CN108270620B - 基于画像技术的网络异常检测方法、装置、设备及介质 - Google Patents

基于画像技术的网络异常检测方法、装置、设备及介质 Download PDF

Info

Publication number
CN108270620B
CN108270620B CN201810036841.6A CN201810036841A CN108270620B CN 108270620 B CN108270620 B CN 108270620B CN 201810036841 A CN201810036841 A CN 201810036841A CN 108270620 B CN108270620 B CN 108270620B
Authority
CN
China
Prior art keywords
equipment
type
vector
calculating
devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810036841.6A
Other languages
English (en)
Other versions
CN108270620A (zh
Inventor
涂大志
王志
王新成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Leagsoft Technology Co ltd
Original Assignee
Shenzhen Leagsoft Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Leagsoft Technology Co ltd filed Critical Shenzhen Leagsoft Technology Co ltd
Priority to CN201810036841.6A priority Critical patent/CN108270620B/zh
Publication of CN108270620A publication Critical patent/CN108270620A/zh
Priority to PCT/CN2018/096109 priority patent/WO2019136955A1/zh
Application granted granted Critical
Publication of CN108270620B publication Critical patent/CN108270620B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于画像技术的网络异常检测方法、装置、设备及介质,方法包括:获取网络中的设备的相关数据信息;根据相关数据信息构造设备向量;计算设备向量与设备对应的设备画像间的设备偏差;计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差;在设备偏差和/或类型偏差超过设定阈值时,发出告警,以实现网络异常检测。本发明提供的基于画像技术的网络异常检测方法、装置、设备及介质,采用机器学习的方式对历史网络流量特征进行刻画,从而对网络中的设备进行聚类,同时根据历史流量特征为每一台设备、每一类设备进行画像,发现流量异常的设备,以实现及时准确地发现网络安全攻击行为。

Description

基于画像技术的网络异常检测方法、装置、设备及介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于画像技术的网络异常检测方法、装置、设备及介质。
背景技术
现有的网络安全技术,只能解决基于规则已知的网络安全攻击的发现(例如,基于签名的IDS/IPS等),对于未知的网络安全攻击行为(例如,APT攻击)难以发现或者发现结果不准确。
发明内容
本发明要解决的技术问题是提供一种基于画像技术的网络异常检测方法、装置、设备及介质,采用机器学习的方式对历史网络流量特征进行刻画,从而对网络中的设备进行聚类,同时根据历史流量特征为每一台设备、每一类设备进行画像,发现流量异常的设备,以实现及时准确地发现网络安全攻击行为。
为解决上述技术问题,本发明提供的技术发方案是:
第一方面,本发明实施例提供了一种基于画像技术的网络异常检测方法,方法包括:
获取网络中的设备的相关数据信息;
根据相关数据信息构造设备向量;
计算设备向量与设备对应的设备画像间的设备偏差;
计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差;
在设备偏差和/或类型偏差超过设定阈值时,发出告警,以实现网络异常检测。
进一步地,设备画像的构建,包括:
采集设备在第一时间长度内的历史相关数据信息;
根据历史相关数据信息,获取每个第二时间长度内,设备的基本信息;
计算设备在第一时间长度内的,所有第二时间长度对应的基本信息的统计信息;
根据统计信息确定设备画像信息,构建设备画像。
进一步地,基本信息包括:在线时长,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接IP数量,连接端口数量,设备的最大流量对应的端口,与设备连接的其他设备的设备类型;
统计信息包括:在线时长的均值和标准差,TCP数据包数量的均值和标准差,TCP数据包长度的均值和标准差,UDP数据包数量的均值和标准差,UDP数据包长度的均值和标准差,连接设备数量的均值和标准差,连接端口数量的均值和标准差;
设备画像信息包括:在线率,设备类型,设备分组,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接设备数量,连接端口数量,接入位置。
进一步地,设备类型画像的构建,包括:
获取与设备属于同一类型的所有设备对应的设备画像信息的集合;
根据设备画像信息的集合,确定设备类型画像。
进一步地,对网络中的所有设备进行分类以确定每个设备对应的设备类型,包括:
获取每个设备的设备画像信息;
根据设备画像信息构建与设备对应的设备向量;
获取每个设备类型对应的设备类型画像信息;
根据设备类型画像信息构建与设备类型对应的设备类型向量;
计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型。
进一步地,计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型,包括:
计算设备向量与每个设备类型向量间的向量距离;
计算每个向量距离对应的均值和标准差;
将对应均值最小和/或标准差最小,且对应相似度超过设定阈值的向量距离指向的设备类型确定为设备所属的设备类型。
进一步地,在存在超过设定数量的设备不属于现有任一设备类型时,还包括:
对所有未确定设备类型的设备对应的设备向量进行标准化;
递归计算每两个标准化后的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
将属于同一新类型的所有设备的设备向量的均值作为新类型向量;
计算新类型向量与未归类设备的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
依次类推,直至无法聚类为止。
第二方面,本发明实施例提供了一种基于画像技术的网络异常检测装置,装置包括:
数据获取单元,用于获取网络中的设备的相关数据信息;
向量构建单元,用于根据相关数据信息构造设备向量;
第一计算单元,用于计算设备向量与设备对应的设备画像间的设备偏差;
第二计算单元,用于计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差;
异常检测单元,用于在设备偏差和/或类型偏差超过设定阈值时,发出告警,以实现网络异常检测。
第三方面,本发明实施例提供了一种计算机设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
本发明实施例提供的基于画像技术的网络异常检测方法、装置、设备及介质,采用机器学习的方式对历史网络流量特征进行刻画,从而对网络中的设备进行聚类,同时根据历史流量特征为每一台设备、每一类设备进行画像,发现流量异常的设备,以实现及时准确地发现网络安全攻击行为。
附图说明
图1是本发明实施例提供的基于画像技术的网络异常检测方法的流程图;
图2是本发明实施例提供的基于画像技术的网络异常检测方法的另一流程图;
图3是本发明实施例提供的机器学习的流程图;
图4是本发明实施例提供的设备画像的雷达图;
图5是本发明实施例提供的数据包数量异常检测结果展示图;
图6是本发明实施例提供的数据包数量异常检测结果又一展示图;
图7是本发明实施例提供的连接关系异常检测结果展示图;
图8是本发明实施例提供的基于画像技术的网络异常检测装置的框图;
图9示出了本发明实施例提供的计算机设备的硬件结构示意图。
具体实施方式
下面通过具体的实施例进一步说明本发明,但是,应当理解为,这些实施例仅仅是用于更详细具体地说明之用,而不应理解为用于以任何形式限制本发明。
实施例一
结合图1,本实施例提供的基于画像技术的网络异常检测方法,方法包括:
步骤S1,获取网络中的设备的相关数据信息;
步骤S2,根据相关数据信息构造设备向量;
步骤S3,计算设备向量与设备对应的设备画像间的设备偏差;
步骤S4,计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差;
步骤S5,在设备偏差和/或类型偏差超过设定阈值时,发出告警,以实现网络异常检测。
本发明实施例提供的基于画像技术的网络异常检测方法,采用机器学习的方式对历史网络流量特征进行刻画,从而对网络中的设备进行聚类,同时根据历史流量特征为每一台设备、每一类设备进行画像,发现流量异常的设备,以实现及时准确地发现网络安全攻击行为。
优选地,如图2所示地,获取网络中的设备的相关数据信息,包括:
获取设备的通信数据包;
对通信数据包进行深度报文解释,以获取设备的相关数据信息。
进一步优选地,相关数据信息包括:
设备的源IP地址、MAC地址、源端口、目的IP、目的端口、协议、每个端口上的数据包的数量和长度、连接状态。
优选地,如图3所示地,设备画像的构建,包括:
采集设备在第一时间长度内的历史相关数据信息;
根据历史相关数据信息,获取每个第二时间长度内,设备的基本信息;
计算设备在第一时间长度内的,所有第二时间长度对应的基本信息的统计信息;
根据统计信息确定设备画像信息,构建设备画像。
本实施例中,具体地,第一时间长度为一周,即连续七天,第二时间长度为一小时,此外,本实施例对第一时间长度和第二时间长度的具体值不做具体限定,可结合实际需求进行设定。
具体地,基本信息包括:在线时长,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接IP数量,连接端口数量,设备的最大流量对应的端口,与设备连接的其他设备的设备类型;
统计信息包括:在线时长的均值和标准差,TCP数据包数量的均值和标准差,TCP数据包长度的均值和标准差,UDP数据包数量的均值和标准差,UDP数据包长度的均值和标准差,连接设备数量的均值和标准差,连接端口数量的均值和标准差;
设备画像信息包括:在线率,设备类型,设备分组,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接设备数量,连接端口数量,接入位置。
更加具体地,本实施例主要对设备的整体流量特征进行画像,且步骤为:
1)数据采集,采集每一个设备的源IP地址、MAC地址、源端口、目的IP、目的端口、协议(TCP/UDP)、每个端口上的数据包数量和长度、连接状态(TCP协议的SYN/ACK)。
2)取出一个设备,直到所有设备都遍历过;
3)按天计算这个设备的在线时长均值和标准差;
4)按天、按每一小时计算这个设备的所有协议、TCP/UDP协议、TCP协议SYN/ACK数据包数量及长度的均值及标准差;
5)按天、按每一小时计算这个设备连接的IP数量的均值及标准差;
6)按天、按每一小时计算这个设备连接端口的数量均值及标准差;
7)按天、按每一小时计算设备自身大流量端口信息;
8)查找与这个设备连接的设备的类型;
9)存储设备类型画像数据,存储位置及格式;
10)回到第2步。
此外,本实施例中,设备画像的界面展示图如图4所示。图4为设备画像的雷达图,其中设备画像信息包括,在线率(99.9%)、设备类型(Windows主机)、设备分组(Web服务器)、TCP数据包数量(199Gbps)、UDP数据包数量(19Gbps)、TCP数据包长度(199Gbps)、UDP数据包长度(19Gbps)、连接设备(500个)、连接端口(300个)、接入位置(思科3560,21口),括号里面的内容是通过计算的均值或者查询得到的。图4上维度的最大值设置为所有维度标准差的最大值,其中:在线率、TCP数据包数量、UDP数据包数量、TCP数据包长度、UDP数据包长度、连接设备、连接端口在图上的数值为标准差,其它维度设置为1。
进一步优选地,设备类型画像的构建,包括:
获取与设备属于同一类型的所有设备对应的设备画像信息的集合;
根据设备画像信息的集合,确定设备类型画像。
本实施例中,设备类型画像主要对设备类型的总体流量特征进行画像,且具体步骤为:
1)数据采集,采集每一个设备的源IP地址、MAC地址、源端口、目的IP、目的端口、协议(TCP/UDP)、每个端口上的数据包数量和长度、连接状态(TCP协议的SYN/ACK)。
2)取出一个设备分类,直到所有分类都遍历过;
3)按天计算这个分类所有设备的在线时长均值和标准差;
4)按天计算这个分类所有设备的所有协议、TCP/UDP数据包数量及长度的均值及标准差;
5)按天计算这个分类所有设备的TCP类型SYN/ACK数据包数量及长度的均值及标准差;
6)按天计算这个分类所有设备的连接的IP数量的均值及标准差;
7)查找这个分类设备是否存在共同的服务端口;
8)按天计算与这个分类所有设备连接端口的数量均值及标准差;
9)查找与这个分类所有设备连接的设备的类型;
10)存储设备类型画像数据,存储位置及格式;
11)回到第2步。
此外,本实施例中,设备类型画像的界面展示图与设备画像均是采用雷达图进行展示,且其中包括,在线率、设备类型、设备分组、TCP数据包数量、UDP数据包数量、TCP数据包长度、UDP数据包长度、连接设备、连接端口、接入位置。
此外,需要说明的是,本实施例对设备画像信息和设备类型画像信息中的具体信息不做具体限定,可以结合实际需要进行增删。
进一步优选地,对网络中的所有设备进行分类以确定每个设备对应的设备类型,包括:
获取每个设备的设备画像信息;
根据设备画像信息构建与设备对应的设备向量;
获取每个设备类型对应的设备类型画像信息;
根据设备类型画像信息构建与设备类型对应的设备类型向量;
计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型。
进一步优选地,计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型,包括:
计算设备向量与每个设备类型向量间的向量距离;
计算每个向量距离对应的均值和标准差;
将对应均值最小和/或标准差最小,且对应相似度超过设定阈值的向量距离指向的设备类型确定为设备所属的设备类型。
本实施例中,确定所有设备对应的所属设备类型的方式如下:
1)构造每个设备类型对应的设备类型向量,构造每台设备对应的设备向;
2)计算每个设备与设备类型向量的相似程度,若设备与设备类型的相似度在90%以上,则自动归到现有的设备类型。若出现可以归到多个设备类型,则以相似度最高的为准。其中,更加具体地,根据构造的向量,计算设备X与现有设备类型Y的向量距离为:
X=[x1,x2,…xn],Y=[y1,y2,…yn],向量标准化后,利用公式(1)计算设备与类型的距离
Z=(X-Y)/s (1)
其中,s表示设备类型Y的标准差。
更加具体地,在进行分类确定的过程中,构造待分类设备与所有设备类型间的向量数组,且向量数组如下:
Z1=[z11,z12,z13,…z1n]
……
Zm=[zm1,zm2,zm3,…zmn]
其中,n表示n个维度,有m个向量,m等于设备类型的个数。
计算每个向量的均值与标准差:
1)计算每个距离向量的均值
mZ1=(|z11|+|z12|+|z13|+…+|z1n|)/n
……
mZm=(|zm1|+|zm2|+|zm3|+…+|zmn|)/n
2)计算每个向量的标准差:xZ1,xZ2,xZ3……xZm
如果距离向量的均值mZi小于0.125,说明相似度大于90%。
如果存在多个值都大于90%,则取最小值min(mZ1,mZ2,…mZm)。
若两个均值相等则比较标准差,取标准差最小的min(xZ1,xZ2,…xZm)。
需要说明的是,本实施例中,判断一个设备与对应的设备类型是否存在共同的服务端口,如果有,则归到同一类,无则归类失败(如果对应的设备类型原来就没有共同的服务端口,则不用做判断)。
进一步优选地,在存在超过设定数量的设备不属于现有任一设备类型时,还包括:
对所有未确定设备类型的设备对应的设备向量进行标准化;
递归计算每两个标准化后的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
将属于同一新类型的所有设备的设备向量的均值作为新类型向量;
计算新类型向量与未归类设备的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
依次类推,直至无法聚类为止。
本实施例中,对于无法归到现有类型的设备进行自动聚类,并将自动聚类所获取的新的类别进行存储,生成新的分类。此外,本实施例中,当未分类的设备数小于50则不做聚类。
根据构造每台设备的向量Xi,(i=1,2…m),n表示n个维度的向量,N表示N个设备。
X1=[x11,x12,…x1n]
……
XN=[xN1,xN2,…xNn]
用线性转换函数将每个向量标准化到[0,1]区间。
A)递归计算每两个向量之间的距离,距离大于0.9的设备归于一类。
B)取同一类设备每一个维度向量的均值,产生新的向量,与为归类的设备放在一起重新计算距离,距离大于0.9的设备归于一类。
C)一直到无法聚类为止
结论:最大的类包含的设备数如果小于所有设备的10%,表示聚类失败。
优选地,网络异常的种类包括:数据包数量异常,数据包大小异常,连接关系异常,在线时长异常。
本实施例中,通过流量分析判断一个设备的网络行为是否异常。此外,通过敏感度S来对异常行为进行判断。默认状态地,将偏差大于一个标准差平方值认为是敏感度高,大于两个标准差平方值认为是敏感度中,大于三个标准差平方值认为是敏感度低。
且具体地,本实施例中,
(1)数据包数量异常检测包括:
按天、小时统计每一台设备所有协议、TCP/UDP协议、TCP协议SYN/ACK数据包的数量;
计算数据包数量与历史同一时间段平均值(设备画像文件已经存储)的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警;
计算每天数据包数量与同类设备每天平均值的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警。
具体地,本实施例中,如图5所示地,采用折线图显示24小时内的数据及平均值。且如图6所示地,采用折线图展示7天的数据及平均值。此外,如图6中的圈出部分所示,对出现异常的数据进行标识,显示直观。
(2)数据包大小异常检测包括:
按天、小时统计每一台设备所有协议、TCP/UDP协议、TCP协议SYN/ACK数据包的大小;
计算数据包大小与历史同一时间段平均值(设备画像文件已经存储)的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警;
计算每天数据包大小与同类设备每天平均值的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警。
(3)连接关系异常检测包括:
按小时记录设备的访问关系,包含目的地址、目的MAC地址、目的端口、协议、TCPSYN/ACK等数据包的数量和大小;
对比画像同一时段的访问关系,如果发现新增的访问关系则告警;
对比该设备与所在设备类型画像的连接关系,若没有共同连接关系则告警;若同类设备不存在共同的连接关系,则不告警。
此外,如图7所示地,采用树形图对连接关系进行显示,且针对异常连接关系采用不同的颜色进行显示标记。图7中,根节点显示“连接关系”,二级节点显示与之相连的设备的IP地址,三级节点显示端口,协议TCP(UDP无此分支)的连接状态(SYN/ACK),数据包数量和数据包大小,数量。空心圆表示展开分支或者叶子节点,叶子节点存放具体的数值。
(4)在线时长异常包括:
按天统计设备在线时长;
计算与历史每天在线时长平均值的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警;
计算与同类设备每天在线时长的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警。
实施例二
结合图8,本发明实施例提供的基于画像技术的网络异常检测装置,装置包括:
数据获取单元1,用于获取网络中的设备的相关数据信息;
向量构建单元2,用于根据相关数据信息构造设备向量;
第一计算单元3,用于计算设备向量与设备对应的设备画像间的设备偏差;
第二计算单元4,用于计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差;
异常检测单元5,用于在设备偏差和/或类型偏差超过设定阈值时,发出告警,以实现网络异常检测。
本发明实施例提供的基于画像技术的网络异常检测装置,采用机器学习的方式对历史网络流量特征进行刻画,从而对网络中的设备进行聚类,同时根据历史流量特征为每一台设备、每一类设备进行画像,发现流量异常的设备,以实现及时准确地发现网络安全攻击行为。
优选地,如图2所示地,数据获取单元1,具体用于:
获取设备的通信数据包;
对通信数据包进行深度报文解释,以获取设备的相关数据信息。
进一步优选地,相关数据信息包括:
设备的源IP地址、MAC地址、源端口、目的IP、目的端口、协议、每个端口上的数据包的数量和长度、连接状态。
优选地,如图3所示地,设备画像的构建,包括:
采集设备在第一时间长度内的历史相关数据信息;
根据历史相关数据信息,获取每个第二时间长度内,设备的基本信息;
计算设备在第一时间长度内的,所有第二时间长度对应的基本信息的统计信息;
根据统计信息确定设备画像信息,构建设备画像。
本实施例中,具体地,第一时间长度为一周,即连续七天,第二时间长度为一小时,此外,本实施例对第一时间长度和第二时间长度的具体值不做具体限定,可结合实际需求进行设定。
具体地,基本信息包括:在线时长,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接IP数量,连接端口数量,设备的最大流量对应的端口,与设备连接的其他设备的设备类型;
统计信息包括:在线时长的均值和标准差,TCP数据包数量的均值和标准差,TCP数据包长度的均值和标准差,UDP数据包数量的均值和标准差,UDP数据包长度的均值和标准差,连接设备数量的均值和标准差,连接端口数量的均值和标准差;
设备画像信息包括:在线率,设备类型,设备分组,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接设备数量,连接端口数量,接入位置。
更加具体地,本实施例主要对设备的整体流量特征进行画像,且步骤为:
1)数据采集,采集每一个设备的源IP地址、MAC地址、源端口、目的IP、目的端口、协议(TCP/UDP)、每个端口上的数据包数量和长度、连接状态(TCP协议的SYN/ACK)。
2)取出一个设备,直到所有设备都遍历过;
3)按天计算这个设备的在线时长均值和标准差;
4)按天、按每一小时计算这个设备的所有协议、TCP/UDP协议、TCP协议SYN/ACK数据包数量及长度的均值及标准差;
5)按天、按每一小时计算这个设备连接的IP数量的均值及标准差;
6)按天、按每一小时计算这个设备连接端口的数量均值及标准差;
7)按天、按每一小时计算设备自身大流量端口信息;
8)查找与这个设备连接的设备的类型;
9)存储设备类型画像数据,存储位置及格式;
10)回到第2步。
此外,本实施例中,设备画像的界面展示图如图4所示。图4为设备画像的雷达图,其中设备画像信息包括,在线率(99.9%)、设备类型(Windows主机)、设备分组(Web服务器)、TCP数据包数量(199Gbps)、UDP数据包数量(19Gbps)、TCP数据包长度(199Gbps)、UDP数据包长度(19Gbps)、连接设备(500个)、连接端口(300个)、接入位置(思科3560,21口),括号里面的内容是通过计算的均值或者查询得到的。图4上维度的最大值设置为所有维度标准差的最大值,其中:在线率、TCP数据包数量、UDP数据包数量、TCP数据包长度、UDP数据包长度、连接设备、连接端口在图上的数值为标准差,其它维度设置为1。
进一步优选地,设备类型画像的构建,包括:
获取与设备属于同一类型的所有设备对应的设备画像信息的集合;
根据设备画像信息的集合,确定设备类型画像。
本实施例中,设备类型画像主要对设备类型的总体流量特征进行画像,且具体步骤为:
1)数据采集,采集每一个设备的源IP地址、MAC地址、源端口、目的IP、目的端口、协议(TCP/UDP)、每个端口上的数据包数量和长度、连接状态(TCP协议的SYN/ACK)。
2)取出一个设备分类,直到所有分类都遍历过;
3)按天计算这个分类所有设备的在线时长均值和标准差;
4)按天计算这个分类所有设备的所有协议、TCP/UDP数据包数量及长度的均值及标准差;
5)按天计算这个分类所有设备的TCP类型SYN/ACK数据包数量及长度的均值及标准差;
6)按天计算这个分类所有设备的连接的IP数量的均值及标准差;
7)查找这个分类设备是否存在共同的服务端口;
8)按天计算与这个分类所有设备连接端口的数量均值及标准差;
9)查找与这个分类所有设备连接的设备的类型;
10)存储设备类型画像数据,存储位置及格式;
11)回到第2步。
此外,本实施例中,设备类型画像的界面展示图与设备画像均是采用雷达图进行展示,且其中包括,在线率、设备类型、设备分组、TCP数据包数量、UDP数据包数量、TCP数据包长度、UDP数据包长度、连接设备、连接端口、接入位置。
此外,需要说明的是,本实施例对设备画像信息和设备类型画像信息中的具体信息不做具体限定,可以结合实际需要进行增删。
进一步优选地,对网络中的所有设备进行分类以确定每个设备对应的设备类型,包括:
获取每个设备的设备画像信息;
根据设备画像信息构建与设备对应的设备向量;
获取每个设备类型对应的设备类型画像信息;
根据设备类型画像信息构建与设备类型对应的设备类型向量;
计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型。
进一步优选地,计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型,包括:
计算设备向量与每个设备类型向量间的向量距离;
计算每个向量距离对应的均值和标准差;
将对应均值最小和/或标准差最小,且对应相似度超过设定阈值的向量距离指向的设备类型确定为设备所属的设备类型。
本实施例中,确定所有设备对应的所属设备类型的方式如下:
1)构造每个设备类型对应的设备类型向量,构造每台设备对应的设备向;
2)计算每个设备与设备类型向量的相似程度,若设备与设备类型的相似度在90%以上,则自动归到现有的设备类型。若出现可以归到多个设备类型,则以相似度最高的为准。其中,更加具体地,根据构造的向量,计算设备X与现有设备类型Y的向量距离为:
X=[x1,x2,…xn],Y=[y1,y2,…yn],向量标准化后,利用公式(1)计算设备与类型的距离
Z=(X-Y)/s (1)
其中,s表示设备类型Y的标准差。
更加具体地,在进行分类确定的过程中,构造待分类设备与所有设备类型间的向量数组,且向量数组如下:
Z1=[z11,z12,z13,…z1n]
……
Zm=[zm1,zm2,zm3,…zmn]
其中,n表示n个维度,有m个向量,m等于设备类型的个数。
计算每个向量的均值与标准差:
1)计算每个距离向量的均值
mZ1=(|z11|+|z12|+|z13|+…+|z1n|)/n
……
mZm=(|zm1|+|zm2|+|zm3|+…+|zmn|)/n
2)计算每个向量的标准差:xZ1,xZ2,xZ3……xZm
如果距离向量的均值mZi小于0.125,说明相似度大于90%。
如果存在多个值都大于90%,则取最小值min(mZ1,mZ2,…mZm)。
若两个均值相等则比较标准差,取标准差最小的min(xZ1,xZ2,…xZm)。
需要说明的是,本实施例中,判断一个设备与对应的设备类型是否存在共同的服务端口,如果有,则归到同一类,无则归类失败(如果对应的设备类型原来就没有共同的服务端口,则不用做判断)。
进一步优选地,在存在超过设定数量的设备不属于现有任一设备类型时,还包括:
对所有未确定设备类型的设备对应的设备向量进行标准化;
递归计算每两个标准化后的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
将属于同一新类型的所有设备的设备向量的均值作为新类型向量;
计算新类型向量与未归类设备的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
依次类推,直至无法聚类为止。
本实施例中,对于无法归到现有类型的设备进行自动聚类,并将自动聚类所获取的新的类别进行存储,生成新的分类。此外,本实施例中,当未分类的设备数小于50则不做聚类。
根据构造每台设备的向量Xi,(i=1,2…m),n表示n个维度的向量,N表示N个设备。
X1=[x11,x12,…x1n]
……
XN=[xN1,xN2,…xNn]
用线性转换函数将每个向量标准化到[0,1]区间。
A).递归计算每两个向量之间的距离,距离大于0.9的设备归于一类。
B).取同一类设备每一个维度向量的均值,产生新的向量,与为归类的设备放在一起重新计算距离,距离大于0.9的设备归于一类。
C).一直到无法聚类为止
结论:最大的类包含的设备数如果小于所有设备的10%,表示聚类失败。
优选地,网络异常的种类包括:数据包数量异常,数据包大小异常,连接关系异常,在线时长异常。
本实施例中,通过流量分析判断一个设备的网络行为是否异常。此外,通过敏感度S来对异常行为进行判断。默认状态地,将偏差大于一个标准差平方值认为是敏感度高,大于两个标准差平方值认为是敏感度中,大于三个标准差平方值认为是敏感度低。
且具体地,本实施例中,
(1)数据包数量异常检测包括:
按天、小时统计每一台设备所有协议、TCP/UDP协议、TCP协议SYN/ACK数据包的数量;
计算数据包数量与历史同一时间段平均值(设备画像文件已经存储)的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警;
计算每天数据包数量与同类设备每天平均值的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警。
具体地,本实施例中,如图5所示地,采用折线图显示24小时内的数据及平均值。且如图6所示地,采用折线图展示7天的数据及平均值。此外,如图6中的圈出部分所示,对出现异常的数据进行标识,显示直观。
(2)数据包大小异常检测包括:
按天、小时统计每一台设备所有协议、TCP/UDP协议、TCP协议SYN/ACK数据包的大小;
计算数据包大小与历史同一时间段平均值(设备画像文件已经存储)的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警;
计算每天数据包大小与同类设备每天平均值的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警。
(3)连接关系异常检测包括:
按小时记录设备的访问关系,包含目的地址、目的MAC地址、目的端口、协议、TCPSYN/ACK等数据包的数量和大小;
对比画像同一时段的访问关系,如果发现新增的访问关系则告警;
对比该设备与所在设备类型画像的连接关系,若没有共同连接关系则告警;若同类设备不存在共同的连接关系,则不告警。
此外,如图7所示地,采用树形图对连接关系进行显示,且针对异常连接关系采用不同的颜色进行显示标记。图7中,根节点显示“连接关系”,二级节点显示与之相连的设备的IP地址,三级节点显示端口,协议TCP(UDP无此分支)的连接状态(SYN/ACK),数据包数量和数据包大小,数量。空心圆表示展开分支或者叶子节点,叶子节点存放具体的数值。
(4)在线时长异常包括:
按天统计设备在线时长;
计算与历史每天在线时长平均值的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警;
计算与同类设备每天在线时长的偏差情况(计算Z值);
如果Z>敏感度(S),则保存异常数据,并发出告警。
实施例三
结合图9描述的本发明实施例的基于画像技术的网络异常检测方法可以由计算机设备来实现。图9示出了本发明实施例提供的计算机设备的硬件结构示意图。
实现基于画像技术的网络异常检测方法的计算机设备可以包括处理器401以及存储有计算机程序指令的存储器402。
具体地,上述处理器401可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器402可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器402可在数据处理装置的内部或外部。在特定实施例中,存储器402是非易失性固态存储器。在特定实施例中,存储器402包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器401通过读取并执行存储器402中存储的计算机程序指令,以实现上述实施例中的任意一种基于画像技术的网络异常检测方法。
在一个示例中,计算机设备还可包括通信接口403和总线410。其中,如图9所示,处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。
通信接口403,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线410包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线410可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
实施例四
另外,结合上述实施例中的基于画像技术的网络异常检测方法,本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于画像技术的网络异常检测方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
尽管本发明已进行了一定程度的描述,明显地,在不脱离本发明的精神和范围的条件下,可进行各个条件的适当变化。可以理解,本发明不限于所述实施方案,而归于权利要求的范围,其包括所述每个因素的等同替换。

Claims (7)

1.一种基于画像技术的网络异常检测方法,其特征在于,所述方法包括:
获取网络中的设备的相关数据信息;
根据所述相关数据信息构造设备向量;
计算所述设备向量与所述设备对应的设备画像间的设备偏差;
计算所述设备向量与所述设备所属的设备类型对应的设备类型画像间的类型偏差;
在所述设备偏差和/或所述类型偏差超过设定阈值时,发出告警,以实现网络异常检测;
对网络中的所有设备进行分类以确定每个设备对应的设备类型,包括:
获取每个设备的设备画像信息;
所述设备画像信息包括:在线率,设备类型,设备分组,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接设备数量,连接端口数量,接入位置;
根据设备画像信息构建与设备对应的设备向量;
获取每个设备类型对应的设备类型画像信息;
根据所述设备类型画像信息构建与设备类型对应的设备类型向量;
计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型;
所述计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型,包括:
计算设备向量与每个设备类型向量间的向量距离;
计算每个向量距离对应的均值和标准差;
将对应均值最小和/或标准差最小,且对应相似度超过设定阈值的向量距离指向的设备类型确定为设备所属的设备类型;
在存在超过设定数量的设备不属于现有任一设备类型时,还包括:
对所有未确定设备类型的设备对应的设备向量进行标准化;
递归计算每两个标准化后的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
将属于同一新类型的所有设备的设备向量的均值作为新类型向量;
计算新类型向量与未归类设备的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
依次类推,直至无法聚类为止。
2.根据权利要求1所述的基于画像技术的网络异常检测方法,其特征在于,所述设备画像的构建,包括:
采集设备在第一时间长度内的历史相关数据信息;
根据所述历史相关数据信息,获取每个第二时间长度内,所述设备的基本信息;
计算所述设备在所述第一时间长度内的,所有所述第二时间长度对应的所述基本信息的统计信息;
根据所述统计信息确定设备画像信息,构建设备画像。
3.根据权利要求2所述的基于画像技术的网络异常检测方法,其特征在于,
所述基本信息包括:在线时长,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接IP数量,连接端口数量,所述设备的最大流量对应的端口,与所述设备连接的其他设备的设备类型;
所述统计信息包括:在线时长的均值和标准差,TCP数据包数量的均值和标准差,TCP数据包长度的均值和标准差,UDP数据包数量的均值和标准差,UDP数据包长度的均值和标准差,连接设备数量的均值和标准差,连接端口数量的均值和标准差。
4.根据权利要求3所述的基于画像技术的网络异常检测方法,其特征在于,所述设备类型画像的构建,包括:
获取与所述设备属于同一类型的所有设备对应的设备画像信息的集合;
根据所述设备画像信息的集合,确定设备类型画像。
5.一种基于画像技术的网络异常检测装置,其特征在于,所述装置包括:
数据获取单元,用于获取网络中的设备的相关数据信息;
向量构建单元,用于根据所述相关数据信息构造设备向量;
第一计算单元,用于计算所述设备向量与所述设备对应的设备画像间的设备偏差;
第二计算单元,用于计算所述设备向量与所述设备所属的设备类型对应的设备类型画像间的类型偏差;所述第二计算单元具体用于:
对网络中的所有设备进行分类以确定每个设备对应的设备类型,包括:
获取每个设备的设备画像信息;
所述设备画像信息包括:在线率,设备类型,设备分组,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接设备数量,连接端口数量,接入位置;
根据设备画像信息构建与设备对应的设备向量;
获取每个设备类型对应的设备类型画像信息;
根据所述设备类型画像信息构建与设备类型对应的设备类型向量;
计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型;
所述计算设备向量与每个设备类型向量间的相似度,并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型,包括:
计算设备向量与每个设备类型向量间的向量距离;
计算每个向量距离对应的均值和标准差;
将对应均值最小和/或标准差最小,且对应相似度超过设定阈值的向量距离指向的设备类型确定为设备所属的设备类型;
在存在超过设定数量的设备不属于现有任一设备类型时,还包括:
对所有未确定设备类型的设备对应的设备向量进行标准化;
递归计算每两个标准化后的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
将属于同一新类型的所有设备的设备向量的均值作为新类型向量;
计算新类型向量与未归类设备的设备向量间的距离,并将距离超过距离阈值的设备确定为同一新类型;
依次类推,直至无法聚类为止;
异常检测单元,用于在所述设备偏差和/或所述类型偏差超过设定阈值时,发出告警,以实现网络异常检测。
6.一种计算机设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-4中任一项所述的方法。
7.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-4中任一项所述的方法。
CN201810036841.6A 2018-01-15 2018-01-15 基于画像技术的网络异常检测方法、装置、设备及介质 Active CN108270620B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201810036841.6A CN108270620B (zh) 2018-01-15 2018-01-15 基于画像技术的网络异常检测方法、装置、设备及介质
PCT/CN2018/096109 WO2019136955A1 (zh) 2018-01-15 2018-07-18 基于画像技术的网络异常检测方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810036841.6A CN108270620B (zh) 2018-01-15 2018-01-15 基于画像技术的网络异常检测方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN108270620A CN108270620A (zh) 2018-07-10
CN108270620B true CN108270620B (zh) 2020-07-31

Family

ID=62775458

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810036841.6A Active CN108270620B (zh) 2018-01-15 2018-01-15 基于画像技术的网络异常检测方法、装置、设备及介质

Country Status (2)

Country Link
CN (1) CN108270620B (zh)
WO (1) WO2019136955A1 (zh)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108270620B (zh) * 2018-01-15 2020-07-31 深圳市联软科技股份有限公司 基于画像技术的网络异常检测方法、装置、设备及介质
CN108965055B (zh) * 2018-07-17 2021-07-13 成都信息工程大学 一种基于历史时间取点法的网络流量异常检测方法
CN108881294B (zh) * 2018-07-23 2021-05-25 杭州安恒信息技术股份有限公司 基于网络攻击行为的攻击源ip画像生成方法以及装置
CN111049664A (zh) * 2018-10-11 2020-04-21 中兴通讯股份有限公司 一种网络告警处理方法、装置及存储介质
CN109600363B (zh) * 2018-11-28 2020-01-21 南京财经大学 一种物联网终端网络画像及异常网络访问行为检测方法
CN109347880A (zh) * 2018-11-30 2019-02-15 北京神州绿盟信息安全科技股份有限公司 一种安全防护方法、装置及系统
CN109450735A (zh) * 2018-12-04 2019-03-08 成都知道创宇信息技术有限公司 一种基于上行流量的识别tcp正常请求的方法
CN111193633B (zh) * 2019-08-28 2022-09-30 腾讯科技(深圳)有限公司 异常网络连接的检测方法及装置
CN112654047A (zh) * 2019-09-25 2021-04-13 中兴通讯股份有限公司 识别异常终端的方法、装置、基站及存储介质
CN111277598B (zh) * 2020-01-21 2022-11-04 北京天琴合创技术有限公司 一种基于流量的应用攻击识别方法及系统
CN111614614B (zh) * 2020-04-14 2022-08-05 瑞数信息技术(上海)有限公司 应用于物联网的安全监测方法和装置
CN111917609B (zh) * 2020-08-12 2022-02-11 中国工商银行股份有限公司 网络设备连通性监控方法及系统
CN112134723A (zh) * 2020-08-21 2020-12-25 杭州数梦工场科技有限公司 网络异常监测方法、装置、计算机设备和存储介质
CN114157442A (zh) * 2020-09-04 2022-03-08 阿里巴巴集团控股有限公司 异常流量检测方法、DDoS攻击检测方法、装置和电子设备
CN112287373A (zh) * 2020-11-13 2021-01-29 Oppo广东移动通信有限公司 数据处理方法、装置、存储介质及网络接入点设备
TWI730927B (zh) * 2020-11-20 2021-06-11 財團法人資訊工業策進會 模糊測試裝置及模糊測試方法
CN112488175B (zh) * 2020-11-26 2023-06-23 中孚安全技术有限公司 一种基于行为聚合特征的异常用户检测方法、终端及存储介质
CN112488226B (zh) * 2020-12-10 2022-11-01 中国电子科技集团公司第三十研究所 一种基于机器学习算法的终端异常行为识别方法
CN112966259A (zh) * 2021-03-03 2021-06-15 北京科东电力控制系统有限责任公司 电力监控系统运维行为安全威胁评估方法及设备
CN112953961B (zh) * 2021-03-14 2022-05-17 国网浙江省电力有限公司电力科学研究院 配电房物联网中设备类型识别方法
CN113141274A (zh) * 2021-04-26 2021-07-20 合肥全息网御科技有限公司 基于网络全息图实时检测敏感数据泄露的方法、系统和存储介质
CN114050922B (zh) * 2021-11-05 2023-07-21 国网江苏省电力有限公司常州供电分公司 一种基于时空ip地址画像的网络流异常检测方法
CN116095683B (zh) * 2023-04-11 2023-06-13 微网优联科技(成都)有限公司 无线路由器的网络安全防护方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016085732A1 (en) * 2014-11-24 2016-06-02 Cisco Technology, Inc. Anomaly detection in protocol processes
CN106789935A (zh) * 2016-11-29 2017-05-31 上海辰锐信息科技公司 一种终端异常检测方法
CN107306200A (zh) * 2016-04-22 2017-10-31 中国电信股份有限公司 网络故障预警方法和用于网络故障预警的网关
CN107483455A (zh) * 2017-08-25 2017-12-15 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196930B (zh) * 2017-05-12 2019-11-29 苏州优圣美智能系统有限公司 计算机网络异常检测的方法
CN108270620B (zh) * 2018-01-15 2020-07-31 深圳市联软科技股份有限公司 基于画像技术的网络异常检测方法、装置、设备及介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016085732A1 (en) * 2014-11-24 2016-06-02 Cisco Technology, Inc. Anomaly detection in protocol processes
CN107306200A (zh) * 2016-04-22 2017-10-31 中国电信股份有限公司 网络故障预警方法和用于网络故障预警的网关
CN106789935A (zh) * 2016-11-29 2017-05-31 上海辰锐信息科技公司 一种终端异常检测方法
CN107483455A (zh) * 2017-08-25 2017-12-15 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和系统

Also Published As

Publication number Publication date
CN108270620A (zh) 2018-07-10
WO2019136955A1 (zh) 2019-07-18

Similar Documents

Publication Publication Date Title
CN108270620B (zh) 基于画像技术的网络异常检测方法、装置、设备及介质
US11070569B2 (en) Detecting outlier pairs of scanned ports
US10333815B2 (en) Real-time detection of abnormal network connections in streaming data
CN101202652B (zh) 网络应用流量分类识别装置及其方法
US11770397B2 (en) Malicious port scan detection using source profiles
US11711389B2 (en) Scanner probe detection
CN111262851A (zh) Ddos攻击检测方法、装置、电子设备及存储介质
CN111507363A (zh) 预测光模块故障的方法、装置和设备
JP7086230B2 (ja) プロトコルに依存しない異常検出
CN112333211A (zh) 一种基于机器学习的工控行为检测方法和系统
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
CN116527390A (zh) 端口扫描检测
US11606271B2 (en) Network directionality mapping system
CN112583763A (zh) 入侵侦测装置以及入侵侦测方法
JP5396999B2 (ja) パケットロス頻度推定システム、パケットロス頻度推定方法およびプログラム
CN110098983B (zh) 一种异常流量的检测方法及装置
CN111767571A (zh) 一种医疗数据泄露的检测方法
WO2023000819A1 (zh) 设备查找方法、装置、系统和计算机可读介质
CN111385160B (zh) 丢包率检测方法、装置、系统及介质
CN114418036B (zh) 神经网络的性能测试和训练方法、设备和存储介质
CN111935072B (zh) 一种云环境中基于警报关联的分布式入侵检测方法
CN113378899B (zh) 非正常账号识别方法、装置、设备和存储介质
Baviskar et al. Design of Machine Learning-Based Malware Detection Methodologies in the Internet of Things Environment
JP2012244302A (ja) ネットワーク監視装置及びネットワーク監視方法
CN116680642A (zh) 异常用户识别模型构建方法及异常用户识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant