(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111665464.0 (22)申请日 2021.12.31 (71)申请人 南京邮电大 学 地址 210046 江苏省南京市栖霞区文苑路9 号 (72)发明人 郭永安　马德睿　佘昊　钱琪杰　 (74)专利代理 机构 南京经纬专利商标代理有限 公司 32200 代理人 罗运红 (51)Int.Cl. H04L 9/40(2022.01) H04L 49/10(2022.01) G06K 9/62(2022.01) (54)发明名称 基于INT的异常流 量检测方法和装置 (57)摘要 本申请涉及一种基于INT的异常流量检测方 法和装置。 该方法包括： 发送方根据交互请求， 将 交互数据和遥测指令封装到数据包中通过传输 链路上的交换机向接收方传输； 传输链路上的交 换机根据数据包中携带的遥测指令， 将遥测数据 包头和采集到的流量相关数据封装到数据包中 发送出去， 直至到达最后一跳交换机； 最后一跳 交换机根据数据包中携带的遥测指令， 采集流量 相关数据， 并将数据包中的流量相关数据拆分出 来， 将所有流量相关数据作为遥测数据， 发送至 遥测服务器， 将交互数据发送至接收方； 遥测服 务器从接收到的遥测数据中， 提取出流量数据， 采用自适应的流量检测算法进行异常流量检测， 输出检测结果， 提高了异常流量检测过程的准确 度和效率。 权利要求书2页 说明书9页 附图1页 CN 114422213 A 2022.04.29 CN 114422213 A 1.一种基于I NT的异常流 量检测方法， 其特 征在于， 所述方法包括： 发送方根据交互请求， 将交互数据和遥测指令封装到数据包中通过传输链路上的交换 机向接收方传输； 传输链路上的第 一跳交换机根据接收到的数据包中携带的遥测指令， 将遥测数据包头 和采集到的流 量相关数据封装到所述数据包中， 并发送至下一跳交换机； 下一跳交换机根据接收到的数据包中携带的遥测指令， 将采集到的流量相关数据封装 到所述数据包中后， 继续传递给下一跳交换机进行采集到的流量相关数据封装， 直至到达 最后一跳交换机； 最后一跳交换机根据接收到的数据包中携带的遥测指令， 采集流量相关数据， 并将所 述数据包中的流量相关数据拆分出来， 将所有流量相关数据作为遥测数据， 发送至遥测服 务器， 将交 互数据发送至 接收方； 遥测服务器从接收到的遥测数据中， 提取 出流量数据； 遥测服务器根据所述流量数据， 采用自适应的流量检测算法进行异常流量检测， 输出 检测结果。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 所述遥测服务器根据检测结果生成遥测报告反馈至发送方， 当所述检测结果为异常 时， 向发送方发送停止数据包发送指 令， 使发送发停止数据包的发送， 并根据所述流量数据 进行异常流 量的溯源。 3.据权利要求1所述的方法， 其特征在于， 所述遥测服务器根据所述流量数据， 采用自 适应的流 量检测算法进行异常流 量检测， 输出检测结果的步骤， 包括： 所述遥测服 务器采用标签编码器对所述 流量数据进行编码， 形成初步 流量特征； 所述遥测服务器将所述初步流量特征输入特征提取模型中提取出频繁出现的特征， 获 得频繁流量特征向量； 所述遥测服务器所述频繁流量特征向量输入重塑模型中进行重塑， 形成二维矩阵数据 特征； 所述遥测服务器使用与所述二维矩阵数据 特征相同形状的k个卷积核对所述二维矩阵 数据特征进行特征提取， 获得三维数据特 征； 所述遥测服 务器将所述 三维数据特 征输入到分类模型中进行分类， 获得检测结果。 4.根据权利要求3所述的方法， 其特征在于， 所述方法还包括： 根据三维数据特征生成 可视化界面在显示器上显示。 5.根据权利要求3所述的方法， 其特征在于， 所述遥测服务器采用标签编码器对所述流 量数据进行编码， 形成初步 流量特征的步骤， 包括： 所述遥测服务器从流量数据中取n组流量数据样本， 根据归一化公式对n组流量数据样 本进行归一 化编码处 理， 获得初步 流量特征； 所述归一 化公式为： si＝{cij|i∈1,2,3. .....n}， 其中， sij标识第i组流量数据样本中的每个数据， j表示第i组流量数据样本中的第j个权　利　要　求　书 1/2 页 2 CN 114422213 A 2时间点的数据， si_min为第i组流量数据样本中的最小值， si_max为第i组流量数据样本中的最 大值， cij表示第i组的第j个时间点的数据的归一 化后数据， si表示初步 流量特征。 6.根据权利要求3所述的方法， 其特 征在于， 所述特 征提取模型为： 其中， xi代表输出的频繁流量特征向量， w为形状重塑向量， a1为生成特征向量的参数 值， f为特 征获取函数， n 为流量数据样本的总组数。 7.根据权利要求3所述的方法， 其特 征在于， 所述重塑模型为： M＝(h,xi) 其中， h为形状重 塑样本， xi代表输出的频繁流量特征向量， w为形状重塑向量， a1为生成 特征向量的参数值， M为 二维矩阵数据特 征。 8.根据权利要求3所述的方法， 其特 征在于， 所述卷积核 进行特征提取的公式为： Oi＝((h‑k+1)/2*k， (h ‑k+1)/xi， (h‑k+1)/1) 其中， k为卷积核的个数， h为形状重 塑样本， xi代表输出的频繁流量特征向量， Oi为提取 出的三维数据特 征。 9.根据权利要求3所述的方法， 其特 征在于， 所述分类模型为： 其中， e为自然底数， sig为sigmoid激活功能函数， class为检测结果， class为0代表正 常， class为1代表异常， Oi为提取出的三维数据特 征。 10.一种基于I NT的异常流 量检测装置， 其特 征在于， 所述装置包括： 发送方的数据传输模块， 用于发送方根据交互请求， 将交互数据和遥测指令封装到数 据包中通过传输链路上的交换机向接收方传输； 交换机的第 一封装模块， 用于传输链路上的第 一跳交换机根据接收到的数据包中携带 的遥测指令， 将遥测数据包头和采集到的流量相关数据封装到所述数据包中， 并发送至下 一跳交换机； 交换机的第二封装模块， 用于下一跳交换机根据接收到的数据包中携带的遥测指令， 将采集到的流量相关数据封装到所述数据包中后， 继续传递给下一跳交换机进行采集到的 流量相关数据封装， 直至 到达最后一跳交换机； 交换机的第三封装模块， 用于最后一跳交换机根据接收到的数据包中携带的遥测指 令， 采集流量相关数据， 并将所述数据包中的流量相关数据拆分出来， 将所有流量相关数据 作为遥测数据， 发送至 遥测服务器， 将交 互数据发送至 接收方； 遥测服务器的提取模块， 用于 遥测服务器从接收到的遥测数据中， 提取 出流量数据； 遥测服务器的检测模块， 用于遥测服务器根据所述流量数据， 采用自适应的流量检测 算法进行异常流 量检测， 输出检测结果。权　利　要　求　书 2/2 页 3 CN 114422213 A 3