一种基于流量日志特征提取的无监督异常检测方法

摘要

本发明涉及一种基于流量日志特征提取的无监督异常检测方法，属于网络安全技术领域。该方法对截取的pcap包进行解析，提取其中的特征信息，组成高维特征，作为样本；对获取的样本分别采用采用孤立森林算法、局部异常因子算法，计算其异常分数；分别计算两种算法的异常分数的Z‑score值；之后，计算得到样本最终的异常分数；最后输出所有用户的异常分数，并从大到小进行排序；将排名靠前用户作为疑似异常用户进行进一步检测。本发明解决了现有异常检测方法存在的面对高维数据时检测效果下降、检测结果不稳定的技术问题，有效地实现对于流量日志提取高维特征的异常检测，易于推广应用。