CN107547543A - 一种网络异常行为的识别方法及装置 - Google Patents
一种网络异常行为的识别方法及装置 Download PDFInfo
- Publication number
- CN107547543A CN107547543A CN201710780624.3A CN201710780624A CN107547543A CN 107547543 A CN107547543 A CN 107547543A CN 201710780624 A CN201710780624 A CN 201710780624A CN 107547543 A CN107547543 A CN 107547543A
- Authority
- CN
- China
- Prior art keywords
- flow
- data
- network
- sequence
- sliding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络异常行为的识别方法及装置。本发明包括以下步骤:抓取网络流量信息,并且生成网络流量数据;对抓取的网络流量数据进行离散化处理,并且按照数据包时间序列进行分类;根据关联规则算法对离散化处理后的数据流量序列进行分析;发现长时间没有数据连接的控制类链接;若此类链接发生了服务端率先发送数据,然后客户端回应的行为,进一步进行分析此种行为出现的概率。本发明通过流量特征提取、链接监控,行为分析比较进而判断异常行为达到了良好的实时性,能够应用于多种场合,同时,通过信息积累,能进一步发现更多的异常流量。
Description
技术领域
本发明涉及一种网络异常行为的识别方法及装置。
背景技术
网络对我们来说必不可少,但是任何事情都有不利的一面,在使用网络的时候同样会产生很多障碍,而最难避免的就是网络的异常行为,异常行为等同于黑客攻击,它针对网络进行攻击,窃取机密数据,并且给我们带来巨大的损失,客户无法通讯,商务无法进行,进而保证网络流量的安全性就起到了至关重要的作用。针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
为了改善上述问题,本发明提供了一种移动电源管理系统及其控制方法。
为了实现上述目的,本发明采用的技术方案如下:
一种网络异常行为的识别方法,包括以下步骤:
抓取网络流量信息,并且生成网络流量数据;
对抓取的网络流量数据进行离散化处理,并且按照数据包时间序列进行分类;
根据关联规则算法对离散化处理后的数据流量序列进行分析;
发现长时间没有数据连接的控制类链接;若此类链接发生了服务端率先发送数据,然后客户端回应的行为,进一步进行分析此种行为出现的概率。
进一步地,抓取的网络流量信息包括源ip、目的ip、源端口、目的端口、应用协议、方向、流量时间序列。
再进一步地,提取的长时间没有数据传输的控制类链接的流量时间序列。
一种网络异常行为的识别装置,包括流量抓取装置、流量值分类装置、数据流量序列分析装置以及行为判断装置;其中:
流量抓取装置:用于抓取网络流量信息,并且生成网络流量数据;
流量值分类装置:用于对抓取的数据流量进行离散化处理,并且按照数据流量序列进行分类;
数据流量序列分析装置:用于根据关联规则算法对离散化处理后的数据流量进行流量序列分析;
异常流量判断装置:用于通过流量序列异常分析用户行为是否发生异常。
进一步地,所述流量抓取装置抓取的信息包括源ip、目的ip、源端口、目的端口、应用协议、方向、流量时间序列。
本发明与现有技术相比,具有以下优点及有益效果:
本发明通过流量特征提取、链接监控,行为分析比较进而判断异常行为达到了良好的实时性,能够应用于多种场合,同时,通过信息积累,能进一步发现更多的异常流量。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明,本发明的实施方式包括但不限于下列实施例。
实施例
如图1所示,一种网络异常行为的识别方法,包括以下步骤:
抓取网络流量信息,并且生成网络流量数据;其中,网络流量信息包括源ip、目的ip、源端口、目的端口、应用协议、方向、流量时间序列。
对抓取的网络流量数据进行离散化处理,并且按照数据包时间序列进行分类;
根据关联规则算法对离散化处理后的数据流量序列进行分析;
发现长时间没有数据连接的控制类链接;若此类链接发生了服务端率先发送数据,然后客户端回应的行为,进一步进行分析此种行为出现的概率。
具体地,提取的长时间没有数据传输的控制类链接的流量时间序列。
综上所述,借助于本发明的上述技术方案,通过流量特征提取、数据包时间序列提取,和阀值比较进而判断异常行为达到了良好的实时性,能够应用于多种场合,同时,通过信息积累,能进一步发现更多的异常行为。
实施例2
一种网络异常行为的识别装置,包括流量抓取装置、流量值分类装置、数据流量序列分析装置以及行为判断装置;其中:
流量抓取装置:用于抓取网络流量信息,并且生成网络流量数据;
流量值分类装置:用于对抓取的数据流量进行离散化处理,并且按照数据流量序列进行分类;
数据流量序列分析装置:用于根据关联规则算法对离散化处理后的数据流量进行流量序列分析;
异常流量判断装置:用于通过流量序列异常分析用户行为是否发生异常。
进一步地,所述流量抓取装置抓取的信息包括源ip、目的ip、源端口、目的端口、应用协议、方向、流量时间序列。
采用本发明的上述装置,能够准确地识别异常行为,提高了网络安全性。
按照上述实施例,便可很好地实现本发明。值得说明的是,基于上述结构设计的前提下,为解决同样的技术问题,即使在本发明上做出的一些无实质性的改动或润色,所采用的技术方案的实质仍然与本发明一样,故其也应当在本发明的保护范围内。
Claims (5)
1.一种网络异常行为的识别方法,其特征在于:包括以下步骤:
抓取网络流量信息,并且生成网络流量数据;
对抓取的网络流量数据进行离散化处理,并且按照数据包时间序列进行分类;
根据关联规则算法对离散化处理后的数据流量序列进行分析;
发现长时间没有数据连接的控制类链接;若此类链接发生了服务端率先发送数据,然后客户端回应的行为,进一步进行分析此种行为出现的概率。
2.根据权利要求1所述的移动电源管理系统,其特征在于,抓取的网络流量信息包括源ip、目的ip、源端口、目的端口、应用协议、方向、流量时间序列。
3.根据权利要求1或2所述的移动电源管理系统,其特征在于,提取的长时间没有数据传输的控制类链接的流量时间序列。
4.一种网络异常行为的识别装置,其特征在于,包括流量抓取装置、流量值分类装置、数据流量序列分析装置以及行为判断装置;其中:
流量抓取装置:用于抓取网络流量信息,并且生成网络流量数据;
流量值分类装置:用于对抓取的数据流量进行离散化处理,并且按照数据流量序列进行分类;
数据流量序列分析装置:用于根据关联规则算法对离散化处理后的数据流量进行流量序列分析;
异常流量判断装置:用于通过流量序列异常分析用户行为是否发生异常。
5.根据权利要求4所述的一种网络异常行为的识别装置,其特征在于,所述流量抓取装置抓取的信息包括源ip、目的ip、源端口、目的端口、应用协议、方向、流量时间序列。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710385279 | 2017-05-26 | ||
| CN2017103852793 | 2017-05-26 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107547543A true CN107547543A (zh) | 2018-01-05 |
Family
ID=60958635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710780624.3A Pending CN107547543A (zh) | 2017-05-26 | 2017-09-01 | 一种网络异常行为的识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547543A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271091A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种网络异常事件分类方法 |
| EP2472446A1 (en) * | 2010-12-31 | 2012-07-04 | Nuevas Estrategias de Mantenimiento SL. | Autonomous artificial immune system for complex assets with a long life cycle |
| CN105323258A (zh) * | 2015-11-30 | 2016-02-10 | 睿峰网云(北京)科技股份有限公司 | 一种基于时间衰减模型的异常流量的识别方法及装置 |
| CN105376247A (zh) * | 2015-11-30 | 2016-03-02 | 睿峰网云(北京)科技股份有限公司 | 一种基于频繁算法的异常流量的识别方法及装置 |
| CN106506556A (zh) * | 2016-12-29 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量异常检测方法及装置 |
-
2017
- 2017-09-01 CN CN201710780624.3A patent/CN107547543A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2472446A1 (en) * | 2010-12-31 | 2012-07-04 | Nuevas Estrategias de Mantenimiento SL. | Autonomous artificial immune system for complex assets with a long life cycle |
| CN102271091A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种网络异常事件分类方法 |
| CN105323258A (zh) * | 2015-11-30 | 2016-02-10 | 睿峰网云(北京)科技股份有限公司 | 一种基于时间衰减模型的异常流量的识别方法及装置 |
| CN105376247A (zh) * | 2015-11-30 | 2016-03-02 | 睿峰网云(北京)科技股份有限公司 | 一种基于频繁算法的异常流量的识别方法及装置 |
| CN106506556A (zh) * | 2016-12-29 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量异常检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 李秀龙: "基于网络流量监测与预测的用户流量行为分析方法研究", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
| Yu et al. | An efficient SDN-based DDoS attack detection and rapid response platform in vehicular networks | |
| CN102315974B (zh) | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 | |
| CN102271090B (zh) | 基于传输层特征的流量分类方法及装置 | |
| CN109768981B (zh) | 一种在sdn架构下基于机器学习的网络攻击防御方法和系统 | |
| CN102202064B (zh) | 基于网络数据流分析的木马通信行为特征提取方法 | |
| CN105871832A (zh) | 一种基于协议属性的网络应用加密流量识别方法及其装置 | |
| CN107404400A (zh) | 一种网络态势感知实现方法及装置 | |
| US20060212942A1 (en) | Semantically-aware network intrusion signature generator | |
| CN110417729A (zh) | 一种加密流量的服务与应用分类方法及系统 | |
| CN102739457A (zh) | 一种基于dpi和svm技术的网络流量识别系统及方法 | |
| CN104753732A (zh) | 一种基于分布式的网络流量分析系统及方法 | |
| Zargar et al. | Category-based intrusion detection using PCA | |
| CN104796405B (zh) | 反弹连接检测方法和装置 | |
| CN111611280A (zh) | 一种基于cnn和sae的加密流量识别方法 | |
| CN105429950A (zh) | 一种基于动态数据包采样的网络流量识别系统和方法 | |
| CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 | |
| CN106789728A (zh) | 一种基于NetFPGA的VoIP流量实时识别方法 | |
| CN113283498A (zh) | 一种面向高速网络的vpn流量快速识别方法 | |
| Wang et al. | Benchmark data for mobile app traffic research | |
| KR101210622B1 (ko) | Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템 | |
| CN110858837A (zh) | 一种网络管控方法、装置以及电子设备 | |
| CN101296224B (zh) | 一种p2p流量识别系统和方法 | |
| CN111200543A (zh) | 一种基于主动服务探测引擎技术的加密协议识别方法 | |
| CN107547543A (zh) | 一种网络异常行为的识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180105 |