CN107154947B - 基于有效频繁流特征的网络流量异常检测和分类方法 - Google Patents
基于有效频繁流特征的网络流量异常检测和分类方法 Download PDFInfo
- Publication number
- CN107154947B CN107154947B CN201710457915.9A CN201710457915A CN107154947B CN 107154947 B CN107154947 B CN 107154947B CN 201710457915 A CN201710457915 A CN 201710457915A CN 107154947 B CN107154947 B CN 107154947B
- Authority
- CN
- China
- Prior art keywords
- eff
- pair
- value
- instance
- time slice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于有效频繁流特征的网络流量异常检测和分类方法,预先设定EFF模式和筛选阈值并得到正式EFF实例对;利用前一个或者几个时间片内正常的正式EFF实例对的值计算下一时间片此EFF实例对对应的预测值,进而得到当前时间片内所有EFF实例对在下一时间片的预测值;根据预测值计算出EFF实例对对应的检测阈值;将EFF实例对的实际值与检测阈值进行比较并分类;本发明的方法可以对网络流量异常进行快速、有效的检测和分类。
Description
技术领域
本发明涉及一种基于有效频繁流特征的网络流量异常检测和分类方法。
背景技术
目前,网络流量数据规模的不断增加,对网络流量异常检测的检测效率和运行效率提出了更高的要求。基于时间片进行网络流量异常检测是目前通用的检测方法,此类方法通常采用将每个时间片内的网络流量变换成固定个数的度量值,进一步根据这些度量值进行网络流量异常检测和初步分类。但这种方法由于度量值较少,加上度量值本身对网络流量异常的敏感性不同,造成其对网络流量异常检测和分类比较粗糙、检测和分类的误差大、效率不高。利用频繁项挖掘进行网络流量异常检测是另一种有效的方法,其也可用于基于时间片的网络流量异常检测中,但此方法通常需要经过多轮计算而使计算开销较大,进而会影响检测系统的运行效率。
发明内容
针对上述问题,本发明提供一种对网络流量异常进行快速、有效的检测和分类的基于有效频繁流特征的网络流量异常检测和分类方法CEFF。
CEFF方法是一种基于有效频繁流特征(Efficient Frequent flow Feature,EFF)实例的变化进行检测的方法。
为达到上述目的,本发明一种基于有效频繁流特征的网络流量异常检测和分类方法,所述的方法至少包括以下步骤:
1)预先设定EFF模式和筛选阈值;
2)选取流数据并提取每条流对应组成EFF的实际流特征内容,根据流特征确定这条流所属的时间片;
3)根据提取的流特征内容对所有预先设定的EFF进行实例化,生成初始EFF实例,并将生成的初始EFF实例和其对应的流数或者流量组成初始EFF实例对;
4)对每个时间片内的相同的初始EFF实例对进行累加,得出每个时间片对应的备选EFF实例对;
5)将备选EFF实例对的值与所述筛选阈值进行比较得到正式EFF实例对;
6)利用前一个或者几个时间片内正常的正式EFF实例对的值计算下一时间片此EFF实例对对应的预测值,进而得到当前时间片内所有EFF实例对在下一时间片的预测值;
7)根据预测值计算出EFF实例对对应的检测阈值;
8)将EFF实例对的实际值与检测阈值进行比较并分类。
较佳的,所述步骤1)中EFF模式至少包括括源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF模式;
所述步骤4)中的备选实施例为<VEFF,Value>,其中VEFF为一个EFF实例的实例值,Value的值为EFF实例对的累加值,Value采用EFF实例对应的总的流数、数据包数、字节数等流数或者流量信息表示;
所述EFF实例对的累加规则:<VEFF,V1>+<VEFF,V2>=<VEFF,V1+V2>;
所述步骤5)的具体步骤为:将备选EFF实例对中Value的值与筛选阈值进行比较;
若Value的值大于筛选阈值,则备选EFF实例对<VEFF,Value>为一个正式的EFF实例对;
若Value的值小于筛选阈值,则备选EFF实例对<VEFF,Value>被过滤掉,不能成为一个正式的EFF实例对。
较佳的,所述步骤8)的具体步骤为:
将EFF实例对的实际值与检测阈值进行比较大小;
若EFF实例对的实际值大于对应的检测阈值,则EFF实例对判定为异常EFF实例对,则具有异常EFF实例对的时间片为异常时间片,与异常EFF实例对相关的流量为异常流量,一个时间片内有多个不同类型的异常EFF实例对,则EFF实例对的异常类型为混合异常,EFF实例对的异常类型为EFF对应的异常类型;
若EFF实例对的实际值小于或者等于检测阈值,则EFF实例对判定为正常EFF实例对。
较佳的,所述步骤1)的具体步骤为:
预先选用源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF,并设定时间间隔和筛选阈值。
较佳的,所述步骤2)的具体步骤为:
选取流数据,提取每条流对应组成EFF的实际流特征对应的开始时间、结束时间、源IP、目的IP、源端口、目的端口以及流数组成对应的EFF流特征内容VbeginTime、VendTime、VSIP、VDIP、VSPT、VDPT和VFN,并根据流结束时间划分每条流所属的时间片timeBin,timeBin=VbeginTime~VendTime/I,其中I为时间间隔。
较佳的,所述步骤3)中的初始EFF实例包括timeBin/I&VSIP&VDIP&VDPT、timeBin/I&VSIP&VDIP以及timeBin/I&VSIP&VDPT,所述的初始EFF实例对包括<timeBin/I&VSIP&VDIP&VDPT,VFN>、<timeBin/I&VSIP&VDIP,VFN>、<timeBin/I&VSIP&VDPT,VFN>。
较佳的,所述步骤6)的具体步骤为:
设定固定的检测系数;
对具有相同EFF实例值的前面i个时间片的EFF实例对EFFIPn-i+1、……、EFFIPn利用预测算法求得此EFF实例对在下一时间片的预测值Vi,其中i≥1;
若时间片内无此EFF实例对,即EFF实例对的值小于筛选阈值,则计算预测值时使用此EFF实例和筛选阈值组成的EFF实例对代替;
若时间片内EFF实例对异常,则可以用其预测值或前一个时间片内的EFF实例对值代替;
将得到的每个EFF实例对应的预测值乘以设定的检测系数得到每个EFF实例对对应的检测阈值;
本发明利用EFF实例对的突变来判断EFF实例对的异常,然后根据异常EFF实例对的类型来判断网络流量异常类型,实现了对网络流量异常进行快速、有效的检测和分类。
附图说明
图1是本发明一个时间片内基于流数的EFF实例对的生成过程。
具体实施方式
下面结合说明书附图对本发明做进一步的描述。
实施例1
如图1所示,一种基于有效频繁流特征的网络流量异常检测和分类方法,所述的方法至少包括以下步骤:
预先设定EFF模式和筛选阈值;
所述EFF模式至少包括括源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF模式;
选取流数据,提取每条流对应组成EFF的实际流特征内容,并根据流特征确定这条流所属的时间片;
根据提取的流特征内容对所有预先设定的EFF进行实例化,生成初始EFF实例,并将生成的初始EFF实例和其对应的流数或者流量组成初始EFF实例对;;
根据EFF实例对的累加规则:<VEFF,V1>+<VEFF,V2>=<VEFF,V1+V2>,对每个时间片内的所有符合累加规则的初始EFF实例对进行累加,得出每个时间片对应的备选EFF实例对集;
将所有初始EFF实例对的值和筛选阈值进行比较;
若初始EFF实例对的值大于筛选阈值,则此EFF实例对被保留并成为正式的EFF实例对,若初始EFF实例对的值小于筛选阈值,则此EFF实例对不保留;
将每个时间片内所有的正式EFF实例对组成这个时间片的正式实例对集;
利用前时间片内正式EFF实例对的值求出下时间片该EFF实例对对应的预测值,根据预测值确定EFF实例对对应的检测阈值;
将实际EFF实例对的值与EFF实例对对应的检测阈值进行比较大小;
若实际EFF实例对的值大于EFF实例对对应的检测阈值,则EFF实例对判定为异常EFF实例对,则具有异常EFF实例对的时间片为异常时间片,与异常EFF实例对相关的流量为异常流量,一个时间片内有多个不同类型的异常EFF实例对,则EFF实例对的异常类型为混合异常,EFF实例对的异常类型为EFF对应的异常类型;
若实际EFF实例对的值小于或者等于EFF实例对对应的检测阈值,则EFF实例对判定为正常EFF实例对。
实施例2
基于实施例1,本实施例设定EFF模式,所述EFF模式至少包括括源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF模式;
预先选用源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF,并设定时间间隔I和筛选阈值;
选取流数据,提取每条流对应组成EFF的实际流特征对应的开始时间、结束时间、源IP、目的IP、源端口、目的端口以及流数组成对应的EFF流特征内容VbeginTime、VendTime、VSIP、VDIP、VSPT、VDPT和VFN,并根据流结束时间划分每条流所属的时间片timeBin,timeBin=VbeginTime~VendTime/I。
所述的生成初始EFF实例包括timeBin/I&VSIP&VDIP&VDPT、timeBin/I&VSIP&VDIP以及timeBin/I&VSIP&VDPT,所述的初始EFF实例对包括<timeBin/I&VSIP&VDIP&VDPT,VFN>、<timeBin/I&VSIP&VDIP,VFN>、<timeBin/I&VSIP&VDPT,VFN>;
设定固定的检测系数;
对具有相同EFF实例值的前面i个时间片的EFF实例对EFFIPn-i+1、……、EFFIPn利用预测算法求得此EFF实例对在下一时间片的预测值Vi,其中i≥1;
若时间片内无此EFF实例对,即EFF实例对的值小于筛选阈值,则计算预测值时使用此EFF实例和筛选阈值组成的EFF实例对代替;
若时间片内EFF实例对异常,则可以用其预测值或前一个时间片内的EFF实例对值代替;
将得到的每个EFF实例对应的预测值乘以设定的检测系数得到每个EFF实例对对应的检测阈值。
将实际EFF实例对的值与EFF实例对对应的检测阈值进行比较大小;
若实际EFF实例对的值大于EFF实例对对应的检测阈值,则EFF实例对判定为异常EFF实例对,则具有异常EFF实例对的时间片为异常时间片,与异常EFF实例对相关的流量为异常流量,一个时间片内有多个不同类型的异常EFF实例对,则EFF实例对的异常类型为混合异常,EFF实例对的异常类型为EFF对应的异常类型;
若实际EFF实例对的值小于或者等于EFF实例对对应的检测阈值,则EFF实例对判定为正常EFF实例对。
实施例3
EFF是一个与流量异常有着对应关系的流特征组合,不同的EFF可以组成EFF集。
流量异常 | 源IP | 源端口 | 目的IP | 目的端口 | EFF |
DoS | ● | ● | ● | 源IP&目的IP&目的端口 | |
DDoS | ● | ● | 目的IP&目的端口 | ||
端口扫描 | ● | ● | 源IP&目的端口 |
表1
如表1所示,DoS攻击在流级的表现形式为具有相同源IP地址、目的IP地址、目的端口的流大量增加,即“源IP&目的IP&目的端口”的流特征组合与DoS存在对应关系,所以,与DoS对应的EFF为“源IP&目的IP&目的端口”的流特征组合。
如图1所示,每条流可以根据不同的EFF生成对应的EFF实例(EFFI),然后每个EFF实例和其对应的流数或者流量组成初始的EFF实例对(EFFIP),然后对每个时间片内相同的EFF实例进行累加可以得到备选EFF实例对。EFF备选实例对可以表示成<VEFF,Value>的形式,其中,VEFF为一个EFF实例值,是EFF的实际值;Value为EFF实例对的累加值,采用这个EFF实例对应的总的流数或者流量表示,但不局限与流数和流量;若此Value的值大于事先设置的筛选阈值,则<VEFF,Value>将成为一个正式的EFF实例对;
若Value的值小于筛选阈值,则备选EFF实例对<VEFF,Value>被过滤掉,不能成为一个正式的EFF实例对。
针对每一个正式的EFF实例对,利用前一个时间片或者前几个时间片内正常EFF实例对的值,求出下一个时间片此EFF实例对对应的预测值,然后根据此预测值确定检测阈值,如果EFF实例对的值大于其对应的检测阈值,则此EFF实例对被判定为异常,此EFF实例对的异常类型为其EFF对应的异常类型。
实施例4
流量异常 | 源IP | 源端口 | 目的IP | 目的端口 | EFF |
DoS | ● | ● | ● | 源IP&目的IP&目的端口 | |
DDoS | ● | ● | 目的IP&目的端口 | ||
端口扫描 | ● | ● | 源IP&目的端口 |
表1
如表2所示,本实施例为了检测表1所示的异常,采用表1中的EFF进行网络流量异常检测和分类,包括:
设定EFF模式和检测参数:预先选用“源IP&目的IP&目的端口”、“目的IP&目的端口”、“源IP&目的端口”多种基于流数的EFF,并设定时间间隔I、筛选阈值T和检测系数C;
提取流特征:选取流数据,提取时间片内每条流对应的开始时间beginTime、结束时间endTime、源IPSIP、目的IPDIP、源端口SPT、目的端口DPT、流数FN组成EFF的流特征内容VendTime、VSIP、VDIP、VSPT、VDPT、VFN,并根据流结束时间划分每条流所属的时间片(timeBin:timeBin=VbeginTime~VendTime/I);
生成初始EFF实例对:针对每条流,根据预先确定的EFF生成EFF实例:“timeBin/I&VSIP&VDIP&VDPT”、“timeBin/I&VSIP&VDIP”、“timeBin/I&VSIP&VDPT”,进一步组成初始EFF实例对:<timeBin/I&VSIP&VDIP&VDPT,VFN>、<timeBin/I&VSIP&VDIP,VFN>、<timeBin/I&VSIP&VDPT,VFN>;
生成备选EFF实例对集:根据EFF实例对的累加规则:对具有相同EFF实例的EFF实例对进行相加,求得每个时间片对应的备选EFF实例对集;
每一个备选EFF实例对就只有一个EFF实例和EFF实例对应的流数和/或流量;但是一个时间片内有很多备选EFF实例对,只有满足筛选条件的才能称为最终的EFF实例对。
获取正式EFF实例对集:将所有EFF实例对的累加值和筛选阈值T进行比较,若EFF实例对的值大于T,则此EFF实例对被保留并成为正式的EFF实例对,然后每个时间片内所有的正式EFF实例对组成这个时间片的正式实例对集;
根据预测算法求每个EFF实例对EFFIPn在下一个时间片的预测值:对具有相同EFF实例值的前面i个时间片的EFF实例对EFFIPn-i+1、……、EFFIPn,利用任意一预测算法,所述预测算法包括平均值算法和加权平均算法;平均值算法公式为:加权平均算法公式为:其中,a1、a2……an均大于0,且a1+a2+......+an=1;求得此EFF实例对在下一时间片的预测值Vi,若某个时间片内无此EFF实例对,即EFF实例对的值小于筛选阈值,则计算预测值时使用此EFF实例和筛选阈值组成的EFF实例对代替,若某个时间片内EFF实例对异常,则可以用其预测值或前一个时间片内的EFF实例对值代替;i≥1;
EFF实例对异常判断:将上面求得的每个EFF实例对应的预测值乘以一个固定的检测系数C来得到每个正式EFF实例对对应的检测阈值,若EFF实例对的实际值大于检测阈值,则判定此EFF实例对为异常EFF实例对;
流量异常判断:具有异常EFF实例对的时间片为异常时间片,与异常EFF实例对相关的流量为异常流量,异常类型为EFF对应的异常类型,若一个时间片内有多个不同类型的异常EFF实例对,则其异常类型为混合异常。
实施例5
基于上述实施例,本实施例提供一种带有具体数值的正式EFF实例对生成过程,具体过程如下:
针对同一时间片内每一条具体的网络流,提取所需流特征;
如图1所示,首先根据EFF“源IP&目的IP”生成初始EFF实例:“1.1.1.2&2.1.1.12”、“1.1.1.2&2.1.1.22”、“1.1.1.2&2.1.1.23”……;
进一步和其对应流数组合成初始EFF实例对集:<1.1.1.2&2.1.1.12,1>、<1.1.1.2&2.1.1.22,1>、<1.1.1.2&2.1.1.23,1>……;
对具有相同初始EFF实例的EFF实例对进行累加得到合并后的备选EFF实例对集:“<1.1.1.2&2.1.1.12,10>”、“<1.1.1.2&2.1.1.22,100>”、“<1.1.1.2&2.1.1.23,10000>”……;EFF实例对合并规则为:<VEFF,V1>+<VEFF,V2>=<VEFF,V1+V2>;
将筛选阈值设定为500并根据筛选阈值对备选EFF实例对集进行过滤,备选EFF实施例对集<1.1.1.2&2.1.1.12,10>、<1.1.1.2&2.1.1.22,100>对应的值分别为10和100,小于筛选阈值500,被过滤掉,不进入正式的EFF实例对集;备选EFF实施例对集<1.1.1.2&2.1.1.23,10000>对应的值为1000,大于筛选阈值500,成为正式EFF实例对。
本实施例1-5中所述EFF的模式还包括如下表2中所示的常用的基于流数的EFF模式和表3中所示的常用的基于流量的EFF模式:
表2
流量异常 | 源IP | 源端口 | 目的IP | 目的端口 | EFF |
流量burst | ● | ● | 源IP&目的IP | ||
流量burst | ● | 源IP | |||
流量burst | ● | 目的IP |
表3
实施例1-5中预先选用“源IP&目的IP&目的端口”、“目的IP&目的端口”、“源IP&目的端口”多种基于流数的EFF仅为其中的某几种形式。
以上,仅为本发明的较佳实施例,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求所界定的保护范围为准。
Claims (4)
1.一种基于有效频繁流特征的网络流量异常检测和分类方法,其特征在于,所述的方法至少包括以下步骤:
1)预先设定EFF模式和筛选阈值;
2)选取流数据并提取每条流对应组成EFF的实际流特征内容,根据流特征确定这条流所属的时间片;
3)根据提取的流特征内容对所有预先设定的EFF进行实例化,生成初始EFF实例,并将生成的初始EFF实例和其对应的流数或者流量组成初始EFF实例对;
4)对每个时间片内的相同的初始EFF实例对进行累加,得出每个时间片对应的备选EFF实例对;
5)将备选EFF实例对的值与所述筛选阈值进行比较得到正式EFF实例对;
6)利用前一个或者几个时间片内正常的正式EFF实例对的值计算下一时间片此EFF实例对对应的预测值,进而得到当前时间片内所有EFF实例对在下一时间片的预测值;
7)根据预测值计算出EFF实例对对应的检测阈值;
8)将EFF实例对的实际值与检测阈值进行比较并分类;
所述步骤1)中EFF模式至少包括括源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF模式;
所述步骤4)中的备选EFF实例对为<VEFF,Value>,其中VEFF为一个EFF实例的实例值,Value的值为EFF实例对的累加值,Value采用EFF实例对应的总的流数、数据包数、字节数或者流量信息表示;
所述EFF实例对的累加规则:<VEFF,V1>+<VEFF,V2>=<VEFF,V1+V2>
所述步骤5)的具体步骤为:将备选EFF实例对中Value的值与筛选阈值进行比较;
若Value的值大于筛选阈值,则备选EFF实例对<VEFF,Value>为一个正式的EFF实例对;
若Value的值小于筛选阈值,则备选EFF实例对<VEFF,Value>被过滤掉,不能成为一个正式的EFF实例对;
所述步骤1)的具体步骤为:
预先选用源IP&目的IP&目的端口、目的IP&目的端口以及源IP&目的端口基于流数的EFF,并设定时间间隔和筛选阈值;
所述步骤2)的具体步骤为:
选取流数据,提取每条流对应组成EFF的实际流特征对应的开始时间、结束时间、源IP、目的IP、源端口、目的端口以及流数组成对应的EFF流特征内容VbeginTime、VendTime、VSIP、VDIP、VSPT、VDPT和VFN,并根据流结束时间划分每条流所属的时间片timeBin,timeBin=VbeginTime/I~VendTime/I,其中I为时间间隔。
2.如权利要求1所述的方法,其特征在于:所述步骤8)的具体步骤为:
将EFF实例对的实际值与检测阈值进行比较大小;
若EFF实例对的实际值大于对应的检测阈值,则EFF实例对判定为异常EFF实例对,则具有异常EFF实例对的时间片为异常时间片,与异常EFF实例对相关的流量为异常流量,一个时间片内有多个不同类型的异常EFF实例对,则EFF实例对的异常类型为混合异常,EFF实例对的异常类型为EFF对应的异常类型;
若EFF实例对的实际值小于或者等于检测阈值,则EFF实例对判定为正常EFF实例对。
3.如权利要求1所述的方法,其特征在于:所述步骤3)中的初始EFF实例包括timeBin/I&VSIP&VDIP&VDPT、timeBin/I&VSIP&VDIP以及timeBin/I&VSIP&VDPT,所述的初始EFF实例对包括<timeBin/I&VSIP&VDIP&VDPT,VFN>、<timeBin/I&VSIP&VDIP,VFN>、<timeBin/I&VSIP&VDPT,VFN>。
4.如权利要求1所述的方法,其特征在于:所述步骤6)的具体步骤为:
设定固定的检测系数;
对具有相同EFF实例值的前面i个时间片的EFF实例对EFFIPn-i+1、……、EFFIPn利用预测算法求得此EFF实例对在下一时间片的预测值Vi,其中i≥1;
若时间片内无此EFF实例对,即EFF实例对的值小于筛选阈值,则计算预测值时使用此EFF实例和筛选阈值组成的EFF实例对代替;
若时间片内EFF实例对异常,则可以用其预测值或前一个时间片内的EFF实例对值代替;
将得到的每个EFF实例对应的预测值乘以设定的检测系数得到每个EFF实例对对应的检测阈值;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710457915.9A CN107154947B (zh) | 2017-06-16 | 2017-06-16 | 基于有效频繁流特征的网络流量异常检测和分类方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710457915.9A CN107154947B (zh) | 2017-06-16 | 2017-06-16 | 基于有效频繁流特征的网络流量异常检测和分类方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107154947A CN107154947A (zh) | 2017-09-12 |
CN107154947B true CN107154947B (zh) | 2020-06-09 |
Family
ID=59795779
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710457915.9A Active CN107154947B (zh) | 2017-06-16 | 2017-06-16 | 基于有效频繁流特征的网络流量异常检测和分类方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107154947B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107609400A (zh) * | 2017-09-28 | 2018-01-19 | 深信服科技股份有限公司 | 计算机病毒分类方法、系统、设备及计算机可读存储介质 |
CN109873832B (zh) * | 2019-03-15 | 2020-07-31 | 北京三快在线科技有限公司 | 流量识别方法、装置、电子设备和存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6006223A (en) * | 1997-08-12 | 1999-12-21 | International Business Machines Corporation | Mapping words, phrases using sequential-pattern to find user specific trends in a text database |
CN101335752B (zh) * | 2008-06-03 | 2011-07-27 | 电子科技大学 | 一种基于频繁片段规则的网络入侵检测方法 |
CN101316268B (zh) * | 2008-07-04 | 2011-12-14 | 中国科学院计算技术研究所 | 一种异常流的检测方法及系统 |
CN102306183B (zh) * | 2011-08-30 | 2014-05-21 | 王洁 | 一种对事务数据流进行闭合加权频繁模式挖掘的方法 |
CN103023725B (zh) * | 2012-12-20 | 2015-03-04 | 北京工业大学 | 一种基于网络流量分析的异常检测方法 |
-
2017
- 2017-06-16 CN CN201710457915.9A patent/CN107154947B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN107154947A (zh) | 2017-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cheng et al. | MS-LSTM: A multi-scale LSTM model for BGP anomaly detection | |
CN109413071B (zh) | 一种异常流量检测方法及装置 | |
CN107154947B (zh) | 基于有效频繁流特征的网络流量异常检测和分类方法 | |
KR20190006032A (ko) | 이상 데이터의 중요도 판정 장치 및 이상 데이터의 중요도 판정 방법 | |
US20070226803A1 (en) | System and method for detecting internet worm traffics through classification of traffic characteristics by types | |
JP7235967B2 (ja) | ネットワーク分析プログラム、ネットワーク分析装置及びネットワーク分析方法 | |
KR101842831B1 (ko) | 기계학습 알고리즘을 이용한 변압기 유중가스 분석방법 및 장치 | |
CN110995153B (zh) | 一种光伏电站的异常数据检测方法、装置及电子设备 | |
JP6289273B2 (ja) | 保守作業間隔適正化装置および保守作業間隔適正化方法 | |
CN110991527B (zh) | 一种考虑电压曲线平均波动率的相似度阈值确定方法 | |
JP6541482B2 (ja) | 検証装置、検証方法及び検証プログラム | |
JP2018535612A (ja) | 早期警戒決定方法、ノード、及びサブシステム | |
US8661113B2 (en) | Cross-cutting detection of event patterns | |
CN109951420B (zh) | 一种基于熵和动态线性关系的多级流量异常检测方法 | |
CN110289992B (zh) | 一种报文处理方法及装置 | |
CN111694652A (zh) | 任务动态调度方法、装置、计算机设备及存储介质 | |
CN113824700B (zh) | 基于端口相似性的双阶段软件定义网络流表溢出防御方法 | |
CN110474862B (zh) | 一种网络流量异常检测方法及装置 | |
JP2010198579A (ja) | 異常検出システム、異常検出方法および異常検出用プログラム | |
CN117472893A (zh) | 一种系统化提升交通流数据质量方法 | |
Celenk et al. | Anomaly prediction in network traffic using adaptive Wiener filtering and ARMA modeling | |
CN108063764B (zh) | 一种网络流量处理方法和装置 | |
CN108347421B (zh) | 一种基于内容的恶意邮件检测方法及系统 | |
KR100725179B1 (ko) | 목적지 네트워크 분포 엔트로피를 이용한 네트워크 트래픽어노멀리 검출 방법 | |
US8811741B2 (en) | Differentiated processing method of image zones |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |