CN109462580A - 训练流量检测模型、检测业务流量异常的方法及装置 - Google Patents
训练流量检测模型、检测业务流量异常的方法及装置 Download PDFInfo
- Publication number
- CN109462580A CN109462580A CN201811244745.7A CN201811244745A CN109462580A CN 109462580 A CN109462580 A CN 109462580A CN 201811244745 A CN201811244745 A CN 201811244745A CN 109462580 A CN109462580 A CN 109462580A
- Authority
- CN
- China
- Prior art keywords
- terminal device
- training
- information
- standard variance
- service traffics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例一种训练流量检测模型、检测业务流量异常的方法,其中,一种训练流量检测模型的方法包括:获取终端设备集群中各个终端设备的训练业务流量,得到训练业务流量集合;提取所述训练业务流量集合中每个训练业务流量所对应的第一训练特征信息和第二训练特征信息,其中,所述第一训练特征信息用于指示各终端设备的地址特征,所述第二训练特征信息用于指示各终端设备的流量分析特征;利用所述第一训练特征信息以及所述第二训练特征信息对神经网络模型进行训练,得到所述流量检测模型。本申请更注重于对流量数据本身的特征进行提取,聚焦于流量本身的特点,从而有利于提升异常流量检测可信度。
Description
技术领域
本发明涉及人工智能领域,具体涉及一种训练流量检测模型的方法、检测业务流量异常的方法以及相关装置。
背景技术
随着互联网业务的快速发展,各类终端设备大规模接入公司网络,甚至直接接入骨干网。由于终端设备自身防护薄弱,且所处环境不可控,一旦被非法利用,将直接影响公司整体安全防护体系,安全威胁极大。
目前,对于异常流量的检测,主要是通过人工配置判定规则来实现的。即用户预先制定判定规则,然后根据该判定规则对网络流量进行检测,对于检测得到的异常流量进行报警。
然而,基于人工配置的判定规则对网络流量异常情况进行检测,难以适应高速变化的网络,会导致误判率较高,检出率较低。
发明内容
有鉴于此,本发明实施例提供了一种训练流量检测模型的方法、业务流量异常的检测方法以及相关装置,以解决异常流量识别不准确的问题,增强了方案的可靠性。
第一方面,本发明实施例提供了一种训练流量检测模型的方法,包括:
获取终端设备集群中各个终端设备的训练业务流量,得到训练业务流量集合;
提取所述训练业务流量集合中每个训练业务流量所对应的第一训练特征信息和第二训练特征信息,其中,所述第一训练特征信息用于指示各终端设备的地址特征,所述第二训练特征信息用于指示各终端设备的流量分析特征;
利用所述第一训练特征信息以及所述第二训练特征信息对神经网络模型进行训练,得到所述流量检测模型。
第二方面,本发明实施例提供了一种检测业务流量异常的方法,包括:
获取目标终端设备对应的待检测业务流量;
根据所述待检测业务流量生成第一特征信息以及第二特征信息,所述第一特征信息用于表示所述目标终端设备的地址特征,所述第二特征信息用于表示所述目标终端设备的流量分析特性;
根据所述第一特征信息以及所述第二特征信息确定所述目标流量特征信息所对应的结果信息,其中,所述结果信息用于指示所述业务流量数据是否为异常数据。
第三方面,本发明实施例提供了一种流量检测装置,包括:
获取模块,用于获取终端设备集群中各个终端设备的训练业务流量,得到训练业务流量集合;
提取模块,用于提取所述获取模块获取的所述训练业务流量集合中每个训练业务流量所对应的第一训练特征信息和第二训练特征信息,其中,所述第一训练特征信息用于指示各终端设备的地址特征,所述第二训练特征信息用于指示各终端设备的流量分析特征;
训练模块,用于利用所述提取模块提取的所述第一训练特征信息以及所述第二训练特征信息对神经网络模型进行训练,得到所述流量检测模型。
第四方面,本发明实施例提供了一种流量检测装置,包括:
获取模块,用于获取目标终端设备对应的待检测业务流量;
生成模块,用于根据所述获取模块获取的所述待检测业务流量生成目标流量特征信息,其中,所述目标流量特征信息包括第一特征信息以及第二特征信息,所述第一特征信息用于表示所述目标终端设备的地址特征,所述第二特征信息用于表示所述目标终端设备的流量分析特性;
确定模块,用于通过流量检测模型确定所述生成模块生成的所述目标流量特征信息所对应的结果信息,其中,所述结果信息用于指示所述业务流量数据是否为异常数据,所述流量检测模型为通过第一训练特征信息与第二训练特征信息训练得到的。
第五方面,本发明实施例提供了一种流量检测装置,包括:
存储器、收发器和处理器;
所述收发器、所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面或第二方面中的任一方面所述的方法。
本发明实施例中,提供了一种业务流量异常的检测方法,采用上述方法,在对业务流量检测的过程中使用的是待检测业务流量的地址特征和流量分析特性,利用这两类特征可以共同反映待检测业务流量的流量特性,本申请更注重于对流量数据本身的特征进行提取,聚焦于流量本身的特点,从而有利于提升异常流量检测可信度。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1为本发明实施例中业务流量检测系统的一个架构示意图;
图2为本发明实施例中训练流量检测模型的方法的一个实施例示意图;
图3为本发明实施例中深度学习训练过程示意图;
图4为本发明实施例中检测业务流量异常的方法的一个实施例示意图;
图5为本发明实施例中深度学习测试过程示意图;
图6为本发明实施例中流量检测装置的一个实施例示意图;
图7为本发明实施例中流量检测装置的另一个实施例示意图;
图8为本发明实施例中流量检测装置的一个结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
随着“互联网+”电力业务快速发展,以及数据通信骨干网和终端接入网建设投运,各类智能终端设备、尤其是营销类现场业务终端大规模接入公司网络、甚至直接接入骨干网。由于现场终端设备自身防护薄弱,且所处环境不可控,一旦被非法利用,将直接影响公司整体安全防护体系,安全威胁极大。目前,部分企业组织已经广泛或已经在有限的基础上应用了基于人工智能的安全分析。可以预见人工智能技术将作为新一轮产业变革的核心驱动力对电力行业安全防护能力的提升具有巨大作用和引发智能电网安全技术发展。
电网营销终端以部署在营业厅的设备为例,全网营业厅内部署了多种类型的终端设备,包括销售终端(Point of Sale,POS)机、自动柜员机(Automatic Teller Machine,ATM)、叫号机、办公电脑、扫描仪、视频监控终端等,各类终端的接入方式、通信协议、业务应用、操作系统等各不相同,且处在复杂开放的物理环境中。通常认为攻击者使用额外流量上传恶意代码,或者加密流量而将盗取数据混夹在常规流量中下载到被入侵的终端,这会表现为电网营销终端的网络访问行为异常,这种异常具有多变性、高隐蔽性以及滞后性等特征。单纯的安全准入机制只能保证营销终端接入时自身装置的合法性,而无法在后续对电网营销终端的行为进行持续监视。已知的是,一定时间内的网络数据能够反应用户的某种意图倾向,可以将一定时间粒度内的数据汇聚来体现用户行为。这种行为描述方式是宏观抽象的,称为流量行为,它主要根据网络数据流量的特征值分布或熵值变化来体现行为。本方法通过深度学习(Deep Learning)获取营销终端的流量特征,确定营销现场终端的流量行为,确定终端流量的异常,为确定潜在的终端入侵行为提供技术支撑。
深度学习是建立深层结构模型的学习方法,典型的深度学习算法包括深度置信网络、卷积神经网络、受限玻尔兹曼机和循环神经网络等。深度学习又称为深度神经网络(指层数超过3层的神经网络)。深度学习源于多层神经网络,其实质是给出了一种将特征表示和学习合二为一的方式。深度学习的特点是放弃了可解释性,单纯追求学习的有效性。下面将结合图1介绍一种业务流量检测系统,请参阅图1,图1为本发明实施例中业务流量检测系统的一个架构示意图,如图所示,流量检测装置与POS机、ATM等电网营销终端连接。用户使用ATM进行缴费,ATM将会向流量监测装置发送缴费业务数据。流量检测装置从ATM获取对应的缴费业务数据并从中提取ATM的通信端口等地址特征和业务流量特征集合。将所提取的地址特征和业务流量特征集合输入到神经网络中进行深度学习并得到输出结果。如果所得到的结果小于设定的阈值,则判断正常缴费行为是正常操作,而如果所得到结果为大于设定的阈值,则判断缴费行为是异常操作。
下面将对本发明中的训练流量检测模型的方法进行介绍,请参阅图2,本发明实施例中训练流量检测模型的方法的一个实施例包括:
步骤101、获取终端设备集群中各个终端设备的训练业务流量,得到训练业务流量集合;
本实施例中,终端设备可以是营销网络终端,在确定营销网络终端安全的情况下,获取各个营销网络终端的包含业务的流量数据包,从而得到训练业务流量集合。
步骤102、提取所述训练业务流量集合中每个训练业务流量所对应的第一训练特征信息和第二训练特征信息,其中,所述第一训练特征信息用于指示各终端设备的地址特征,所述第二训练特征信息用于指示各终端设备的流量分析特征;
在本实施例中,从包含业务的流量数据包中提取对应的第一训练特征信息和第二训练特征信息,其中第一训练特征信息指示用于对应营销网络终端的地址特征,第二训练特征信息用于指示对应营销网络终端的流量分析特征。
步骤103、利用第一训练特征信息以及第二训练特征信息对神经网络模型进行训练,得到流量检测模型。
在本实施例中,利用地址特征和流量分析特征来进行具有N隐藏层的深度前馈神经网络训练,来得到训练过的流量监测模型,其中所有隐藏层由ReLU激活函数去激活,而输出节点由Sigmoid激活函数激活使得输出结果线性可分。
本发明实施例中,提供了一种训练流量检测模型的方法,采用上述方法,在对流量检测模型进行训练的过程中使用的是待检测业务流量的地址特征和流量分析特性,利用这两类特征可以共同反映待检测业务流量的流量特性,更注重于对流量数据本身的特征进行提取,聚焦于流量本身的特点,从而有利于提升异常流量检测可信度。
可选地,在上述图2对应的实施例的基础上,本发明实施例提供的训练流量检测模型的方法的第一个可选实施例中,提取训练业务流量集合中每个训练业务流量所对应的第一训练特征信息,还可以包括:
根据训练业务流量集合中每个训练业务流量,确定终端设备集群的地址个数;
获取终端设备的目的地址在预设时间内的出现次数;
根据终端设备集群的地址个数以及终端设备的目的地址在预设时间内的出现次数,计算得到第一训练特征信息。
在本实施例中流量检测模型获取与终端设备进行通信的设备的地址个数。与终端设备进行通信的设备的通信地址被标准化处理成数组(i,XXX)的形式,其中,i=0或1表示该设备是否与终端设备处于相同网段,i=1为是,i=0为否,XXX为大于0且小于255的整数,表示该设备在该网段内的地址。例如,如果终端设备的通信端口地址为192.168.1.21,则与其通信的设备的地址192.168.1.22在被标准化后的结果是(1,022),而与其通信的设备的地址192.168.2.22在被标准化后的结果可以是(0,022)。此种处理方式可以确定该目标地址是否合规,且流量检测模型获取在预设时间内终端设备的目的地址出现的次数。根据地址个数和目的地址出现的次数,可以计算各个目的地址与地址个数的比率,作为终端设备的地址特征。
其次,在本实施例中,流量检测模型根据训练业务流量集合中每个训练业务流量,确定终端设备集群的地址个数,然后获取终端设备的目的地址在预设时间内的出现次数,根据终端设备集群的地址个数以及终端设备的目的地址在预设时间内的出现次数来计算得到第一训练特征信息。通过上述方式,可以根据地址的出现比率来确定第一训练特征信息,进而确定设备对各目的地址的访问比率,从而可以在终端设备对目的地址进行的异常访问时展现出访问次数过高的异常情况,突显出流量本身的特征,有利于提升检测的可信度。
可选地,在上述图2对应的第一个实施例的基础上,本发明实施例提供的训练流量检测模型的方法的第二个可选实施例中,根据终端设备集群的设备个数以及各个终端设备的目的地址在预设时间内的出现次数,计算得到第一训练特征信息,还可以包括:
采用如下方式计算第一训练特征信息:
其中,S1表示第一训练特征信息,Di表示第i个终端设备的目的地址在预设时间内的出现次数,i表示第i个终端设备,n表示终端设备集群的地址个数。
本实施例中,例如终端设备集群中共有3个终端设备,即n=3。如果计算第一训练特征信息S1、即地址特征S1,则i分别为1、2和3。假定第一个设备的目的地址出现的次数为12次,第二个设备的目的地址出现的次数为30次,第三个设备的目的地址出现的次数为9次,则D1=12、D2=30、D3=9。因此,地址特征S1={D1/n,D2/n,D3/n}={12/3,30/3,9/3}={4,10,3}。
再次,本发明实施例中,流量检测模型根据终端设备集群的设备个数以及各个终端设备的目的地址在预设时间内的出现次数,通过分别将各个终端设备的目的地址在预设时间内的出现次数除以终端设备集群的设备个数,来计算第一训练特征信息。通过上述方式,利用终端设备集群的设备个数以及各个终端设备的目的地址在预设时间内的出现次数来体现了用户行为,提供了将一定时间粒度内的数据汇聚来体现用户行为的具体方式,提升了地址特征计算的可靠性。
可选地,在上述图2对应的实施例的基础上,本发明实施例提供的训练流量检测模型的方法的第三个可选实施例中,第二训练特征信息还可以包括:
发送或接收数据包的间隔时长的第一特征数据;各终端设备空闲态与活跃态之间的间隔时长的第二特征数据;发送或者接收每秒字节数和每秒包数的第三特征数据。
在本实施例中,第一特征数据可以是终端设备发送第一数据包和发送第二数据包之间的间隔时长,或者可以是终端设备接收第一数据包和接收第二数据包之间的间隔时长。终端设备可以处于空闲态或活跃态,第二特征数据可以是终端设备在一次处于空闲态与下一次处于空闲态之间的间隔时长,即在两次处于空闲态之间处于活跃态的持续时间,或者反之可以是终端设备在一次处于活跃态与下一次处于活跃态之间的间隔时长,即在两次处于活跃态之间处于空闲态的持续时间。第三特征数据可以是发送每秒字节数、发送每秒包数、接收每秒字节数和接收每秒包数。在本实施例中,将对于第一、第二和第三特征数据进行归一化处理。归一化处理是为了把对流量数据的绝对数值变换成相对于参考值的相对值,例如将数值变换成0-1之间的数字以便于神经网络的输入。例如,假定终端设备发送第一数据包和发送第二数据包之间的间隔时长为5ms,在相对于10ms进行归一化后,归一化结果为5/10=0.5。类似地,假定终端设备发送每秒字节数为40字节,在相对于100字节进行归一化后,归一化结果为40/100=0.4。通过归一化,将间隔时长的值转换成相对于10ms的相对值0.5,和将发送每秒字节数转换为相对于100字节的相对值0.4,可以消除特征数据在不同统计单位下之间的差异,便于进行计算。
进一步地,本发明实施例中,提出了第二训练特征信息包括发送或接收数据包的间隔时长的第一特征数据、各终端设备空闲态与活跃态之间的间隔时长的第二特征数据、发送或者接收每秒字节数和每秒包数的第三特征数据。通过上述方式,可以获知终端设备的具体特征数据,具体特征数据能够作为训练流量检测模型的输入数据,提升了流量检测模型训练的可靠性。
可选地,在上述图2对应的实施例的基础上,本发明实施例提供的训练流量检测模型的方法的第四个可选实施例中,第一特征数据包括:各终端设备发送数据包的间隔时长的最大值的标准方差、发送数据包的间隔时长的最小值的标准方差、发送数据包的间隔时长的平均值的标准方差、接收数据包的间隔时长的最大值的标准方差、接收数据包的间隔时长最小值的标准方差、接收数据包的间隔时长平均值的标准方差中的至少一项;和/或,
第二特征数据包括:各终端设备空闲态之前的最近一次活跃时长的最大值的标准方差、各终端设备空闲态之前的最近一次活跃时长的最小值的标准方差、各终端设备空闲态之前的最近一次活跃时长的平均值的标准方差、各终端设备活跃态之前的最近一次空闲时长的最大值的标准方差、各终端设备活跃态之前的最近一次空闲时长的最小值的标准方差、各终端设备活跃态之前的最近一次空闲时长的平均值的标准方差中的至少一项;和/或,
第三特征数据包括:各终端设备发送或接收每秒字节数最大值的标准方差、发送或接收每秒字节数最小值的标准方差、发送或接收每秒字节数平均值的标准方差、发送或接收每秒包数最大值的标准方差、发送或接收每秒包数最小值的标准方差以及每秒包数平均值的标准方差中的至少一项。
在本实施例中,将介绍第一、第二和第三特征数据的具体形式。假定终端设备集群中包括三个终端设备。具体地,第一特征数据可以包括各终端设备发送数据包的间隔时长的最大值的标准方差。例如,如果三个终端设备发送数据包的间隔时长最大值分别是20ms、30ms和40ms,则计算20ms、30ms和40ms这组数据的标准方差。第一特征数据还可以包括各终端设备发送数据包的间隔时长的最小值的标准方差。例如,如果三个终端设备发送数据包的间隔时长的最小值分别是2ms、3ms和4ms,则计算2ms、3ms和4ms这组数据的标准方差。第一特征数据还可以包括各终端设备发送数据包的间隔时长的平均值的标准方差。例如,如果三个终端设备发送数据包的间隔时长的平均值分别是10ms、13ms和16ms,则计算10ms、13ms和16ms这组数据的其标准方差是3ms。第一特征数据还可以包括各终端设备接收数据包的间隔时长的最大值的标准方差。例如,如果三个终端设备接收数据包的间隔时长的最大值分别是10ms、25ms和40ms,则计算10ms、25ms和40ms这组数据的标准方差。第一特征数据还可以包括各终端设备接收数据包的间隔时长最小值的标准方差。例如,如果三个终端设备接收数据包的间隔时长最小值分别是7ms、8ms和10ms,则计算7ms、8ms和10ms这组数据的标准方差。第一特征数据还可以包括各终端设备接收数据包的间隔时长平均值的标准方差。例如,接收数据包的间隔时长平均值分别是8ms、16ms、30ms,则计算8ms、16ms、30ms这组数据的标准方差。第一特征数据可以包括以上提及的各种数据类型中的至少一项。在优选实施例中,第一特征数据包括以上提及的所有数据类型。
在本实施例中,第二特征数据可以包括各终端设备空闲态之前的最近一次活跃时长的最大值的标准方差。例如,如果三个终端设备空闲态之前的最近一次活跃时长的最大值分别是15ms、17ms和20ms,则其标准方差是2.5ms。第二特征数据还可以包括各终端设备空闲态之前的最近一次活跃时长的最小值的标准方差。例如,如果三个终端设备空闲态之前的最近一次活跃时长的最小值分别是6ms、7ms和12ms,则其标准方差是3.2ms。第二特征数据还可以包括各终端设备空闲态之前的最近一次活跃时长的平均值的标准方差。例如,如果三个终端设备空闲态之前的最近一次活跃时长的平均值分别是9ms、13ms、16ms、则其标准方差是3.5ms。第二特征数据还可以包括各终端设备活跃态之前的最近一次空闲时长的最大值的标准方差。例如,如果三个终端设备活跃态之前的最近一次空闲时长的最大值分别是75ms、85ms和110ms,则其标准方差是18ms。第二特征数据还可以包括各终端设备活跃态之前的最近一次空闲时长的最小值的标准方差。例如,如果三个终端设备活跃态之前的最近一次空闲时长的最小值分别是15ms、16ms和19ms,则其标准方差是2ms。第二特征数据还可以包括各终端设备活跃态之前的最近一次空闲时长的平均值的标准方差。例如,如果三个终端设备活跃态之前的最近一次空闲时长的平均值分别是43ms、51ms、68ms,则其标准方差实12.7ms。第二特征数据可以包括以上提及的各种数据类型中的至少一项。在优选实施例中,第二特征数据包括以上提及的所有数据类型。
在本实施例中,第三特征数据还可以包括各终端设备发送或接收每秒字节数最大值的标准方差。例如,如果三个终端设备发送或接收每秒字节数最大值分别是100字节、110字节和120字节,则其标准方差是10字节。第三特征数据还可以包括各终端设备发送或接收每秒字节数最小值的标准方差。例如,如果三个终端设备发送或接收每秒字节数最小值分别是30字节、38字节和37字节,则其标准方差是4.4字节。第三特征数据还可以包括各终端设备发送或接收每秒字节数平均值的标准方差。例如,如果三个终端设备发送或接收每秒字节数平均值分别是50字节、55字节和65字节,则其标准方差是7.6字节。第三特征数据还可以包括各终端设备发送或接收每秒包数最大值的标准方差。例如,如果三个终端设备发送或接收每秒包数最大值分别是320、333和368,则其标准方差是24.8。第三特征数据还可以包括各终端设备发送或接收每秒包数最小值的标准方差。例如,如果三个终端设备发送或接收每秒包数最小值是280、295和307,则其标准方差是13.5。第三特征数据还可以包括各终端设备发送或接收每秒包数平均值的标准方差。例如,如果是三个终端设备发送或接收每秒包数平均值分别是300、311和345,则其标准方差是23.5。第三特征数据可以包括以上提及的各种数据类型中的至少一项。在优选实施例中,第三特征数据包括以上提及的所有数据类型。
通过将第一特征数据、第二特征数据和第三特征数据放入集合中,可以形成包括至少三种数据的第二训练特征信息S2。在优选实施例中,第二训练特征信息S2包括以上提及的所有特征数据。
更进一步地,在本发明实施例中,提出了第一特征数据、第二特征数据和第三特征数据的具体形式。通过上述方式,可以得到终端设备在通信中的多种流量特征,将多种流量特征作为训练流量监测模型的输入数据,有利于提升检测的可信度。
可选地,在上述图2以及对应的第一个至第四个实施例中的任一项的基础上,本发明实施例利用第一训练特征信息以及第二训练特征信息对神经网络模型进行训练,得到流量检测模型,包括:
将第一训练特征信息以及第二训练特征信息输入至具有N个隐藏层的深度前馈神经网络,其中,N为大于或等于1的整数,隐藏层采用激活函数进行处理;
通过N个隐藏层的深度前馈神经网络输出预测偏离度;
根据预测偏离度和实际偏离度确定待优化偏离度;
若待优化偏离度满足预设偏离条件,则获取流量检测模型;
若待优化偏离度未满足预设偏离条件,则再次执行步骤将第一训练特征信息以及第二训练特征信息输入至具有N个隐藏层的深度前馈神经网络至步骤根据预测偏离度和实际偏离度确定待优化偏离度,直至待优化偏离度满足预设偏离条件;
其中,预设偏离条件,可以包括:
其中,Δr表示待优化偏离度,r表示预测偏离度,r'表示实际偏离度,n'表示执行1)至步骤3)的次数,β表示判断门限。
在本实施例中,将第一训练特征信息以及第二训练特征信息作为输入,进行具有至少一个隐藏层的深度前馈神经网络训练来确定预测偏离度。其中,第一训练特征信息在输入之前被标准化处理,而第二训练特征信息在输入之前被归一化处理。所有隐藏层由ReLU激活函数去激活,而输出节点由Sigmoid激活函数激活使得输出结果线性可分。激活函数是神经网络输出端的一个节点,用来连接两个神经网络。激活函数通常是对向量中的每一个元素起作用。激活函数用来确定神经网络的输入,比如“是”或“否”,将结果映射为[0,1]或[-1,1]之间,根据函数的曲线,可分为两种类型:线性激活函数、非线性激活函数。在神经网络中,ReLU激活函数几乎可用于所有卷积神经网络或深度学习中。所以用该函数作为中间隐藏层的激活函数。而最终输出结果是需要判断是和否的结果,所以使用Sigmoid激活函数,其主要原因是:它的输出处于[0,1]范围内,特别适用于输出概率的模型。
然后根据预测偏离度和实际偏离度确定待优化偏离度。如果所得到的待优化偏离度满足了预设的偏离条件,则完成对流量检测模型的训练。如果所得到的待优化偏离度不满足预设的偏离条件,则重复上述操作以得到新的待优化偏离度并判断其是否满足预设的偏离条件。重复上述操作,直到预设偏的离条件被满足,从而完成对流量检测模型进行的训练。
下面将具说明确定待优化偏离度和判断是否满足预设偏离条件的过程进行描述。在上述的预设偏离条件中,当实际流量异常为真时,r'=1,反之当实际流量异常为假时,r'=0。例如,假定判断门限β=70,如果第一次进行深度前馈神经网络训练确定的预测偏离度r为10,且实际偏离度r'=1,则第一次得到的待优化偏离度Δr为(10-1)2/1=81。由于81>70,这不满足预设的偏离条件,所以进行第二次确定待优化偏离度。如果第二次中预测偏离度r为9,且实际偏离度r'=1,则第二次得到的待优化偏离度Δr为(9-1)2+81/2=72.5,其依然大于判断门限β,所以进行第三次确定待优化偏离度。如果第二次中预测偏离度r为8,且实际偏离度r'=1,则第二次得到的待优化偏离度Δr为(8-1)2+81+72.5/3=67.5,其小于判断门限β,因此判断预设的偏离条件被满足,此时完成流量检测模型的训练。
再进一步地,在本发明实施例中,提出了利用第一训练特征信息以及第二训练特征信息对神经网络模型进行训练来得到流量检测模型的具体方法。通过上述方式,通过使用深度前馈神经网络对流量检测模型进行循环训练直到所得结果满足预定条件,可以对大量的数据进行快速处理,有利于提升流量检测模型训练的效率。
为了便于理解,请参阅图3,图3为本发明实施例中深度学习训练过程示意图,如图所示,具体地:
步骤201中,流量监测模型从各终端设备获取训练业务流量,从训练业务流量中提取第一训练特征信息和第二训练特征信息。
步骤202中,对步骤201中提取的第一训练特征信息和第二训练特征信息进行数据预处理。具体地,对第一训练特征信息进行标准化处理并且对第二训练特征信息进行归一化处理来形成用于训练的输入数据。
步骤203中,将步骤202中形成的用于训练的数据输入到流量监测模型中进行深度学习训练来得到训练结果。
在步骤204中,将在步骤203中所得到的训练结果与之前得到的训练结果(如果存在的话)求平均值,将该平均值与预先确定的结果的偏差与阈值相比较。如果偏差大于阈值,则返回到步骤203。如果偏差小于阈值,则继续进行到步骤205。
在步骤205中,得到用于业务流量异常的检测的训练后的流量监测模型。
下面将对本发明中的业务流量异常检测的方法进行介绍,请参阅图4,本发明实施例中检测业务流量异常的方法的一个实施例包括:
步骤301、获取目标终端设备对应的待检测业务流量;
在本实施例中,终端设备可以是营销网络终端,获取营销网络终端的包含业务的流量数据包,从而得到待检测业务流量。
步骤302、根据待检测业务流量生成第一特征信息以及第二特征信息,第一特征信息用于表示目标终端设备的地址特征,第二特征信息用于表示目标终端设备的流量分析特性;
在本实施例中,从待检测业务流量中提取对应的第一训练特征信息和第二训练特征信息,其中第一训练特征信息指示用于对应营销网络终端的地址特征,第二训练特征信息用于指示对应营销网络终端的流量分析特征。
步骤303、根据第一特征信息以及第二特征信息确定目标流量特征信息所对应的结果信息,其中,结果信息用于指示业务流量数据是否为异常数据。
在本实施例中,根据所获得的第一训练特征信息(地址特征)和第二训练特征信息(流量分析特征)来确定结果信息,根据所确定的结果信息来确定待检测业务流量是否是异常数据。
本发明实施例中,提供了一种业务流量异常的检测方法,采用上述方法,在对业务流量异常进行检测的过程中使用的是待检测业务流量的地址特征和流量分析特性,利用这两类特征可以共同反映待检测业务流量的流量特性,更注重于对流量数据本身的特征进行提取,聚焦于流量本身的特点,从而有利于提升异常流量检测可信度。
可选地,在上述图4对应的实施例的基础上,本发明实施例提供的检测业务流量异常的方法的第一个可选实施例中,根据第一特征信息以及第二特征信息确定目标流量特征信息所对应的结果信息,可以包括:
将第一特征信息以及第二特征信息输入到如图2所介绍的训练流量检测模型的方法得到的流量检测模型以得到结果信息。
在本实施例中,将所获得的第一训练特征信息(地址特征)和第二训练特征信息(流量分析特征)输入到如图2所介绍的训练流量检测模型的方法得到的流量检测模型来得到结果信息,以用于确定待检测业务流量是否是异常数据。
其次,本发明实施例中,通过使用如图2所介绍的训练流量检测模型的方法得到的流量检测模型来得到结果信息。通过上述方式,采用训练过的流量检测模型可以根据两类数据类型更准确地确定结果信息,提升了业务流量异常的检测的可靠性。
可选地,在上述图4对应的实施例的基础上,本发明实施例提供的检测业务流量异常的方法的第二个可选实施例中,所述第一特征信息根据与所述目标终端设备通信的地址个数以及所述目标终端设备的目的地址在预设时间内的出现次数被确定,所述第二特征信息包括:目标终端设备的目标地址的合规性;所述目标终端设备发送或接收数据包的间隔时长的第一特征数据;所述目标终端设备空闲态与活跃态之间的间隔时长的第二特征数据;所述目标终端设备发送或者接收每秒字节数和每秒包数的第三特征数据。
在本实施例中,根据与目标终端设备通信的地址个数以及目标终端设备的目的地址在预设时间内的出现次数来计算得到第一特征信息。在本实施例中,目标终端设备的目标地址的合规性标识目标地址是否符合预定的格式和要求。第一特征数据可以是目标终端设备发送第一数据包和发送第二数据包之间的间隔时长,或者可以是目标终端设备接收第一数据包和接收第二数据包之间的间隔时长。目标终端设备可以处于空闲态或活跃态,第二特征数据可以是目标终端设备在一次处于空闲态与下一次处于空闲态之间的间隔时长,即在两次处于空闲态之间处于活跃态的持续时间,或者反之可以是终端设备在一次处于活跃态与下一次处于活跃态之间的间隔时长,即在两次处于活跃态之间处于空闲态的持续时间。第三特征数据可以是发送每秒字节数、发送每秒包数、接收每秒字节数和接收每秒包数。在本实施例中,将如上所述对于第一、第二和第三特征数据进行归一化处理。
其次,本发明实施例中,提出了第二特征信息包括发送或接收数据包的间隔时长的第一特征数据、目标终端设备空闲态与活跃态之间的间隔时长的第二特征数据、发送或者接收每秒字节数和每秒包数的第三特征数据。通过上述方式,可以获知终端设备的具体特征数据,具体特征数据能够作为流量检测模型的输入数据,提升了流量数据监测的可靠性。
可选地,在上述图4对应的第二个实施例的基础上,本发明实施例提供的训练流量检测模型的方法的第三个可选实施例中,第一特征数据可以包括:目标终端设备发送数据包的间隔时长的标准方差、发送数据包的间隔时长的标准方差、发送数据包的间隔时长的平均值的标准方差、接收数据包的间隔时长的标准方差、接收数据包的间隔时长的标准方差、接收数据包的间隔时长平均值的标准方差中的至少一项;和/或,第二特征数据可以包括:目标终端设备空闲态之前的最近一次活跃时长的标准方差、空闲态之前的最近一次活跃时长的标准方差、空闲态之前的最近一次活跃时长的平均值的标准方差、各终端设备活跃态之前的最近一次空闲时长的标准方差、活跃态之前的最近一次空闲时长的标准方差、活跃态之前的最近一次空闲时长的平均值的标准方差中的至少一项;和/或,第三特征数据可以包括:目标终端设备发送每秒字节数的标准方差、接收每秒字节数的标准方差、发送每秒包数的标准方差、接收每秒包数的标准方差的至少一项。
再次,在本发明实施例中,提出了第一特征数据、第二特征数据和第三特征数据的具体形式。通过上述方式,可以得到目标终端设备在通信中的多种流量特征,将多种流量特征作为流量监测模型的输入数据,有利于提升业务流量异常的检测的可信度。
为了便于理解,请参阅图5,图5为本发明实施例中深度学习测试过程示意图,如图所示,具体地:
步骤401中,流量监测模型从目标终端设备获取业务流量,从业务流量中提取第一特征信息和第二特征信息。
步骤402中,对步骤401中提取的第一特征信息和第二特征信息进行数据预处理。具体地,对第一特征信息进行标准化处理并且对第二特征信息进行归一化处理来形成输入数据。
步骤403中,将步骤402中形成的数据输入到流量监测模型中进行深度学习来得到输出结果。
在步骤404中,将在步骤403中所得到的输出结果与预先确定的阈值相比较。如果输出结果大于阈值,则继续进行到步骤405。如果输出结果小于阈值,则继续进行到步骤406。
在步骤405中,确定业务流量是正常流量。
在步骤406中,确定业务流量是异常流量。
下面对本发明中的流量监测装置进行详细描述,请参阅图6,图6为本发明实施例中流量检测装置的一个实施例示意图,流量检测装置50包括:
获取模块501,用于获取终端设备集群中各个终端设备的训练业务流量,得到训练业务流量集合;
提取模块502,用于提取获取模块获取的训练业务流量集合中每个训练业务流量所对应的第一训练特征信息和第二训练特征信息,其中,第一训练特征信息用于指示各终端设备的地址特征,第二训练特征信息用于指示各终端设备的流量分析特征;
训练模块503,用于利用提取模块提取的第一训练特征信息以及第二训练特征信息对神经网络模型进行训练,得到流量检测模型。
在本实施例中,提供了一种流量检测模型,首先获取模块501获取训练业务流量,得到训练业务流量集合,然后提取模块502提取获取模块获取的训练业务流量集合中每个训练业务流量所对应的第一训练特征信息和第二训练特征信息,最后训练模块503利用提取模块提取的第一训练特征信息以及第二训练特征信息对神经网络模型进行训练,得到流量检测模型。通过上述方式,在对流量检测模型进行训练的过程中使用的是待检测业务流量的地址特征和流量分析特性,利用这两类特征可以共同反映待检测业务流量的流量特性,更注重于对流量数据本身的特征进行提取,聚焦于流量本身的特点,从而有利于提升异常流量检测可信度。
下面对本发明中的另一流量监测装置进行详细描述,请参阅图7,图7为本发明实施例中流量检测装置的另一个实施例示意图,另一流量检测装置60包括:
获取模块601,用于获取目标终端设备对应的待检测业务流量;
生成模块602,用于根据所述获取模块获取的所述待检测业务流量生成目标流量特征信息,其中,所述目标流量特征信息包括第一特征信息以及第二特征信息,所述第一特征信息用于表示所述目标终端设备的地址特征,所述第二特征信息用于表示所述目标终端设备的流量分析特性;
确定模块603,用于通过流量检测模型确定所述生成模块生成的所述目标流量特征信息所对应的结果信息,其中,所述结果信息用于指示所述业务流量数据是否为异常数据,所述流量检测模型为通过第一训练特征信息与第二训练特征信息训练得到的。
本发明实施例中,提供了一种流量监测装置,采用上述方法,在对业务流量异常进行检测的过程中使用的是待检测业务流量的地址特征和流量分析特性,利用这两类特征可以共同反映待检测业务流量的流量特性,更注重于对流量数据本身的特征进行提取,聚焦于流量本身的特点,从而有利于提升异常流量检测可信度。
本发明实施例还提供了另一种流量检测装置,请参阅图8,为了便于说明,仅示出了与本发明实施例相关的部分。
图8为本发明实施例中流量检测装置的一个结构示意图。
如图所示,流量检测装置70包括:存储器710、收发器720和处理器730。本领域技术人员将领会,流量检测装置还可以包括其它组件,例如在计算机中常见的各种组件。存储器710、收发器720和处理器730之间相互通信,存储器710用于存储计算机指令,收发器720用于与其它装置进行通信,计算机指令在处理器730执行时促使流量检测装置70执行上述各方面中所描述的方法。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,提供了一种流量监测装置,采用上述方法,在对业务流量异常进行检测的过程中使用的是待检测业务流量的地址特征和流量分析特性,利用这两类特征可以共同反映待检测业务流量的流量特性,更注重于对流量数据本身的特征进行提取,聚焦于流量本身的特点,从而有利于提升异常流量检测可信度。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (13)
1.一种训练流量检测模型的方法,其特征在于,
获取终端设备集群中各个终端设备的训练业务流量,得到训练业务流量集合;
提取所述训练业务流量集合中每个训练业务流量所对应的第一训练特征信息和第二训练特征信息,其中,所述第一训练特征信息用于指示各终端设备的地址特征,所述第二训练特征信息用于指示各终端设备的流量分析特征;
利用所述第一训练特征信息以及所述第二训练特征信息对神经网络模型进行训练,得到所述流量检测模型。
2.根据权利要求1所述的方法,其特征在于,所述提取所述训练业务流量集合中每个训练业务流量所对应的第一训练特征信息,包括:
根据所述训练业务流量集合中每个训练业务流量,确定所述终端设备集群的地址个数;
获取终端设备的目的地址在预设时间内的出现次数;
根据所述终端设备集群的地址个数以及所述终端设备的目的地址在预设时间内的出现次数,计算得到所述第一训练特征信息。
3.根据权利要求2所述的方法,其特征在于,所述根据所述终端设备集群的设备个数以及所述各个终端设备的目的地址在预设时间内的出现次数,计算得到所述第一训练特征信息,包括:
采用如下方式计算所述第一训练特征信息:
其中,所述S1表示所述第一训练特征信息,所述Di表示所述第i个终端设备的目的地址在预设时间内的出现次数,所述i表示第i个终端设备,所述n表示所述终端设备集群的地址个数。
4.根据权利要求1所述的方法,其特征在于,所述第二训练特征信息,包括:发送或接收数据包的间隔时长的第一特征数据;各终端设备空闲态与活跃态之间的间隔时长的第二特征数据;发送或者接收每秒字节数和每秒包数的第三特征数据。
5.根据权利要求4所述的方法,其特征在于,所述第一特征数据包括:各终端设备发送数据包的间隔时长的最大值的标准方差、发送数据包的间隔时长的最小值的标准方差、发送数据包的间隔时长的平均值的标准方差、接收数据包的间隔时长的最大值的标准方差、接收数据包的间隔时长最小值的标准方差、接收数据包的间隔时长平均值的标准方差中的至少一项;和/或,
所述第二特征数据包括:各终端设备空闲态之前的最近一次活跃时长的最大值的标准方差、各终端设备空闲态之前的最近一次活跃时长的最小值的标准方差、各终端设备空闲态之前的最近一次活跃时长的平均值的标准方差、各终端设备活跃态之前的最近一次空闲时长的最大值的标准方差、各终端设备活跃态之前的最近一次空闲时长的最小值的标准方差、各终端设备活跃态之前的最近一次空闲时长的平均值的标准方差中的至少一项;和/或,
所述第三特征数据包括:各终端设备发送或接收每秒字节数最大值的标准方差、发送或接收每秒字节数最小值的标准方差、发送或接收每秒字节数平均值的标准方差、发送或接收每秒包数最大值的标准方差、发送或接收每秒包数最小值的标准方差以及每秒包数平均值的标准方差中的至少一项。
6.根据权利要求1至5至少一项所述的方法,其特征在于,所述利用所述第一训练特征信息以及所述第二训练特征信息对神经网络模型进行训练,得到所述流量检测模型,包括:
将所述第一训练特征信息以及所述第二训练特征信息输入至具有N个隐藏层的深度前馈神经网络,其中,所述N为大于或等于1的整数,所述隐藏层采用激活函数进行处理;
通过所述N个隐藏层的深度前馈神经网络输出预测偏离度;
根据所述预测偏离度和实际偏离度确定待优化偏离度;
若所述待优化偏离度满足预设偏离条件,则获取所述流量检测模型;
若所述待优化偏离度未满足所述预设偏离条件,则再次执行步骤将所述第一训练特征信息以及所述第二训练特征信息输入至具有N个隐藏层的深度前馈神经网络至步骤根据所述预测偏离度和实际偏离度确定待优化偏离度,直至所述待优化偏离度满足所述预设偏离条件;
其中,所述预设偏离条件,包括:
其中,所述Δr表示所述待优化偏离度,所述r表示所述预测偏离度,所述r'表示所述实际偏离度,所述n'表示执行步骤将所述第一训练特征信息以及所述第二训练特征信息输入至具有N个隐藏层的深度前馈神经网络至步骤根据所述预测偏离度和实际偏离度确定待优化偏离度的次数,所述β表示判断门限。
7.一种检测业务流量异常的方法,其特征在于,包括:
获取目标终端设备对应的待检测业务流量;
根据所述待检测业务流量生成第一特征信息以及第二特征信息,所述第一特征信息用于表示所述目标终端设备的地址特征,所述第二特征信息用于表示所述目标终端设备的流量分析特性;
根据所述第一特征信息以及所述第二特征信息确定所述目标流量特征信息所对应的结果信息,其中,所述结果信息用于指示所述业务流量数据是否为异常数据。
8.根据权利要求7所述的方法,其特征在于,所述根据所述第一特征信息以及所述第二特征信息确定所述目标流量特征信息所对应的结果信息包括:
将所述第一特征信息以及所述第二特征信息输入到根据权利要求1-6中任一项所述的训练流量检测模型的方法得到的流量检测模型以得到所述结果信息。
9.根据权利要求7所述的方法,其特征在于,所述第一特征信息根据与所述目标终端设备通信的地址个数以及所述目标终端设备的目的地址在预设时间内的出现次数被确定,所述第二特征信息包括:目标终端设备的目标地址的合规性;所述目标终端设备发送或接收数据包的间隔时长的第一特征数据;所述目标终端设备空闲态与活跃态之间的间隔时长的第二特征数据;所述目标终端设备发送或者接收每秒字节数和每秒包数的第三特征数据。
10.根据权利要求9所述的方法,其特征在于,所述第一特征数据包括:所述目标终端设备发送数据包的间隔时长的标准方差、发送数据包的间隔时长的标准方差、发送数据包的间隔时长的平均值的标准方差、接收数据包的间隔时长的标准方差、接收数据包的间隔时长的标准方差、接收数据包的间隔时长平均值的标准方差中的至少一项;和/或,所述第二特征数据包括:所述目标终端设备空闲态之前的最近一次活跃时长的标准方差、空闲态之前的最近一次活跃时长的标准方差、空闲态之前的最近一次活跃时长的平均值的标准方差、所述目标终端设备活跃态之前的最近一次空闲时长的标准方差、活跃态之前的最近一次空闲时长的标准方差、活跃态之前的最近一次空闲时长的平均值的标准方差中的至少一项;和/或,所述第三特征数据包括:所述目标终端设备发送或接收每秒字节数的标准方差、发送或接收每秒包数的标准方差中的至少一项。
11.一种流量检测装置,其特征在于,包括:
获取模块,用于获取终端设备集群中各个终端设备的训练业务流量,得到训练业务流量集合;
提取模块,用于提取所述获取模块获取的所述训练业务流量集合中每个训练业务流量所对应的第一训练特征信息和第二训练特征信息,其中,所述第一训练特征信息用于指示各终端设备的地址特征,所述第二训练特征信息用于指示各终端设备的流量分析特征;
训练模块,用于利用所述提取模块提取的所述第一训练特征信息以及所述第二训练特征信息对神经网络模型进行训练,得到所述流量检测模型。
12.一种流量检测装置,其特征在于,包括:
获取模块,用于获取目标终端设备对应的待检测业务流量;
生成模块,用于根据所述获取模块获取的所述待检测业务流量生成目标流量特征信息,其中,所述目标流量特征信息包括第一特征信息以及第二特征信息,所述第一特征信息用于表示所述目标终端设备的地址特征,所述第二特征信息用于表示所述目标终端设备的流量分析特性;
确定模块,用于通过流量检测模型确定所述生成模块生成的所述目标流量特征信息所对应的结果信息,其中,所述结果信息用于指示所述业务流量数据是否为异常数据,所述流量检测模型为通过第一训练特征信息与第二训练特征信息训练得到的。
13.一种流量检测装置,其特征在于,包括:
存储器、收发器和处理器;
所述收发器、所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-6中或7-10中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811244745.7A CN109462580B (zh) | 2018-10-24 | 2018-10-24 | 训练流量检测模型、检测业务流量异常的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811244745.7A CN109462580B (zh) | 2018-10-24 | 2018-10-24 | 训练流量检测模型、检测业务流量异常的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109462580A true CN109462580A (zh) | 2019-03-12 |
CN109462580B CN109462580B (zh) | 2021-03-30 |
Family
ID=65608294
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811244745.7A Active CN109462580B (zh) | 2018-10-24 | 2018-10-24 | 训练流量检测模型、检测业务流量异常的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109462580B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835541A (zh) * | 2019-04-18 | 2020-10-27 | 华为技术有限公司 | 一种模型老化检测方法、装置、设备及系统 |
CN112583825A (zh) * | 2020-12-07 | 2021-03-30 | 四川虹微技术有限公司 | 一种工业系统的异常检测方法和装置 |
CN113949525A (zh) * | 2021-09-07 | 2022-01-18 | 中云网安科技有限公司 | 异常访问行为的检测方法、装置、存储介质及电子设备 |
WO2022102051A1 (ja) * | 2020-11-12 | 2022-05-19 | 日本電信電話株式会社 | センサ収容端末、切断判定方法および切断判定プログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104390776A (zh) * | 2014-12-10 | 2015-03-04 | 北京航空航天大学 | 一种多余度副翼作动器故障检测、诊断与性能评估方法 |
CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
CN106789147A (zh) * | 2016-04-29 | 2017-05-31 | 新华三技术有限公司 | 一种流量分析方法及装置 |
CN107302547A (zh) * | 2017-08-21 | 2017-10-27 | 深信服科技股份有限公司 | 一种web业务异常检测方法及装置 |
WO2018164701A1 (en) * | 2017-03-10 | 2018-09-13 | Visa International Service Association | Identifying malicious network devices |
-
2018
- 2018-10-24 CN CN201811244745.7A patent/CN109462580B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104390776A (zh) * | 2014-12-10 | 2015-03-04 | 北京航空航天大学 | 一种多余度副翼作动器故障检测、诊断与性能评估方法 |
CN106789147A (zh) * | 2016-04-29 | 2017-05-31 | 新华三技术有限公司 | 一种流量分析方法及装置 |
CN106657141A (zh) * | 2017-01-19 | 2017-05-10 | 西安电子科技大学 | 基于网络流量分析的安卓恶意软件实时检测方法 |
WO2018164701A1 (en) * | 2017-03-10 | 2018-09-13 | Visa International Service Association | Identifying malicious network devices |
CN107302547A (zh) * | 2017-08-21 | 2017-10-27 | 深信服科技股份有限公司 | 一种web业务异常检测方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835541A (zh) * | 2019-04-18 | 2020-10-27 | 华为技术有限公司 | 一种模型老化检测方法、装置、设备及系统 |
WO2022102051A1 (ja) * | 2020-11-12 | 2022-05-19 | 日本電信電話株式会社 | センサ収容端末、切断判定方法および切断判定プログラム |
CN112583825A (zh) * | 2020-12-07 | 2021-03-30 | 四川虹微技术有限公司 | 一种工业系统的异常检测方法和装置 |
CN113949525A (zh) * | 2021-09-07 | 2022-01-18 | 中云网安科技有限公司 | 异常访问行为的检测方法、装置、存储介质及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN109462580B (zh) | 2021-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109462580A (zh) | 训练流量检测模型、检测业务流量异常的方法及装置 | |
EP2979425B1 (en) | Method and apparatus for detecting a multi-stage event | |
EP2785008A1 (en) | Method and apparatus for detecting a multi-stage event | |
CN106453061B (zh) | 一种识别网络诈骗行为的方法及系统 | |
CN108243191B (zh) | 风险行为识别方法、存储介质、设备及系统 | |
CN108306894A (zh) | 一种基于攻击发生置信度的网络安全态势评估方法及系统 | |
CN107465648A (zh) | 异常设备的识别方法及装置 | |
CN106685984A (zh) | 一种基于数据包捕获技术的网络威胁分析系统及方法 | |
KR102108960B1 (ko) | 기계학습 기반 빈도형 보안정책 생성시스템 및 그 방법 | |
CA2249321A1 (en) | Generic processing capability | |
WO2014142791A1 (en) | Event correlation based on confidence factor | |
CN109067586A (zh) | DDoS攻击检测方法及装置 | |
CA2249185A1 (en) | Forming a signature of parameters extracted from information | |
CN110166344B (zh) | 一种身份标识识别方法、装置以及相关设备 | |
CN110798426A (zh) | 一种洪水类DoS攻击行为的检测方法、系统及相关组件 | |
CN109600362B (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
CN108574668A (zh) | 一种基于机器学习的DDoS攻击流量峰值预测方法 | |
CN109040140A (zh) | 一种慢速攻击检测方法及装置 | |
CN105187437A (zh) | 一种sdn网络拒绝服务攻击的集中式检测系统 | |
CN110111062A (zh) | 一种基于大数据的伪装考勤场景识别方法及装置 | |
Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
Michailidis et al. | Intrusion detection using evolutionary neural networks | |
CN108809955A (zh) | 一种基于隐马尔可夫模型的电力用户行为深度分析方法 | |
CN106559416A (zh) | 一种基于支撑向量机的无线传感网入侵检测方法 | |
CN111932290A (zh) | 请求处理方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |