(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111431382.X (22)申请日 2021.11.29 (71)申请人 北京智美互联科技有限公司 地址 100037 北京市西城区阜成门外大街 31号6层6 07A (72)发明人 苏长君　曾祥禄　 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/0894(2022.01) (54)发明名称 基于模式识别的网络大数据分析方法和系 统 (57)摘要 本发明提供一种基于模式识别的网络大数 据分析的方法和系统， 通过设置分流器的区间档 位， 将网络 数据流进行分流， 得到对应高速率、 中 速率和低速率的三个数据流集合， 分别将三个集 合输入用户行为模型， 检测其分别包含的用户行 为字段， 以及分析该用户行为字段与当前速率的 映射关系， 综合得出当前网络环 境下的用户行为 模式， 判断其是否为 攻击性。 权利要求书1页 说明书3页 附图1页 CN 114172705 A 2022.03.11 CN 114172705 A 1.一种基于模式识别的网络大 数据分析 方法， 其特 征在于， 所述方法包括： 服务器采集网络数据流， 监测该网络数据流的速率， 按照速率高低设置分流器的区间 档位， 速率高于第一阈值的为高速率， 速率低于第一阈值且高于第二阈值的为中速率， 速率 低于第二阈值的为低速率， 其中第一阈值大于第二阈值； 将所述网络数据流输入到所述分流器 中， 根据不同的区间档位， 分流所述网络数据流， 得到对应高速率、 中速率和低速率的三个数据流 集合； 分别依次将所述三个数据流集合输入用户行为模型， 检测所述三个数据流集合中包含 哪些用户行为字段， 分析所述用户行为字段的访问对象， 统计所述用户行为字段出现频率， 判断是否包 含攻击倾向的用户行为， 得到第一结果； 分析用户行为字段的类型与 所述网络数据流的速率之间的映射关系， 判断该用户行为 字段对应的用户行为出现在当前速率下 是否合理， 得到第二结果； 结合所述第一结果和第二结果， 得出当前网络环境下的用户行为模式， 若该用户行为 模式为攻击型， 则屏蔽该用户行为的来源， 若该用户行为模式为普通型， 则允许该用户行为 的访问请求。 2.根据权利要求1所述的方法， 其特征在于： 所述得出当前网络环境下的用户行为模 式， 还可以包括进一步分析用户行为模式的强弱程度， 根据该强弱程度判断用户行为的急 迫程度。 3.根据权利要求1 ‑2任一项所述的方法， 其特征在于： 所述屏蔽该用户行为的来源之 前， 还包括找到所有的攻击轨迹途径 点， 形成攻击轨迹， 所述攻击轨迹可复用包括多个不同 维度的异常攻击， 溯源得到不同维度的异常攻击的源点。 4.根据权利要求1 ‑3任一项所述的方法， 其特征在于： 所述用户行为模型使用了神经网 络模型。 5.一种基于模式识别的网络大数据分析系统， 其特征在于， 所述系统包括处理器以及 存储器： 所述存储器用于存 储程序代码， 并将所述 程序代码传输给 所述处理器； 所述处理器用于根据所述程序代码中的指令执行实现权利要求1 ‑4任一项所述的方 法。 6.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质用于存储程序代 码， 所述程序代码用于执 行实现权利要求1 ‑4任一项所述的方法。权　利　要　求　书 1/1 页 2 CN 114172705 A 2基于模式识别的网 络大数据分析方 法和系统 技术领域 [0001]本申请涉及网络多媒体领域， 尤其涉及一种基于模式识别的网络大数据分析方法 和系统。 背景技术 [0002]现有网络大数据分析通常使用固定的分析方法， 然而网络数据流却是灵活多变 的， 网络环境和用户行为难以预测， 导 致固定的分析 方法效果 不佳。 [0003]同时， 现有分析一种网络行为不会结合当前的网络环境， 会低估或过度解析该网 络行为， 导 致分析偏差， 也是需要改进的地方。 [0004]因此， 急需一种针对性的基于模式识别的网络大 数据分析的方法和系统。 发明内容 [0005]本发明的目的在于提供一种基于模式识别的网络大数据分析方法和系统， 通过设 置分流器的区间档位， 将网络数据流进 行分流， 得到对应高速率、 中速率和低速率的三个数 据流集合， 分别将三个集合输入用户行为模型， 检测其分别包含的用户行为字段， 以及分析 该用户行为字段与当前速率的映射关系， 综合得出当前网络环境下 的用户行为模式， 判断 其是否为 攻击性。 [0006]第一方面， 本申请提供一种基于模式识别的网络大 数据分析 方法， 所述方法包括： [0007]服务器采集网络数据流， 监测该网络数据流的速率， 按照速率高低设置分流器的 区间档位， 速率高于第一阈值的为高速率， 速率低于第一阈值且高于第二阈值的为中速率， 速率低于第二阈值的为低速率， 其中第一阈值大于第二阈值； [0008]将所述网络数据流输入到所述分流器中， 根据不 同的区间档位， 分流所述网络数 据流， 得到对应高速率、 中速率和低速率的三个数据流 集合； [0009]分别依次将所述三个数据流集合输入用户行为模型， 检测所述三个数据流集合中 包含哪些用户行为字段， 分析所述用户行为字段的访问对 象， 统计所述用户行为字段出现 频率， 判断是否包 含攻击倾向的用户行为， 得到第一结果； [0010]分析用户行为字段的类型与所述网络数据流的速率之间的映射关系， 判断该用户 行为字段对应的用户行为出现在当前速率下 是否合理， 得到第二结果； [0011]结合所述第一结果和第二结果， 得出当前网络环境下的用户行为模式， 若该用户 行为模式为攻击型， 则屏蔽该用户行为的来源， 若 该用户行为模式为普通型， 则允许该用户 行为的访问请求。 [0012]结合第一方面， 在第一方面第一种可能的实现方式中， 所述得出当前网络环境下 的用户行为模式， 还可以包括进一步分析用户行为模式的强弱程度， 根据该强弱程度判断 用户行为的急迫程度。 [0013]结合第一方面， 在第一方面第二种可能的实现方式中， 所述屏蔽该用户行为的来 源之前， 还包括找到所有的攻击轨迹途径点， 形成攻击轨迹， 所述攻击轨迹可复用包括多个说　明　书 1/3 页 3 CN 114172705 A 3