一种基于网络日志流数据的网络空间异常行为检测方法

本公开提供一种网络日志异常行为检测方法。包括五个步骤：步骤1：将网络日志数据流计算主成分，保留参照窗口矩阵略图；步骤2：对数据流中后续到来的每个向量,通过滑动窗口上的最优矩阵略图算法更新相应的测试窗口的矩阵略图；步骤3：通过变化打分函数MGKL散度，对参照窗口的概率密度估计与测试窗口的的概率密度估计计算量化差异分数；步骤4：若差异分数大于阈值，则报告一次异常检测事件，并将当前测试窗口的矩阵略图作为新的参照窗口矩阵略图；步骤5：通过步骤2继续处理数据流中新的输入。可以实现挖掘发生主要变化的属性和特征，分析可能的异常行为发生的原因，同时在资源受限的场景下自适应地实现计算资源与近似精度的折衷。