，B間的歐氏距為1.41,A,C間的歐式距為3.16，B，C間歐氏距為2，假如聚成兩類，那么A，B是ー類，C是另ー類。S103，根據(jù)上網(wǎng)流量記錄的分類結(jié)果所確定的類別以及該類別對應(yīng)的異常特征，確定該上網(wǎng)流量記錄是否為異常流量。上述上網(wǎng)流量記錄的分類結(jié)果可以為流量記錄的具體類型，例如:可以包括彩信、網(wǎng)頁瀏覽、即時通信、流媒體、文件傳輸、VoIP、P2P、郵件，此外還可以包括多個未知類別，通過進ー步對聚類運算得到的各個類別的具體特征進行分析，判斷各類別中是否存在異常特征。對于流量類別特征的判斷，通?？梢酝ㄟ^前期的訓(xùn)練學(xué)習(xí)獲得，即:選取大量已知的上述類型的正常流量和異常流量(可以是用戶進行投訴的流量記錄)進行上述聚類運算，聚類個數(shù)K的選取可以是上述流量類型個數(shù)(8個)再加上多個未知流量(異常流量)個數(shù)(如2個)的和(10個);通過分析聚類后的結(jié)果(即聚類結(jié)果在坐標系中的空間分布情況)，判定各類別最終是正常流量類還是異常流量類，通常將包含上述正常流量的類別定義為正常流量類，而包含上述異常流量的類別定義為異常流量類。通過將當前聚類的結(jié)果和前期的訓(xùn)練學(xué)習(xí)獲得的類別的特征進行比較(當前聚類結(jié)果和訓(xùn)練學(xué)習(xí)獲得的聚類結(jié)果在坐標系中空間位置上的分布做比較，即吻合度作比較)，判定當前各聚類后的類別所屬的流量類型是正常流量還是異常流量。若當前的聚類結(jié)果中包含既不屬于訓(xùn)練學(xué)習(xí)獲得的正常流量類別，也不屬于訓(xùn)練學(xué)習(xí)獲得的異常流量類別，則把該類別也視為異常流量類別(通常對于聚類后無法判斷其類別的，為安全考慮，都可視為異常流量)。其中，正常流量類特征對應(yīng)的可以是上述流量類型中的正常流量在坐標系中的空間分布位置。而異常流量類特征對應(yīng)的可以是上述流量類型中的異常流量在坐標系中的空間分布位置，在實際場景下，可以表現(xiàn)為:某些客戶端在特定時間段內(nèi)頻繁產(chǎn)生大流量或頻繁的產(chǎn)生流量數(shù)據(jù)；或某些孤立的異常大流量點(在聚類結(jié)果的空間分布上遠離正常流量類別的異常大流量的孤立點)，如:某用戶使用某影音在線看視頻，剛開啟視頻意識到需要走很多流量，隨即按退出鍵退出，但是該影音軟件未必真的退出，它可能在后臺不斷地緩沖視頻，產(chǎn)生大流量；或是某個下載軟件，雖然沒有下載，但是它在后臺分享你下載的文件也可能產(chǎn)生大流量。通過對聚類運算后得到的各個類別的具體類別特征進行分析，綜合考慮這些流量類別中是否包含上述異常流量類特征，來判定所判斷的類別包含的上網(wǎng)流量記錄是否為異
常流量。本發(fā)明提供的上網(wǎng)流量異常檢測方法，通過對多條上網(wǎng)流量記錄的至少兩種特征信息進行聚類運算實現(xiàn)對上網(wǎng)流量記錄進行分類，并判斷分類后的各類別是否存在異常流量特征來確定該類別下的上網(wǎng)流量記錄為異常流量，縮短了檢測時間，提高了檢測效率。圖2為本發(fā)明提供的上網(wǎng)流量異常檢測方法另一個實施例的流程圖，本實施例提供了如圖1所示的上網(wǎng)流量異常檢測方法的一種具體的實施方式，如圖2所示，所述方法具體包括:S201,獲取多條上網(wǎng)流量記錄的至少兩種特征信息；該步驟具體可參見步驟101的相應(yīng)內(nèi)容。S202，對上述至少兩種特征信息進行標準化處理，以使該至少兩種特征信息具有相同的取值范圍；在上述特征信息中，不同的特征信息的格式和取值范圍通常不同，為使它們具有相同的格式和取值范圍，以便進行聚類運算，可以將上述特征信息進行標準化處理，具體可分為格式處理和取值范圍處理。其中格式處理可以包括:流量類型處理:對不同的流量類型如彩信、網(wǎng)頁瀏覽、即時通信等分別編號為100、200、300 等；時間格式處理:如10點15分，格式化處理后為10.25 ；10點30，則格式化處理后為 10.5。表I列舉了 40條實際上網(wǎng)流量記錄經(jīng)格式處理后的特征信息。表I經(jīng)格式處理后的特征信息
權(quán)利要求
1.一種上網(wǎng)流量異常檢測方法，其特征在于，包括: 獲取多條上網(wǎng)流量記錄的至少兩種特征信息； 對所述至少兩種特征信息進行聚類運算，以對所述多條上網(wǎng)流量記錄進行分類；根據(jù)所述上網(wǎng)流量記錄的分類結(jié)果所確定的類別以及所述類別對應(yīng)的異常特征，確定所述上網(wǎng)流量記錄是否為異常流量。
2.根據(jù)權(quán)利要求1所述的上網(wǎng)流量異常檢測方法，其特征在于，所述對所述至少兩種特征信息進行聚類運算之前，還包括: 對所述至少兩種特征信息進行標準化處理，以使所述至少兩種特征信息具有相同的取值范圍。
3.根據(jù)權(quán)利要求1所述的上網(wǎng)流量異常檢測方法，其特征在于，若所述特征信息包括流量大小信息，則所述對所述至少兩種特征信息進行聚類運算之前，還包括: 根據(jù)設(shè)定的影響因子對所述流量大小信息進行調(diào)整，所述影響因子用于增加所述流量大小信息的影響權(quán)重。
4.根據(jù)權(quán)利要求f3任一項所述的上網(wǎng)流量異常檢測方法，其特征在于，所述對所述至少兩種特征信息進行聚類運算，包括: 采用K-means聚類運算對所述至少兩種特征信息進行聚類運算。
5.根據(jù)權(quán)利要求廣3任一項所述的上網(wǎng)流量異常檢測方法，其特征在于，還包括: 將所述上網(wǎng)流量記錄與本地知識庫中存儲的異常流量信息進行匹配，以確定所述上網(wǎng)流量記錄是否為異常流量。
6.一種上網(wǎng)流量異常檢測裝置，其特征在于，包括:獲取模塊、分類模塊和處理模塊； 所述獲取模塊，用于獲取多條上網(wǎng)流量記錄的至少兩種特征信息； 所述分類模塊，用于對所述至少兩種特征信息進行聚類運算，以對所述多條上網(wǎng)流量記錄進行分類； 所述處理模塊，用于根據(jù)所述上網(wǎng)流量記錄的分類結(jié)果所確定的類別以及所述類別對應(yīng)的異常特征，確定所述上網(wǎng)流量記錄是否為異常流量。
7.根據(jù)權(quán)利要求6所述的上網(wǎng)流量異常檢測裝置，其特征在于，所述處理模塊還用于: 所述對所述至少兩種特征信息進行聚類運算之前，對所述至少兩種特征信息進行標準化處理，以使所述至少兩種特征信息具有相同的取值范圍。
8.根據(jù)權(quán)利要求7所述的上網(wǎng)流量異常檢測裝置，其特征在于，所述裝置還包括: 調(diào)整模塊，用于所述分類模塊對所述至少兩種特征信息進行聚類運算之前，若所述特征信息包括流量大小信息，則根據(jù)設(shè)定的影響因子對所述流量大小信息進行調(diào)整，所述影響因子用于增加所述流量大小信息的影響權(quán)重。
9.根據(jù)權(quán)利要求61任一項所述的上網(wǎng)流量異常檢測裝置，其特征在干，所述分類模塊對所述至少兩種特征信息進行聚類運算，包括: 采用K-means聚類運算對所述至少兩種特征信息進行聚類運算。
10.根據(jù)權(quán)利要求61任一項所述的上網(wǎng)流量異常檢測裝置，其特征在于，所述裝置還包括: 匹配模塊，用于將所述上網(wǎng)流量記錄與本地知識庫中存儲的異常流量信息進行匹配，以確定所述上網(wǎng)流量記錄是否為異常流量。
全文摘要
本發(fā)明提供一種上網(wǎng)流量異常檢測方法及裝置，方法包括獲取多條上網(wǎng)流量記錄的至少兩種特征信息；對所述至少兩種特征信息進行聚類運算，以對所述多條上網(wǎng)流量記錄進行分類；根據(jù)所述上網(wǎng)流量記錄的分類結(jié)果所確定的類別以及所述類別對應(yīng)的異常特征，確定所述上網(wǎng)流量記錄是否為異常流量。本發(fā)明實施例有效解決了通過人工方式進行檢測帶來的檢測時間長，效率低的問題。
文檔編號H04L12/26GK103117903SQ20131004912
公開日2013年5月22日 申請日期2013年2月7日 優(yōu)先權(quán)日2013年2月7日
發(fā)明者肖吉, 王志軍, 王蓉 申請人:中國聯(lián)合網(wǎng)絡(luò)通信集團有限公司