(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211194497.6 (22)申请日 2022.09.29 (71)申请人 中孚安全技 术有限公司 地址 250000 山东省济南市高新区经十路 7000号汉峪金谷A1- 5号楼24层 (72)发明人 仝永杰　路冰　卢延科　孙琦　 唐上　 (74)专利代理 机构 济南舜源专利事务所有限公 司 37205 专利代理师 李舜江 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/028(2022.01) H04L 43/04(2022.01) (54)发明名称 一种周期性行为检测方法、 系统及终端机 (57)摘要 本发明提供一种周期性行为检测方法、 系统 及终端机， 涉及数据聚类算法技术领域， 将网络 的流量数据进行整理， 去重并按时间进行升序排 列； 查找周 期序列和周 期值， 对周期序列和周期 值进行筛选， 留下含周 期性的行为序列； 计算每 一个行为模式对应的行为序列的前两类均方差 的平均值， 按照平均值对行为模式进行排序， 排 序后输出行为模式以及周期值。 通过对数据的筛 选， 剔除了大量实际流量中不包含周期行为的序 列， 提高了整体效率。 通过均方差将行为模式进 行排序， 在保证 了检测效率。 权利要求书2页 说明书8页 附图2页 CN 115296930 A 2022.11.04 CN 115296930 A 1.一种周期性行为检测方法， 其特 征在于， 方法包括： 步骤一、 将网络的流 量数据进行整理， 去重并按时间进行升序排列； 步骤二、 查找周期序列和周期值， 对周期序列和周期值进行筛选， 留下含周期性的行为 序列； 步骤三、 计算每一个行为模式对应的行为序列的前两类均方差的平均值， 按照平均值 对行为模式进行排序， 排序后输出 行为模式以及周期值。 2.根据权利要求1所述的周期性行为检测方法， 其特 征在于， 步骤一中的流 量数据包括： 源ip、 目的ip、 协议、 目标端口以及时间的五元组。 3.根据权利要求2所述的周期性行为检测方法， 其特 征在于， 步骤一中将流 量数据划分成两层筛 选。 4.根据权利要求3所述的周期性行为检测方法， 其特 征在于， 第一层筛 选方式包括： （1） 对预设字段为特定值 流量或已经 备案的字段流 量进行筛除； （2） 将五元组中源ip、 目的ip、 协议、 目标端口均相同的流量数据作 为同一行为模式， 再 将同一行为模式数量小于等于 3条， 或大于 30000条的流量进行筛除； 筛除后再次将流 量数据进行整理， 整理成行为模式对应的时间戳序列。 5.根据权利要求 4所述的周期性行为检测方法， 其特 征在于， 第二层筛 选方式包括： 设置一个时间轴， 每隔一段时间设置一个时间刻度， 将时间轴分成间隔长度相等的若 干个间隔， 间隔序号从0开始 依次往后排； 将时间戳序列中的所有时间点依次配置 到相应的时间 间隔中； 依次统计时间 间隔中存在时间点的序号， 所有序号记为列表 ； 计算 中序列的间隔， 计算方式为后一个减去前一个， 得到新的间隔序列记为 ， 统计 中各间隔的数量， 按数量的多少进行排序； 前两项数量之和记为S， 计算S与总间隔样本的比值 ； 若比值大于设定阈值th则保存行为模式以及对应的比值。 6.根据权利要求5所述的周期性行为检测方法， 其特 征在于， 方法还 包括： 步骤二还 包括： 步骤11、 将时间序列换算成间隔序列T,其中 ； 步骤12、 对T 使用 DBSCAN方法进行聚类； 步骤13、 对于每一簇 ， 计算当前簇的均值p和标准差 ， 如果落在 的数量占 中元素总数量的占比超设定阈值， 则舍弃 当前 簇； 否则保留； 步骤14、 对于保留下来的 ， 按每一簇中元 素的多少进行排序；权　利　要　求　书 1/2 页 2 CN 115296930 A 2步骤15、 计算当前簇的卡方阈值 ； 如果当前簇中元素的数量 ， 则计算当前簇的平均值 和均方差 记录为 步骤 16、 将簇按照 进行排序； 步骤17、 如果前两簇中元素的总数量大于预设阈值， 且总类别数小于预设数量， 则保留 ； 其中均值 作为输入序列的周期； 步骤18、 输出 行为模式的周期 。 7.根据权利要求6所述的周期性行为检测方法， 其特 征在于， 步骤12还 包括： 若无法聚类则认为行为模式不具有周期性， 所有过程结束； 若聚类后形成K簇 ， 计算噪音率 nsr； 若nsr 小于等于设定阈值,  去掉噪音数据进行步骤13； 若nsr 大于设定阈值则认为所述间隔序列T不具有周期性， 所有过程结束。 8.根据权利要求6所述的周期性行为检测方法， 其特征在于， 步骤三中通过如下公式计 算平均值： 。 9.一种周期性行为检测系统， 其特征在于， 系统采用 如权利要求1至8任意一项所述的 周期性行为检测方法； 系统包括： 数据筛 选层、 周期检测层以及排序层； 数据筛选层， 用于将网络的流 量数据进行整理， 去重并按时间进行升序排列； 周期检测层， 用于查找周期序列和周期值， 对周期序列和周期值进行筛选， 留下含周期 性的行为序列； 排序层， 用于计算每一个行为模式对应的行为序列的前两类均方差的平均值， 按照平 均值对行为模式进行排序， 排序后输出 行为模式以及周期值。 10.一种终端机， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运行 的计算机程序， 其特征在于， 所述处理器执行程序时实现如权利要求1至8任一项所述周期 性行为检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 115296930 A 3