摘要：在计算机网络短期流量异常数据分类中,单一数据包的特征提取存在局限,导致分类结果混入正常数据,进而导致AUC值降低,影响分类效果。为此,提出了基于支持向量机的计算机网络短期流量异常数据分类方法。将网络异常时序特征提取过程分为数据包阶段和网络流阶段,建立支持向量机分类超平面,构建异常数据分类模型,从而实现了异常数据的精准分类。实验结果显示,ROC曲线下的AUC趋近于1,异常数据分类效果良好,对于计算机网络安全具有重要作用。

　　关键词：支持向量机；计算机网络；短期流量；异常数据；分类方法

　　0引言

　　计算机网络短期流量是在短时间的跨度内网络中传输的数据量,能够实时反映网络负载情况,以便安全人员及时发现并解决网络问题[1]。流量异常数据是指与正常流量模式偏离的数据,反映了网络在短时间内的异常行为,如突发高流量、低流量或数据包特征异常等,这些异常可能暗示存在网络攻击或恶意软件活动,甚至可能导致数据泄露。针对此类问题,研究人员研发了多种分类方法。

　　李*等人[2]提出了基于孤立森林和K均值算法的计算机网络流量异常数据分类方法,该方法利用孤立森林算法检测短期流量异常数据,再通过K均值算法区分异常原因,从而建立数据分类模型并完成分类任务。但是,在异常流量具有混合特征的情况下,该方法无法有效捕捉异常特征,导致ROC曲线下的AUC值降低,异常数据分类效果不佳。郭高强等人[3]提出了基于双层注意力的计算机网络流量异常数据分类方法,利用双层注意力编码器深度挖掘网络数据流的局部与整体信息,通过有效识别并学习特征间的异常模式来实现异常数据分类。但该方法增加了模型参数量,使得每个特征对分类结果的影响难以直观解释,进而降低了ROC曲线下的AUC值,影响了异常数据分类效果。贺萌[4]提出了基于改进K-means聚类算法的计算机网络流量异常数据分类方法,利用局部离群点检测网络流量异常值,并通过K-means聚类算法计算异常值与正常值之间的最大最小距离,以确保异常数据分类效果。但是,该方法的K值分配存在过度细分问题,导致ROC曲线下的AUC值降低,从而无法满足高精度异常数据分类的需求。

　　支持向量机（Support Vector Machine,SVM）是一种有监督的机器学习算法,能够在特征空间中寻找一个最优分类超平面,以将不同类别的样本准确区分开,从而实现数据的有效且准确的分类。将其应用于计算机网络短期流量异常数据分类,能够清晰地划分正常数据与异常数据,实现网络短期流量异常数据的精准识别。

　　1计算机网络流量支持向量机的异常数据分类方法设计

　　1.1提取计算机网络短期流量数据包异常时序特征

　　将计算机网络短期流量异常时序特征提取分为数据包阶段与网络流阶段。第一阶段为数据包内特征学习,每个数据包由很多网络流量字节组成,数据包内的字节顺序与紧密程度不同,反映出数据包异常时序特征向量,公式如式（1）所示：

　　V=X*ω（1）

　　式中,V为数据包异常时序特征向量；X为输入字节序列；ω为序列X的值。第二阶段为网络流内的时序特征学习,相邻的数据包之间存在单次数据交互的情况,反映出网络短期流量异常数据时序特征向量,公式如式（2）所示：

　　式中,K为网络短期流量异常数据时序特征向量；qi为输入数据特征的查询向量；KT为位置键内积；、为调节因子。将V、K作为输入条件,建立网络数据包异常数据分类模型。

　　1.2支持向量机构建网络数据包异常数据分类模型

　　针对计算机网络短期流量异常数据分类问题,SVM能够通过寻找最优分类超平面来有效解决二分类问题,从而准确区分正常流量与异常流量。将(V,K)作为网络数据包特征维度,在其中找出维度为m-1的超平面,将数据包中的正常数据与异常数据分为两类。将寻找最优超平面的问题转化为解决正常数据与异常数据的最大间隔问题,得到数据包特征维度的分类超平面,公式如式（3）、式（4）所示：

　　w*.V+b*.K=0（3）

　　如表1所示,随机选取出Breast Cancer、Ecoli im、German Credit、Ecoli imU、Ecoli cp、Ionosphere等数据集,标号为a、b、c、d、e、f,对其异常数据进行分类。

　　2.2实验结果

　　对a、b、c、d、e、f等数据集进行异常数据分类,对角线元素表示短期流量异常数据正确分类的样本数量；非对角线元素表示错误分类的样本数量。通过分析对角线元素的数据,判断异常数据分类效果。分类结果如图1所示。

　　如图1所示,a为突发流量洪峰数据；b为低速率持续异常数据；c为协议/端口异常数据；d为流量分布失衡数据；e为行为模式突变数据；f为加密流量异常数据。TP为分类类别；FP为真实类别。a~f各类数据中,对角线元素数据均＞95%,数值整体较高,表示本文方法在各个数据类别中的分类准确率较高。在此基础上,分析各个数据集类别异常数据分类的AUC值,如图2所示。

　　如图2所示,①为AUC最小阈值；②为基于孤立森林和K均值算法的计算机网络流量异常数据分类方法的AUC值；③为基于双层注意力的计算机网络流量异常数据分类方法的AUC值；④为本文设计的基于支持向量机的计算机网络短期流量异常数据分类方法的AUC值。本文利用支持向量机,在网络短期流量数据特征空间中,寻找一个最优分类超平面,将不同数据样本最大程度地分开,实现数据的有效分类。最终的分类结果显示,ROC曲线下的AUC趋近于1,异常数据分类效果良好。由此可见,本文设计的方法在少量样本中表现出较好的分类效果,避免了过拟合问题,在面对新的、未见过的网络流量数据时,仍保持较好的分类性能,对于计算机网络安全具有重要作用。

　　3结语

　　本文设计基于支持向量机的计算机网络短期流量异常数据分类方法,该方法从网络设备中采集短期流量数据包,记录每个数据包的时间戳、源/目的IP、端口号、协议类型、数据包大小等信息,从中提取异常时序特征。利用支持向量机将数据包异常特征细化,调整超参数,建立异常数据分类模型,有效实现了短期流量异常数据的精准分类,为计算机网络安全提供保障。

　参考文献

　　[1]解海燕,李杰,赵国栋.非结构化高维大数据异常流量时间点挖掘算法[J].计算机仿真,2024,41(7):474-478.

　　[2]李*,赵雅雯,许晖.基于孤立森林和K均值算法的水位异常数据检测与水位计故障诊断[J].南水北调与水利科技(中英文),2025,23(S1):297-303.

　　[3]郭高强,何明枢,李昕航,等.基于双层注意力的异常数据深度分析及检测[J].北京邮电大学学报,2025,48(1):33-38.

　　[4]贺萌.基于改进K-means聚类算法的网络异常数据挖掘与分类方法[J].无线互联科技,2024,21(18):119-122.