CN106506556A - 一种网络流量异常检测方法及装置 - Google Patents
一种网络流量异常检测方法及装置 Download PDFInfo
- Publication number
- CN106506556A CN106506556A CN201611246751.7A CN201611246751A CN106506556A CN 106506556 A CN106506556 A CN 106506556A CN 201611246751 A CN201611246751 A CN 201611246751A CN 106506556 A CN106506556 A CN 106506556A
- Authority
- CN
- China
- Prior art keywords
- attribute
- detected
- sample
- time sequence
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
Abstract
本发明公开一种网络流量异常检测方法及装置,该方法包括:获取网络监测节点在设定时间段内生成的网络数据流;针对所述网络数据流中的任一属性,根据所述任一属性,将所述网络数据流以设定时间间隔进行聚合,生成关于所述任一属性的N个时间序列;根据各个属性分别对应的N个时间序列,确定所述网络数据流对应的N个待检测样本,计算所述第一时间序列分别与其余N‑1个待检测样本中的所述第一属性对应的N‑1个第二时间序列之间的角度相异度,根据所述第一时间序列对应的N‑1个角度相异度,确定出关于所述第一时间序列的第一检测结果;根据每个待检测样本中的每个时间序列的检测结果,确定所述每个待检测样本是否为异常数据流。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种网络流量异常检测方法及装置。
背景技术
入侵检测系统(IDS)等安全设备构成的防御系统大多部署在网络的入口处,在入口处对内网环境进行防护。这样,来自网络外部的安全威胁大大减小。而内网的安全却常常被忽视。由于很多内网的防护能力较弱,由内部人员造成的越权访问,恶意访问,数据泄露等安全事故频发。另外,如果黑客突破了内外网之间的防护设备成功突入内网,则相当于进入了一个完全开放的网络环境,内网中的一切资源都会成为黑客攻击和盗取的目标。
为了对内网进行防护,现有的技术方法多是基于规则的防御方法。在现有的基于时间序列的异常检测方法中,多是采用欧式距离来度量时间序列的相异度。但是这种异常检测方法对平移变换和扩张变换是敏感的,会将这类变换消除。例如,在很多场合下设备的时钟并没有完全同步,所记录的数据在时间轴上会出现一定的平移。例如字节数量,可能使用不同的量级进行记录,因此时间序列会出现扩张变换。一旦这些变换被消除,所记录的数据可能会显示出相似的变化趋势,导致数据流的检测结果出现偏差。
综上分析,现有的方法难以达到对网络中的异常流量的准确检测,不能够保证检测结果的准确度。
发明内容
本发明实施例提供一种网络流量异常检测方法及装置,用以提供一种更加精确的网络流量异常检测方法,提高检测结果的准确性。
本发明方法包括网络流量异常检测方法,该方法包括:
获取网络监测节点在设定时间段内生成的网络数据流;
针对所述网络数据流中的任一属性,根据所述任一属性,将所述网络数据流以设定时间间隔进行聚合,生成关于所述任一属性的N个时间序列;
根据各个属性分别对应的N个时间序列,确定所述网络数据流对应的N个待检测样本,其中,所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列;
针对第一待检测样本中的第一属性对应的第一时间序列,计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度,其中,所述第一待检测样本为N个待检测样本中的任意一个,所述第一属性为所述网络数据流中的属性的任意一个,每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值;根据所述所述第一时间序列对应的N-1个角度相异度,确定出关于所述第一时间序列的第一检测结果;
根据每个待检测样本中的每个时间序列的检测结果,确定所述每个待检测样本是否为异常数据流。
基于同样的发明构思,本发明实施例进一步地提供一种网络流量异常检测装置,该装置包括:
获取单元,用于获取网络监测节点在设定时间段内生成的网络数据流;
处理单元,用于针对所述网络数据流中的任一属性,根据所述任一属性,将所述网络数据流以设定时间间隔进行聚合,生成关于所述任一属性的N个时间序列;
确定单元,用于根据各个属性分别对应的N个时间序列,确定所述网络数据流对应的N个待检测样本,其中,所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列;
计算单元,用于针对第一待检测样本中的第一属性对应的第一时间序列,计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度,其中,所述第一待检测样本为N个待检测样本中的任意一个,所述第一属性为所述网络数据流中的属性的任意一个,每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值;
检测单元,用于根据所述所述第一时间序列对应的N-1个角度相异度,确定出关于所述第一时间序列的第一检测结果,根据每个待检测样本中的每个时间序列的检测结果,确定所述每个待检测样本是否为异常数据流。
本发明实例采用的是对多个维度的时间序列进行异常检测,所谓的维度是指网络数据流中的各个属性,如源IP地址,源端口号,目的IP地址,目的端口号等,利用角度相异度的方法通过分析网络数据流中的同一属性的时间序列的相似性,找出其中的异常序列,因为角度相异度是时间序列向量之间的夹角的正弦值,因此即使设备的时钟并没有完全同步,也不会导致检测结果偏差,故本发明实施例提供的网络异常数据流的检测方法得到的检测结果更加准确,这样就可以及时、快速地发现网络异常行为,有效地对网络攻击进行预防。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供一种网络流量异常检测方法流程示意图;
图2a~图2c为本发明实施例提供一种网络流量异常检测结果示意图;
图3为本发明实施例提供一种网络流量异常检测装置架构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
参见图1所示,本发明实施例提供一种网络流量异常检测方法流程示意图,具体地实现方法包括:
步骤S101,获取网络监测节点在设定时间段内生成的网络数据流。
步骤S102,针对所述网络数据流中的任一属性,根据所述任一属性,将所述网络数据流以设定时间间隔进行聚合,生成关于所述任一属性的N个时间序列。
步骤S103,根据各个属性分别对应的N个时间序列,确定所述网络数据流对应的N个待检测样本,其中,所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列。
步骤S104,针对第一待检测样本中的第一属性对应的第一时间序列,计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度,其中,所述第一待检测样本为N个待检测样本中的任意一个,所述第一属性为所述网络数据流中的属性的任意一个,每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值;根据所述第一时间序列对应的N-1个角度相异度,确定出关于所述第一时间序列的第一检测结果;
步骤S105,根据每个待检测样本中的每个时间序列的检测结果,确定所述每个待检测样本是否为异常数据流。
上述步骤通常由网络数据流的分析工具执行,其中,网络监测节点通常指的是各个路由器或者交换机,在步骤S101中,一般可以利用采集器采集各个路由器或者交换机的NetFlow(网络数据流)数据,然后将采集到的数据流存储到服务器上,以便利用各种NetFlow数据分析工具对网络数据流进行进一步的处理。
Netflow本身主要是一套网络流量统计协议,路由器通过源IP地址、源端口号、目的IP地址、目的端口号、协议类型、服务种类以及路由器输入界面这些控制信息来区分Netflow流。任何时间当路由器接受到新的数据包时,路由器将检查数据流中的这些控制信息来判断这个数据包是否属于任何已经记录的Netflow流,如果有的话则将新收集的数据包相关信息整合到相应的Netflow流记录中,如果没有则产生一条新的记录。
在步骤S102中,网络数据流的属性一般是源IP地址、源端口、目的IP地址、目的端口和传输层协议号这五个属性,包含这五个属性的数据包形成业务流,例如:(192.168.1.1、10000、121.14.88.76、80)表示:一个IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的终端进行连接,由以上五个属性可以唯一确定一个会话。
在上述步骤中,时间序列本身是向量的形式表示,时间序列向量是由一系列数据元素组成的有序集合,这些数据元素本身由记录时刻和记录值构成,记为X=<x1=(t1,v1),x2=(t2,v2),...,xi=(ti,vi),...,xn=(tn,vn)>,其中元素xi=(ti,vi)表示在ti时刻取得记录值为vi,这里记录时刻ti是严格单调增加的,即随着时间的前进,不断累积的各个数据,|X|称为时间序列向量X的模,表示时间序列的长度。对于广义时间序列,记录值vi可以是离散符号、结构数据、多媒体数据等,对于狭义的时间序列,记录值vi为实数类型。
举例来说,NetFlow数据采集软件采集一个小时内的业务流,然后存储到服务器上,然后NetFlow数据分析工具从服务器上获取连续存储的十个小时的网络数据流,对获取的网络数据流按照一个小时作为时长进行聚合,聚合得到10个聚合时段的网络数据流,然后生成每段网络数据流的三个属性(源IP地址、源端口、传输层协议号)的三个时间序列,这样,对于属性源IP地址来说,10段网络数据流就有10条时间序列,将属于同一时段的源IP地址对应的时间序列、源端口对应的时间序列、传输层协议号对应的时间序列组成为一个待检测样本,因此就会形成10个待检测样本,接着就可以对每个待检测样本中的时间序列进行检测,将异常的样本检测出来。
进一步地,对每个待检测样本中的时间序列进行检测的方法如下:针对第一待检测样本的第一时间序列,按照公式一计算所述第一时间序列与分别其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列中之间的N-1个角度相异度,所述公式一为:
其中,x为第一时间序列向量,y为第二时间序列向量,θxy为时间序列向量之间的角度,所述sinθxy为角度相异度。
接续上例,对于属性源IP地址来说,10段网络数据流就有10个时间序列,假设第一段待检测样本中的关于属性源IP地址的第一时间序列向量为X1,第二段待检测样本中的关于属性源IP地址的时间序列向量为X2,依次类推,第十段待检测样本中的关于属性源IP地址的时间序列向量为X10,利用公式一就可以依次计算出X1分别与X2、X3…X10之间的角度相异度,例如,X1与X2之间的角度互异度为:
类似地,就可以计算得出第一时间序列向量与其它九个时间序列向量之间的角度相异度sinθX1X2、sinθX1X3、sinθX1X4、sinθX1X5、sinθX1X6、sinθX1X7、sinθX1X8、sinθX1X9、sinθX1X10,同理,第一待检测样本中的其余属性的时间序列向量也是按照上述方法依次计算角度相异度,当然,其它九个待检测样本中每个时间序列向量的角度互异度与第一待检测样本计算方法一致,在此不再赘述。
进一步地,当得出各个待检测样本中的每个时间序列的角度互异度之后,判断所述第一时间序列对应的N-1个角度相异度的总和是否大于设定阈值,若大于,则生成所述第一时间序列为异常时间序列的第一检测结果,否则,则生成所述第一时间序列为正常时间序列的第一检测结果。
也就是说,将上述第一时间序列中计算得到的这九个角度相异度sinθX1X2、sinθX1X3、sinθX1X4、sinθX1X5、sinθX1X6、sinθX1X7、sinθX1X8、sinθX1X9、sinθX1X10进行相加,将和值与设定阈值进行比较,若发现大于设定阈值,则说明第一时间序列为异常时间序列,否则的话,则说明是正常时间序列。
进一步地,确定每个待检测样本中的异常时间序列的数量是否大于所述待检测样本中正常时间序列的数量,若大于,则所述待检测样本为异常数据流,否则,则为正常数据流。
比如说,按照上述检测方法得到如下检测结果,第一待检测样本中的属性为源IP地址的第一时间序列向量为异常时间序列,第一待检测样本中的属性为源端口的时间序列向量为异常时间序列,第一待检测样本中的属性为传输层协议号的时间序列向量为正常时间序列,所述第一待检测样本中异常时间序列的数量大于正常时间序列的数量,则第一待检测样本对应的该段时间序列就为异常时间序列。
进一步地,除了利用角度相异度进行检测,还可以再结合单类SVM分类器对每个待检测样本中的时间序列进行检测,检测方法如下:
将第一待检测样本中的第一属性对应的第一时间序列,利用预设的与所述第一属性对应的单类SVM(支持向量机)分类器进行分类;
根据分类结果确定出关于所述第一时间序列的第二检测结果,其中,若分类结果为同类别,则所述第二检测结果为正常时间序列,若分类结果为不同类别,则所述第二检测结果为异常时间序列;
将所述第一检测结果与所述第二检测结果进行加权求和,得到所述第一时间序列的目标检测结果。
然后确定每个待检测样本各个时间序列对应的目标检测结果中异常时间序列是否大于正常时间序列,若大于,则所述待检测样本为异常数据流,否则,则为正常数据流。
其中,数据分类是指在已有分类的训练数据的基础上,根据某种原理,经过训练形成一个分类器;然后使用分类器判断没有分类的数据的类别。注意,数据都是以向量形式出现的。单类SVM的基本原理为,对于给定的数据样本,通过核函数Φ将其映射到高维特征空间。在高维特征空间中求解一个最优超平面实现目标数据与坐标原点的最大分离。其中,坐标原点被假设为唯一的一个异常样本。采用单一类别的数据训练单类SVM分类器,然后可以用训练好的分类器对新的数据进行检测,判断新的数据是否与训练数据属于同一类别。基于单类支持向量机的单分类方法具有训练,决策速度快,分类准确率高等特点,适合处理高维,有噪声和有限样本的单分类问题。单类支持向量机的单分类划分方法可以根据所获得的目标数据估计其边界,做出正确的分类。
在本发明实施例中,预先选择M个历史同期的样本训练出一个单类SVM分类器,然后用训练好的分类器来判断待检测样本是否为异常。具体地,所述预设的与所述第一属性对应的SVM分类器是按照如下方式生成的:
获取所述设定时间段之前的历史网络数据流;针对所述历史网络数据流中的第一属性,根据所述第一属性,将所述历史网络数据流以设定时间间隔进行聚合,生成关于所述第一属性的N个时间序列,所述第一属性为所述网络数据流中的属性的任意一个;
将第一属性对应的N个时间序列作为训练数据,生成关于所述第一属性的SVM分类器。
也就是说,用历史网络数据流中的每个属性的时间序列训练出每个属性对应的SVM分类器,这样,就可以用训练好的每个属性的SVM分类器对获取的新的网络数据流进行检测。其中,检测方法又分为在线检测和离线检测,在线检测主要是实时获取路由器等网络监测节点的网络数据流,然后实时地给出检测结果,显然,这种检测方法的实时性较强,另外一种离线检测主要是将服务器上存储的一段时间的网络数据流进行检测,这种检测方法显然实时性不够强,但是可以进行不同时间长度的检测,使得检测的准确率提高。
具体来说,场景一,在线检测的目的是能够实时的发现系统中的异常流量,及时给出异常的报警。由于在线检测对实时性的要求较高,所以在线检测中不能同时对多种长度和多种粒度的时间序列进行检测。在检测的过程中,首先基于Netflow数据生成当前时刻往前T时间窗口的时间序列,对该序列进行异常检测分析,检测方法如上文所述。场景二,离线检测是对在线检测的补充。由于在线检测有实时性的要求,检测的过程中可能会有漏检的情况。因此,还需要对历史数据进行离线的检测。在离线检测的过程中,可以生成多种长度和多种粒度的时间序列,并且可以采用更多的历史同期的时间序列来计算相异度和训练分类器。
下面给出异常检测的示例,对内网环境中的Netflow数据进行检测。在本发明实施例中,对于网络中的一个关键节点,考虑其作为源IP的访问次数,每条流的持续时间,传输的数据包数量这三个字段,因此每个检测样本包括三条时间序列。对于给定的时刻,按照上文的方法生成时间序列,其中,T=24小时,Δt=1小时,M=10。在所有的10条时间序列中,第8条序列为异常序列,其余为正常序列。在角度异常检测方法中,按照上文角度相异度的计算方法计算时间序列的角度相异度。计算的结果如图2a、图2b、图2c所示。从图2a、图2b、图2c中可以看出,第8组中的三条时间序列的相异度加和要远高于其他的序列,所以第八组时间序列中对应的Netflow有异常情况。在单类SVM方法中,用正常的序列训练分类器,并对异常序列进行检测,其检测结果与实际也是相符合的。
基于相同的技术构思,本发明实施例还提供一种网络流量异常检测装置,该装置可执行上述方法实施例。本发明实施例提供的装置如图3所示,包括:获取单元301、处理单元302、确定单元303、计算单元304、检测单元305,其中:
获取单元301,用于获取网络监测节点在设定时间段内生成的网络数据流;
处理单元302,用于针对所述网络数据流中的任一属性,根据所述任一属性,将所述网络数据流以设定时间间隔进行聚合,生成关于所述任一属性的N个时间序列;
确定单元303,用于根据各个属性分别对应的N个时间序列,确定所述网络数据流对应的N个待检测样本,其中,所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列;
计算单元304,用于针对第一待检测样本中的第一属性对应的第一时间序列,计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度,其中,所述第一待检测样本为N个待检测样本中的任意一个,所述第一属性为所述网络数据流中的属性的任意一个,每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值;
检测单元305,用于根据所述所述第一时间序列对应的N-1个角度相异度,确定出关于所述第一时间序列的第一检测结果,根据每个待检测样本中的每个时间序列的检测结果,确定所述每个待检测样本是否为异常数据流。
进一步地,所述检测单元305具体用于:
判断所述第一时间序列对应的N-1个角度相异度的总和是否大于设定阈值,若大于,则生成所述第一时间序列为异常时间序列的第一检测结果,否则,则生成所述第一时间序列为正常时间序列的第一检测结果;
确定每个待检测样本中的异常时间序列是否大于所述待检测样本中正常时间序列,若大于,则所述待检测样本为异常数据流,否则,则为正常数据流。
进一步地,所述计算单元304具体用于:
按照公式一计算所述第一时间序列与分别其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列中之间的N-1个角度相异度,
所述公式一为:
其中,x为第一时间序列向量,y为第二时间序列向量,θxy为时间序列向量之间的角度,所述sinθxy为角度相异度。
进一步地,还包括:分类单元306,用于将第一待检测样本中的第一属性对应的第一时间序列,利用预设的与所述第一属性对应的单类支持向量机SVM分类器进行分类;
所述检测单元305,还用于根据分类结果确定出关于所述第一时间序列的第二检测结果,其中,若分类结果为同类别,则所述第二检测结果为正常时间序列,若分类结果为不同类别,则所述第二检测结果为异常时间序列;将所述第一检测结果与所述第二检测结果进行加权求和,得到所述第一时间序列的目标检测结果。确定每个待检测样本各个时间序列对应的目标检测结果中异常时间序列是否大于正常时间序列,若大于,则所述待检测样本为异常数据流,否则,则为正常数据流。
进一步地,还包括:生成单类SVM分类器单元307,用于按照如下方式生成所述预设的与所述第一属性对应的单类SVM分类器:
获取所述设定时间段之前的历史网络数据流;
针对所述历史网络数据流中的第一属性,根据所述第一属性,将所述历史网络数据流以设定时间间隔进行聚合,生成关于所述第一属性的N个时间序列,所述第一属性为所述网络数据流中的属性的任意一个;
将第一属性对应的N个时间序列作为训练数据,生成关于所述第一属性的单类SVM分类器。
综上所述,本发明实施例采用的是对多个维度的时间序列进行异常检测,所谓的维度是指网络数据流中的各个属性,例如源IP地址,源端口号,目的IP地址,目的端口号等,利用角度相异度的方法通过分析各段网络数据流中的同一属性的时间序列的相似性,找出其中的异常序列,因为角度相异度是时间序列向量之间的夹角的正弦值,因此即使设备的时钟并没有完全同步,也不会导致检测结果偏差,故本发明实施例提供的网络异常数据流的检测方法得到的检测结果更加准确,这样就可以及时、快速地发现网络异常行为,有效地对网络攻击进行检测。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网络流量异常检测方法,其特征在于,该方法包括:
获取网络监测节点在设定时间段内生成的网络数据流;
针对所述网络数据流中的任一属性,根据所述任一属性,将所述网络数据流以设定时间间隔进行聚合,生成关于所述任一属性的N个时间序列;
根据各个属性分别对应的N个时间序列,确定所述网络数据流对应的N个待检测样本,其中,所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列;
针对第一待检测样本中的第一属性对应的第一时间序列,计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度,其中,所述第一待检测样本为N个待检测样本中的任意一个,所述第一属性为所述网络数据流中的属性的任意一个,每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值;根据所述所述第一时间序列对应的N-1个角度相异度,确定出关于所述第一时间序列的第一检测结果;
根据每个待检测样本中的每个时间序列的检测结果,确定所述每个待检测样本是否为异常数据流。
2.如权利要求1所述的方法,其特征在于,所述根据所述第一时间序列对应的N-1个角度相异度,确定出关于所述第一时间序列的第一检测结果,包括:
判断所述第一时间序列对应的N-1个角度相异度的总和是否大于设定阈值,若大于,则生成所述第一时间序列为异常时间序列的第一检测结果,否则,则生成所述第一时间序列为正常时间序列的第一检测结果;
所述根据所述每个待检测样本中的每个时间序列的检测结果,确定所述待检测样本是否为异常数据流,包括:
确定每个待检测样本中的异常时间序列的数量是否大于所述待检测样本中正常时间序列的数量,若大于,则所述待检测样本为异常数据流,否则,则为正常数据流。
3.如权利要求1所述的方法,其特征在于,所述计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度,包括:
按照公式一计算所述第一时间序列与分别其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列中之间的N-1个角度相异度,
所述公式一为:
其中,x为第一时间序列向量,y为第二时间序列向量,θxy为时间序列向量之间的角度,所述sinθxy为角度相异度。
4.如权利要求1所述的方法,其特征在于,还包括:
将第一待检测样本中的第一属性对应的第一时间序列,利用预设的与所述第一属性对应的单类支持向量机SVM分类器进行分类;
根据分类结果确定出关于所述第一时间序列的第二检测结果,其中,若分类结果为同类别,则所述第二检测结果为正常时间序列,若分类结果为不同类别,则所述第二检测结果为异常时间序列;
将所述第一检测结果与所述第二检测结果进行加权求和,得到所述第一时间序列的目标检测结果;
所述根据所述每个待检测样本中的每个时间序列的检测结果,确定所述待检测样本是否为异常数据流,包括:
确定每个待检测样本各个时间序列对应的目标检测结果中异常时间序列是否大于正常时间序列,若大于,则所述待检测样本为异常数据流,否则,则为正常数据流。
5.如权利要求1所述的方法,其特征在于,所述预设的与所述第一属性对应的单类SVM分类器是按照如下方式生成的:
获取所述设定时间段之前的历史网络数据流;
针对所述历史网络数据流中的第一属性,根据所述第一属性,将所述历史网络数据流以设定时间间隔进行聚合,生成关于所述第一属性的N个时间序列,所述第一属性为所述网络数据流中的属性的任意一个;
将第一属性对应的N个时间序列作为训练数据,生成关于所述第一属性的单类SVM分类器。
6.一种网络流量异常检测装置,其特征在于,该装置包括:
获取单元,用于获取网络监测节点在设定时间段内生成的网络数据流;
处理单元,用于针对所述网络数据流中的任一属性,根据所述任一属性,将所述网络数据流以设定时间间隔进行聚合,生成关于所述任一属性的N个时间序列;
确定单元,用于根据各个属性分别对应的N个时间序列,确定所述网络数据流对应的N个待检测样本,其中,所述每个待检测样本包含各个属性对应同一个聚合时段的时间序列;
计算单元,用于针对第一待检测样本中的第一属性对应的第一时间序列,计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列之间的角度相异度,其中,所述第一待检测样本为N个待检测样本中的任意一个,所述第一属性为所述网络数据流中的属性的任意一个,每个角度相异度为所述第一时间序列向量与所述第二时间序列向量之间夹角的正弦值;
检测单元,用于根据所述所述第一时间序列对应的N-1个角度相异度,确定出关于所述第一时间序列的第一检测结果,根据每个待检测样本中的每个时间序列的检测结果,确定所述每个待检测样本是否为异常数据流。
7.如权利要求6所述的装置,其特征在于,所述检测单元具体用于:
判断所述第一时间序列对应的N-1个角度相异度的总和是否大于设定阈值,若大于,则生成所述第一时间序列为异常时间序列的第一检测结果,否则,则生成所述第一时间序列为正常时间序列的第一检测结果;
确定每个待检测样本中的异常时间序列的数量是否大于所述待检测样本中正常时间序列的数量,若大于,则所述待检测样本为异常数据流,否则,则为正常数据流。
8.如权利要求6所述的装置,其特征在于,所述计算单元具体用于:
按照公式一计算所述第一时间序列分别与其余N-1个待检测样本中的所述第一属性对应的N-1个第二时间序列中之间的N-1个角度相异度,
所述公式一为:
其中,x为第一时间序列向量,y为第二时间序列向量,θxy为时间序列向量之间的角度,所述sinθxy为角度相异度。
9.如权利要求6所述的装置,其特征在于,还包括:
分类单元,用于将第一待检测样本中的第一属性对应的第一时间序列,利用预设的与所述第一属性对应的单类支持向量机SVM分类器进行分类;
所述检测单元,还用于根据分类结果确定出关于所述第一时间序列的第二检测结果,其中,若分类结果为同类别,则所述第二检测结果为正常时间序列,若分类结果为不同类别,则所述第二检测结果为异常时间序列;将所述第一检测结果与所述第二检测结果进行加权求和,得到所述第一时间序列的目标检测结果;确定每个待检测样本各个时间序列对应的目标检测结果中异常时间序列是否大于正常时间序列,若大于,则所述待检测样本为异常数据流,否则,则为正常数据流。
10.如权利要求6所述的装置,其特征在于,还包括:
生成单类SVM分类器单元,用于按照如下方式生成所述预设的与所述第一属性对应的单类SVM分类器:
获取所述设定时间段之前的历史网络数据流;
针对所述历史网络数据流中的第一属性,根据所述第一属性,将所述历史网络数据流以设定时间间隔进行聚合,生成关于所述第一属性的N个时间序列,所述第一属性为所述网络数据流中的属性的任意一个;
将第一属性对应的N个时间序列作为训练数据,生成关于所述第一属性的单类SVM分类器。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611246751.7A CN106506556B (zh) | 2016-12-29 | 2016-12-29 | 一种网络流量异常检测方法及装置 |
JP2019552323A JP6850902B2 (ja) | 2016-12-29 | 2017-11-27 | ネットワークにおけるトラフィックの異常を検出するための方法および装置 |
US16/474,998 US11451566B2 (en) | 2016-12-29 | 2017-11-27 | Network traffic anomaly detection method and apparatus |
PCT/CN2017/113217 WO2018121157A1 (zh) | 2016-12-29 | 2017-11-27 | 一种网络流量异常检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611246751.7A CN106506556B (zh) | 2016-12-29 | 2016-12-29 | 一种网络流量异常检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106506556A true CN106506556A (zh) | 2017-03-15 |
CN106506556B CN106506556B (zh) | 2019-11-19 |
Family
ID=58334725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611246751.7A Active CN106506556B (zh) | 2016-12-29 | 2016-12-29 | 一种网络流量异常检测方法及装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11451566B2 (zh) |
JP (1) | JP6850902B2 (zh) |
CN (1) | CN106506556B (zh) |
WO (1) | WO2018121157A1 (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107204991A (zh) * | 2017-07-06 | 2017-09-26 | 深信服科技股份有限公司 | 一种服务器异常检测方法及系统 |
CN107547543A (zh) * | 2017-05-26 | 2018-01-05 | 四川紫皓云端科技有限责任公司 | 一种网络异常行为的识别方法及装置 |
CN107682319A (zh) * | 2017-09-13 | 2018-02-09 | 桂林电子科技大学 | 一种基于增强型角度异常因子的数据流异常检测及多重验证的方法 |
WO2018121157A1 (zh) * | 2016-12-29 | 2018-07-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量异常检测方法及装置 |
CN108566340A (zh) * | 2018-02-05 | 2018-09-21 | 中国科学院信息工程研究所 | 基于动态时间规整算法的网络流量精细化分类方法和装置 |
CN108874813A (zh) * | 2017-05-10 | 2018-11-23 | 腾讯科技(北京)有限公司 | 一种信息处理方法、装置及存储介质 |
CN109462521A (zh) * | 2018-11-26 | 2019-03-12 | 华北电力大学 | 一种适用于源网荷互动工控系统的网络流量异常检测方法 |
CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
CN110943974A (zh) * | 2019-11-06 | 2020-03-31 | 国网上海市电力公司 | 一种DDoS异常检测方法及云平台主机 |
CN112165471A (zh) * | 2020-09-22 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 一种工控系统流量异常检测方法、装置、设备及介质 |
CN112468452A (zh) * | 2020-11-10 | 2021-03-09 | 深圳市欢太科技有限公司 | 流量检测方法及装置、电子设备、计算机可读存储介质 |
WO2021051530A1 (zh) * | 2019-09-19 | 2021-03-25 | 平安科技(深圳)有限公司 | 检测异常邮件的方法、装置、设备和存储介质 |
CN112597539A (zh) * | 2020-12-28 | 2021-04-02 | 上海观安信息技术股份有限公司 | 一种基于无监督学习的时间序列异常检测方法及系统 |
CN112686330A (zh) * | 2021-01-07 | 2021-04-20 | 中国农业银行股份有限公司 | Kpi异常数据检测方法及装置、存储介质及电子设备 |
CN113132301A (zh) * | 2019-12-30 | 2021-07-16 | 腾讯科技(深圳)有限公司 | 异常数据汇集的检测方法、装置和计算机存储介质 |
WO2021243663A1 (zh) * | 2020-06-04 | 2021-12-09 | 深圳市欢太科技有限公司 | 一种会话检测方法、装置、检测设备及计算机存储介质 |
CN115277464A (zh) * | 2022-05-13 | 2022-11-01 | 清华大学 | 基于多维时间序列分析的云网络变更流量异常检测方法 |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10999304B2 (en) * | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
CN109634767A (zh) * | 2018-12-06 | 2019-04-16 | 北京字节跳动网络技术有限公司 | 用于检测信息的方法和装置 |
US11093310B2 (en) * | 2018-12-31 | 2021-08-17 | Paypal, Inc. | Flow based pattern intelligent monitoring system |
US11184377B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
US11184376B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
US11316872B2 (en) | 2019-01-30 | 2022-04-26 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using port profiles |
US11070569B2 (en) | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
CN110753053B (zh) * | 2019-10-22 | 2021-07-20 | 北京鼎兴达信息科技股份有限公司 | 一种基于大数据分析的流量异常预判方法 |
CN111476610B (zh) * | 2020-04-16 | 2023-06-09 | 腾讯科技(深圳)有限公司 | 一种信息检测方法、装置及计算机可读存储介质 |
US11509680B2 (en) | 2020-09-30 | 2022-11-22 | Palo Alto Networks (Israel Analytics) Ltd. | Classification of cyber-alerts into security incidents |
CN112529678B (zh) * | 2020-12-23 | 2023-06-23 | 华南理工大学 | 一种基于自监督判别式网络的金融指数时序异常检测方法 |
CN112765324B (zh) * | 2021-01-25 | 2022-12-23 | 四川虹微技术有限公司 | 一种概念漂移检测方法及装置 |
US20220345389A1 (en) * | 2021-04-23 | 2022-10-27 | Clockwork Systems, Inc. | Clock-synchronized edge-based network functions |
CN113127716B (zh) * | 2021-04-29 | 2023-07-28 | 南京大学 | 一种基于显著性图的情感时间序列异常检测方法 |
CN113343587A (zh) * | 2021-07-01 | 2021-09-03 | 国网湖南省电力有限公司 | 用于电力工控网络的流量异常检测方法 |
CN113422785B (zh) * | 2021-08-20 | 2021-11-09 | 北京生泰尔科技股份有限公司 | 基于网络流量的恶意攻击检测方法、系统和可读存储介质 |
CN114205855A (zh) * | 2021-10-25 | 2022-03-18 | 国网天津市电力公司电力科学研究院 | 一种面向5g切片的馈线自动化业务网络异常检测方法 |
CN114257553A (zh) * | 2021-12-21 | 2022-03-29 | 科大讯飞股份有限公司 | 流量检测方法、装置、电子设备和存储介质 |
US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
CN114629695A (zh) * | 2022-02-28 | 2022-06-14 | 天翼安全科技有限公司 | 一种网络异常检测方法、装置、设备和介质 |
CN114726749B (zh) * | 2022-03-02 | 2023-10-31 | 阿里巴巴(中国)有限公司 | 数据异常检测模型获取方法、装置、设备及介质 |
CN114978956B (zh) * | 2022-04-11 | 2024-04-09 | 北京邮电大学 | 智慧城市网络设备性能异常突变点检测方法及装置 |
CN114816825B (zh) * | 2022-06-23 | 2022-09-09 | 光谷技术有限公司 | 一种物联网网关数据纠错方法 |
CN115118511A (zh) * | 2022-06-29 | 2022-09-27 | 北京奇艺世纪科技有限公司 | 异常流量识别方法、装置、电子设备及存储介质 |
CN115174254B (zh) * | 2022-07-22 | 2023-10-31 | 科来网络技术股份有限公司 | 流量异常告警方法、装置、电子设备及存储介质 |
CN115146174B (zh) * | 2022-07-26 | 2023-06-09 | 北京永信至诚科技股份有限公司 | 基于多维权重模型的重点线索推荐方法及系统 |
CN115567322B (zh) * | 2022-11-15 | 2023-03-10 | 成都数默科技有限公司 | 一种基于tcp服务开放端口识别异常通信的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050193429A1 (en) * | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
CN101848160A (zh) * | 2010-05-26 | 2010-09-29 | 钱叶魁 | 在线检测和分类全网络流量异常的方法 |
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN103488878A (zh) * | 2013-09-09 | 2014-01-01 | 重庆大学 | 基于向量相似性的交通流时间序列变点识别方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030097439A1 (en) * | 2000-10-23 | 2003-05-22 | Strayer William Timothy | Systems and methods for identifying anomalies in network data streams |
US20030236995A1 (en) * | 2002-06-21 | 2003-12-25 | Fretwell Lyman Jefferson | Method and apparatus for facilitating detection of network intrusion |
US8065722B2 (en) * | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
US9094444B2 (en) * | 2008-12-31 | 2015-07-28 | Telecom Italia S.P.A. | Anomaly detection for packet-based networks |
WO2012154657A2 (en) * | 2011-05-06 | 2012-11-15 | The Penn State Research Foundation | Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows |
CN104394021B (zh) * | 2014-12-09 | 2017-08-25 | 中南大学 | 基于可视化聚类的网络流量异常分析方法 |
US10142353B2 (en) * | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
US9985982B1 (en) * | 2015-12-21 | 2018-05-29 | Cisco Technology, Inc. | Method and apparatus for aggregating indicators of compromise for use in network security |
JP6535809B2 (ja) * | 2016-03-24 | 2019-06-26 | 株式会社日立製作所 | 異常検出装置、異常検出システム、及び、異常検出方法 |
CN106506556B (zh) * | 2016-12-29 | 2019-11-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量异常检测方法及装置 |
-
2016
- 2016-12-29 CN CN201611246751.7A patent/CN106506556B/zh active Active
-
2017
- 2017-11-27 US US16/474,998 patent/US11451566B2/en active Active
- 2017-11-27 JP JP2019552323A patent/JP6850902B2/ja active Active
- 2017-11-27 WO PCT/CN2017/113217 patent/WO2018121157A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050193429A1 (en) * | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
CN101848160A (zh) * | 2010-05-26 | 2010-09-29 | 钱叶魁 | 在线检测和分类全网络流量异常的方法 |
CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
CN103488878A (zh) * | 2013-09-09 | 2014-01-01 | 重庆大学 | 基于向量相似性的交通流时间序列变点识别方法 |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018121157A1 (zh) * | 2016-12-29 | 2018-07-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量异常检测方法及装置 |
US11451566B2 (en) | 2016-12-29 | 2022-09-20 | NSFOCUS Information Technology Co., Ltd. | Network traffic anomaly detection method and apparatus |
CN108874813B (zh) * | 2017-05-10 | 2022-07-29 | 腾讯科技(北京)有限公司 | 一种信息处理方法、装置及存储介质 |
CN108874813A (zh) * | 2017-05-10 | 2018-11-23 | 腾讯科技(北京)有限公司 | 一种信息处理方法、装置及存储介质 |
CN107547543A (zh) * | 2017-05-26 | 2018-01-05 | 四川紫皓云端科技有限责任公司 | 一种网络异常行为的识别方法及装置 |
CN107204991A (zh) * | 2017-07-06 | 2017-09-26 | 深信服科技股份有限公司 | 一种服务器异常检测方法及系统 |
CN107682319A (zh) * | 2017-09-13 | 2018-02-09 | 桂林电子科技大学 | 一种基于增强型角度异常因子的数据流异常检测及多重验证的方法 |
CN107682319B (zh) * | 2017-09-13 | 2020-07-03 | 桂林电子科技大学 | 一种基于增强型角度异常因子的数据流异常检测及多重验证的方法 |
CN108566340A (zh) * | 2018-02-05 | 2018-09-21 | 中国科学院信息工程研究所 | 基于动态时间规整算法的网络流量精细化分类方法和装置 |
CN109462521A (zh) * | 2018-11-26 | 2019-03-12 | 华北电力大学 | 一种适用于源网荷互动工控系统的网络流量异常检测方法 |
CN109617885A (zh) * | 2018-12-20 | 2019-04-12 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
CN109617885B (zh) * | 2018-12-20 | 2021-04-16 | 北京神州绿盟信息安全科技股份有限公司 | 攻陷主机自动判定方法、装置、电子设备及存储介质 |
WO2021051530A1 (zh) * | 2019-09-19 | 2021-03-25 | 平安科技(深圳)有限公司 | 检测异常邮件的方法、装置、设备和存储介质 |
CN110943974A (zh) * | 2019-11-06 | 2020-03-31 | 国网上海市电力公司 | 一种DDoS异常检测方法及云平台主机 |
CN113132301B (zh) * | 2019-12-30 | 2022-07-08 | 腾讯科技(深圳)有限公司 | 异常数据汇集的检测方法、装置和计算机存储介质 |
CN113132301A (zh) * | 2019-12-30 | 2021-07-16 | 腾讯科技(深圳)有限公司 | 异常数据汇集的检测方法、装置和计算机存储介质 |
WO2021243663A1 (zh) * | 2020-06-04 | 2021-12-09 | 深圳市欢太科技有限公司 | 一种会话检测方法、装置、检测设备及计算机存储介质 |
CN112165471A (zh) * | 2020-09-22 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | 一种工控系统流量异常检测方法、装置、设备及介质 |
CN112468452A (zh) * | 2020-11-10 | 2021-03-09 | 深圳市欢太科技有限公司 | 流量检测方法及装置、电子设备、计算机可读存储介质 |
CN112597539A (zh) * | 2020-12-28 | 2021-04-02 | 上海观安信息技术股份有限公司 | 一种基于无监督学习的时间序列异常检测方法及系统 |
CN112686330A (zh) * | 2021-01-07 | 2021-04-20 | 中国农业银行股份有限公司 | Kpi异常数据检测方法及装置、存储介质及电子设备 |
CN115277464A (zh) * | 2022-05-13 | 2022-11-01 | 清华大学 | 基于多维时间序列分析的云网络变更流量异常检测方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2020501476A (ja) | 2020-01-16 |
CN106506556B (zh) | 2019-11-19 |
JP6850902B2 (ja) | 2021-03-31 |
US11451566B2 (en) | 2022-09-20 |
US20200007566A1 (en) | 2020-01-02 |
WO2018121157A1 (zh) | 2018-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106506556A (zh) | 一种网络流量异常检测方法及装置 | |
Pan et al. | Developing a hybrid intrusion detection system using data mining for power systems | |
EP3462267A1 (en) | Anomaly diagnosis method and anomaly diagnosis apparatus | |
US10261502B2 (en) | Modbus TCP communication behaviour anomaly detection method based on OCSVM dual-outline model | |
CN104303153B (zh) | 用于异常子图检测、异常/更改检测和网络态势感知的路径扫描 | |
CN104901971B (zh) | 对网络行为进行安全分析的方法和装置 | |
CN105049291B (zh) | 一种检测网络流量异常的方法 | |
CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
Jiang et al. | Defense mechanisms against data injection attacks in smart grid networks | |
CN107247653A (zh) | 一种数据中心监控系统的故障分类方法和装置 | |
CN112788066A (zh) | 物联网设备的异常流量检测方法、系统及存储介质 | |
Anwar et al. | A data-driven approach to distinguish cyber-attacks from physical faults in a smart grid | |
CN113645232A (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
CN104601553A (zh) | 一种结合异常监测的物联网篡改入侵检测方法 | |
CN109889512A (zh) | 一种充电桩can报文的异常检测方法及装置 | |
CN109327442A (zh) | 基于行为白名单的异常检测方法、装置以及电子设备 | |
Li et al. | Theoretical basis for intrusion detection | |
Yu et al. | Anomaly intrusion detection based upon data mining techniques and fuzzy logic | |
CN104298586A (zh) | 一种基于系统日志的Web系统异常分析方法和装置 | |
Shitharth et al. | A new probabilistic relevancy classification (PRC) based intrusion detection system (IDS) for SCADA network | |
Sharma et al. | WLI-FCM and artificial neural network based cloud intrusion detection system | |
US10681059B2 (en) | Relating to the monitoring of network security | |
CN104486353B (zh) | 一种基于流量的安全事件检测方法及装置 | |
CN108881277B (zh) | 监测无线传感器网络节点入侵的方法、装置及设备 | |
CN106453404A (zh) | 一种网络入侵检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |