CN110995769A - 深度数据包检测方法、装置及可读存储介质 - Google Patents
深度数据包检测方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN110995769A CN110995769A CN202010122003.8A CN202010122003A CN110995769A CN 110995769 A CN110995769 A CN 110995769A CN 202010122003 A CN202010122003 A CN 202010122003A CN 110995769 A CN110995769 A CN 110995769A
- Authority
- CN
- China
- Prior art keywords
- data
- feature
- characteristic
- result
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种深度数据包检测方法、装置及可读存储介质,通过对探测到的数据包的数据流特征中的各数据流成分进行数据预测,从而能够对未来单位时间内的数据流特征的威胁感知情况进行预测分类,以使得威胁感知检测能够及时应对数据包的变化,降低数据包会快速发生变化时计算机安全的影响。
Description
技术领域
本申请涉及数据安全防护技术领域,具体而言,涉及一种深度数据包检测方法、装置及可读存储介质。
背景技术
当前,随着网络信息技术的发展,针对网络通信过程中的数据包的入侵检测,可以为计算机网络提供实时保护的网络安全方案,进而保证计算机网络的正常运行。传统方案中通常仅对每次探测到的数据包进行威胁感知检测,然而经发明人研究发现,在入侵检测过程中,通常数据包会不断发生变化,这就对入侵检测的实时性提出了更高的要求,如果威胁感知检测无法及时应对数据包的变化,那么可能会对计算机安全产生较大的影响。
发明内容
有鉴于此,本申请的目的在于提供一种深度数据包检测方法、装置及可读存储介质,能够对未来单位时间内的数据流特征的威胁感知情况进行预测分类,以使得威胁感知检测能够及时应对数据包的变化,降低数据包会快速发生变化时计算机安全的影响。
根据本申请的第一方面,提供一种深度数据包检测方法,应用于服务器,所述方法包括:
提取从终端设备探测到的数据包的数据流特征;
对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果,所述数据预测结果包括在下一单位时间内所述数据流特征中的各数据流成分的异常特征以及每个数据流成分对应的异常置信度,每个数据流成分分别对应一种流量数据段;
对所述数据预测结果进行数据分类,得到所述数据包的威胁感知结果,所述威胁感知结果用于表示所述数据包是否存在威胁。
在第一方面的一种可能的实施方式中,所述提取从终端设备探测到的数据包的数据流特征的步骤,包括:
根据预先配置的DPI规则库提取所述数据包中的荷载内容并提取所述荷载内容中的DPI规则特征;
获取每个DPI规则特征对应的特征字段序列和特征表达序列,所述特征表达序列包括需要在特征识别过程中显示的特征表达内容,所述特征表达内容包括特征字段类型和特征字段时序,所述特征字段时序用于表示特征字段识别过程中的时序信息;
根据所述特征表达序列获取所述数据包所对应的数据分类位置,其中,所述数据分类位置为所述数据包中当前主用数据业务与备用数据业务的数据分类位置;
将所述特征字段序列中每个特征字段的位置与所述数据分类位置进行比较,得到比较结果,所述比较结果表示所述特征字段是位于所述主用数据业务内或者位于所述备用数据业务内;
根据所述比较结果提取所述数据包的数据流特征。
在第一方面的一种可能的实施方式中,所述根据所述比较结果提取所述数据包的数据流特征的步骤,包括:
根据所述特征字段序列构建待合并的目标特征字段序列;
根据所述特征字段序列从所述特征表达序列中选取相应的目标特征表达信息,并从所述目标特征字段序列中获取位于所述主用数据业务和备用数据业务内的特征字段;
当所述特征字段位于当前的主用数据业务内时,根据所述特征字段的位置在特征字段序列中确定相应的第一待合并特征字段、以及在所述特征表达序列中确定相应的第二待合并特征字段,并将所述第一待合并特征字段在所述特征字段序列中的字段内容、与所述第二待合并特征字段在所述特征表达序列中的字段内容进行合并,得到第一合并字段内容,而后将所述特征字段在所述目标特征字段序列中的字段内容更新为所述第一合并字段内容;
当所述特征字段位于当前的备用数据业务内时,根据所述特征字段的位置在所述特征字段序列中确定相应的第一待合并特征字段、以及在所述目标特征表达信息中确定相应的第三待合并特征字段,并将所述第一待合并特征字段在所述特征字段序列中的字段内容、与所述第三待合并特征字段在所述目标特征表达信息中的字段内容进行合并,得到第二合并字段内容,而后将所述特征字段在所述目标特征字段序列中的字段内容更新为所述第二合并字段内容;
提取更新为第一合并字段内容或者第二合并字段内容的该特征字段的特征信息,并汇总后得到所述数据包的数据流特征。
在第一方面的一种可能的实施方式中,所述对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果的步骤,包括:
根据预先训练的数据预测回归模型对所述数据流特征中的各数据流成分进行数据预测,分别得到至少一个预测值曲线,其中,所述数据预测回归模型包括多个预先训练的模型算子,所述预测值曲线包括每个模型算子的预测结果;
在所述至少一个预测值曲线上提取所述数据流成分的时序特征和曲线变化特征,所述曲线变化特征用于描述所述预测值曲线中预测值的变化趋势;
根据所述数据流成分的时序特征和曲线变化特征得到所述数据流成分的异常特征以及所述数据流成分对应的异常置信度。
在第一方面的一种可能的实施方式中,所述根据所述数据流成分的时序特征和曲线变化特征得到所述数据流成分的异常特征以及所述数据流成分对应的异常置信度的步骤,包括:
对所述数据流成分的时序特征和曲线变化特征分别进行隐马尔科夫计算,得到第一预测结果;
基于所述第一预测结果中与所述时序特征匹配的预测结果,在预设异常特征库的预测结果中进行索引,得到与所述时序特征匹配的第一索引结果;
基于所述第一预测结果中与所述曲线变化特征匹配的预测结果,在所述预设异常特征库的预测结果中进行索引,得到与所述曲线变化特征匹配的第二索引结果;
获取所述第一索引结果与所述第二索引结果中相同的索引结果,作为初步索引结果;
计算所述初步索引结果中包括的每一项索引结果与所述数据流成分之间的匹配度,并根据计算得到的匹配度,对所述初步索引结果中包括的索引结果进行合并处理,得到目标索引结果;
获取所述目标索引结果中的每一项索引结果的异常特征节点,并对获取到的每一个异常特征节点分别进行时序特征提取和曲线变化特征提取;
对于所述每一个异常特征节点,对所述异常特征节点的时序特征和曲线变化特征分别进行隐马尔科夫计算,得到所述异常特征节点的预测结果;
获取所述异常特征节点在所述索引结果中的节点位置,并基于所述索引结果的标识信息以及所述异常特征节点的节点位置,关联所述异常特征节点的预测结果,以得到所述数据流成分的异常特征以及所述数据流成分对应的异常置信度。
在第一方面的一种可能的实施方式中,所述对所述数据预测结果进行数据分类,得到所述数据包的威胁感知结果的步骤,包括:
针对所述数据预测结果中每个数据流成分的异常特征,将所述异常特征输入对应的流量数据段所对应的特征提取矩阵中,抽取所述特征提取矩阵的多个不同矩阵节点的输出结果,并将所述多个不同矩阵节点的输出结果进行组合后生成所述异常特征的输出结果;
根据每个数据流成分对应的异常置信度计算所述异常特征的输出结果中每个特征节点为威胁感知特征节点的置信度,以及每个特征节点为威胁感知特征节点时该特征节点的威胁感知分类值;
根据每个特征节点为威胁感知特征节点时该特征节点的威胁感知分类值,得到所述数据包的威胁感知结果。
在第一方面的一种可能的实施方式中,所述服务器中预先配置有不同异常置信度区间所对应的威胁感知系数,威胁感知系数越大,表示威胁程度越大;
所述根据每个数据流成分对应的异常置信度计算所述异常特征的输出结果中每个特征节点为威胁感知特征节点的置信度,以及每个特征节点为威胁感知特征节点时该特征节点的威胁感知分类值的步骤,包括:
根据每个数据流成分对应的异常置信度所在的异常置信度区间,确定每个数据流成分的威胁感知系数;
根据每个数据流成分的威胁感知系数,计算所述异常特征的输出结果中每个特征节点为威胁感知特征节点的置信度,其中,所述置信度根据所述输出结果中每个特征节点的矩阵输出值与所述威胁感知系数的乘积得到;
确定置信度高于预设置信度阈值的特征节点为威胁感知特征节点,并根据各个威胁感知特征节点的节点数量以及各个威胁感知特征节点对应的置信度的排序结果,确定每个威胁感知特征节点的威胁感知分类值。
在第一方面的一种可能的实施方式中,所述根据所述每个特征节点为威胁感知特征时该特征节点的威胁感知分类值,得到所述数据包的威胁感知结果的步骤,包括:
计算每种威胁感知分类值下的威胁感知特征节点密度,并计算所述威胁感知特征节点密度与其对应的威胁感知分类值之间的乘积后进行汇总,得到每个数据流成分的威胁感知置信度;
将每个数据流成分的威胁感知置信度进行汇总得到所述数据包的威胁感知置信度;
判断所述数据包的威胁感知置信度是否大于设定置信度;
如果所述数据包的威胁感知置信度大于设定置信度,则判定所述数据包存在威胁;
如果所述数据包的威胁感知置信度不大于设定置信度,则判定所述数据包不存在威胁。
根据本申请的第二方面,提供一种深度数据包检测装置,应用于服务器,所述装置包括:
提取模块,用于提取从终端设备探测到的数据包的数据流特征;
数据预测模块,用于对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果,所述数据预测结果包括在下一单位时间内所述数据流特征中的各数据流成分的异常特征以及每个数据流成分对应的异常置信度,每个数据流成分分别对应一种流量数据段;
分类模块,用于对所述数据预测结果进行数据分类,得到所述数据包的威胁感知结果,所述威胁感知结果用于表示所述数据包是否存在威胁。
根据本申请的第三方面,提供一种服务器,所述服务器包括机器可读存储介质及处理器,所述机器可读存储介质存储有机器可执行指令,所述处理器在执行所述机器可执行指令时,该服务器实现第一方面或者第一方面的任意一种可能的实施方式中的深度数据包检测方法。
根据本申请的第四方面,提供一种可读存储介质,所述可读存储介质中存储有机器可执行指令,所述机器可执行指令被执行时实现第一方面或者第一方面的任意一种可能的实施方式中的深度数据包检测方法。
基于上述任一方面,本申请通过对探测到的数据包的数据流特征中的各数据流成分进行数据预测,从而能够对未来单位时间内的数据流特征的威胁感知情况进行预测分类,以使得威胁感知检测能够及时应对数据包的变化,降低数据包会快速发生变化时计算机安全的影响。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例所提供的深度数据包检测方法的流程示意图;
图2示出了图1中所示的步骤S110的子步骤流程示意图;
图3示出了图1中所示的步骤S120的子步骤流程示意图;
图4示出了图1中所示的步骤S130的子步骤流程示意图;
图5示出了本申请实施例所提供的深度数据包检测装置的功能模块示意图;
图6示出了本申请实施例所提供的用于实现上述深度数据包检测方法的服务器的结构示意框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请实施例的一些实施例实现的操作。应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其它操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本申请保护的范围。
图1示出了本申请实施例提供的深度数据包检测方法的流程示意图,应当理解,在其它实施例中,本实施例的深度数据包检测方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。该深度数据包检测方法的详细步骤介绍如下。
步骤S110,提取从终端设备探测到的数据包的数据流特征。
步骤S120,对数据流特征中的各数据流成分进行数据预测,得到数据预测结果。
步骤S130,对数据预测结果进行数据分类,得到数据包的威胁感知结果。
本实施例中,数据预测结果可包括在下一单位时间内数据流特征中的各数据流成分的异常特征以及每个数据流成分对应的异常置信度,每个数据流成分分别对应一种流量数据段。其中,单位时间段可以根据实际的入侵检测需求进行确定,例如可以设置1秒、1分钟等,此处不作具体限定。流量数据段是指该数据包的协议类型所指示的数据段,具体不作限定。
可选地,上述数据包可以是但不限于IP(Internet Protocol,网际互连协议)数据包、TCP(Transmission Control Protocol,传输控制协议)数据包、UDP(User DatagramProtocol,用户数据报协议)数据包或SCTP(StreamControlTransmissionProtocol,流控制传输协议)数据包等,此处不作具体限定。
本实施例中,威胁感知结果可以用于表示数据包是否存在威胁,如果数据包存在威胁,那么可以针对性地进行拦截处理,否则放行处理,从而保证网络安全。
基于上述步骤,本实施例通过对探测到的数据包的数据流特征中的各数据流成分进行数据预测,从而能够对未来单位时间内的数据流特征的威胁感知情况进行预测分类,以使得威胁感知检测能够及时应对数据包的变化,降低数据包会快速发生变化时计算机安全的影响。
在一种可能的实施方式中,针对步骤S110,本实施例接下来进一步考虑到数据包涉及的数据业务,以提高特征提取的准确性,请结合参阅图2,步骤S110可以通过以下子步骤进一步实现:
子步骤S111,根据预先配置的DPI规则库提取数据包中的荷载内容并提取荷载内容中的DPI规则特征。
子步骤S112,获取每个DPI规则特征对应的特征字段序列和特征表达序列。
子步骤S113,根据特征表达序列获取数据包所对应的数据分类位置,其中,数据分类位置为数据包中当前主用数据业务与备用数据业务的数据分类位置。
子步骤S114,将特征字段序列中每个特征字段的位置与数据分类位置进行比较,得到比较结果,比较结果表示特征字段是位于主用数据业务还是位于备用数据业务内。
子步骤S115,根据比较结果提取数据包的数据流特征。
例如,作为一种可能的示例,DPI规则库的形成可由类别信息、应用信息和协议信息构成,而规则可以由起始标记、结束标记、规则头、规则体构成。DPI规则库可以由一个或多个关键字组成,关键字可以包括特征串、包长等。接下来本实施例针对DPI规则库的以下几个子项进行阐述:多包规则、等差多包规则”。
多包规则:多包规则表示所有特征在多个数据包中出现,数据包个数取值可以为:[2-8],同时还可以指定包含特征的数据包满足特定的预设关系。例如,如果特征全部匹配,但是预设关系不满足,那么规则则无法命中。多包规则可以由由规则头、多包规则体组成,其中多包规则体可由属性、包字段、包特征三部分组成。
本实施例中,属性可以由关键字:-Attribution 定义,后续字段为:sequence:、direction:、succession:,分别表示:命中特征的数据包是否要求按序(例如:有1,2,3个数据包特征,按序表示特征命中顺序一定为1,2,3,如果是1,3,2等其他顺序,均表示不命中)、命中特征的多个数据包是否同方向(例如:有1,2两个数据包特征,同向要求两个包全部来自客户端、服务器,如果一个来自客户端、另一个来自服务器则表示失败)、命中特征的多个数据包是否连续(例如:有1,2个数据包,连续表示命中特征的数据包连续,即:如果第4,5个包匹配,则表示命中;如果第4,6个包匹配,则表示不命中)。三个字段的取值只能为0、1。例如:sequence:1 表示按序、succession:0 表示可以不连续、direction:1 表示同方向。(注:三个字段不要求顺序,但是一定要存在;属性字段一定要紧跟在规则头后、包字段、包特征之前出现,且为必须字段。)
本实施例中,包字段可以由关键字-Packet 来定义,后续可以不限制任何字段,从而定义一个数据包内容的所有特征。示例性地,包字段最少2个,最多8个。
本实施例中,包特征可以以关键字-PacketLen 来定义,表示特定数据包的包长满足一定的条件,包特征的值为固定格式、特定语意的一个串。格式定义如下:direction:offset:endian:content-type:length:operator:content,此文本串中各字段以‘:’来区分,且位置固定,每个字段分别表示不同的含义:
a)direction:同特征串中的含义完全相同,但是取值一般不用:pkt-tail。
b)offset:同特征串中的含义完全相同,但是取值不能为-1。
c)endian:同特征串的取值、含义完全相同。由于包长关键字需要进行算术运算,因此如果endian为big-endian,那么对于小端机器需要进行字节转换;如果endian为little-endian,那么对于大端机器需要进行字节转换。
d)content-type:同特征串中的含义相同,但是取值:dec,表示content的数据为字符串表示的十进制数据。例如:content为:123,则表示十进制数字的123。
e)length:表示获取多长的数据,由于此关键字主要用于算术运算,因此该字段的取值只能为:[1,2,4]。此时,length值与content的长度没有关系,content长度有效性由规则开放人员保证。
f)operator:表示获取的值与当前数据包应用层数据长度的关系。
g)content:在获取与包长比较值时,操作对象值。对于包长规则,运算符只能是加法,content为被加的值。
针对等差多包规则而言,等差多包规则可以表示一条数据流中同向连续三个包之间满足一定的等差运算。等差规则可以由等差关键字、入口条件、等差规则体三部分组成。
本实施例中,等差关键字可以-Arithmetic来定义等差多包规则,此关键字一定要在规则头后首行出现。
本实施例中,入口条件可以由关键字-EntryPoint来定义,此关键字在-Arithmetic后出现,表示满足此入口条件的报文才进行等差多包识别。入口条件本质上来说就是一个单包规则体。
本实施例中,等差规则体可以由关键字-ArithmeticPattern来定义多包规则体,在-EntryPoint之后出现,表示其后的内容为等差规则体,等差规则体由一个或多个-Pattern来定义,此关键定义的pattern关键字包含三种操作符:const/arith/noconst ,分别表示:连续三个包的相同位置的取值为:常量、等差、不确定值(示例性地,等差多包规则体-ArithmeticPattern后至少包含一个-Pattern。)。
-Pattern的取值和定义:特征串以关键子:-Pattern 来定义,值为固定格式、特定语意的一个串。格式定义如下:direction:offset:endian:content-type:length:operator:content,此文本串中各字段以‘:’来区分,且位置固定,每个字段分别表示不同的含义。各字段具体含义如下:
a)direction:表示从数据包7层负责部分开始获取数据时的相对位置,取值为:[pkt-head,pkt-middle,pkt-tail]。pkt-head,表示从数据包应用层数据的头部开始计算偏移;pkt-middle,表示从规则中上一个特征结束位置开始计算偏移,此值不能出现在规则体的第一个特征中;pkt-tail,表示从数据包应用层数据的结束位置计算偏移。
b)offset:从direction定义的起始位置开始,偏移固定的长度,取值为:[-1,1024]。-1表示位置不固定。如果direction的取值为PktTail,则此字段表示特征穿的结束位置距离报文尾部的偏移。
c)endian:表示提取数据时的字节序,取值为:[big-endian,littlt-endian]。如果是关键字是:-Pattern,则默认是大字节序。
d)content-type:表示特征的表示形式,取值为:[string,hex]。string,表示特征串为字符串形式;hex,表示特征为16进制形式,即:报文中的原始内容。如果为hex,content中两个字符表示表示一个待匹配字符,且为待匹配字符ASCII码值的16进制形式,且length字段的值为content实际上的一半,且content的长度只能为偶数。例如:如果要匹配字符‘P1’,在hex的情况下,content为:5031,length为2。
e)length:表示特征的长度,取值为:[2,63],特征串最少两个字节。
f)operator:表示对于特征采用的运算操作。
g)content:表示特征值的内容,长度最长为63个字节。对于string类型来说,有些特殊字符需要转义,需转义字符包括:[空格( )、冒号(:)、斜杠(\)],使用的转义字符为:‘\’。例如:“abc\:abc”。
在上述基础上,特征表达序列可以包括需要在特征识别过程中显示的特征表达内容,特征表达内容包括特征字段类型和特征字段时序,特征字段时序用于表示特征字段识别过程中的时序信息。由此,可以根据特征字段序列构建待合并的目标特征字段序列,然后根据特征字段序列从特征表达序列中选取相应的目标特征表达信息,并从目标特征字段序列中获取位于主用数据业务和备用数据业务内的特征字段。
作为一种可能的示例,当特征字段位于当前的主用数据业务内时,根据特征字段的位置在特征字段序列中确定相应的第一待合并特征字段、以及在特征表达序列中确定相应的第二待合并特征字段,并将第一待合并特征字段在特征字段序列中的字段内容、与第二待合并特征字段在特征表达序列中的字段内容进行合并,得到第一合并字段内容,而后将特征字段在目标特征字段序列中的字段内容更新为第一合并字段内容。
作为另一种可能的示例,当特征字段位于当前的备用数据业务内时,根据特征字段的位置在特征字段序列中确定相应的第一待合并特征字段、以及在目标特征表达信息中确定相应的第三待合并特征字段,并将第一待合并特征字段在特征字段序列中的字段内容、与第三待合并特征字段在目标特征表达信息中的字段内容进行合并,得到第二合并字段内容,而后将特征字段在目标特征字段序列中的字段内容更新为第二合并字段内容。
在此基础上,可以提取更新为第一合并字段内容或者第二合并字段内容的该特征字段的特征信息,并汇总后得到数据包的数据流特征。
进一步地,在一种可能的实施方式中,针对步骤S120,本实施例进一步考虑到数据包可能的时序变化情况,以提高预测准确率,例如请结合参阅图3,步骤S120可以通过以下子步骤进一步实现:
子步骤S121,根据预先训练的数据预测回归模型对数据流特征中的各数据流成分进行数据预测,分别得到至少一个预测值曲线。
子步骤S122,在至少一个预测值曲线上提取数据流成分的时序特征和曲线变化特征,曲线变化特征用于描述预测值曲线中预测值的变化趋势;
子步骤S123,根据数据流成分的时序特征和曲线变化特征得到在下一单位时间内数据流成分的异常特征以及数据流成分对应的异常置信度。
本实施例中,数据预测回归模型可包括多个预先训练的模型算子,预测值曲线包括每个模型算子的预测结果。
详细地,作为一种可能的示例,数据预测回归模型的训练方式可以通过以下过程实现:
首先,可以将数据预测回归模型的预测过程定义为随机过程:X = (xt: t = 0,1,2…),数据包级的网络流量通常可以有四种形式:数据包的到达时间、数据包的大小、相邻数据包的时间差、相同间隔内的到达数据包的数目。预测过程的具体表达可以是:给当前时间以及过去时间的值Xt = (xt - p + 1,…,xt - 1,xt),预测将来时间点值为xt+q,其中,p是预测数据长度,q是预测步长。
那么数据预测回归模型可以定义如下:
xt+q预测值可通过以下公式确定:
Et + q = E(xt + q|xt - p + 1,…,xt -1, xt)
其中,Et + q是xt + q预测值,E(|)为条件期望值,求解条件期望需先得知X=(xt: t=0,1,2…)的联合概率分布。接下来可以将以上公式在实际情况下可转化成回归模型形式。
在xt =ξ2(t =1,2,⋯)的前提下,上述公式描述的预测问题可描述成回归问题:给定出ξ2 的任意一个子闭集M,找出M里面的某一个元素,使Et + q、xt + q之间的均方误差最小。从而对xt + q的预测可以由下属公式给定:
Et + q = arg min E{(y - x t + q )2 },y∈ξ2。
在此基础上,可通过建立训练集D=(X,Y),并针对D中的样本,配置输入为Xt = (xt - p + 1,…,xt - 1,xt ) (X t∈Rp ),配置输出为Yt = xt + q(Y t∈R) 。其中,t=1,2,…,N, N为D中的样本总数。
而后,针对训练集D初始化权重:D1(t)=1/N,接下来重复下述迭代过程,直到满足停止规则为止。
首先,针对样本权重分布D1,在D上训练弱回归算子,得到得到弱回归算子:Rp→R,并利用弱回归算子评估数训练集D中样本t所属误差信息lt(t),计算训练误差st,然后选择系数αt以衡量弱回归算子ht,并更新D中的样本权重分布:Dt→Dt+1。
在上述过程中,可以判断训练结束条件是否达到,如果达到则可以得到弱回归算子输出结果:{ht,t = 1,2,…T}→H。
示例性地,弱回归算子可采用Et+q = a*XTt ,其中,权重a根据如下方程获得:R*a= r,其中,R是输入矩阵,r是输入输出形成的向量。
又例如,考虑到前馈神经网络描述非线性问题方面具有优势,本实施例可以选择采用三层前馈神经网络作为弱回归算子,其中,前馈神经网络的隐含层课包括10个神经元、输出层包含1个神经元,层次之间采用sigmoid转移函数,隐含层跟输出层采用线性转移函数。
又例如,弱回归算子也可以采用分段恒定算子,也即针对输入特征建立分段恒定算子:Et+q = a j (b j≤ xt - p + k,bj + 1 ) j = 1,…,Num。
其中,xt - p + k 是向量Xt = (x t - p + 1,…,xt - 1,xt ) 中的某一维的特征;bj(j=1,…,Num)是取值范围xt - p + k的等分点Num构成序列,a j可由xt - p + k 在[b j,bj + 1]区间的期望确定:a j = E(x t - p + k|bj≤ xt - p + k≤ bj + 1),回归算子最终由预测误差的最小值确定。
在上述基础上,通过组合弱回归算子输出,在数据预测回归模型中,通过中值方式输出时较稳定,本实施例可以采用中值方式作为弱回归算子组合输出方式,从而对数据流特征中的各数据流成分进行数据预测,分别得到至少一个预测值曲线。
本实施例中,在至少一个预测值曲线上提取数据流成分的时序特征和曲线变化特征后,可以对数据流成分的时序特征和曲线变化特征分别进行隐马尔科夫计算,得到第一预测结果,然后基于第一预测结果中与时序特征匹配的预测结果,在预设异常特征库的预测结果中进行索引,得到与时序特征匹配的第一索引结果。
接着,可以基于第一预测结果中与曲线变化特征匹配的预测结果,在预设异常特征库的预测结果中进行索引,得到与曲线变化特征匹配的第二索引结果,从而可获取第一索引结果与第二索引结果中相同的索引结果,作为初步索引结果。
由此,可以计算初步索引结果中包括的每一项索引结果与数据流成分之间的匹配度,并按照计算得到的匹配度,对初步索引结果中包括的索引结果进行合并处理,得到目标索引结果,并且对于目标索引结果中的每一项索引结果,获取索引结果的异常特征节点,并对获取到的每一个异常特征节点分别进行时序特征提取和曲线变化特征提取。
而后,对于每一个异常特征节点,对异常特征节点的时序特征和曲线变化特征分别进行隐马尔科夫计算,得到异常特征节点的预测结果,接着获取异常特征节点在索引结果中的节点位置,并基于索引结果的标识信息以及异常特征节点的节点位置,关联异常特征节点的预测结果,以得到数据流成分的异常特征以及数据流成分对应的异常置信度。
在一种可能的实施方式中,针对步骤S130,请结合参阅图4,具体可以通过以下子步骤进一步实现:
子步骤S131,针对数据预测结果中每个数据流成分的异常特征,将异常特征输入对应的流量数据段所对应的特征提取矩阵中,抽取特征提取矩阵的多个不同矩阵节点的输出结果,并将多个不同矩阵节点的输出结果进行组合后生成异常特征的输出结果。
子步骤S132,根据每个数据流成分对应的异常置信度计算异常特征的输出结果中每个特征节点为威胁感知特征节点的置信度,以及每个特征节点为威胁感知特征节点时该特征节点的威胁感知分类值。
子步骤S133,根据每个特征节点为威胁感知特征节点时该特征节点的威胁感知分类值,得到数据包的威胁感知结果。
例如,可预先配置有不同异常置信度区间所对应的威胁感知系数,威胁感知系数越大,表示威胁程度越大。由此,可以根据每个数据流成分对应的异常置信度所在的异常置信度区间,确定每个数据流成分的威胁感知系数。并根据每个数据流成分的威胁感知系数,计算异常特征的输出结果中每个特征节点为威胁感知特征节点的置信度。
其中,置信度可以根据输出结果中每个特征节点的矩阵输出值与威胁感知系数的乘积得到,或者也可以通过其它任意可行的计算方式得到。
例如,假设置信度区间包括[0,20]、[21,40]、[41,60]、[61,80]、[81,100],[0,20]、[21,40]、[41,60]、[61,80]、[81,100]分别对应的威胁感知系数为2、4、6、8、10,如果某个数据流成分A对应的异常置信度所在的异常置信度区间的[61,80],那么则可以将[610,80]所对应的威胁感知系数8与数据流成分A的每个特征节点的矩阵输出值进行乘积计算,得到数据流成分A的每个特征节点为威胁感知特征节点的置信度。
接下来,可以确定置信度高于预设置信度阈值的特征节点为威胁感知特征节点,并根据各个威胁感知特征节点的节点数量以及各个威胁感知特征节点对应的置信度的排序结果,确定每个威胁感知特征节点的威胁感知分类值。
在此基础上,可以计算每种威胁感知分类值下的威胁感知特征节点密度,并计算威胁感知特征节点密度与其对应的威胁感知分类值之间的乘积后进行汇总,得到每个数据流成分的威胁感知置信度。而后,将每个数据流成分的威胁感知置信度进行汇总得到数据包的威胁感知置信度。
由此,可以判断数据包的威胁感知置信度是否大于设定置信度,如果数据包的威胁感知置信度大于设定置信度,则判定数据包存在威胁,如果数据包的威胁感知置信度不大于设定置信度,则判定数据包不存在威胁。
基于同一发明构思,请参阅图5,示出了本申请实施例提供的深度数据包检测装置200的功能模块示意图,本实施例可以根据上述方法实施例对深度数据包检测装置200进行功能模块的划分。例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如,在采用对应各个功能划分各个功能模块的情况下,图5示出的深度数据包检测装置200只是一种装置示意图。其中,深度数据包检测装置200可以包括提取模块210、数据预测模块220以及分类模块230,下面分别对该深度数据包检测装置200的各个功能模块的功能进行详细阐述。
提取模块210,用于提取从终端设备探测到的数据包的数据流特征。可以理解,该提取模块210可以用于执行上述步骤S110,关于该提取模块210的详细实现方式可以参照上述对步骤S110有关的内容。
数据预测模块220,用于对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果,所述数据预测结果包括在下一单位时间内所述数据流特征中的各数据流成分的异常特征以及每个数据流成分对应的异常置信度,每个数据流成分分别对应一种流量数据段。可以理解,该数据预测模块220可以用于执行上述步骤S120,关于该数据预测模块220的详细实现方式可以参照上述对步骤S120有关的内容。
分类模块230,用于对所述数据预测结果进行数据分类,得到所述数据包的威胁感知结果,威胁感知结果用于表示数据包是否存在威胁。可以理解,该分类模块230可以用于执行上述步骤S130,关于该分类模块230的详细实现方式可以参照上述对步骤S130有关的内容。
基于同一发明构思,请参阅图6,示出了本申请实施例提供的用于执行上述深度数据包检测方法的服务器100的结构示意框图,该服务器100可以包括机器可读存储介质120和处理器130。
本实施例中,机器可读存储介质120与处理器130均位于服务器100中且二者分离设置。然而,应当理解的是,机器可读存储介质120也可以是独立于服务器100之外,且可以由处理器130通过总线接口来访问。可替换地,机器可读存储介质120也可以集成到处理器130中,例如,可以是高速缓存和/或通用寄存器。
处理器130是该服务器100的控制中心,利用各种接口和线路连接整个服务器100的各个部分,通过运行或执行存储在机器可读存储介质120内的软件程序和/或模块,以及调用存储在机器可读存储介质120内的数据,执行该服务器100的各种功能和处理数据,从而对服务器100进行整体监控。可选地,处理器130可包括一个或多个处理核心;例如,处理器130可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器中。
其中,处理器130可以是一个通用的中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制上述方法实施例提供的深度数据包检测方法的程序执行的集成电路。
机器可读存储介质120可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(Electrically Erasable Programmabler-Only MEMory,EEPROM)、只读光盘(Compactdisc Read-Only MEMory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。机器可读存储介质120可以是独立存在,通过通信总线与处理器130相连接。机器可读存储介质120也可以和处理器集成在一起。其中,机器可读存储介质120用于存储执行本申请方案的机器可执行指令。处理器130用于执行机器可读存储介质120中存储的机器可执行指令,以实现前述方法实施例提供的深度数据包检测方法。
由于本申请实施例提供的服务器100是上述服务器100执行的方法实施例的另一种实现形式,且服务器100可用于执行上述方法实施例提供的深度数据包检测方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
进一步地,本申请实施例还提供一种包含计算机可执行指令的可读存储介质,计算机可执行指令在被执行时可以用于实现上述方法实施例提供的深度数据包检测方法。
本申请实施例是参照根据本申请实施例的方法、设备和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
以上所述,仅为本申请的各种实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种深度数据包检测方法,其特征在于,应用于服务器,所述方法包括:
提取从终端设备探测到的数据包的数据流特征;
对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果,所述数据预测结果包括在下一单位时间内所述数据流特征中的各数据流成分的异常特征以及每个数据流成分对应的异常置信度,每个数据流成分分别对应一种流量数据段;
对所述数据预测结果进行数据分类,得到所述数据包的威胁感知结果,所述威胁感知结果用于表示所述数据包是否存在威胁。
2.根据权利要求1所述的深度数据包检测方法,其特征在于,所述提取从终端设备探测到的数据包的数据流特征的步骤,包括:
根据预先配置的DPI规则库提取所述数据包中的荷载内容并提取所述荷载内容中的DPI规则特征;
获取每个DPI规则特征对应的特征字段序列和特征表达序列,所述特征表达序列包括需要在特征识别过程中显示的特征表达内容,所述特征表达内容包括特征字段类型和特征字段时序,所述特征字段时序用于表示特征字段识别过程中的时序信息;
根据所述特征表达序列获取所述数据包所对应的数据分类位置,其中,所述数据分类位置为所述数据包中当前主用数据业务与备用数据业务的数据分类位置;
将所述特征字段序列中每个特征字段的位置与所述数据分类位置进行比较,得到比较结果,所述比较结果表示所述特征字段是位于所述主用数据业务内或者位于所述备用数据业务内;
根据所述比较结果提取所述数据包的数据流特征。
3.根据权利要求2所述的深度数据包检测方法,其特征在于,所述根据所述比较结果提取所述数据包的数据流特征的步骤,包括:
根据所述特征字段序列构建待合并的目标特征字段序列;
根据所述特征字段序列从所述特征表达序列中选取相应的目标特征表达信息,并从所述目标特征字段序列中获取位于所述主用数据业务和备用数据业务内的特征字段;
当所述特征字段位于当前的主用数据业务内时,根据所述特征字段的位置在特征字段序列中确定相应的第一待合并特征字段、以及在所述特征表达序列中确定相应的第二待合并特征字段,并将所述第一待合并特征字段在所述特征字段序列中的字段内容、与所述第二待合并特征字段在所述特征表达序列中的字段内容进行合并,得到第一合并字段内容,而后将所述特征字段在所述目标特征字段序列中的字段内容更新为所述第一合并字段内容;
当所述特征字段位于当前的备用数据业务内时,根据所述特征字段的位置在所述特征字段序列中确定相应的第一待合并特征字段、以及在所述目标特征表达信息中确定相应的第三待合并特征字段,并将所述第一待合并特征字段在所述特征字段序列中的字段内容、与所述第三待合并特征字段在所述目标特征表达信息中的字段内容进行合并,得到第二合并字段内容,而后将所述特征字段在所述目标特征字段序列中的字段内容更新为所述第二合并字段内容;
提取更新为第一合并字段内容或者第二合并字段内容的该特征字段的特征信息,并汇总后得到所述数据包的数据流特征。
4.根据权利要求1所述的深度数据包检测方法,其特征在于,所述对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果的步骤,包括:
根据预先训练的数据预测回归模型对所述数据流特征中的各数据流成分进行数据预测,分别得到至少一个预测值曲线,其中,所述数据预测回归模型包括多个预先训练的模型算子,所述预测值曲线包括每个模型算子的预测结果;
在所述至少一个预测值曲线上提取所述数据流成分的时序特征和曲线变化特征,所述曲线变化特征用于描述所述预测值曲线中预测值的变化趋势;
根据所述数据流成分的时序特征和曲线变化特征得到在下一单位时间内所述数据流成分的异常特征以及所述数据流成分对应的异常置信度。
5.根据权利要求4所述的深度数据包检测方法,其特征在于,所述根据所述数据流成分的时序特征和曲线变化特征得到所述数据流成分的异常特征以及所述数据流成分对应的异常置信度的步骤,包括:
对所述数据流成分的时序特征和曲线变化特征分别进行隐马尔科夫计算,得到第一预测结果;
基于所述第一预测结果中与所述时序特征匹配的预测结果,在预设异常特征库的预测结果中进行索引,得到与所述时序特征匹配的第一索引结果;
基于所述第一预测结果中与所述曲线变化特征匹配的预测结果,在所述预设异常特征库的预测结果中进行索引,得到与所述曲线变化特征匹配的第二索引结果;
获取所述第一索引结果与所述第二索引结果中相同的索引结果,作为初步索引结果;
计算所述初步索引结果中包括的每一项索引结果与所述数据流成分之间的匹配度,并根据计算得到的匹配度,对所述初步索引结果中包括的索引结果进行合并处理,得到目标索引结果;
获取所述目标索引结果中的每一项索引结果的异常特征节点,并对获取到的每一个异常特征节点分别进行时序特征提取和曲线变化特征提取;
对于所述每一个异常特征节点,对所述异常特征节点的时序特征和曲线变化特征分别进行隐马尔科夫计算,得到所述异常特征节点的预测结果;
获取所述异常特征节点在所述索引结果中的节点位置,并基于所述索引结果的标识信息以及所述异常特征节点的节点位置,关联所述异常特征节点的预测结果,以得到所述数据流成分的异常特征以及所述数据流成分对应的异常置信度。
6.根据权利要求1-5中任意一项所述的深度数据包检测方法,其特征在于,所述对所述数据预测结果进行数据分类,得到所述数据包的威胁感知结果的步骤,包括:
针对所述数据预测结果中每个数据流成分的异常特征,将所述异常特征输入对应的流量数据段所对应的特征提取矩阵中,抽取所述特征提取矩阵的多个不同矩阵节点的输出结果,并将所述多个不同矩阵节点的输出结果进行组合后生成所述异常特征的输出结果;
根据每个数据流成分对应的异常置信度计算所述异常特征的输出结果中每个特征节点为威胁感知特征节点的置信度,以及每个特征节点为威胁感知特征节点时该特征节点的威胁感知分类值;
根据每个特征节点为威胁感知特征节点时该特征节点的威胁感知分类值,得到所述数据包的威胁感知结果。
7.根据权利要求6所述的深度数据包检测方法,其特征在于,所述服务器中预先配置有不同异常置信度区间所对应的威胁感知系数,威胁感知系数越大,表示威胁程度越大;
所述根据每个数据流成分对应的异常置信度计算所述异常特征的输出结果中每个特征节点为威胁感知特征节点的置信度,以及每个特征节点为威胁感知特征节点时该特征节点的威胁感知分类值的步骤,包括:
根据每个数据流成分对应的异常置信度所在的异常置信度区间,确定每个数据流成分的威胁感知系数;
根据每个数据流成分的威胁感知系数,计算所述异常特征的输出结果中每个特征节点为威胁感知特征节点的置信度,其中,所述置信度根据所述输出结果中每个特征节点的矩阵输出值与所述威胁感知系数的乘积得到;
确定置信度高于预设置信度阈值的特征节点为威胁感知特征节点,并根据各个威胁感知特征节点的节点数量以及各个威胁感知特征节点对应的置信度的排序结果,确定每个威胁感知特征节点的威胁感知分类值。
8.根据权利要求7所述的深度数据包检测方法,其特征在于,所述根据所述每个特征节点为威胁感知特征时该特征节点的威胁感知分类值,得到所述数据包的威胁感知结果的步骤,包括:
计算每种威胁感知分类值下的威胁感知特征节点密度,并计算所述威胁感知特征节点密度与其对应的威胁感知分类值之间的乘积后进行汇总,得到每个数据流成分的威胁感知置信度;
将每个数据流成分的威胁感知置信度进行汇总得到所述数据包的威胁感知置信度;
判断所述数据包的威胁感知置信度是否大于设定置信度;
如果所述数据包的威胁感知置信度大于设定置信度,则判定所述数据包存在威胁;
如果所述数据包的威胁感知置信度不大于设定置信度,则判定所述数据包不存在威胁。
9.一种深度数据包检测装置,其特征在于,应用于服务器,所述装置包括:
提取模块,用于提取从终端设备探测到的数据包的数据流特征;
数据预测模块,用于对所述数据流特征中的各数据流成分进行数据预测,得到数据预测结果,所述数据预测结果包括在下一单位时间内所述数据流特征中的各数据流成分的异常特征以及每个数据流成分对应的异常置信度,每个数据流成分分别对应一种流量数据段;
分类模块,用于对所述数据预测结果进行数据分类,得到所述数据包的威胁感知结果,所述威胁感知结果用于表示所述数据包是否存在威胁。
10.一种可读存储介质,其特征在于,所述可读存储介质存储有机器可执行指令,所述机器可执行指令被执行时实现权利要求1-8中任意一项的深度数据包检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010122003.8A CN110995769B (zh) | 2020-02-27 | 2020-02-27 | 深度数据包检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010122003.8A CN110995769B (zh) | 2020-02-27 | 2020-02-27 | 深度数据包检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110995769A true CN110995769A (zh) | 2020-04-10 |
CN110995769B CN110995769B (zh) | 2020-06-05 |
Family
ID=70081489
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010122003.8A Active CN110995769B (zh) | 2020-02-27 | 2020-02-27 | 深度数据包检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110995769B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111355750A (zh) * | 2020-04-23 | 2020-06-30 | 京东数字科技控股有限公司 | 用于识别暴力破解密码行为的方法和装置 |
CN111490992A (zh) * | 2020-04-11 | 2020-08-04 | 吴媛媛 | 基于数据流量检测及时序特征提取的入侵检测方法及设备 |
CN113656535A (zh) * | 2021-08-31 | 2021-11-16 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
CN114598486A (zh) * | 2020-12-03 | 2022-06-07 | 华中科技大学 | 一种sdn网络中面向业务流的威胁等级划分方法和系统 |
CN115348184A (zh) * | 2022-08-16 | 2022-11-15 | 江苏商贸职业学院 | 一种物联网数据安全事件预测方法及系统 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
CN106657160A (zh) * | 2017-02-28 | 2017-05-10 | 南开大学 | 面向大流量基于可信度的网络恶意行为检测方法 |
CN107948166A (zh) * | 2017-11-29 | 2018-04-20 | 广东亿迅科技有限公司 | 基于深度学习的流量异常检测方法及装置 |
EP3346411A1 (en) * | 2017-01-10 | 2018-07-11 | Crowdstrike, Inc. | Computational modeling and classification of data streams |
CN108667747A (zh) * | 2018-04-28 | 2018-10-16 | 深圳信息职业技术学院 | 网络流应用类型识别的方法、装置及计算机可读存储介质 |
CN109120632A (zh) * | 2018-09-04 | 2019-01-01 | 中国人民解放军陆军工程大学 | 基于在线特征选择的网络流异常检测方法 |
CN109144673A (zh) * | 2018-09-21 | 2019-01-04 | 上海飞旗网络技术有限公司 | 一种nfv快速开发方法 |
CN109347853A (zh) * | 2018-11-07 | 2019-02-15 | 华东师范大学 | 基于深度包解析的面向综合电子系统的异常检测方法 |
US20190068623A1 (en) * | 2017-08-24 | 2019-02-28 | Level 3 Communications, Llc | Low-complexity detection of potential network anomalies using intermediate-stage processing |
CN109729017A (zh) * | 2019-03-14 | 2019-05-07 | 哈尔滨工程大学 | 一种基于dpi预测的负载均衡方法 |
CN109981358A (zh) * | 2019-03-13 | 2019-07-05 | 南京理工大学 | 一种基于组合模型的自适应网络性能预警方法 |
CN110086649A (zh) * | 2019-03-19 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 异常流量的检测方法、装置、计算机设备及存储介质 |
CN110098944A (zh) * | 2018-01-29 | 2019-08-06 | 中国科学院声学研究所 | 一种基于FP-Growth和RNN预测协议数据流量的方法 |
CN110120935A (zh) * | 2018-02-05 | 2019-08-13 | 罗伯特·博世有限公司 | 用于在通信网络中识别数据流中的异常的方法和设备 |
CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
-
2020
- 2020-02-27 CN CN202010122003.8A patent/CN110995769B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
EP3346411A1 (en) * | 2017-01-10 | 2018-07-11 | Crowdstrike, Inc. | Computational modeling and classification of data streams |
CN106657160A (zh) * | 2017-02-28 | 2017-05-10 | 南开大学 | 面向大流量基于可信度的网络恶意行为检测方法 |
US20190068623A1 (en) * | 2017-08-24 | 2019-02-28 | Level 3 Communications, Llc | Low-complexity detection of potential network anomalies using intermediate-stage processing |
CN107948166A (zh) * | 2017-11-29 | 2018-04-20 | 广东亿迅科技有限公司 | 基于深度学习的流量异常检测方法及装置 |
CN110098944A (zh) * | 2018-01-29 | 2019-08-06 | 中国科学院声学研究所 | 一种基于FP-Growth和RNN预测协议数据流量的方法 |
CN110120935A (zh) * | 2018-02-05 | 2019-08-13 | 罗伯特·博世有限公司 | 用于在通信网络中识别数据流中的异常的方法和设备 |
CN108667747A (zh) * | 2018-04-28 | 2018-10-16 | 深圳信息职业技术学院 | 网络流应用类型识别的方法、装置及计算机可读存储介质 |
CN109120632A (zh) * | 2018-09-04 | 2019-01-01 | 中国人民解放军陆军工程大学 | 基于在线特征选择的网络流异常检测方法 |
CN109144673A (zh) * | 2018-09-21 | 2019-01-04 | 上海飞旗网络技术有限公司 | 一种nfv快速开发方法 |
CN109347853A (zh) * | 2018-11-07 | 2019-02-15 | 华东师范大学 | 基于深度包解析的面向综合电子系统的异常检测方法 |
CN109981358A (zh) * | 2019-03-13 | 2019-07-05 | 南京理工大学 | 一种基于组合模型的自适应网络性能预警方法 |
CN109729017A (zh) * | 2019-03-14 | 2019-05-07 | 哈尔滨工程大学 | 一种基于dpi预测的负载均衡方法 |
CN110086649A (zh) * | 2019-03-19 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 异常流量的检测方法、装置、计算机设备及存储介质 |
CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
Non-Patent Citations (5)
Title |
---|
李晓明等: "基于机器学习的网络流量分类算法分析研究", 《中国传媒大学学报(自然科学版)》 * |
蔡洪民等: "基于深度学习的入侵检测技术研究", 《网络安全技术与应用》 * |
赵澄等: "工业控制网络中APT攻击检测系统设计", 《计算机测量与控制》 * |
闫朝升等: "基于滑动窗口的时间序列数据流分析与预测技术研究", 《黑龙江大学自然科学学报》 * |
陈瑞东等: "基于模糊聚类的僵尸网络识别技术", 《计算机工程》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111490992A (zh) * | 2020-04-11 | 2020-08-04 | 吴媛媛 | 基于数据流量检测及时序特征提取的入侵检测方法及设备 |
CN111490992B (zh) * | 2020-04-11 | 2021-01-22 | 江苏政采数据科技有限公司 | 基于数据流量检测及时序特征提取的入侵检测方法及设备 |
CN111355750A (zh) * | 2020-04-23 | 2020-06-30 | 京东数字科技控股有限公司 | 用于识别暴力破解密码行为的方法和装置 |
CN114598486A (zh) * | 2020-12-03 | 2022-06-07 | 华中科技大学 | 一种sdn网络中面向业务流的威胁等级划分方法和系统 |
CN114598486B (zh) * | 2020-12-03 | 2023-04-07 | 华中科技大学 | 一种sdn网络中面向业务流的威胁等级划分方法和系统 |
CN113656535A (zh) * | 2021-08-31 | 2021-11-16 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
CN113656535B (zh) * | 2021-08-31 | 2023-11-14 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
CN115348184A (zh) * | 2022-08-16 | 2022-11-15 | 江苏商贸职业学院 | 一种物联网数据安全事件预测方法及系统 |
CN115348184B (zh) * | 2022-08-16 | 2024-01-26 | 江苏商贸职业学院 | 一种物联网数据安全事件预测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110995769B (zh) | 2020-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110995769B (zh) | 深度数据包检测方法及装置 | |
US10484413B2 (en) | System and a method for detecting anomalous activities in a blockchain network | |
CN112700252B (zh) | 一种信息安全性检测方法、装置、电子设备和存储介质 | |
CN107786388B (zh) | 一种基于大规模网络流数据的异常检测系统 | |
KR102279983B1 (ko) | 딥러닝 알고리즘을 이용한 비지도 방식의 네트워크 침입 탐지 방법 및 이를 실행하기 위한 프로그램이 기록된 기록매체 | |
CN110163242B (zh) | 风险识别方法、装置及服务器 | |
CN112989065B (zh) | 应用于大数据用户画像分析的信息处理方法和云计算系统 | |
CN105681339A (zh) | 一种融合粗糙集与ds证据理论的增量式入侵检测方法 | |
CN116305168B (zh) | 一种多维度信息安全风险评估方法、系统及存储介质 | |
CN113726545B (zh) | 基于知识增强生成对抗网络的网络流量生成方法及装置 | |
CN112202726B (zh) | 一种基于上下文感知的系统异常检测方法 | |
CN110162939B (zh) | 人机识别方法、设备和介质 | |
CN112801155B (zh) | 基于人工智能的业务大数据分析方法及服务器 | |
Wang et al. | Rethinking robust and accurate application protocol identification | |
CN115706671A (zh) | 网络安全防御方法、装置以及存储介质 | |
CN116702220A (zh) | 基于加密特征分析的数据比对方法及系统 | |
CN102611714B (zh) | 基于联系发现技术的网络入侵预测方法 | |
CN113704566B (zh) | 识别号主体识别方法、存储介质和电子设备 | |
CN114528908A (zh) | 网络请求数据分类模型训练方法、分类方法及存储介质 | |
CN109902831B (zh) | 业务决策处理方法以及装置 | |
CN113869431A (zh) | 虚假信息检测方法、系统、计算机设备及可读存储介质 | |
CN110197066B (zh) | 一种云计算环境下的虚拟机监控方法及监控系统 | |
CN113254672A (zh) | 异常账号的识别方法、系统、设备及可读存储介质 | |
CN112087448A (zh) | 安全日志提取方法、装置和计算机设备 | |
CN112905987A (zh) | 账号识别方法、装置、服务器及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |