一种基于分类的异常检测方法和系统与流程

技术特征：
1.一种基于分类的异常检测方法，其特征在于，所述方法包括如下步骤：对正常日志数据和异常日志数据分别进行预处理；分别提取经过预处理的正常日志数据和异常日志数据的特征，在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘，得到正常频繁项集和异常频繁项集，构建正常行为模型和异常行为模型；对待检测日志数据进行挖掘，获得频繁项集，并将频繁项集与正常行为模型和异常行为模型进行比较，找出异常。2.如权利要求1所述的基于分类的异常检测方法，其特征在于，所述对正常日志数据和异常日志数据分别进行预处理包括如下步骤：对正常日志数据和异常日志数据分别进行清洗；对经过清洗后的正常日志数据和异常日志数据进行数据集成；对经过数据集成的正常日志数据和异常日志数据进行压缩处理。3.如权利要求1所述的基于分类的异常检测方法，其特征在于，所述数据挖掘为利用长周期的频繁项集挖掘算法进行数据挖掘。4.如权利要求3所述的基于分类的异常检测方法，其特征在于，所述利用长周期的频繁项集挖掘算法进行数据挖掘包括如下步骤：将提取的日志数据特征作为候选集，扫描一遍候选集，找到支持率大于等于λ
n，n-1
·
ρ
s
长度为1的所有模式；连接这些模式，找到支持率大于等于λ
n，n-2
·
ρ
s
产生长度为2的模式的候选集，以此类推，在第i次迭代中产生一个由长度为i的模式组成的候选集u
i
，其中，这些模式满足支持率大于等于λ
n，n-i
·
ρ
s
；在i 1次迭代中，将候选集u
i
中的模式连接产生i 1的模式的候选集c
i 1
；在c
i 1
的模式中找到支持率大于等于λ
n，n-(i 1)
·
ρ
s
的模式，形成候选集u
i 1
，继续迭代，直到候选集为空，停止迭代，最终形成的候选集即为频繁项集。5.如权利要求4所述的基于分类的异常检测方法，其特征在于，所述利用长周期的频繁项集挖掘算法进行数据挖掘还包括如下步骤：当迭代后产生的候选集不为空，产生长度为n 1的模式的候选集时，利用apriori算法挖掘频繁项集。6.如权利要求1所述的基于分类的异常检测方法，其特征在于，所述将频繁项集与正常行为模型和异常行为模型进行比较，找出异常包括如下步骤：利用正常行为模型内的频繁项集作为学习数据，训练分类器；利用训练好的分类器对待测日志数据的频繁项集进行分类；获得与正常行为模型内的频繁项集不一致的频繁项集，并与异常行为模型内的频繁项集进行相似度对比，找出属于异常行为模型的频繁项集。7.一种基于分类的异常检测系统，其特征在于，所述异常检测系统包括：数据预处理模块，被配置为对正常日志数据和异常日志数据分别进行预处理；模型构建模块，被配置为分别提取经过预处理的正常日志数据和异常日志数据的特征，在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘，得到正常频繁项集和异常频繁项集，构建正常行为模型和异常行为模型；
异常检测模块，被配置为对待检测日志数据进行挖掘，获得频繁项集，并将频繁项集与正常行为模型和异常行为模型进行比较，找出异常。

技术总结
本发明提供一种基于分类的异常检测方法和系统，该方法包括对正常日志数据和异常日志数据分别进行预处理；分别提取经过预处理的正常日志数据和异常日志数据的特征，在预设时间窗口内对得到的正常日志特征和异常日志特征进行数据挖掘，得到正常频繁项集和异常频繁项集，构建正常行为模型和异常行为模型；对待检测日志数据进行挖掘，获得频繁项集，并将频繁项集与正常行为模型和异常行为模型进行比较，找出异常；该方法和系统提高了异常检测的准确性。性。性。


技术研发人员：赵静 龙春 万巍 魏金侠 杜冠瑶 杨帆
受保护的技术使用者：中国科学院计算机网络信息中心
技术研发日：2020.06.11
技术公布日：2021/12/16