CN108667856A - 一种网络异常检测方法、装置、设备及存储介质 - Google Patents
一种网络异常检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN108667856A CN108667856A CN201810908341.7A CN201810908341A CN108667856A CN 108667856 A CN108667856 A CN 108667856A CN 201810908341 A CN201810908341 A CN 201810908341A CN 108667856 A CN108667856 A CN 108667856A
- Authority
- CN
- China
- Prior art keywords
- network
- anomaly detection
- detection scheme
- data
- target network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络异常检测方法,在获取到目标网络的网络流量数据后,从多个网络异常检测方案中确定与网络流量数据对应的目标网络异常检测方案,利用目标网络异常检测方案对目标网络进行网络异常检测,并得到目标网络的网络异常检测结果。在对目标网络进行异常检测时,具有多个网络异常检测方案,针对网络流量数据能确定与网络流量数据对应的多个目标网络异常检测方案,利用多个目标网络异常检测方案对目标网络进行检测,避免了采用单一的网络异常检测方法对IP承载网进行网络异常检测引起的可靠性低的问题,从而进一步避免了对IP承载网的正常运行产生影响。此外,本发明还公开了一种网络异常检测装置、设备及存储介质,效果如上。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种网络异常检测方法、装置、设备及存储介质。
背景技术
IP承载网是实现全业务的重要基石,并且IP承载网对海量的带宽要求较高,同时,IP承载网的安全运行是保证多媒体业务安全实时运行的重要保障。因此,对IP承载网的网络流量数据进行检测以确定IP承载网的网络是否出现异常。
目前,对IP承载网进行网络异常检测的方法包括以下几种:建立流量组合熵矩阵对IP承载网络进行异常检测、通过实时数据和正常数据的敏感性对IP承载网络进行异常检测(指数平滑性检测)、通过分类器对对IP承载网络进行异常检测、通过计算Hurst值对IP承载网络进行异常检测等。虽然现有技术能对IP承载网的网络异常进行检测,但是目前的方法都是基于单种异常检测算法对IP承载网进行网络异常检测,而IP承载网的网络异常情况分为很多种类型,如DOS攻击、网络扫描攻击、端口扫描攻击等,如此,采用单种异常检测算法对IP承载网进行网络异常检测时,只能检测出于该种异常检测算法对应的一种或较少类型的网络异常情况,使得对IP承载网进行网络异常检测的可靠性较低,若不能准确的检测出IP承载网的网络异常情况,则会进一步影响IP承载网的正常运行。
因此,如何提高对IP承载网进行网络异常检测的可靠性以避免对IP承载网的正常运行产生影响是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种网络异常检测方法、装置、设备及存储介质,提高了对IP承载网进行网络异常检测的可靠性以避免对IP承载网的正常运行产生影响。
为实现上述目的,本发明实施例提供了如下技术方案:
第一,本发明实施例提供了一种网络异常检测方法,包括:
获取目标网络的网络流量数据;
从多个网络异常检测方案中选取与所述网络流量数据对应的目标网络异常检测方案,所述目标网络异常检测方案为多个;
利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测,并得到所述目标网络的网络异常检测结果。
优选的,所述从多个网络异常检测方案中选取与所述网络流量数据对应的目标网络异常检测方案包括:
确定与所述网络流量数据对应的单位数据量;
将各所述网络异常检测方案中的数据量阈值与所述单位数据量进行比对;
将所述数据量阈值在与所述单位数据量对应的正常范围内的网络异常检测方案作为第一目标网络异常检测方案;
将基于GDBT算法的网络异常检测方案作为第二目标网络异常检测方案;
所述目标网络异常检测方案包括所述第一目标网络异常检测方案和所述第二目标网络异常检测方案。
优选的,网络异常检测方案包括:熵值型检测方案、Hurst值型检测方案、指数平滑型检测方案、所述基于GDBT算法的网络异常检测方案;
对应的,所述从多个网络异常检测方案中确定与所述网络流量数据对应的目标网络异常检测方案包括:
判断所述熵值型检测方案中的第一数据量阈值、所述Hurst值型检测方案中的第二数据量阈值、所述指数平滑型检测方案中的第三数据量阈值是否小于所述单位数据量;
若所述第一数据量阈值、所述第二数据量阈值和所述第三数据量阈值均大于或等于所述单位数据量,则将所述熵值型检测方案、所述Hurst值型检测方案和所述指数平滑型检测方案均作为所述第一目标网络异常检测方案,将所述基于GDBT算法的网络异常检测方案作为所述第二目标网络异常检测方案;
若所述第一数据量阈值和所述第二数据量阈值大于或等于所述单位数据量、或所述第一数据量阈值和所述第三数据量阈值大于或等于所述单位数据量、或所述第二数据量阈值和所述第三数据量阈值大于或等于所述单位数据量,则将所述熵值型检测方案和Hurst值型检测方案、或所述熵值型检测方案和所述指数平滑型检测方案、或所述Hurst值型检测方案和所述指数平滑型检测方案作为所述目标网络异常检测方案,将所述基于GDBT算法的网络异常检测方案作为所述第二目标网络异常检测方案。
优选的,若所述第一目标网络异常检测方案为所述熵值型检测方案和所述基于GDBT算法的网络异常检测方案,则所述利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测包括:
分别计算与目标网络对应的目的IP和目的端口的熵值以通过所述熵值对所述目标网络进行检测;
对应的,所述得到所述目标网络的网络异常检测结果包括:
若所述目的IP的熵值大于第一阈值,则所述目标网络的网络异常检测结果为端口扫描攻击;
若所述目的IP的熵值小于或等于所述第一阈值,所述目的端口的熵值大于或等于所述第二阈值,则所述目标网络的网络异常检测结果为正常;
若所述目的IP的熵值小于或等于所述第一阈值,所述目的端口的熵值小所述第二阈值,则所述目标网络的网络异常检测结果为DOS攻击;
利用所述基于GDBT算法的网络异常检测方案对与所述熵值型检测方案对应的检测结果进行判断以确定所述检测结果是否正确。
优选的,若所述第一目标网络异常检测方案为所述Hurst值型检测方案和所述基于GDBT算法的网络异常检测方案,则所述利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测包括:
将所述网络流量数据对应的时间等分为多个时间段;
分别计算每个时间段内的网络流量数据与标准网络流量数据的Hurst值以通过所述Hurst值对所述目标网络进行网络异常检测;
对应的,所述得到所述目标网络的网络异常检测结果包括:
若各所述Hurst值中存在大于第三阈值的Hurst值,则所述目标网络的网络异常检测结果为DOS攻击;
利用所述基于GDBT算法的网络异常检测方案对与所述Hurst值型检测方案对应的检测结果进行判断以确定所述检测结果是否正确。
优选的,若所述第一目标网络异常检测方案为所述指数平滑型检测方案和所述基于GDBT算法的网络异常检测方案,则所述利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测包括:
确定目标网络的初始周期的网络流量数据;
根据所述初始周期的网络流量数据预测下一个周期的网络流量数据得到预测值;
确定所述下一个周期的网络流量数据的实际值与所述预测值的偏差以通过所述偏差对所述目标网络进行网络异常检测;
对应的,所述得到所述目标网络的网络异常检测结果包括:
若所述偏差大于或等于第四阈值,则所述目标网络的网络异常检测结果为DOS攻击或端口扫描攻击或网络扫描攻击;
利用所述基于GDBT算法的网络异常检测方案对与所述指数平滑型检测方案对应的检测结果进行判断以确定所述检测结果是否正确。
优选的,所述利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测,并得到所述目标网络的网络异常检测结果包括:
若所述网络异常检测结果为所述目标网络出现异常;
则发送报警信息至目标人员的移动设备以进行网络异常报警。
第二,本发明实施例提供了一种网络异常检测装置,包括:
获取模块,用于获取目标网络的网络流量数据;
确定模块,用于从多个网络异常检测方案中选取与所述网络流量数据对应的目标网络异常检测方案,所述目标网络异常检测方案为多个;
检测模块,用于利用所述目标网络异常检测方案对所述目标网络进行网络异常检测,并得到所述目标网络的网络异常检测结果。
第三,本发明实施例公开了一种网络异常检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中存储的计算机程序以实现如以上任一种所述的网络异常检测方法的步骤。
第四,本发明实施例公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上任一种所述的网络异常检测方法的步骤。
可见,本发明提供的一种网络异常检测方法,在获取到目标网络的网络流量数据后,从多个网络异常检测方案中确定与网络流量数据对应的目标网络异常检测方案,利用目标网络异常检测方案对目标网络进行网络异常检测,并得到目标网络的网络异常检测结果。因此,采用本方案,对目标网络进行异常检测时,具有多个网络异常检测方案,针对网络流量数据能确定与网络流量数据对应的多个目标网络异常检测方案,利用多个目标网络异常检测方案对目标网络进行检测,避免了采用单一的网络异常检测方法对IP承载网进行网络异常检测引起的可靠性低的问题,从而进一步避免了对IP承载网的正常运行产生影响。此外,本发明实施例还公开了一种网络异常检测装置、设备及存储介质,效果如上。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种网络异常检测方法流程示意图;
图2为本发明实施例公开的一种网络异常检测装置结构示意图;
图3为本发明实施例公开的一种网络异常检测设备结构示意图;
图4(a)为本发明实施例公开的一种单位时间内网络流量数据的曲线图;
图4(b)本发明实施例公开的一种单位时间内网络流量数据的局部曲线图;
图5(a)为本发明实施例公开的一种Hurst值型检测方案的网络异常检测结果曲线图;
图5(b)为本发明实施例公开的一种Hurst值型检测方案的网络异常检测结果局部曲线图;
图6(a)为本发明实施例公开的一种熵值型检测方案中的源IP熵值网络异常检测结果曲线图;
图6(b)为本发明实施例公开的一种熵值型检测方案中的源IP熵值网络异常检测结果局部曲线图;
图6(c)为本发明实施例公开的一种熵值型检测方案中的源端口熵值网络异常检测结果曲线图;
图6(d)为本发明实施例公开的一种熵值型检测方案中的源端口熵值网络异常检测结果局部曲线图;
图7(a)为本发明实施例公开的一种熵值型检测方案中的目的IP熵值网络异常检测结果曲线图;
图7(b)为本发明实施例公开的一种熵值型检测方案中的目的IP熵值网络异常检测结果局部曲线图;
图7(c)为本发明实施例公开的一种熵值型检测方案中的目的端口熵值网络异常检测结果曲线图;
图7(d)为本发明实施例公开的一种熵值型检测方案中的目的端口熵值网络异常检测结果曲线图;
图8(a)为本发明实施例公开的一种指数平滑型检测方案的预测波动曲线图;
图8(b)为本发明实施例公开的一种指数平滑型检测方案的局部预测波动曲线图;
图8(c)为本发明实施例公开的一种指数平滑型检测方案的预测判定曲线图;
图8(d)为本发明实施例公开的一种指数平滑型检测方案的局部预测判定曲线图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种网络异常检测方法、装置、设备及存储介质,提高了对IP承载网进行网络异常检测的可靠性以避免对IP承载网的正常运行产生影响。
请参见图1,图1为本发明实施例公开的一种网络异常检测方法流程示意图,该方法包括:
S101、获取目标网络的网络流量数据。
具体的,本实施例中,目标网络可以为IP承载网,网络流量数据可以为源IP的数据、源端口的数据、协议(包括UDP协议和TCP协议)数据、目的IP的数据、目的端口的数据、时间戳数据等。此外,除了本发明实施例提到的网络流量数据的类型,还可以有其他类型的网络流量数据,本发明实施例在此并不作限定。
S102、从多个网络异常检测方案中选取与网络流量数据对应的目标网络异常检测方案,目标网络异常检测方案为多个。
具体的,本实施例中,该步骤主要是根据网络流量数据的数据量的多少,来选取与网络流量数据对应的目标网络异常检测方案。网络异常检测方案的类型具体分为以下几种:第一种为熵值型检测方案、第二种为Hurst值型检测方案、第三种为指数平滑型检测方案、第四种为基于GDBT算法的网络异常检测方案。目标网络异常检测方案可以为:第一种,熵值型检测方案、Huret值型检测方案、指数平滑型检测方案中的任意两种方案的组合或者该三种方案的组合;第二种,熵值型检测方案、Huret值型检测方案、指数平滑型检测方案中的任意一个检测方案与基于GDBT算法的网络异常检测方案的组合;第三种,熵值型检测方案、Huret值型检测方案、指数平滑型检测方案中的任意两个检测方案的组合或该三种检测方案的组合与基于GDBT算法的网络异常检测方案的组合方案。本发明实施例中,考虑到各检测方案在执行过程中的资源使用的情况,作为优选的实施例,将熵值型检测方案、Huret值型检测方案、指数平滑型检测方案中的任意一个检测方案与基于GDBT算法的网络异常检测方案作为组合方案以对目标网络进行检测,关于此部分内容,本发明将在下文进行详细的介绍。
S103、利用目标网络异常检测方案和网络流量数据对目标网络进行网络异常检测,并得到目标网络的网络异常检测结果。
具体的,本实施例中,在确定目标网络异常检测方案后,结合目标网络的网络流量数据和目标网络异常检测方案对目标网络进行网络异常检测,本步骤的核心是:利用目标网络异常检测方案对网络流量数据进行分析,从而通过对网络流量数据的分析结果判定目标网络是否异常。关于此部分内容,将在下面的实施例进行详细介绍。
可见,本发明实施例公开的一种网络异常检测方法,在获取到目标网络的网络流量数据后,从多个网络异常检测方案中确定与网络流量数据对应的目标网络异常检测方案,利用目标网络异常检测方案对目标网络进行网络异常检测,并得到目标网络的网络异常检测结果。因此,采用本方案,对目标网络进行异常检测时,具有多个网络异常检测方案,针对网络流量数据能确定与网络流量数据对应的多个目标网络异常检测方案,利用多个目标网络异常检测方案对目标网络进行检测,避免了采用单一的网络异常检测方法对IP承载网进行网络异常检测引起的可靠性低的问题,从而进一步避免了对IP承载网的正常运行产生影响。
基于以上实施例,作为优选的实施例,步骤S102包括:
确定与网络流量数据对应的单位数据量。
将各网络异常检测方案中的数据量阈值与单位数据量进行比对。
将数据量阈值在与单位数据量对应的正常范围内的网络异常检测方案作为第一目标网络异常检测方案。
将基于GDBT算法的网络异常检测方案作为第二目标网络异常检测方案。
目标网络异常检测方案包括第一目标网络异常检测方案和第二目标网络异常检测方案。
具体的,本实施例中,其实施的核心主要是:如果目标网络的单位数据量超出网络异常检测方案中的数据量阈值,则允许通过该网络异常检测方案对目标网络进行网络异常检测(第一目标网络异常检测方案),然后结合第二目标网络异常检测方案(基于GDBT算法的网络异常检测方案)再次对目标网络进行网络异常检测。保证了对目标网络进行网络异常检测的准确性。
进一步,本实施例中的单位数据量的计算方式如下:利用目标网络的某一时间段内的网络流量数据除以该时间段的时长便为单位数据量。通过计算单位时间内的网络流量数据的大小可以判断当前网络活动的活跃情况,当单位时间内的网络流量数据低到一定范围时,是不可能出现某些网络攻击的,这样再进一步确定是否需要采用网络异常检测方案对目标网络进行网络异常检测。如果此时,单位数据量不满足任何一个网络异常检测方案中的数据流阈值,则此时不需要对目标网络进行网络异常检测。
此外,各网络异常检测方案中的数据量阈值的大小可以根据各个网络异常检测方案的准确度要求进行确定,本发明实施例在此并不作限定。
可见,本发明实施例中,通过将单位数据量和网络异常方案中的数据量阈值进行比对,只有单位数据量满足各网络异常方案中的数据量阈值的要求时,才结合该网络异常检测方案和基于GDBT算法的网络异常检测方案对目标网络进行网络异常检测,采用本方案,在单位数据量不满足各网络异常检测方案的数据量阈值的要求时,此时,很大程度上目标网络不会遭到攻击(出现异常),也就不需要对目标网络进行网络异常检测,节省了检测程序所占用的时间和资源,在单位数据量满足各网络异常检测方案的数据量阈值的要求时,能结合第一目标网络异常检测方案和第二目标网络异常检测方案对目标网络进行网络异常检测,保证了对目标网络的网络异常检测的可靠性。
基于上述实施例,作为优选的实施例,网络异常检测方案包括:熵值型检测方案、Hurst值型检测方案、指数平滑型检测方案、基于GDBT算法的网络异常检测方案;
对应的,从多个网络异常检测方案中确定与网络流量数据对应的目标网络异常检测方案包括:
判断熵值型检测方案中的第一数据量阈值、Hurst值型检测方案中的第二数据量阈值、指数平滑型检测方案中的第三数据量阈值是否小于单位数据量;
若第一数据量阈值、第二数据量阈值和第三数据量阈值均大于或等于单位数据量,则将熵值型检测方案、Hurst值型检测方案和指数平滑型检测方案均作为第一目标网络异常检测方案,将基于GDBT算法的网络异常检测方案作为第二目标网络异常检测方案;
若第一数据量阈值和第二数据量阈值大于或等于单位数据量、或第一数据量阈值和第三数据量阈值大于或等于单位数据量、或第二数据量阈值和第三数据量阈值大于或等于单位数据量,则将熵值型检测方案和Hurst值型检测方案、或熵值型检测方案和指数平滑型检测方案、或Hurst值型检测方案和指数平滑型检测方案作为目标网络异常检测方案,将基于GDBT算法的网络异常检测方案作为第二目标网络异常检测方案。
具体的,除了本实施例中提到的网络异常检测方案外,还可以有其他的网络异常检测方案,同时,除了本实施例提到的各网络异常检测方案的组合方式外,还可以有其他类型的组合方式,如将熵值型检测方案、Hurst值型检测方案、指数平滑型检测方案中的任意一个检测方案和基于GDBT算法的网络异常检测方案进行组合。也可以将熵值型检测方案、Hurst值型检测方案、指数平滑型检测方案中的任意两个检测方案或者将熵值型检测方案、Hurst值型检测方案、指数平滑型检测方案三者进行组合。
基于上述实施例,作为优选的实施例,若第一目标网络异常检测方案为熵值型检测方案和基于GDBT算法的网络异常检测方案,则利用目标网络异常检测方案和网络流量数据对目标网络进行网络异常检测包括:
分别计算与目标网络对应的目的IP和目的端口的熵值以通过熵值对目标网络进行检测;
对应的,得到目标网络的网络异常检测结果包括:
若目的IP的熵值大于第一阈值,则目标网络的网络异常检测结果为端口扫描攻击;
若目的IP的熵值小于或等于第一阈值,目的端口的熵值大于或等于第二阈值,则目标网络的网络异常检测结果为正常;
若目的IP的熵值小于或等于第一阈值,目的端口的熵值小第二阈值,则目标网络的网络异常检测结果为DOS攻击;
利用基于GDBT算法的网络异常检测方案对与熵值型检测方案对应的检测结果进行判断以确定检测结果是否正确。
具体的,本实施例中,熵值型检测方案主要是负责检测网络扫描攻击和端口扫描攻击,除此之外,还可以检测DOS攻击(但效果不明显)。本实施例主要是计算与目标网络对应的目的IP和目的端口的熵值(熵值计算可以参见现有技术),一般情况下,目的IP和目的端口的数据越集中,则熵值越大。对于目标网络中是否遭到攻击可以有以下判定准则:目的IP的熵值越小,目的端口的熵值越大则表明目标网络为正常情况。本发明实施例中,通过设定第一阈值和第二阈值的方式来判断目标网络是否遭到端口扫描攻击和DOS攻击。第一阈值和第二阈值的具体大小可以目标网络的实际情况进行确定,本发明实施例在此暂不作限定。在由熵值型检测方案输出目的IP的熵值和目的端口的熵值后,将其作为GDBT算法的网络异常检测方案中的GDBT算法模型的输入数据,然后由GDBT算法进一步确定熵值型检测方案所得到的检测结果是否正确。GDBT算法主要是对熵值型检测方案得到的检测结果进行正确率评估,如,熵值型检测方案得到的熵值为3,超出了第三阈值2,则将该熵值作为GDBT算法的输入,得到该熵值下目标网络为异常的准确率为99.88%,此时,说明该目标网络遭到端口扫描攻击的可能性很大。
可见,本发明实施例中,通过熵值型检测方案和基于GDBT算法的网络异常检测方案对目标网络进行网络异常检测,保证了对目标网络进行检测的可靠性。
基于上述实施例,作为优选的实施例,若第一目标网络异常检测方案为Hurst值型检测方案和基于GDBT算法的网络异常检测方案,则利用目标网络异常检测方案和网络流量数据对目标网络进行网络异常检测包括:
将网络流量数据对应的时间等分为多个时间段;
分别计算每个时间段内的网络流量数据与标准网络流量数据的Hurst值以通过Hurst值对目标网络进行网络异常检测;
对应的,得到目标网络的网络异常检测结果包括:
若各Hurst值中存在大于第三阈值的Hurst值,则目标网络的网络异常检测结果为DOS攻击;
利用基于GDBT算法的网络异常检测方案对与Hurst值型检测方案对应的检测结果进行判断以确定检测结果是否正确。
具体的,本实施例中,正常的网络流量数据是具有相似性的,而且Hurst值可以衡量一个序列的网络流量数据的自相似性,当发生DOS攻击时,服务器的数据访问量将会变得很大,如果将某一时间周期等分为多个时间段,然后计算每个时间段内的网络流量数据与标准网络流量数据的比值(Hurst值),其中,Hurst值越小,说明该时间段内的网络流量数据与标准网络流量数据相似度越大,即目标网络发生DOS攻击的可能性越小。如果,该时间周期内的某个时间段内的Hurst值存在大于第三阈值的Hurst值,则说明该时间段内的网络流量数据与标准网络流量数据之间的相似性不大,可能出现DOS攻击。第三阈值的大小可以根据目标网络的规模和类型确定,本发明实施例在此并不作限定。在由Hurst值型检测方案得到目标网络的Hurst值之后,再利用GDBT算法(可以参见现有技术)对由Hurst值型检测方案得到Hurst值进一步进行检测,以确定采用Hurst值型检测方案得到的网络异常检测结果(DOS攻击)是否正确,GDBT算法主要是对Hurst值型检测方案得到的检测结果进行正确率评估,如,Hurst值型检测方案得到的Hurst值为2,超出了第三阈值1.5,则将该Hurst值作为GDBT算法的输入,得到该Hurst值下目标网络为异常的准确率为98%,此时,说明该目标网络遭到DOS攻击的可能性很大。
可见,本发明实施例中,通过Hurst值型检测方案和基于GDBT算法的网络异常检测方案对目标网络进行网络异常检测,保证了对目标网络进行检测的可靠性。
基于上述实施例,作为优选的实施例,若第一目标网络异常检测方案为指数平滑型检测方案和基于GDBT算法的网络异常检测方案,则利用目标网络异常检测方案和网络流量数据对目标网络进行网络异常检测包括:
确定目标网络的初始周期的网络流量数据;
根据初始周期的网络流量数据预测下一个周期的网络流量数据得到预测值;
确定下一个周期的网络流量数据的实际值与预测值的偏差以通过偏差对目标网络进行网络异常检测;
对应的,得到目标网络的网络异常检测结果包括:
若偏差大于或等于第四阈值,则目标网络的网络异常检测结果为DOS攻击或端口扫描攻击或网络扫描攻击;
利用基于GDBT算法的网络异常检测方案对与指数平滑型检测方案对应的检测结果进行判断以确定检测结果是否正确。
具体的,本实施例中,由于指数平滑型检测方案具有较稳定的时间序列预测功能,当目标网络发生网络攻击时会有大量的异常数据,此时的网络流量数据明显大于正常情况的网络流量数据,所以可以通过比较网络流量数据的预测值与实际值的差距大小来判定目标网络是否发生异常。由于正常的目标网络的波动不会太大,因此,目标网络流量数据在时间周期内的变化量也并不大。
本发明实施例中,可以选取第一个完整判定周期的网络流量数据作为初始网络流量数据,在随后的时间周期内,如果检测到预测网络流量数据比实际网络流量数据小很多,便可初步判断为目标网络异常。
进一步,下一个周期的网络流量数据的实际值与预测值的偏差可以利用下式进行计算:
其中,v为网络流量数据的实际值与预测值的偏差,v的值越小,说明网络流量数据的实际值与预测值之间的偏差越小。p表示当前时间内网络流量数据的预测值,l表示的是当前时间内的网络流量数据的实际值。
第四阈值的大小可以根据目标网络的规模和类型进行确定,本发明实施例在此并不作限定。本发明实施例中,根据实验数据,将第四阈值优选为0.3。
在通过指数平滑型检测方案得到目标网络的网络异常检测结果之后,将检测结果作为GDBT算法的输入,以进一步对目标网络的网络异常情况进行检测,GDBT算法主要是对指数平滑型检测方案得到的检测结果进行正确率评估,如,指数平滑型检测方案得到的偏差为0.4,超出了第四阈值,则将该偏差值作为GDBT算法的输入,得到该偏差下目标网络为异常的准确率为99%。
可见,本发明实施例中,通过指数平滑型检测方案和基于GDBT算法的网络异常检测方案对目标网络进行网络异常检测,保证了对目标网络进行检测的可靠性。
在得到网络异常检测结果之后,为了及时的通知相关人员以对目标网络进行修复或者阻止相关的网络攻击以避免目标网络受到进一步的破坏,因此,基于上述实施例,作为优选的实施例,步骤S103之后,还包括:
若网络异常检测结果为目标网络出现异常。
则发送报警信息至目标人员的移动设备以进行网络异常报警。
具体的,本实施例中,目标网络出现异常包括:遭到DOS攻击或网络扫描攻击或者端口扫描攻击等。报警信息可以为:目标网络出现异常的原因,目标网络出现异常的时间等信息等,移动设备可以为目标人员的手机、手持电脑等设备。目标人员为相关技术人员。
可见,本实施例中,通过发送报警信息至目标人员的移动设备以及时的通知相关人员关于目标网络的网络异常情况,从而便于相关人员对网络异常情况进行及时的处理,避免了目标网络遭受更严重的损害。
下面对本发明实施例公开的一种网络异常检测装置进行介绍,请参见图2,图2为本发明实施例公开的一种网络异常检测装置结构示意图,该装置包括:
获取模块201,用于获取目标网络的网络流量数据;
确定模块202,用于从多个网络异常检测方案中选取与网络流量数据对应的目标网络异常检测方案,目标网络异常检测方案为多个;
检测模块203,用于利用目标网络异常检测方案对目标网络进行网络异常检测,并得到目标网络的网络异常检测结果。
可见,本发明实施例提供的一种网络异常检测装置,在获取到目标网络的网络流量数据后,从多个网络异常检测方案中确定与网络流量数据对应的目标网络异常检测方案,利用目标网络异常检测方案对目标网络进行网络异常检测,并得到目标网络的网络异常检测结果。因此,采用本方案,对目标网络进行异常检测时,具有多个网络异常检测方案,针对网络流量数据能确定与网络流量数据对应的多个目标网络异常检测方案,利用多个目标网络异常检测方案对目标网络进行检测,避免了采用单一的网络异常检测方法对IP承载网进行网络异常检测引起的可靠性低的问题,从而进一步避免了对IP承载网的正常运行产生影响。
请参见图3,图3为本发明实施例提供的网络异常检测设备结构示意图,包括:
存储器301,用于存储计算机程序;
处理器302,用于执行所述存储器中存储的计算机程序以实现以上任一项提到的网络异常检测方法的步骤。
本实施例提供的网络异常检测设备,由于可以通过处理器调用存储器存储的计算机程序,实现如上述任一实施例提供的网络异常检测方法的步骤,所以本检测设备具有同上述网络异常检测方法同样的实际效果。
为了更好地理解本方案,本发明实施例提供的一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上任一实施例提到的网络异常检测方法的步骤。
本实施例提供的计算机可读存储介质,由于可以通过处理器调用计算机可读存储介质存储的计算机程序,实现如上述任一实施例提供的网络异常检测方法的步骤,所以本计算机可读存储介质具有同上述网络异常检测方法同样的实际效果。
为了更好的理解本发明的技术方案,下面结合实际应用场景对本发明的技术方案进行介绍,具体如下:
本发明所使用的实验数据为某大学校园网2018年7月18日至2018年7月24日一周的数据,平均每天的网络流量数据大约为270万左右。通过网络嗅探获取SDN网络(本发明实施例中的目标网络)数据,并将网络流量数据以csv格式保存下来。
为了增加读取网络流量数据的速度和便捷性,则把csv格式的网络流量数据导入到mysql数据库中,在进行网络异常检测时从mysql数据库中读取。由于校园网比较稳定,很少出现网络攻击,所以根据每种网络攻击的特点,人工加入部分攻击数据来模拟网络攻击,具体加入的网络攻击有DOS攻击、网络扫描攻击、端口扫描攻击。
首先将csv格式网络流量数据导入到mysql数据库中,然后用python脚本插入部分自己模拟网络攻击的数据,相比直接使用mysql语句插入数据,python脚本可以将多条插入的数据写入一条语句中,提高了插入数据的效率。其中,作为优选,本发明使用python实现本发明的技术方案。
在读取到某大学校园网的网络流量数据之后,求得单位时间内的网络流量数据的数据量大小。本实验中单位时间内的网络流量数据为一分钟内通过的网络流量数据。请参见图4(a)和图4(b),图4(a)为本发明实施例公开的一种单位时间内网络流量数据的曲线图,图4(b)本发明实施例公开的一种单位时间内网络流量数据的局部曲线图。由图4(a)可知,图4(a)中有部分时间点单位时间内的网络流量数据较高,有部分时间点单位时间内的网络流量数据略高,大多数时间点单位时间内的网络流量数据较低;其中,单位时间内的网络流量数据较高的为DOS攻击,单位时间内的网络流量数据略高的为网络扫描和端口扫描攻击,单位时间内的网络流量数据较低的为未发生网络攻击。图4(b)是为了更好的分析网络流量数据,对图4(a)中的部分网络流量数据进行了截取。在图4(b)中左侧略高的四个波峰均为网络扫描攻击,中间较高的四个波峰为DOS攻击,右侧略高的四个波峰为端口扫描攻击。由图4(b)中可以看出中间的四个波峰明显高于两侧的波峰,这是由于DOS攻击的网络流量数据量明显大于网络扫描和端口扫描攻击的网络流量数据量的结果。对于波谷的时间点波动范围都不大,证明了正常流量网络数据的波动远小于异常网络流量数据对其产生的波动的结果。
在得到上述单位时间内的网络流量数据之后,通过Hurst值型检测方案、指数平滑型检测方案、熵值型检测方案对目标网络进行网络异常检测。
首先是Hurst值型检测方案,Hurst值型检测方案的输出为每个时间点的Hurst值。请参见图5(a)和图5(b),图5(a)为本发明实施例公开的一种Hurst值型检测方案的网络异常检测结果曲线图,图5(b)为本发明实施例公开的一种Hurst值型检测方案的网络异常检测结果局部曲线图;图5(a)中有部分时间点Hurst值较高,多数时间点Hurst值为中等大小。与异常记录中的时间点进行比较,Hurst值超过1.0的时间点均发生了异常,其中DOS攻击的时间点略高,网络扫描与端口扫描的时间点略低。图5(b)是对图5(a)部分数据的截取。根据异常记录,在图5(b)中左侧略高的四个波峰均为端口网络扫描攻击,中间较高的四个波峰为DOS攻击,右侧略高的四个波峰为端口扫描攻击。所有的异常时间点Hurst值均超过了1.0,图中未超过1.0的时间点均为正常情况,符合了Hurst值超过1.0为异常的预期。经与异常记录的比较,所有异常的时间点在左侧图中均有明显的变化。
其次是熵值型检测方案,熵值型检测方案的输出为每个时间点的源IP熵值、源端口熵值、目的IP熵值、目的端口熵值。请参见图6(a),图6(b),图6(c)和图6(d),图6(a)为本发明实施例公开的一种熵值型检测方案中的源IP熵值网络异常检测结果曲线图;图6(b)为本发明实施例公开的一种熵值型检测方案中的源IP熵值网络异常检测结果局部曲线图;图6(c)为本发明实施例公开的一种熵值型检测方案中的源端口熵值网络异常检测结果曲线图;图6(d)为本发明实施例公开的一种熵值型检测方案中的源端口熵值网络异常检测结果局部曲线图。由图6(a)可知,所有异常时间点熵值明显减小。由图6(b)可知,遭到DOS攻击的时间点的熵值比遭到网络扫描和端口扫描的时间点的熵值偏小,这符合DOS攻击数据量比网络扫描和端口扫描数据量大的特点。在图6(c)和图6(d)中,在异常时间点的源端口的熵值有变化,但变化的量无法准确衡量,如图6(d)不仅无法区分DOS攻击、网络扫描、端口扫描攻击且不能准确的判断目标网络是否发生异常,其原因是不同电脑在使用时的IP不同但使用的源端口很可能相同,比如浏览网页时通过的HTTP协议使用的均是80端口,此端口在网络中就占有较大的比重。虽然源端口的熵值无法准确的衡量网络的状态,但其大幅度的波动依旧对判断网络攻击有意义,所以本发明实施例仍将源端口的熵值作为基于GDBT算法的网络异常检测方案的输入。
请参见图7(a)、图7(b)、图7(c)和图7(d),图7(a)为本发明实施例公开的一种熵值型检测方案中的目的IP熵值网络异常检测结果曲线图,图7(b)为本发明实施例公开的一种熵值型检测方案中的目的IP熵值网络异常检测结果局部曲线图,图7(c)为本发明实施例公开的一种熵值型检测方案中的目的端口熵值网络异常检测结果曲线图,图7(d)为本发明实施例公开的一种熵值型检测方案中的目的端口熵值网络异常检测结果曲线图;图7(a)与图7(c)中均有部分时间点熵值偏高,部分时间点熵值偏低,多数时间点熵值为中等大小。与异常记录中的时间点进行比较,图7(a)与7(c)两图中熵值偏低的时间点均发生了异常,偏高的时间点大多数发生了异常,其中DoS攻击的时间点的数值最低,但端口扫描攻击和网络扫描攻击在图7(a)和7(c)中的表现却不同:图7(a)中,端口扫描攻击时间点的熵值偏低,网络扫描攻击时间点的熵值略高;在7(c)中,端口扫描的攻击时间点的熵值略高,网络扫描攻击时间点的熵值偏低。这是因为DOS类攻击在攻击目标网络时会对同一个IP发送大量相同的攻击数据,所以目的IP的熵值和目的端口的熵值会降到最低;端口扫描攻击首先会针对一个IP发送大量IP相同但端口不同的访问数据,当此IP的端口扫描过一遍后便会换另一个IP,所以会造成目的IP相同的较多,目的端口会较为分散,所表现的效果便是目的IP的熵值减小,目的端口的熵值略微增大;网络扫描攻击会对同一个网段中相同的所有IP的某个端口进行扫描,所以会造成网络数据中的目的IP较为分散,相同的目的端口的数据较多,在熵值中的表现是目的IP熵值的略微增大,目的端口的熵值减小。
图7(b)和图7(d)是对图7(a)和图7(c)数据的截取,图7(b)和图7(d)中的异常时间点与图4(b)相同。图7(b)目的IP熵值图中网络扫描的攻击时间点熵值略微增大,DoS攻击和端口扫描攻击时间点熵值略微减小,符合预期。其中DoS攻击可以代表DDoS攻击,因为在目的IP和目的端口中DoS攻击和DDoS攻击的影响趋势是相同的。图7(d)目的端口熵值图中端口扫描攻击时间点熵值略微增大,另两种攻击时间点熵值减小,虽然由于端口重合现象导致效果不如目的IP熵值图中的变化趋势明显,但仍能观察出其大致变化趋势,符合预期。
其次是指数平滑型检测方案,指数平滑型检测方案的输出为预测的波动值和预测的判定值。请参见图8(a),图8(b),图8(c)和图8(d),图8(a)为本发明实施例公开的一种指数平滑型检测方案的预测波动曲线图;图8(b)为本发明实施例公开的一种指数平滑型检测方案的局部预测波动曲线图;图8(c)为本发明实施例公开的一种指数平滑型检测方案的预测判定曲线图;图8(d)为本发明实施例公开的一种指数平滑型检测方案的局部预测判定曲线图;指数平滑型检测方案检测出的异常时间点与图4(a)中的相同。8(a)中的数值变化趋势与图4(a)相似,这主要得益于两点:一、选取的时间段网络流量数据较为稳定。二、对于波动值(本发明实施例中采用偏差表示波动值)大于第四阈值(本发明实施例中取为0.3)的时间点使其不参与在下一个时间点预测值的预测,这就避免了对发生网络异常后异常时间点的数据对预测正常数据的干扰。但本实验只针对DoS攻击执行取消干扰的操作,其原因是在复杂的网络环境中,端口扫描与网络扫描攻击可能在巨大的流量背景下无法有效的使异常时间点流量突然增大,所以本发明实施例经过反复实验,将第四阈值选定为0.3,此时既能检测出所有的DoS攻击而又不会判断出其他的攻击。图中时间点在300时有一个较低值,产生原因为前一个时间点有一次网络流量较大的网络扫描,与当前的网络流量差距较大,此时的预测值偏差会较低。由图可知,图8(c)显示的数据为8(a)中较高数据的0,1值,分析其细节数据如图8(b)和图8(d),发现图8(d)中的四个波动时间点处皆是DoS攻击,图8(b)和图8(d)中即是四个较高波动的时间点,说明指数平滑型检测方案的第四阈值的设定可以有效的区分出DoS攻击,而且不会将在网络流量大小上相近的网络扫描攻击和端口扫描攻击误判成DoS攻击。在图8(b)中,在每个端口扫描攻击和网络扫描攻击时间点后几个时间点中,大多有上升的趋势,原因是在经过一个攻击后,后续的预测值会受到攻击的影响,其中影响最大的是攻击后第一个预测值,所以其值会最低。随后由于指数平滑法的历史数据的影响逐渐减小的特性,攻击使预测值偏低的影响会随着时间的推移逐渐减小。而在DoS攻击时间点后没有这样的趋势,原因是DoS攻击在预测数据方面被指数平滑型检测方案中的算法过滤掉了,没有对预测值产生影响。
最后是基于GDBT算法的网络异常检测方案,基于GDBT算法的网络异常检测方案输出的就是对以上三个网络异常检测方案的结果的判断。由表1可知,各指标表现较好,模型效果较好,可以使用本模型进行网络流量异常检测。
由表2可知,测试数据的数据量较大,此时基于GDBT算法的网络异常检测方案在K折交叉验证(可以参见现有技术)时没有检测出来的问题有所暴露,如有将正常情况判断为网络扫描攻击的情况。但基于GDBT算法的网络异常检测方案的最终的检测结果表现良好,精准率都达99%,召回率和F1分数等指标也都在85%以上,表明基于GDBT算法的网络异常检测方案的准确度较高。
此外,需要说明的是,根据测试数据来看,对于攻击种类虽然具有检测错误的情况,但只要有网络攻击发生都会报警,这点保证了系统不会漏过任何一个网络攻击,极高的保证了系统保护的可靠性。
表1 K折交叉验证各指标
从实验数据上看,本发明存在报虚警、报错警但不存在漏报警的情况,说明本发明实施例中的网络异常检测方案对于各种网络攻击的判断较为严格。可以调节参数降低系统对网络检测的严格性,这样可以有效的降低报虚警的概率,但同时这也会增加漏报警的风险。
表2测试数据各指标
本发明实施例中基于GDBT算法的网络异常检测方案得到的表1和表2中的混淆矩阵的概念可以参见现有技术,本发明实施例中的混淆矩阵为4乘4的矩阵,4表示类别的数目(无攻击、DOS攻击、端口扫描和网络扫描)。混淆矩阵的对角线的元素表示的是被分到正确类别的样本数,对角线以外的数据为相对于参考数据的错误样本,从表1和表2得知,被分到错误样本的数据与正确样本的数据相比,显然少很多,本实验中结合本发明实施例提到的三种网络异常检测方案能对目标网络的异常情况进行精准的检测。
以上对本申请所提供的一种网络异常检测方法、装置、设备及存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种网络异常检测方法,其特征在于,包括:
获取目标网络的网络流量数据;
从多个网络异常检测方案中选取与所述网络流量数据对应的目标网络异常检测方案,所述目标网络异常检测方案为多个;
利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测,并得到所述目标网络的网络异常检测结果。
2.根据权利要求1所述的网络异常检测方法,其特征在于,所述从多个网络异常检测方案中选取与所述网络流量数据对应的目标网络异常检测方案包括:
确定与所述网络流量数据对应的单位数据量;
将各所述网络异常检测方案中的数据量阈值与所述单位数据量进行比对;
将所述数据量阈值在与所述单位数据量对应的正常范围内的网络异常检测方案作为第一目标网络异常检测方案;
将基于GDBT算法的网络异常检测方案作为第二目标网络异常检测方案;
所述目标网络异常检测方案包括所述第一目标网络异常检测方案和所述第二目标网络异常检测方案。
3.根据权利要求2所述的网络异常检测方法,其特征在于,所述网络异常检测方案包括:熵值型检测方案、Hurst值型检测方案、指数平滑型检测方案、所述基于GDBT算法的网络异常检测方案;
对应的,所述从多个网络异常检测方案中确定与所述网络流量数据对应的目标网络异常检测方案包括:
判断所述熵值型检测方案中的第一数据量阈值、所述Hurst值型检测方案中的第二数据量阈值、所述指数平滑型检测方案中的第三数据量阈值是否小于所述单位数据量;
若所述第一数据量阈值、所述第二数据量阈值和所述第三数据量阈值均大于或等于所述单位数据量,则将所述熵值型检测方案、所述Hurst值型检测方案和所述指数平滑型检测方案均作为所述第一目标网络异常检测方案,将所述基于GDBT算法的网络异常检测方案作为所述第二目标网络异常检测方案;
若所述第一数据量阈值和所述第二数据量阈值大于或等于所述单位数据量、或所述第一数据量阈值和所述第三数据量阈值大于或等于所述单位数据量、或所述第二数据量阈值和所述第三数据量阈值大于或等于所述单位数据量,则将所述熵值型检测方案和Hurst值型检测方案、或所述熵值型检测方案和所述指数平滑型检测方案、或所述Hurst值型检测方案和所述指数平滑型检测方案作为所述目标网络异常检测方案,将所述基于GDBT算法的网络异常检测方案作为所述第二目标网络异常检测方案。
4.根据权利要求3所述的网络异常检测方法,其特征在于,若所述第一目标网络异常检测方案为所述熵值型检测方案和所述基于GDBT算法的网络异常检测方案,则所述利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测包括:
分别计算与目标网络对应的目的IP和目的端口的熵值以通过所述熵值对所述目标网络进行检测;
对应的,所述得到所述目标网络的网络异常检测结果包括:
若所述目的IP的熵值大于第一阈值,则所述目标网络的网络异常检测结果为端口扫描攻击;
若所述目的IP的熵值小于或等于所述第一阈值,所述目的端口的熵值大于或等于所述第二阈值,则所述目标网络的网络异常检测结果为正常;
若所述目的IP的熵值小于或等于所述第一阈值,所述目的端口的熵值小所述第二阈值,则所述目标网络的网络异常检测结果为DOS攻击;
利用所述基于GDBT算法的网络异常检测方案对与所述熵值型检测方案对应的检测结果进行判断以确定所述检测结果是否正确。
5.根据权利要求3所述的网络异常检测方法,其特征在于,若所述第一目标网络异常检测方案为所述Hurst值型检测方案和所述基于GDBT算法的网络异常检测方案,则所述利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测包括:
将所述网络流量数据对应的时间等分为多个时间段;
分别计算每个时间段内的网络流量数据与标准网络流量数据的Hurst值以通过所述Hurst值对所述目标网络进行网络异常检测;
对应的,所述得到所述目标网络的网络异常检测结果包括:
若各所述Hurst值中存在大于第三阈值的Hurst值,则所述目标网络的网络异常检测结果为DOS攻击;
利用所述基于GDBT算法的网络异常检测方案对与所述Hurst值型检测方案对应的检测结果进行判断以确定所述检测结果是否正确。
6.根据权利要求3所述的网络异常检测方法,其特征在于,若所述第一目标网络异常检测方案为所述指数平滑型检测方案和所述基于GDBT算法的网络异常检测方案,则所述利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测包括:
确定目标网络的初始周期的网络流量数据;
根据所述初始周期的网络流量数据预测下一个周期的网络流量数据得到预测值;
确定所述下一个周期的网络流量数据的实际值与所述预测值的偏差以通过所述偏差对所述目标网络进行网络异常检测;
对应的,所述得到所述目标网络的网络异常检测结果包括:
若所述偏差大于或等于第四阈值,则所述目标网络的网络异常检测结果为DOS攻击或端口扫描攻击或网络扫描攻击;
利用所述基于GDBT算法的网络异常检测方案对与所述指数平滑型检测方案对应的检测结果进行判断以确定所述检测结果是否正确。
7.根据权利要求1-6任意一项所述的网络异常检测方法,其特征在于,所述利用所述目标网络异常检测方案和所述网络流量数据对所述目标网络进行网络异常检测,并得到所述目标网络的网络异常检测结果包括:
若所述网络异常检测结果为所述目标网络出现异常;
则发送报警信息至目标人员的移动设备以进行网络异常报警。
8.一种网络异常检测装置,其特征在于,包括:
获取模块,用于获取目标网络的网络流量数据;
确定模块,用于从多个网络异常检测方案中选取与所述网络流量数据对应的目标网络异常检测方案,所述目标网络异常检测方案为多个;
检测模块,用于利用所述目标网络异常检测方案对所述目标网络进行网络异常检测,并得到所述目标网络的网络异常检测结果。
9.一种网络异常检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述存储器中存储的计算机程序以实现如权利要求1至7任一项所述的网络异常检测方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行以实现如权利要求1至7任一项所述的网络异常检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810908341.7A CN108667856B (zh) | 2018-08-10 | 2018-08-10 | 一种网络异常检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810908341.7A CN108667856B (zh) | 2018-08-10 | 2018-08-10 | 一种网络异常检测方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108667856A true CN108667856A (zh) | 2018-10-16 |
CN108667856B CN108667856B (zh) | 2021-01-26 |
Family
ID=63788980
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810908341.7A Active CN108667856B (zh) | 2018-08-10 | 2018-08-10 | 一种网络异常检测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108667856B (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110474883A (zh) * | 2019-07-24 | 2019-11-19 | 哈尔滨工程大学 | 一种基于重标极差法的sdn异常流量检测方法 |
CN111147899A (zh) * | 2019-12-16 | 2020-05-12 | 南京亚信智网科技有限公司 | 一种故障预警方法及装置 |
CN111343032A (zh) * | 2020-05-18 | 2020-06-26 | 中国航空油料集团有限公司 | 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 |
CN111416790A (zh) * | 2019-01-04 | 2020-07-14 | 北京数安鑫云信息技术有限公司 | 基于用户行为的网络异常访问智能识别方法、装置、存储介质及计算机设备 |
CN111431937A (zh) * | 2020-04-23 | 2020-07-17 | 国网浙江省电力有限公司 | 工业网络异常流量的检测方法及系统 |
CN111726341A (zh) * | 2020-06-02 | 2020-09-29 | 五八有限公司 | 一种数据检测方法、装置、电子设备及存储介质 |
CN112152869A (zh) * | 2019-06-28 | 2020-12-29 | 北京金山云网络技术有限公司 | 网络检测方法、装置、电子设备及存储介质 |
CN112291107A (zh) * | 2019-07-24 | 2021-01-29 | 富士通株式会社 | 网络分析程序、网络分析装置以及网络分析方法 |
CN112422554A (zh) * | 2020-11-17 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种检测异常流量外连的方法、装置、设备及存储介质 |
CN112583635A (zh) * | 2020-11-24 | 2021-03-30 | 视联动力信息技术股份有限公司 | 视联网网络状态的检测方法、装置、终端设备和存储介质 |
CN113542310A (zh) * | 2021-09-17 | 2021-10-22 | 上海观安信息技术股份有限公司 | 一种网络扫描检测方法、装置及计算机存储介质 |
CN113612768A (zh) * | 2021-08-02 | 2021-11-05 | 北京知道创宇信息技术股份有限公司 | 网络防护方法及相关装置 |
CN113746798A (zh) * | 2021-07-14 | 2021-12-03 | 清华大学 | 基于多维度分析的云网络共享资源异常根因定位方法 |
CN117909201A (zh) * | 2024-03-20 | 2024-04-19 | 暗物智能科技(广州)有限公司 | 页面首屏时间的确定方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101296114A (zh) * | 2007-04-29 | 2008-10-29 | 国际商业机器公司 | 基于流的并行模式匹配方法和系统 |
CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
CN105471663A (zh) * | 2014-08-18 | 2016-04-06 | 中兴通讯股份有限公司 | 网络异常的检测方法、装置、通信网络检测装置及系统 |
WO2017154012A1 (en) * | 2016-03-10 | 2017-09-14 | Telefonaktibolaget Lm Ericsson (Publ) | Ddos defence in a packet-switched network |
CN107231348A (zh) * | 2017-05-17 | 2017-10-03 | 桂林电子科技大学 | 一种基于相对熵理论的网络流量异常检测方法 |
-
2018
- 2018-08-10 CN CN201810908341.7A patent/CN108667856B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101296114A (zh) * | 2007-04-29 | 2008-10-29 | 国际商业机器公司 | 基于流的并行模式匹配方法和系统 |
CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
CN105471663A (zh) * | 2014-08-18 | 2016-04-06 | 中兴通讯股份有限公司 | 网络异常的检测方法、装置、通信网络检测装置及系统 |
WO2017154012A1 (en) * | 2016-03-10 | 2017-09-14 | Telefonaktibolaget Lm Ericsson (Publ) | Ddos defence in a packet-switched network |
CN107231348A (zh) * | 2017-05-17 | 2017-10-03 | 桂林电子科技大学 | 一种基于相对熵理论的网络流量异常检测方法 |
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111416790A (zh) * | 2019-01-04 | 2020-07-14 | 北京数安鑫云信息技术有限公司 | 基于用户行为的网络异常访问智能识别方法、装置、存储介质及计算机设备 |
CN111416790B (zh) * | 2019-01-04 | 2022-08-09 | 北京数安鑫云信息技术有限公司 | 基于用户行为的网络异常访问智能识别方法、装置、存储介质及计算机设备 |
CN112152869A (zh) * | 2019-06-28 | 2020-12-29 | 北京金山云网络技术有限公司 | 网络检测方法、装置、电子设备及存储介质 |
CN112152869B (zh) * | 2019-06-28 | 2022-05-06 | 北京金山云网络技术有限公司 | 网络检测方法、装置、电子设备及存储介质 |
CN110474883B (zh) * | 2019-07-24 | 2022-01-07 | 哈尔滨工程大学 | 一种基于重标极差法的sdn异常流量检测方法 |
CN110474883A (zh) * | 2019-07-24 | 2019-11-19 | 哈尔滨工程大学 | 一种基于重标极差法的sdn异常流量检测方法 |
CN112291107A (zh) * | 2019-07-24 | 2021-01-29 | 富士通株式会社 | 网络分析程序、网络分析装置以及网络分析方法 |
CN112291107B (zh) * | 2019-07-24 | 2023-06-23 | 富士通株式会社 | 网络分析程序、网络分析装置以及网络分析方法 |
CN111147899A (zh) * | 2019-12-16 | 2020-05-12 | 南京亚信智网科技有限公司 | 一种故障预警方法及装置 |
CN111147899B (zh) * | 2019-12-16 | 2023-05-23 | 南京亚信智网科技有限公司 | 一种故障预警方法及装置 |
CN111431937A (zh) * | 2020-04-23 | 2020-07-17 | 国网浙江省电力有限公司 | 工业网络异常流量的检测方法及系统 |
CN111343032A (zh) * | 2020-05-18 | 2020-06-26 | 中国航空油料集团有限公司 | 一种工控网络异常会话检测方法,装置,电子设备以及存储介质 |
CN111726341A (zh) * | 2020-06-02 | 2020-09-29 | 五八有限公司 | 一种数据检测方法、装置、电子设备及存储介质 |
CN111726341B (zh) * | 2020-06-02 | 2022-10-14 | 五八有限公司 | 一种数据检测方法、装置、电子设备及存储介质 |
CN112422554A (zh) * | 2020-11-17 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种检测异常流量外连的方法、装置、设备及存储介质 |
CN112583635A (zh) * | 2020-11-24 | 2021-03-30 | 视联动力信息技术股份有限公司 | 视联网网络状态的检测方法、装置、终端设备和存储介质 |
CN112583635B (zh) * | 2020-11-24 | 2024-05-28 | 视联动力信息技术股份有限公司 | 视联网网络状态的检测方法、装置、终端设备和存储介质 |
CN113746798A (zh) * | 2021-07-14 | 2021-12-03 | 清华大学 | 基于多维度分析的云网络共享资源异常根因定位方法 |
CN113612768A (zh) * | 2021-08-02 | 2021-11-05 | 北京知道创宇信息技术股份有限公司 | 网络防护方法及相关装置 |
CN113612768B (zh) * | 2021-08-02 | 2023-10-17 | 北京知道创宇信息技术股份有限公司 | 网络防护方法及相关装置 |
CN113542310A (zh) * | 2021-09-17 | 2021-10-22 | 上海观安信息技术股份有限公司 | 一种网络扫描检测方法、装置及计算机存储介质 |
CN117909201A (zh) * | 2024-03-20 | 2024-04-19 | 暗物智能科技(广州)有限公司 | 页面首屏时间的确定方法、装置、电子设备及存储介质 |
CN117909201B (zh) * | 2024-03-20 | 2024-06-11 | 暗物智能科技(广州)有限公司 | 页面首屏时间的确定方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108667856B (zh) | 2021-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108667856A (zh) | 一种网络异常检测方法、装置、设备及存储介质 | |
CN105357063B (zh) | 一种网络空间安全态势实时检测方法 | |
Estevez-Tapiador et al. | Anomaly detection methods in wired networks: a survey and taxonomy | |
CN110149343A (zh) | 一种基于流的异常通联行为检测方法和系统 | |
CN107196930B (zh) | 计算机网络异常检测的方法 | |
CN101309179B (zh) | 一种基于主机活跃性和通信模式分析实时异常流量检测方法 | |
CN108965055A (zh) | 一种基于历史时间取点法的网络流量异常检测方法 | |
CN104660464B (zh) | 一种基于非广延熵的网络异常检测方法 | |
CN110445801B (zh) | 一种物联网的态势感知方法和系统 | |
Huynh et al. | Uncovering periodic network signals of cyber attacks | |
Boschetti et al. | TVi: A visual querying system for network monitoring and anomaly detection | |
CN106878314B (zh) | 基于可信度的网络恶意行为检测方法 | |
CN113098878A (zh) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 | |
Ma et al. | A DDoS attack detection method based on SVM and K-nearest neighbour in SDN environment | |
Liu et al. | Real-time diagnosis of network anomaly based on statistical traffic analysis | |
JP4324189B2 (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
CN115225384B (zh) | 一种网络威胁度评估方法、装置、电子设备及存储介质 | |
CN106850658B (zh) | 实时在线学习的网络恶意行为检测方法 | |
CN108512816A (zh) | 一种流量劫持的检测方法及装置 | |
Jia et al. | A lightweight DDoS detection scheme under SDN context | |
CN117061257B (zh) | 一种网络安全评估系统 | |
CN110493217B (zh) | 一种分布式的态势感知方法和系统 | |
Yu et al. | A visualization analysis tool for DNS amplification attack | |
Yang et al. | A comparative study of network traffic representations for novelty detection | |
Alsumaidaie et al. | An Assessment of Ensemble Voting Approaches, Random Forest, and Decision Tree Techniques in Detecting Distributed Denial of Service (DDoS) Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |