CN110519290B - 异常流量检测方法、装置及电子设备 - Google Patents

异常流量检测方法、装置及电子设备 Download PDF

Info

Publication number
CN110519290B
CN110519290B CN201910830803.2A CN201910830803A CN110519290B CN 110519290 B CN110519290 B CN 110519290B CN 201910830803 A CN201910830803 A CN 201910830803A CN 110519290 B CN110519290 B CN 110519290B
Authority
CN
China
Prior art keywords
flow
target
address
statistical information
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910830803.2A
Other languages
English (en)
Other versions
CN110519290A (zh
Inventor
熊英超
叶青
孙宏跃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Zhongfu Information Technology Co Ltd
Original Assignee
Nanjing Zhongfu Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Zhongfu Information Technology Co Ltd filed Critical Nanjing Zhongfu Information Technology Co Ltd
Priority to CN201910830803.2A priority Critical patent/CN110519290B/zh
Publication of CN110519290A publication Critical patent/CN110519290A/zh
Application granted granted Critical
Publication of CN110519290B publication Critical patent/CN110519290B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种异常流量检测方法、装置及电子设备,涉及网络安全技术领域,该方法包括:获取待检测流量的指标数据,该指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种;根据该指标数据和预先建立的流量数据库中存储的指标统计信息,确定待检测流量对应的目标流量特征;根据该目标流量特征和预先建立的异常检测模型,确定待检测流量的异常检测结果。该方法中,待检测流量对应的目标流量特征是基于预先存储在流量数据库中的指标统计信息得到的,相对于现有技术中直接统计待检测流量的所有相关数据流来得到目标流量特征的方式,降低了计算量且适用于分布式计算架构,因此能够加快计算速度,提高检测效率。

Description

异常流量检测方法、装置及电子设备
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种异常流量检测方法、装置及电子设备。
背景技术
目前的IDS(Intrusion Detection Systems,入侵检测系统)主要是基于硬件设备(如,路由器,交换机等)提供的pcap、Netflow、Sflow等格式的数据流量包进行统计分析和建模,再根据建模得到的入侵检测模型来评估和决策流量的合规性。
然而现有技术在进行异常流量检测时存在计算量大、计算速度慢的问题,导致检测效率较低。
发明内容
本发明的目的在于提供一种异常流量检测方法、装置及电子设备,以提高检测效率。
本发明提供了一种异常流量检测方法,包括:获取待检测流量的指标数据,所述指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种;根据所述指标数据和预先建立的流量数据库中存储的指标统计信息,确定所述待检测流量对应的目标流量特征;根据所述目标流量特征和预先建立的异常检测模型,确定所述待检测流量的异常检测结果。
进一步地,所述指标数据包括源IP地址、目的IP地址、通信时间和目的端口号,所述指标统计信息包括所述待检测流量的上一个流量对应的目标指标的统计信息;
所述根据所述指标数据和预先建立的流量数据库中存储的指标统计信息,确定所述待检测流量对应的目标流量特征,包括:从预先建立的流量数据库中存储的指标统计信息中提取所述上一个流量对应的目标指标的统计信息,并将提取到的统计信息作为所述待检测流量对应的基础统计信息;其中,所述目标指标包括所述源IP地址、所述目的IP地址、所述源IP地址和所述目的IP地址的组合以及所述目的端口号;所述基础统计信息包括预设时间段内具有所述源IP地址的第一流量数量、所述预设时间段内具有所述目的IP地址的第二流量数量、所述预设时间段内具有所述源IP地址和所述目的IP地址的第三流量数量、以及所述预设时间段内具有所述目的端口号的第四流量数量;根据所述通信时间确定所述待检测流量与所述上一个流量的差异检测时间段;获取所述差异检测时间段内所述目标指标的统计信息,并将获取到的统计信息作为差异统计信息;根据所述基础统计信息和所述差异统计信息确定所述待检测流量对应的目标流量特征。
进一步地,所述指标数据还包括通信输入包的大小和通信输入包的数量;所述根据所述基础统计信息和所述差异统计信息确定所述待检测流量对应的目标流量特征,包括:将相同所述目标指标的所述基础统计信息和所述差异统计信息进行求和或求差运算,得到所述待检测流量对应的目标统计信息;将所述目标统计信息、所述通信输入包的大小、所述通信输入包的数量和所述通信时间的小时数确定为所述待检测流量对应的目标流量特征。
进一步地,所述指标数据包括源IP地址、目的IP地址、通信时间、目的端口号、通信输入包的大小和通信输入包的数量,所述指标统计信息包括预设的多个自然时间段内目标指标的统计信息;
所述根据所述指标数据和预先建立的流量数据库中存储的指标统计信息,确定所述待检测流量对应的目标流量特征,包括:根据所述通信时间确定所述待检测流量所属的目标自然时间段;从预先建立的流量数据库中存储的指标统计信息中提取所述目标自然时间段内目标指标的统计信息,并将提取到的统计信息作为所述待检测流量对应的目标统计信息;其中,所述目标指标包括所述源IP地址、所述目的IP地址、所述源IP地址和所述目的IP地址的组合以及所述目的端口号;将所述目标统计信息、所述通信输入包的大小、所述通信输入包的数量和所述通信时间的小时数确定为所述待检测流量对应的目标流量特征。
进一步地,所述异常检测模型包括与所述源IP地址对应的异常概率模型;所述根据所述目标流量特征和预先建立的异常检测模型,确定所述待检测流量的异常检测结果,包括:将所述目标流量特征输入与所述源IP地址对应的异常概率模型中,得到所述目标流量特征对应的概率值;根据所述目标流量特征对应的概率值确定所述待检测流量的异常检测结果。
进一步地,所述根据所述目标流量特征对应的概率值确定所述待检测流量的异常检测结果,包括:
通过以下公式计算所述待检测流量的异常得分:
Figure GDA0002818925990000031
其中,score(x)表示待检测流量的异常得分,M表示所述目标流量特征的数量,wi表示编号为i的目标流量特征对应的权重,p(x(i))表示待检测流量的编号为i的目标流量特征对应的概率值;
通过比较所述异常得分与预设的得分阈值的大小关系,确定所述待检测流量的异常检测结果。
进一步地,所述异常概率模型包括多元高斯模型或多元混合高斯模型;所述方法还包括:获取具有所述源IP地址的多个流量样本;获取每个所述流量样本的样本流量特征;根据各所述流量样本的样本流量特征,采用最大似然估计MLE或期望最大化算法EM对待优化的异常概率模型进行拟合优化,得到与所述源IP地址对应的异常概率模型。
本发明还提供了一种异常流量检测装置,包括:数据获取模块,用于获取待检测流量的指标数据,所述指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种;特征确定模块,用于根据所述指标数据和预先建立的流量数据库中存储的指标统计信息,确定所述待检测流量对应的目标流量特征;结果确定模块,用于根据所述目标流量特征和预先建立的异常检测模型,确定所述待检测流量的异常检测结果。
本发明还提供了一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的异常流量检测方法。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述的异常流量检测方法。
本发明提供的异常流量检测方法、装置及电子设备中,该方法包括:获取待检测流量的指标数据,该指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种;根据该指标数据和预先建立的流量数据库中存储的指标统计信息,确定待检测流量对应的目标流量特征;根据该目标流量特征和预先建立的异常检测模型,确定待检测流量的异常检测结果。该方法中,待检测流量对应的目标流量特征是基于预先存储在流量数据库中的指标统计信息得到的,相对于现有技术中直接统计待检测流量的所有相关数据流来得到目标流量特征的方式,降低了计算量,因此能够加快计算速度,提高检测效率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种异常流量检测方法的流程示意图;
图2为本发明实施例提供的另一种异常流量检测方法的流程示意图;
图3为本发明实施例提供的另一种异常流量检测方法的流程示意图;
图4为本发明实施例提供的一种异常流量检测方法中建立异常概率模型的流程示意图;
图5为本发明实施例提供的一种异常流量检测装置的结构示意图;
图6为本发明实施例提供的另一种异常流量检测装置的结构示意图;
图7为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术在对待检测流量进行异常流量检测时,对数据流量包的统计分析过程通常是对待检测流量的通信时间前一定时间段内的数据流做统计,这是一个基于滑窗的流处理问题,例如统计出待检测流量的通信时间前半分钟内相同目的IP(Internet ProtocolAddress,网络之间互连的协议)地址、相同源IP地址等的流量数量信息。这种统计方式必然会造成重复计算。基于此,本发明实施例提供了一种异常流量检测方法、装置及电子设备,可以降低统计分析过程的重复计算量,从而可以加快计算速度,提高检测效率。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种异常流量检测方法进行详细介绍。
参见图1所示的一种异常流量检测方法的流程示意图,该方法包括如下步骤:
步骤S102,获取待检测流量的指标数据,该指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种。
本实施例提供的异常流量检测方法由电子设备执行,该电子设备可以收集整理路由器、检测器、交换机等设备提交的流量包,该流量包即为待检测流量。通过对待检测流量进行解析,可以得到目的IP地址、源IP地址、目的端口号、源端口号、通信协议号、通信时间、通信时长、通信输入包的大小和通信输入包的数量等信息,然后可以从这些信息中选取所需的指标数据。
可选地,上述指标数据包括目的IP地址、源IP地址、目的端口号、通信时间、通信输入包的大小和通信输入包的数量。优选地,上述电子设备将不同设备提交的待检测流量的指标数据整理成统一格式,以方便处理。
步骤S104,根据上述指标数据和预先建立的流量数据库中存储的指标统计信息,确定待检测流量对应的目标流量特征。
上述流量数据库中存储有先前获取的各个流量的指标数据,以及对各个流量的指标数据进行统计得到的指标统计信息,该指标统计信息包括各个检测指标在多个检测时间段内的统计信息。其中,检测指标可以根据所针对的攻击行为来选取,检测时间段的长度可以根据网络节点数据量以及响应速度来选取。某一流量的检测时间段通常以该流量的通信时间为结束时间,例如,某一流量的通信时间为08:00:00,检测时间段的长度为半分钟(30秒),则该流量的检测时间段为07:59:30至08:00:00。
例如针对端口扫描、Dos(Denial of Service,拒绝服务)、TCP(TransmissionControl Protocol,传输控制协议)SYN(Synchronize Sequence Numbers,同步序列编号)和SYN Flooding等攻击行为,检测指标可以包括源IP地址、目的IP地址、源IP地址和目的IP地址的组合以及目的端口号,检测时间段的长度可以选取为半分钟,指标统计信息包括半分钟内具有相同源IP地址的流量数量、半分钟内具有相同目的IP地址的流量数量、半分钟内具有相同源IP地址和相同目的IP地址的流量数量、以及半分钟内具有相同目的端口号的流量数量。
进一步地,通常检测时间段内获取到的流量数量较多,检测时间段内获取到的各个流量的指标数据会涉及到多个源IP地址、多个目的IP地址、多个源IP地址和目的IP地址的组合以及多个目的端口号中的一种或多种,检测指标包括多个源IP地址、多个目的IP地址、多个源IP地址和目的IP地址的组合以及多个目的端口号中的一种或多种,使得待检测流量对应的目标指标通常为流量数据库中所存储的检测指标的一部分。
例如,待检测流量的指标数据包括源IP地址A1、目的IP地址B1和目的端口号C1,某一检测时间段内获取到的三个流量,流量1的指标数据包括源IP地址A1、目的IP地址B1和目的端口号C2,流量2的指标数据包括源IP地址A1、目的IP地址B1和目的端口号C2,流量3的指标数据包括源IP地址A2、目的IP地址B1和目的端口号C1,则待检测流量对应的目标指标包括A1、B1、A1+B1和C1,检测指标包括A1、A2、B1、A1+B1、A2+B1、C1和C2,显然目标指标属于检测指标的一部分。
在一种可选的实现方式中,上述指标统计信息包括待检测流量的上一个流量对应的目标指标的统计信息;该上一个流量对应的目标指标的统计信息是指对上一个流量的检测时间段内的各个流量的指标数据进行统计得到的目标指标的统计信息。
基于此,上述步骤S104包括:从预先建立的流量数据库中存储的指标统计信息中提取待检测流量的上一个流量对应的目标指标的统计信息,并将提取到的统计信息作为待检测流量对应的基础统计信息;获取待检测流量相对于其上一个流量的差异检测时间段内目标指标的统计信息,并将获取到的统计信息作为差异统计信息;基于该基础统计信息和该差异统计信息确定待检测流量的目标统计信息;将该目标统计信息确定为待检测流量对应的目标流量特征。
其中,目标指标包括待检测流量的源IP地址、目的IP地址、源IP地址和目的IP地址的组合以及目的端口号;基础统计信息包括预设时间段内具有与待检测流量相同源IP地址的第一流量数量、预设时间段内具有与待检测流量相同目的IP地址的第二流量数量、预设时间段内具有与待检测流量相同源IP地址和相同目的IP地址的第三流量数量、以及预设时间段内具有与待检测流量相同目的端口号的第四流量数量;此处的预设时间段也即上述上一个流量的检测时间段。
在另一种可选的实现方式中,上述指标统计信息包括预设的多个自然时间段内目标指标的统计信息,每个自然时间段内目标指标的统计信息指对该自然时间段内的各个流量的指标数据进行统计得到的目标指标的统计信息,该自然时间段相当于上述的检测时间段。例如以半分钟为一个自然时间段,可以将一天的24小时分为2880个自然时间段,然后对这2880个自然段内各个流量的指标数据进行统计。
基于此,上述步骤S104包括:根据待检测流量的通信时间确定待检测流量所属的目标自然时间段;从预先建立的流量数据库中存储的指标统计信息中提取该目标自然时间段内目标指标的统计信息,并将提取到的统计信息作为待检测流量对应的目标统计信息;将该目标统计信息确定为待检测流量对应的目标流量特征。
其中,目标指标包括待检测流量的源IP地址、目的IP地址、源IP地址和目的IP地址的组合以及目的端口号;目标统计信息包括目标自然时间段内具有与待检测流量相同源IP地址的第一流量数量,目标自然时间段内具有与待检测流量相同目的IP地址的第二流量数量、目标自然时间段内具有与待检测流量相同源IP地址和相同目的IP地址的第三流量数量、以及目标自然时间段内具有与待检测流量相同目的端口号的第四流量数量。
另外,待检测流量对应的目标流量特征可以根据所针对的不同攻击行为的流量特征来选取。可选地,除上述目标统计信息之外,待检测流量对应的目标流量特征还可以包括通信输入包的大小、通信输入包的数量和通信时间的小时数中的一种或多种。其中,关于通信时间的小时数,若通信时间为08:01:00,则通信时间的小时数为8。
步骤S106,根据上述目标流量特征和预先建立的异常检测模型,确定待检测流量的异常检测结果。
可选地,上述异常检测模型包括与源IP地址对应的异常概率模型,该异常概率模型可以但不限于为多元高斯模型或多元混合高斯模型。上述步骤S106可以包括:将目标流量特征输入与待检测流量的源IP地址对应的异常概率模型中,得到目标流量特征对应的概率值;根据目标流量特征对应的概率值确定待检测流量的异常检测结果。其中,目标流量特征对应的概率值表示在已有的异常概率模型中目标流量特征发生的概率值,该异常检测结果包括待检测流量为异常流量或正常流量。
本发明实施例中,获取待检测流量的指标数据,该指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种;根据该指标数据和预先建立的流量数据库中存储的指标统计信息,确定待检测流量对应的目标流量特征;根据该目标流量特征和预先建立的异常检测模型,确定待检测流量的异常检测结果。该方法中,待检测流量对应的目标流量特征是基于预先存储在流量数据库中的指标统计信息得到的,相对于现有技术中直接统计待检测流量的所有相关数据流来得到目标流量特征的方式,降低了计算量,因此能够加快计算速度,提高检测效率。
在一种可能的实现方式中,每个源IP地址都建立有一个多元高斯模型:
Figure GDA0002818925990000101
其中,p(x(i))表示待检测流量的编号为i的目标流量特征对应的概率值,
Figure GDA0002818925990000102
分别表示该多元高斯模型的平均值参数、标准差参数和方差参数,x(i)表示待检测流量的编号为i的目标流量特征。
基于此,上述步骤S106的具体过程可以为:
(1)将目标流量特征输入与待检测流量的源IP地址对应的多元高斯模型中,得到目标流量特征对应的概率值。
(2)通过以下公式计算待检测流量的异常得分:
Figure GDA0002818925990000103
其中,score(x)表示待检测流量的异常得分,M表示目标流量特征的数量,wi表示编号为i的目标流量特征对应的权重,p(x(i))表示待检测流量的编号为i的目标流量特征对应的概率值,也即在多元高斯模型中编号为i的目标流量特征发生的概率值。各个目标流量特征对应的权重之和可以但不限于为1。
需要说明的是,log2p(x(i))的取值范围可以是[-100,0],并且考虑到x(i)=0的情况,这里定义log2(0)=-100。例如,若各个目标流量特征对应的权重之和为1,则score(x)的范围为[0,100]。
(3)通过比较上述异常得分与预设的得分阈值的大小关系,确定待检测流量的异常检测结果。
异常得分越大待检测流量越异常,当异常得分大于预设的得分阈值时,确定待检测流量为异常流量,此时还可以将该流量作为异常流量推荐给对应的终端或者平台,以供人工监测判别。其中,该得分阈值可以基于目标流量特征对应的权重、具体网络环境下的流量密度以及使用者对异常数据的敏感程度来设置。
为了便于理解,下面将参照图2和图3分别对基于两种统计方式下的异常流量检测方法进行示例性介绍。
图2为本发明实施例提供的另一种异常流量检测方法的流程示意图,该方法采用基于滑窗差异值(当前的待检测流量对应滑窗与上一个流量对应滑窗的差异值)的统计方式,也即仅需统计滑窗差异值就能够确定待检测流量对应的目标流量特征,其中滑窗指检测时间段。该方法中,流量数据库中存储的指标统计信息包括待检测流量的上一个流量对应的目标指标的统计信息,目标指标包括待检测流量的源IP地址、目的IP地址、源IP地址和目的IP地址的组合以及目的端口号,检测时间段的长度为半分钟。
如图2所示,该方法包括如下步骤:
步骤S201,获取待检测流量的指标数据,该指标数据包括目的IP地址、源IP地址、目的端口号、通信时间、通信输入包的大小和通信输入包的数量。
步骤S202,从预先建立的流量数据库中存储的指标统计信息中提取待检测流量的上一个流量对应的目标指标的统计信息,并将提取到的统计信息作为待检测流量对应的基础统计信息。
上述基础统计信息包括预设时间段内具有与待检测流量相同源IP地址的第一流量数量
Figure GDA0002818925990000111
预设时间段内具有与待检测流量相同目的IP地址的第二流量数量
Figure GDA0002818925990000112
预设时间段内具有与待检测流量相同源IP地址和相同目的IP地址的第三流量数量
Figure GDA0002818925990000113
以及预设时间段内具有与待检测流量相同目的端口号的第四流量数量
Figure GDA0002818925990000114
其中,预设时间段为上一个流量的通信时间前半分钟,也即上一个流量的检测时间段。
步骤S203,根据通信时间确定待检测流量与上一个流量的差异检测时间段。
具体地,待检测流量的检测时间段为待检测流量的通信时间前半分钟,上一个流量的检测时间段为上一个流量的通信时间前半分钟,因此可以基于通信时间确定待检测流量与上一个流量的差异检测时间段。通常差异检测时间段包括两个时间分段,第一个时间分段的起始时间为上一个流量的检测时间段的起始时间,第一个时间分段的结束时间为待检测流量的检测时间段的起始时间,而第二个时间分段内为上一个流量的通信时间至待检测流量的通信时间。例如,待检测流量的通信时间为08:00:00,上一个流量的通信时间为07:59:55,则待检测流量的检测时间段为07:59:30至08:00:00,上一个流量的检测时间段为07:59:25至07:59:55,差异检测时间段为07:59:25至07:59:30和07:59:55至08:00:00。
步骤S204,获取上述差异检测时间段内目标指标的统计信息,并将获取到的统计信息作为差异统计信息。
由于上述第二个时间分段内仅存在待检测流量这一个流量,第二个时间分段内每个目标指标的统计信息均为1,因此仅需获取上述第一个时间分段内目标指标的统计信息
Figure GDA0002818925990000121
i的取值为1、2、3、4。
例如,获取07:59:10至07:59:30内目标指标的统计信息S1和07:59:40至08:00:00内目标指标的统计信息S2,将S1和S2作为差异统计信息。
步骤S205,根据上述基础统计信息和上述差异统计信息确定待检测流量对应的目标流量特征。
在一些可能的实施例中,可以将相同目标指标的基础统计信息和差异统计信息进行求和或求差运算,得到待检测流量对应的目标统计信息;将目标统计信息、通信输入包的大小、通信输入包的数量和通信时间的小时数确定为待检测流量对应的目标流量特征。
具体地,对于每个目标指标,可以根据以下公式计算该目标指标的目标统计信息:
Figure GDA0002818925990000131
其中,x(i)表示待检测流量的编号为i的目标指标的统计值,也即编号为i的目标流量特征,i的取值为1、2、3、4;
Figure GDA0002818925990000132
表示上一个流量的编号为i的目标指标的统计值,
Figure GDA0002818925990000133
表示第一个时间分段内编号为i的目标指标的统计值。
为了便于后续带入公式计算,可以将通信输入包的大小、通信输入包的数量和通信时间的小时数记为x(5)、x(6)、x(7),也即记为编号分别为5、6、7的目标流量特征。因此,待检测流量对应的目标流量特征为x(i),i=1、2、3···6、7。
步骤S206,将上述目标流量特征输入与上述源IP地址对应的多元高斯模型中,得到该目标流量特征对应的概率值。
其中,多元高斯模型为:
Figure GDA0002818925990000134
步骤S207,根据上述目标流量特征对应的概率值确定待检测流量的异常检测结果。
本实施例采用基于滑窗差异值的统计方式,根据获取的待检测流量的上一个流量对应的目标指标的统计信息以及差异检测时间段内目标指标的统计信息,确定待检测流量对应的目标流量特征,这种方式大大降低了计算量,也适用于分布式计算架构,从而可以加快计算速度;另外,采用多元高斯模型对待检测流量进行异常评估,能够进一步加快计算速度,从而提高检测效率。
图3为本发明实施例提供的另一种异常流量检测方法的流程示意图,该方法采用基于自然时间段的统计方式。该方法中,流量数据库中存储的指标统计信息包括预设的多个自然时间段内目标指标的统计信息,目标指标包括待检测流量的源IP地址、目的IP地址、源IP地址和目的IP地址的组合以及目的端口号,检测时间段的长度为半分钟。
如图3所示,该方法包括如下步骤:
步骤S301,获取待检测流量的指标数据,该指标数据包括目的IP地址、源IP地址、目的端口号、通信时间、通信输入包的大小和通信输入包的数量。
步骤S302,根据上述通信时间确定待检测流量所属的目标自然时间段。
具体地,如果上述通信时间位于某个自然时间段内,则将该自然时间段确定为待检测流量所属的目标自然时间段;如果上述通信时间位于两个相邻自然时间段之间,则可以将两个相邻自然时间段中的时间靠前者确定为目标自然时间段。
例如,以半分钟为一个自然时间段,一天的24小时可以分为2880个自然时间段,若待检测流量的通信时间为08:00:05,则将08:00:00至08:00:30确定为目标自然时间段;若待检测流量的通信时间为08:00:00,则将07:59:30至08:00:00确定为目标自然时间段。
步骤S303,从预先建立的流量数据库中存储的指标统计信息中提取上述目标自然时间段内目标指标的统计信息,并将提取到的统计信息作为待检测流量对应的目标统计信息。
上述目标统计信息包括目标自然时间段内具有上述源IP地址的第一流量数量x(1),目标自然时间段内具有上述目的IP地址的第二流量数量x(2)、目标自然时间段内具有上述源IP地址和目的IP地址的第三流量数量x(3)、以及目标自然时间段内具有上述目的端口号的第四流量数量x(4)
步骤S304,将上述目标统计信息、通信输入包的大小、通信输入包的数量和通信时间的小时数确定为待检测流量对应的目标流量特征。
步骤S305,将上述目标流量特征输入与上述源IP地址对应的多元混合高斯模型中,得到该目标流量特征对应的概率值。
多元混合高斯模型可以实现更加细致的拟合计算,该模型中混合的数量取决于具体的细致程度。
步骤S306,根据上述目标流量特征对应的概率值确定待检测流量的异常检测结果。
本实施例采用基于自然时间段的统计方式,根据获取的目标自然时间段内目标指标的统计信息确定待检测流量对应的目标流量特征,不需要执行统计操作,最小化了计算成本,同时适用于分布式计算架构,从而可以加快计算速度,提高检测效率;另外,采用多元混合高斯模型,检测准确度更高。与前述图2所示的方法相比,该方法更加适合对于时效性不敏感、但检测准确度要求较高的平台。
另外,考虑到现有技术中的建模过程使用了朴素贝叶斯分类器、最小绝对选择和最小角回归或者神经网络等模型,计算成本很大,本发明实施例还提供了一种建立异常概率模型的方法,该异常概率模型包括上述的多元高斯模型或多元混合高斯模型。参见图4所示的一种异常流量检测方法中建立异常概率模型的流程示意图,通过以下步骤建立与源IP地址对应的异常概率模型:
步骤S401,获取具有上述源IP地址的多个流量样本。
异常概率模型是与源IP地址一一对应的,因此选取流量样本时仅选取具有同样源IP地址的流量。
步骤S402,获取每个流量样本的样本流量特征。
步骤S403,根据各流量样本的样本流量特征,采用MLE或EM对待优化的异常概率模型进行拟合优化,得到与上述源IP地址对应的异常概率模型。
其中,MLE(Maximum Likelihood Estimate,最大似然估计)是建立在极大似然原理的基础上的一个统计方法;通过MLE的计算,可以拟合出一个最符合当前流量数据分布的异常概率模型。EM(Expectation Maximization Algorithm,期望最大化算法)是一种迭代算法,用于含有隐变量的概率参数模型的最大似然估计或极大后验概率估计。采用EM对异常概率模型进行拟合优化时,可以通过给定的迭代次数,来不断优化异常概率模型使其能符合当前流量数据的分布情况。
下面是根据MLE计算得到的多元高斯模型的最佳参数的公式:
Figure GDA0002818925990000161
Figure GDA0002818925990000162
其中,
Figure GDA0002818925990000163
表示与ip对应的编号为i的流量特征的平均值参数,ip表示特定的源IP地址,
Figure GDA0002818925990000164
表示与ip对应的编号为i的流量特征的平均值,N(i)表示与编号为i的流量特征对应的流量样本的数量,
Figure GDA0002818925990000165
表示与ip对应的编号为j的流量样本中编号为i的流量特征,
Figure GDA0002818925990000166
表示与ip对应的编号为i的流量特征的方差参数。
由于拟合过程需要很多的时间,因此该过程并不是实时进行的,而是每隔特定的时间段(如,每六小时),使用MLE或EM优化当前的模型。在优化之前,所有统计数据会被缓存在流量数据库中,被用于训练以后再删除。
本实施例中,基于MLE或EM建立多元高斯模型或多元混合高斯模型,与现有技术相比,降低了计算成本。
对应于上述的异常流量检测方法,本发明实施例还提供了一种异常流量检测装置。参见图5所示的一种异常流量检测装置的结构示意图,该装置包括:
数据获取模块52,用于获取待检测流量的指标数据,该指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种;
特征确定模块54,用于根据上述指标数据和预先建立的流量数据库中存储的指标统计信息,确定待检测流量对应的目标流量特征;
结果确定模块56,用于根据目标流量特征和预先建立的异常检测模型,确定待检测流量的异常检测结果。
本发明实施例中,数据获取模块52获取待检测流量的指标数据,该指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种;特征确定模块54根据该指标数据和预先建立的流量数据库中存储的指标统计信息,确定待检测流量对应的目标流量特征;结果确定模块56根据该目标流量特征和预先建立的异常检测模型,确定待检测流量的异常检测结果。应用该装置时,待检测流量对应的目标流量特征是基于预先存储在流量数据库中的指标统计信息得到的,相对于现有技术中直接统计待检测流量的所有相关数据流来得到目标流量特征的方式,降低了计算量,因此能够加快计算速度,提高检测效率。
可选地,上述指标数据包括源IP地址、目的IP地址、通信时间和目的端口号,上述指标统计信息包括待检测流量的上一个流量对应的目标指标的统计信息。上述特征确定模块54具体用于:从预先建立的流量数据库中存储的指标统计信息中提取上一个流量对应的目标指标的统计信息,并将提取到的统计信息作为待检测流量对应的基础统计信息;其中,目标指标包括上述源IP地址、上述目的IP地址、该源IP地址和该目的IP地址的组合以及上述目的端口号;基础统计信息包括预设时间段内具有该源IP地址的第一流量数量、预设时间段内具有该目的IP地址的第二流量数量、预设时间段内具有该源IP地址和该目的IP地址的第三流量数量、以及预设时间段内具有该目的端口号的第四流量数量;根据上述通信时间确定待检测流量与上一个流量的差异检测时间段;获取差异检测时间段内目标指标的统计信息,并将获取到的统计信息作为差异统计信息;根据基础统计信息和差异统计信息确定待检测流量对应的目标流量特征。
可选地,上述指标数据还包括通信输入包的大小和通信输入包的数量;上述特征确定模块54在用于根据基础统计信息和差异统计信息确定待检测流量对应的目标流量特征时,具体用于:将相同目标指标的基础统计信息和差异统计信息进行求和或求差运算,得到待检测流量对应的目标统计信息;将目标统计信息、通信输入包的大小、通信输入包的数量和通信时间的小时数确定为待检测流量对应的目标流量特征。
可选地,上述指标数据包括源IP地址、目的IP地址、通信时间、目的端口号、通信输入包的大小和通信输入包的数量,上述指标统计信息包括预设的多个自然时间段内目标指标的统计信息。上述特征确定模块54具体用于:根据上述通信时间确定待检测流量所属的目标自然时间段;从预先建立的流量数据库中存储的指标统计信息中提取目标自然时间段内目标指标的统计信息,并将提取到的统计信息作为待检测流量对应的目标统计信息;其中,目标指标包括上述源IP地址、上述目的IP地址、该源IP地址和该目的IP地址的组合以及上述目的端口号;将目标统计信息、通信输入包的大小、通信输入包的数量和通信时间的小时数确定为待检测流量对应的目标流量特征。
可选地,上述异常检测模型包括与上述源IP地址对应的异常概率模型;上述结果确定模块56具体用于:将目标流量特征输入与上述源IP地址对应的异常概率模型中,得到目标流量特征对应的概率值;根据目标流量特征对应的概率值确定待检测流量的异常检测结果。
可选地,上述结果确定模块56在用于根据目标流量特征对应的概率值确定待检测流量的异常检测结果时,具体用于:通过以下公式计算待检测流量的异常得分:
Figure GDA0002818925990000191
其中,score(x)表示待检测流量的异常得分,M表示目标流量特征的数量,wi表示编号为i的目标流量特征对应的权重,p(x(i))表示待检测流量的编号为i的目标流量特征对应的概率值;
通过比较上述异常得分与预设的得分阈值的大小关系,确定待检测流量的异常检测结果。
可选地,上述异常概率模型包括多元高斯模型或多元混合高斯模型。参见图6所示的另一种异常流量检测装置的结构示意图,在图5的基础上,上述装置还包括数据建模模块62,用于:获取具有上述源IP地址的多个流量样本;获取每个流量样本的样本流量特征;根据各流量样本的样本流量特征,采用最大似然估计MLE或期望最大化算法EM对待优化的异常概率模型进行拟合优化,得到与该源IP地址对应的异常概率模型。
本实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
本发明实施例还提供了一种电子设备,包括存储器、处理器,存储器中存储有可在处理器上运行的计算机程序,处理器执行该计算机程序时实现上述的异常流量检测方法。
参见图7,本发明实施例提供的电子设备100包括:处理器70,存储器71,总线72和通信接口73,所述处理器70、通信接口73和存储器71通过总线72连接;处理器70用于执行存储器71中存储的可执行模块,例如计算机程序。
其中,存储器71可能包含高速随机存取存储器(RAM,RandomAccessMemory),也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。通过至少一个通信接口73(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线72可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器71用于存储程序,所述处理器70在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器70中,或者由处理器70实现。
处理器70可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器70中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器70可以是通用处理器,包括中央处理器(CentralProcessingUnit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器71,处理器70读取存储器71中的信息,结合其硬件完成上述方法的步骤。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例所提供的进行异常流量检测方法的计算机程序产品,包括存储有计算机程序的计算机可读存储介质,该计算机程序被处理器运行时执行前面方法实施例中所述的方法,而前述的计算机可读存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (9)

1.一种异常流量检测方法,其特征在于,包括:
获取待检测流量的指标数据,所述指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种;
根据所述指标数据和预先建立的流量数据库中存储的指标统计信息,确定所述待检测流量对应的目标流量特征;
根据所述目标流量特征和预先建立的异常检测模型,确定所述待检测流量的异常检测结果;
所述异常检测模型包括与所述源IP地址对应的异常概率模型;所述根据所述目标流量特征和预先建立的异常检测模型,确定所述待检测流量的异常检测结果,包括:
将所述目标流量特征输入与所述源IP地址对应的异常概率模型中,得到所述目标流量特征对应的概率值;
根据所述目标流量特征对应的概率值确定所述待检测流量的异常检测结果。
2.根据权利要求1所述的方法,其特征在于,所述指标数据包括源IP地址、目的IP地址、通信时间和目的端口号,所述指标统计信息包括所述待检测流量的上一个流量对应的目标指标的统计信息;
所述根据所述指标数据和预先建立的流量数据库中存储的指标统计信息,确定所述待检测流量对应的目标流量特征,包括:
从预先建立的流量数据库中存储的指标统计信息中提取所述上一个流量对应的目标指标的统计信息,并将提取到的统计信息作为所述待检测流量对应的基础统计信息;其中,所述目标指标包括所述源IP地址、所述目的IP地址、所述源IP地址和所述目的IP地址的组合以及所述目的端口号;所述基础统计信息包括预设时间段内具有所述源IP地址的第一流量数量、所述预设时间段内具有所述目的IP地址的第二流量数量、所述预设时间段内具有所述源IP地址和所述目的IP地址的第三流量数量、以及所述预设时间段内具有所述目的端口号的第四流量数量;
根据所述通信时间确定所述待检测流量与所述上一个流量的差异检测时间段;
获取所述差异检测时间段内所述目标指标的统计信息,并将获取到的统计信息作为差异统计信息;
根据所述基础统计信息和所述差异统计信息确定所述待检测流量对应的目标流量特征。
3.根据权利要求2所述的方法,其特征在于,所述指标数据还包括通信输入包的大小和通信输入包的数量;所述根据所述基础统计信息和所述差异统计信息确定所述待检测流量对应的目标流量特征,包括:
将相同所述目标指标的所述基础统计信息和所述差异统计信息进行求和或求差运算,得到所述待检测流量对应的目标统计信息;
将所述目标统计信息、所述通信输入包的大小、所述通信输入包的数量和所述通信时间的小时数确定为所述待检测流量对应的目标流量特征。
4.根据权利要求1所述的方法,其特征在于,所述指标数据包括源IP地址、目的IP地址、通信时间、目的端口号、通信输入包的大小和通信输入包的数量,所述指标统计信息包括预设的多个自然时间段内目标指标的统计信息;
所述根据所述指标数据和预先建立的流量数据库中存储的指标统计信息,确定所述待检测流量对应的目标流量特征,包括:
根据所述通信时间确定所述待检测流量所属的目标自然时间段;
从预先建立的流量数据库中存储的指标统计信息中提取所述目标自然时间段内目标指标的统计信息,并将提取到的统计信息作为所述待检测流量对应的目标统计信息;其中,所述目标指标包括所述源IP地址、所述目的IP地址、所述源IP地址和所述目的IP地址的组合以及所述目的端口号;
将所述目标统计信息、所述通信输入包的大小、所述通信输入包的数量和所述通信时间的小时数确定为所述待检测流量对应的目标流量特征。
5.根据权利要求1所述的方法,其特征在于,所述根据所述目标流量特征对应的概率值确定所述待检测流量的异常检测结果,包括:
通过以下公式计算所述待检测流量的异常得分:
Figure FDA0002818925980000031
其中,score(x)表示待检测流量的异常得分,M表示所述目标流量特征的数量,wi表示编号为i的目标流量特征对应的权重,p(x(i))表示待检测流量的编号为i的目标流量特征对应的概率值;
通过比较所述异常得分与预设的得分阈值的大小关系,确定所述待检测流量的异常检测结果。
6.根据权利要求1所述的方法,其特征在于,所述异常概率模型包括多元高斯模型或多元混合高斯模型;所述方法还包括:
获取具有所述源IP地址的多个流量样本;
获取每个所述流量样本的样本流量特征;
根据各所述流量样本的样本流量特征,采用最大似然估计MLE或期望最大化算法EM对待优化的异常概率模型进行拟合优化,得到与所述源IP地址对应的异常概率模型。
7.一种异常流量检测装置,其特征在于,包括:
数据获取模块,用于获取待检测流量的指标数据,所述指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种;
特征确定模块,用于根据所述指标数据和预先建立的流量数据库中存储的指标统计信息,确定所述待检测流量对应的目标流量特征;
结果确定模块,用于根据所述目标流量特征和预先建立的异常检测模型,确定所述待检测流量的异常检测结果;
所述异常检测模型包括与所述源IP地址对应的异常概率模型;所述结果确定模块具体用于:
将所述目标流量特征输入与所述源IP地址对应的异常概率模型中,得到所述目标流量特征对应的概率值;
根据所述目标流量特征对应的概率值确定所述待检测流量的异常检测结果。
8.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行权利要求1-6中任一项所述的方法。
CN201910830803.2A 2019-09-03 2019-09-03 异常流量检测方法、装置及电子设备 Active CN110519290B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910830803.2A CN110519290B (zh) 2019-09-03 2019-09-03 异常流量检测方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910830803.2A CN110519290B (zh) 2019-09-03 2019-09-03 异常流量检测方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN110519290A CN110519290A (zh) 2019-11-29
CN110519290B true CN110519290B (zh) 2021-01-26

Family

ID=68629614

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910830803.2A Active CN110519290B (zh) 2019-09-03 2019-09-03 异常流量检测方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN110519290B (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111199417A (zh) * 2019-11-29 2020-05-26 北京深演智能科技股份有限公司 虚假设备id的识别方法及装置
CN111181978B (zh) * 2019-12-31 2022-09-30 深信服科技股份有限公司 异常网络流量的检测方法、装置、电子设备及存储介质
CN111654482B (zh) * 2020-05-25 2022-06-07 泰康保险集团股份有限公司 一种异常流量的检测方法、装置、设备及介质
CN111817875B (zh) * 2020-06-03 2022-06-28 华为技术有限公司 检测网络故障的方法和装置
CN111901291B (zh) * 2020-06-03 2022-03-22 中国科学院信息工程研究所 网络入侵检测方法和装置
CN111835777B (zh) * 2020-07-20 2022-09-30 深信服科技股份有限公司 一种异常流量检测方法、装置、设备及介质
CN112153044B (zh) * 2020-09-23 2021-11-12 腾讯科技(深圳)有限公司 流量数据的检测方法及相关设备
CN112583825B (zh) * 2020-12-07 2022-09-27 四川虹微技术有限公司 一种工业系统的异常检测方法和装置
CN115733632B (zh) * 2021-08-26 2024-06-25 腾讯科技(深圳)有限公司 目标对象检测方法、装置、计算机设备及存储介质
CN113992396B (zh) * 2021-10-26 2024-05-28 深信服科技股份有限公司 一种流量检测方法、装置及电子设备和存储介质
CN116132170B (zh) * 2023-02-13 2023-09-29 山东云天安全技术有限公司 一种工控设备安全防控系统
CN116599865B (zh) * 2023-05-17 2024-05-24 广州天懋信息系统股份有限公司 分布式流量去重统计方法、装置、设备及存储介质
CN117235156B (zh) * 2023-08-04 2024-06-14 上海数禾信息科技有限公司 数据分析处理方法、装置、计算机设备和存储介质
CN116886430B (zh) * 2023-08-17 2024-02-23 奇墨科技(广州)有限公司 检测指标异常的方法、装置及存储介质
CN117061254B (zh) * 2023-10-12 2024-01-23 之江实验室 异常流量检测方法、装置和计算机设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108199795A (zh) * 2017-12-29 2018-06-22 北京百分点信息科技有限公司 一种设备状态的监测方法和装置
CN109905362A (zh) * 2019-01-08 2019-06-18 平安科技(深圳)有限公司 用户请求的检测方法、装置、计算机设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108076019B (zh) * 2016-11-17 2021-04-09 北京金山云网络技术有限公司 基于流量镜像的异常流量检测方法及装置
US11128648B2 (en) * 2018-01-02 2021-09-21 Maryam AMIRMAZLAGHANI Generalized likelihood ratio test (GLRT) based network intrusion detection system in wavelet domain
CN108494746B (zh) * 2018-03-07 2020-08-25 长安通信科技有限责任公司 一种网络端口流量异常检测方法及系统
CN109005181B (zh) * 2018-08-10 2021-07-02 深信服科技股份有限公司 一种dns放大攻击的检测方法、系统及相关组件
CN109862129A (zh) * 2018-12-26 2019-06-07 中国互联网络信息中心 Dns流量异常检测方法、装置、电子设备及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108199795A (zh) * 2017-12-29 2018-06-22 北京百分点信息科技有限公司 一种设备状态的监测方法和装置
CN109905362A (zh) * 2019-01-08 2019-06-18 平安科技(深圳)有限公司 用户请求的检测方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN110519290A (zh) 2019-11-29

Similar Documents

Publication Publication Date Title
CN110519290B (zh) 异常流量检测方法、装置及电子设备
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
US11848950B2 (en) Method for protecting IoT devices from intrusions by performing statistical analysis
CN108234524B (zh) 网络数据异常检测的方法、装置、设备及存储介质
CN107302547B (zh) 一种web业务异常检测方法及装置
CN110324210B (zh) 基于icmp协议进行隐蔽信道通信的检测方法及装置
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN106506242B (zh) 一种网络异常行为和流量监测的精确定位方法与系统
CN108282497A (zh) 针对SDN控制平面的DDoS攻击检测方法
CN110808994B (zh) 暴力破解操作的检测方法、装置及服务器
CN107404487B (zh) 一种工业控制系统安全检测方法及装置
CN107135230B (zh) 一种基于infigarch模型的网络流量异常检测方法及设备
CN106878314B (zh) 基于可信度的网络恶意行为检测方法
CN111367874A (zh) 一种日志处理方法、装置、介质和设备
CN114785567B (zh) 一种流量识别方法、装置、设备及介质
CN114363212B (zh) 一种设备检测方法、装置、设备和存储介质
CN108347359B (zh) 一种大型网络地址转换出口判断方法及装置
CN111064719A (zh) 文件异常下载行为的检测方法及装置
WO2024007615A1 (zh) 模型训练方法、装置及相关设备
Li et al. Detecting saturation attacks in software-defined networks
CN117391214A (zh) 模型训练方法、装置及相关设备
CN114362972B (zh) 一种基于流量摘要和图采样的僵尸网络混合检测方法及系统
JP2023533354A (ja) 端末検証を実現するための方法、装置、システム、デバイス、および記憶媒体
JP4209897B2 (ja) 大量フロー生成ホスト特定方法およびシステム
US20200021647A1 (en) Method of P2P Botnet Detection Based on Netflow Sessions

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant