CN112565183A - 一种基于流式动态时间规整算法的网络流量异常检测方法及装置 - Google Patents

一种基于流式动态时间规整算法的网络流量异常检测方法及装置 Download PDF

Info

Publication number
CN112565183A
CN112565183A CN202011178748.2A CN202011178748A CN112565183A CN 112565183 A CN112565183 A CN 112565183A CN 202011178748 A CN202011178748 A CN 202011178748A CN 112565183 A CN112565183 A CN 112565183A
Authority
CN
China
Prior art keywords
flow
abnormal
network
sequence
similarity calculation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011178748.2A
Other languages
English (en)
Other versions
CN112565183B (zh
Inventor
叶圣洁
沈楚楚
叶春霖
高杨
靳朝阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
709th Research Institute of CSIC
Original Assignee
709th Research Institute of CSIC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 709th Research Institute of CSIC filed Critical 709th Research Institute of CSIC
Priority to CN202011178748.2A priority Critical patent/CN112565183B/zh
Publication of CN112565183A publication Critical patent/CN112565183A/zh
Application granted granted Critical
Publication of CN112565183B publication Critical patent/CN112565183B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于流式动态时间规整算法的网络流量异常检测方法,步骤如下:1、形成异常网络流量特征模板库;2、生成网络流量特征向量;3、计算网络流量特征向量与异常流量特征向量模板序列的相似度;4、判断流量异常事件及类型。本发明还公开了一种基于流式动态时间规整算法的网络流量异常检测装置,包括:异常网络流量特征模板库形成机构:形成异常网络流量特征模板库;网络流量特征向量生成机构:生成网络流量特征向量;相似度计算机构;流量异常判断机构。本发明既可以解决传统分类方法在长时间维度上的考虑不足,同时可以解决传统时间序列方法对异常值和时间延展伸缩情况下的精度不足,可以广泛应用于信息安全领域。

Description

一种基于流式动态时间规整算法的网络流量异常检测方法及 装置
技术领域
本发明涉及信息安全网络监测领域,特别是涉及一种基于流式动态时间规整算法的网络流量异常检测方法及装置。
背景技术
随着信息技术的快速发展,越来越多的企事业单位部署了各类软件业务系统,将大量核心、重要的数字资产存储在各类应用当中。与此同时,网络安全也越来越受到人们的关注,如何快速识别网络攻击和网络故障的发生,保护企事业单位珍贵的数字资产免受攻击,窃取和损坏成为了人们关注的重点。网络流量异常经常是由于网络不正常使用,设备故障或诸如DDOS攻击、蠕虫病毒等网络攻击造成,与正常流量有一定特征上的差异,因此网络流量异常检测能够及时识别网络异常及未知的网络攻击,是一种重要的网络防护手段,同时也可为网络态势感知提供重要的技术支持。
现有的网络流量异常检测主要有使用SVM,贝叶斯网络以及神经网络等分类算法的异常检测方法以及基于时间序列相似度计算的异常检测方法。
基于分类的算法通常需要确定网络流量分类的数量和类别,设计网络流量的特征标签,然后使用历史流量数据训练一个机器学习分类模型,使用该分类模型对定期采集到的网络流量特征进行分类,此类算法往往是对一个特征提取周期内的网络流量进行分类,当网络流量异常的时间超过特征提取周期时会降低此类方法的表现,同时此类方法也难以描述多个特征提取周期之间整体的网络流量表现情况。
基于时间序列的异常检测方法通常定期采集网络流量的特征信息形成网络流量特征信息的时间序列,并将该时间序列分段为各个子序列与模板序列进行相似程度计算,从而判断是否有异常发生。现有的方法通常采用欧式距离进行相似程度计算,当网络流量的特征在时间上有延展伸缩,或出现奇异值时将严重影响相似度计算结果。同时子序列的划分方法不佳也容易造成划分出的子序列与模板序列的相似度计算结果不能很好的表征网络流量的实际情况,例如采用固定大小的滑动窗口划分子序列在实际异常流量持续时间与窗口大小差异较大时,不能很好的划分出异常流量的子序列。
发明内容
本发明的目的是为了克服上述背景技术的不足,提供一种基于流式动态时间规整算法的网络流量异常检测方法及装置,使其既可以解决传统分类方法在长时间维度上的考虑不足,同时可以解决传统时间序列方法对异常值和时间延展伸缩情况下的精度不足。
本发明提供的一种基于流式动态时间规整算法的网络流量异常检测方法,包括以下步骤:步骤1、根据专家经验,形成异常网络流量特征模板库;步骤2、提取网络流量特征信息,生成网络流量特征向量;步骤3、计算网络流量特征向量与异常流量特征向量模板序列的相似度;步骤4、判断流量异常事件及类型。
在上述技术方案中,所述步骤1的具体过程如下:根据专家经验,采集若干网络流量出现异常时的网络数据报文,按相同五元组进行分组,并按时间顺序进行排列,形成异常网络流量,所述五元组包括源IP、源端口、目的IP、目的端口和传输层协议;按一定的时间周期计算各异常网络流量的特征信息,包含但不限于数据报文的数量、流字节数、平均报文大小、平均报文间隔、平均报文时长、连接连续时间、连接数和SYN错误数,形成异常网络流量特征向量的时间序列;所有异常网络流量特征向量时间序列的集合组合成异常网络流量特征模板库。
在上述技术方案中,所述步骤2的具体过程如下:将数据报文按五元组分类,然后进行特征采集和提取;步骤2.1、采集网络中的数据报文,按五元组进行分类:流量特征提取模块实时采集网络中的数据报文,抽取报文中的五元组信息:源IP、源端口、目的IP、目的端口和传输层协议,将相同五元组信息的网络数据包按时间顺序排列形成一个网络流量;步骤2.2、采集和提取网络流量的特征信息:流量特征提取模块按照网络流量的维度进行特征信息提取,包括但不限于提取来自同一网络流量的数据报文的数量,流字节数,平均报文大小,平均报文间隔,平均报文时长,连接连续时间,连接数,SYN错误数,将采集到的特征信息统计汇总,以一定时间周期进行统计和计算,形成网络流量特征向量q{h0,h1,...,hr},其中r为特征向量的维度。
在上述技术方案中,所述步骤3的具体过程如下:使用周期性采集到的网络流量特征向量与从异常流量模板库中各个异常流量模板特征向量序列进行相似度计算,根据计算结果识别目标检测流量是否出现流量异常:步骤3.1、按被检测的网络流量建立相似度计算流水线:为每一条目标检测流量检测相似度计算流水线,该流水线处理来自相同五元组的统一网络流量中提取的特征向量;当接收到未对应建立相似度计算流水线的网络流量特征向量时,创建一条新的相似度计算流水线,并从异常流量模板库读取异常流量模板至该流水线的内存中,开始进行特征向量与异常模板的相似度计算;步骤3.2、建立相似度计算任务:
在相似度计算流水线中,目标检测流量的特征向量将与所有异常流量模板序列进行相似度计算,为每个异常流量模板计算建立相似度计算任务;
步骤3.3、使用流式动态时间规则算法计算特征向量与异常流量特征向量模板序列之间的距离值:每一个相似度计算任务中设置有前值距离序列Dl与当前距离序列Dc,前置距离序列Dl保存前一次相似度计算结束后,目标检测流量与异常流量特征向量序列的动态时间规整距离值,Dl序列的维度与异常流量特征向量序列的维度相同;Dc存放本次相似度计算已经完成计算的动态时间规整距离值;步骤3.4、使用流式动态时间规则算法计算特征向量局部最小距离:每一个相似度计算任务中设置有前值起点序列Sl与当前起点序列Sc,具体计算过程如下:
Figure BDA0002749483440000041
当发现一次特性向量相似度计算中,不存在距离值小于当前最小值,且起点值小于当前特征向量序号时,认为识别出局部最小距离dmin,取
Figure BDA0002749483440000042
为当前目标检测流量Q与P的相似度值。
在上述技术方案中,所述步骤3.3中,依次计算Dc中各个动态时间规整距离,具体计算过程如下:假设最新到来的目标检测流量的特征向量为qi,该计算任务对应的异常流量特征向量序列为P,计算Dc中第i个元素的动态时间规则距离;计算目标检测流量的特征向量q与异常流量特征向量序列P中第i个向量的距离,优选的可采用欧式距离作为距离计算公式,计算方法如下:
Figure BDA0002749483440000051
其中q的特征向量为{hq0,hq1,...,hqn},pi的特征向量为{hp0,hp1,...,hpn};参考前值距离序列和已完成计算的当前距离序列,计算前值最佳距离,具体计算方法如下:
Figure BDA0002749483440000052
d(i,0)=0,d(0,j)=∞,(i=1,...,m;j=1,...,n),其中dl,i为前值距离序列中第i个动态时间规整距离,dl,i-1为前值距离序列中第i-1个动态时间规整距离,dc,i-1为当前距离序列中第i-1个动态时间规则距离,该距离应当在计算dc,i前一步已经完成;将前述两公式所计算的距离相加,作为dc,i的动态时间规整距离:dci=di+dbest,更新当前相似度值的最小值dmin,dmin=min(dmin,dc,i)。
在上述技术方案中,所述步骤3.1中,还包括如下内容:当一条相似度计算流水线超过过期时间T后未接收到来自该目标检测流量的任何特征向量,则相似度计算模块销毁该流水线;所述步骤3.2中,还包括如下内容:创建相似度计算流水线时,在相似度计算流水线中,按照异常流量特征向量序列建立对应的相似度计算任务,每个相似度计算任务分别对应目标检测流量与异常流量特征向量之间的计算任务,任务数量与异常流量特征向量数量相同。
在上述技术方案中,所述步骤1中,假设进行特征提取的时间周期为t,则形成的异常网络流量特征向量时间序列的长度n为
Figure BDA0002749483440000053
则时间异常网络流量特征向量时间序列P可表示为P={p0,p1,...pn};所述步骤2.2中,还包括如下内容:流量特征提取模块为每个网络流量特征向量生成所属网络流量的标签,标签方法为将网络流量的五元组按照源IP,源端口,目的IP,目的端口,传输层协议进行字符串拼接,并计算该字符串的SHA1值,取SHA1值的后8位字符作为网络流量的标签,记为signature,将该标签和网络流量特征向量一同发送给相似度计算模块。
在上述技术方案中,所述步骤4的具体过程如下:判断相似度s是否超过相似度阈值,该阈值为预先设置的人为经验,依据不同的异常流量模板不同而不同;超过相似度阈值,则认为目标检测流量当前出现了与目标模板相似度极高的流量段,出现了流量异常,且异常类型为异常流量模板的异常类型;完成计算后,将dl更新为dc的值;当出现s大于阈值的情况后,将dl进行初始化,初始化方法为所用数据结构可表达的最大值。
本发明还提供了一种基于流式动态时间规整算法的网络流量异常检测装置,包括以下部分:异常网络流量特征模板库形成机构:根据专家经验,形成异常网络流量特征模板库;网络流量特征向量生成机构:提取网络流量特征信息,生成网络流量特征向量;相似度计算机构:计算网络流量特征向量与异常流量特征向量模板序列的相似度;流量异常判断机构:判断流量异常事件及类型。
在上述技术方案中,所述异常网络流量特征模板库形成机构包括如下部分:根据专家经验,采集若干网络流量出现异常时的网络数据报文,按相同五元组进行分组,并按时间顺序进行排列,形成异常网络流量,所述五元组包括源IP、源端口、目的IP、目的端口和传输层协议;按一定的时间周期计算各异常网络流量的特征信息,包含但不限于数据报文的数量、流字节数、平均报文大小、平均报文间隔、平均报文时长、连接连续时间、连接数和SYN错误数,形成异常网络流量特征向量的时间序列;假设进行特征提取的时间周期为t,则形成的异常网络流量特征向量时间序列的长度n为
Figure BDA0002749483440000071
则时间异常网络流量特征向量时间序列P可表示为P={p0,p1,...pn};所有异常网络流量特征向量时间序列的集合组合成异常网络流量特征模板库;所述网络流量特征向量生成机构包括如下部分:将数据报文按五元组分类,然后进行特征采集和提取;五元组分类单元:流量特征提取模块实时采集网络中的数据报文,抽取报文中的五元组信息:源IP、源端口、目的IP、目的端口和传输层协议,将相同五元组信息的网络数据包按时间顺序排列形成一个网络流量;网络流量特征提取单元:流量特征提取模块按照网络流量的维度进行特征信息提取,包括但不限于提取来自同一网络流量的数据报文的数量,流字节数,平均报文大小,平均报文间隔,平均报文时长,连接连续时间,连接数,SYN错误数,将采集到的特征信息统计汇总,以一定时间周期进行统计和计算,形成网络流量特征向量q{h0,h1,...,hr},其中r为特征向量的维度;流量特征提取模块为每个网络流量特征向量生成所属网络流量的标签,标签方法为将网络流量的五元组按照源IP,源端口,目的IP,目的端口,传输层协议进行字符串拼接,并计算该字符串的SHA1值,取SHA1值的后8位字符作为网络流量的标签,记为signature,将该标签和网络流量特征向量一同发送给相似度计算模块;所述相似度计算机构包括如下部分:使用周期性采集到的网络流量特征向量与从异常流量模板库中各个异常流量模板特征向量序列进行相似度计算,根据计算结果识别目标检测流量是否出现流量异常:相似度流水线计算单元:为每一条目标检测流量检测相似度计算流水线,该流水线处理来自相同五元组的统一网络流量中提取的特征向量;当接收到未对应建立相似度计算流水线的网络流量特征向量时,创建一条新的相似度计算流水线,并从异常流量模板库读取异常流量模板至该流水线的内存中,开始进行特征向量与异常模板的相似度计算;当一条相似度计算流水线超过过期时间T后未接收到来自该目标检测流量的任何特征向量,则相似度计算模块销毁该流水线;相似度计算任务单元:在相似度计算流水线中,目标检测流量的特征向量将与所有异常流量模板序列进行相似度计算,为每个异常流量模板计算建立相似度计算任务;创建相似度计算流水线时,在相似度计算流水线中,按照异常流量特征向量序列建立对应的相似度计算任务,每个相似度计算任务分别对应目标检测流量与异常流量特征向量之间的计算任务,任务数量与异常流量特征向量数量相同;特征向量与异常流量特征向量模板序列距离值计算单元:每一个相似度计算任务中设置有前值距离序列Dl与当前距离序列Dc,前置距离序列Dl保存前一次相似度计算结束后,目标检测流量与异常流量特征向量序列的动态时间规整距离值,Dl序列的维度与异常流量特征向量序列的维度相同;Dc存放本次相似度计算已经完成计算的动态时间规整距离值;特征向量局部最小距离计算单元:每一个相似度计算任务中设置有前值起点序列Sl与当前起点序列Sc,具体计算过程如下:
Figure BDA0002749483440000081
当发现一次特性向量相似度计算中,不存在距离值小于当前最小值,且起点值小于当前特征向量序号时,认为识别出局部最小距离dmin,取
Figure BDA0002749483440000082
为当前目标检测流量Q与P的相似度值;所述流量异常判断机构包括如下部分:判断相似度s是否超过相似度阈值,该阈值为预先设置的人为经验,依据不同的异常流量模板不同而不同;超过相似度阈值,则认为目标检测流量当前出现了与目标模板相似度极高的流量段,出现了流量异常,且异常类型为异常流量模板的异常类型;完成计算后,将dl更新为dc的值;当出现s大于阈值的情况后,将dl进行初始化,初始化方法为所用数据结构可表达的最大值。
本发明基于流式动态时间规整算法的网络流量异常检测方法及装置,具有以下有益效果:本发明可以识别出网络流量时间序列中任意长度的、与模板序列高度一致的子序列,并具备与模板序列线性的时空复杂度,同时可易于确定流量异常的类型。
附图说明
图1为本发明基于流式动态时间规整算法的网络流量异常检测方法中所涉及的算力资源系统结构示意图;
图2为本发明基于流式动态时间规整算法的网络流量异常检测方法的流程示意图;
图3为本发明基于流式动态时间规整算法的网络流量异常检测方法中网络流量特征提取的流程示意图;
图4为本发明基于流式动态时间规整算法的网络流量异常检测方法中相似度计算流水线结构示意图;
图5为本发明基于流式动态时间规整算法的网络流量异常检测方法中相似度计算任务的结构示意图;
图6为本发明基于流式动态时间规整算法的网络流量异常检测装置的结构示意图;
图7为本发明基于流式动态时间规整算法的网络流量异常检测装置中网络流量特征向量生成机构的结构示意图;
图8为本发明基于流式动态时间规整算法的网络流量异常检测装置中相似度计算机构的结构示意图。
具体实施方式
下面结合附图及实施例对本发明作进一步的详细描述,但该实施例不应理解为对本发明的限制。
本申请实施例提供的基于流式动态时间规整算法的网络流量异常检测方法,通过如图1所示的该方法所涉及的算力资源实现,该算力资源系统包括流量特征提取模块S1、特征向量相似度计算模块S2、异常流量模板库模块S3和异常流量分类模块S4。
如图2所示,步骤1:根据专家经验,形成异常网络流量特征模板库
根据专家经验,采集若干网络流量出现异常时的网络数据报文,按相同五元组(源IP、源端口、目的IP、目的端口和传输层协议)进行分组,并按时间顺序进行排列,形成异常网络流量,设采集到的网络流量为时间长度为T的网络流量;
按一定的时间周期计算各异常网络流量的特征信息,包含但不限于数据报文的数量,流字节数,平均报文大小,平均报文间隔,平均报文时长,连接连续时间,连接数,SYN错误数等,形成异常网络流量特征向量的时间序列;设进行特征提取的时间周期为t,则形成的异常网络流量特征向量时间序列的长度n为
Figure BDA0002749483440000101
则时间异常网络流量特征向量时间序列P可表示为P={p0,p1,...pn},所有异常网络流量特征向量时间序列的集合组合异常网络流量特征模板库。
步骤2:提取网络流量特征信息,生成网络流量特征向量
将数据报文按五元组分类,然后进行特征采集和提取;
步骤2.1:采集网络中的数据报文,按五元组进行分类:
流量特征提取模块实时采集网络中的数据报文,抽取报文中的五元组信息:源IP、源端口、目的IP、目的端口和传输层协议。将相同五元组信息的网络数据包按时间顺序排列形成一个网络流量。具备相同五元组信息的数据包被认为来自同一个网络流量。
步骤2.2:采集和提取网络流量的特征信息:
流量特征提取模块按照网络流量的维度进行特征信息提取,包括但不限于提取来自同一网络流量的数据报文的数量,流字节数,平均报文大小,平均报文间隔,平均报文时长,连接连续时间,连接数,SYN错误数等。将采集到的特征信息统计汇总,以一定时间周期进行统计和计算,形成网络流量特征向量q{h0,h1,...,hr},其中r为特征向量的维度,优选的进行特征提取的时间周期可为10分钟;
流量特征提取模块为每个网络流量特征向量生成所属网络流量的标签,标签方法为将网络流量的五元组按照源IP,源端口,目的IP,目的端口,传输层协议进行字符串拼接,并计算该字符串的SHA1值,取SHA1值的后8位字符作为网络流量的标签,记为signature,将该标签和网络流量特征向量一同发送给相似度计算模块;
步骤3:计算网络流量特征向量与异常流量特征向量模板序列的相似度
如图3所示,相似度计算模块接收来自特征提取模块的特征向量,并从异常流量模板库模块获取异常流量模板特征向量序列,将二者进行相似度计算,根据计算结果识别目标检测流量是否出现流量异常,将异常结果输出至异常流量分类模块;
步骤3.1:按被检测的网络流量建立相似度计算流水线
如图4所示,相似度计算模块接收到一个网络流量特征向量后,首先根据特征向量的signature值查询是否已经创建了对应的相似度计算流水线,若不存在则创建一条新的相似度计算流水线;若已存在对应的相似度计算流水线,则将网络流量特征向量送入对应的相似度计算流水线中依次执行相似度计算任务;
当一条相似度计算流水线超过给定的过期时间后未接收到新的网络流量特征向量,则相似度计算模块销毁该相似度计算流水线,优选的过期时间可设置为3小时;
步骤3.2:建立相似度计算任务
在相似度计算流水线中,目标检测流量的特征向量将与所有异常流量模板序列进行相似度计算,为每个异常流量模板计算建立相似度计算任务,例如异常流量模板库中包含m条异常流量特征向量时间序列,则每一个相似度计算流水线中对应建立m个相似度计算任务;
步骤3.3:使用流式动态时间规则算法计算特征向量与异常流量特征向量模板序列之间的距离值
如图5所示,每一个相似度计算任务中设置有前值距离序列Dl与当前距离序列Dc。前置距离序列Dl保存前一次相似度计算结束后,目标检测流量与异常流量特征向量序列的动态时间规整距离值,Dl序列的维度与异常流量特征向量序列的维度相同;Dc存放本次相似度计算已经完成计算的动态时间规整距离值。
依次计算Dc中各个动态时间规整距离,具体计算方法如下:
假设最新到来的目标检测流量的特征向量为qi,该计算任务对应的异常流量特征向量序列为P,此时正在计算Dc中第i个元素的动态时间规则距离。
计算目标检测流量的特征向量q与异常流量特征向量序列P中第i个向量的距离,优选的可采用欧式距离作为距离计算公式,计算方法如下:
Figure BDA0002749483440000131
其中q的特征向量为{hq0,hq1,...,hqn},pi的特征向量为{hp0,hp1,...,hpn},
参考前值距离序列和已完成计算的当前距离序列,计算前值最佳距离,具体计算方法如下:
Figure BDA0002749483440000132
d(i,0)=0,d(0,j)=∞,(i=1,...,m;j=1,...,n),
其中dl,i为前值距离序列中第i个动态时间规整距离,dl,i-1为前值距离序列中第i-1个动态时间规整距离,dc,i-1为当前距离序列中第i-1个动态时间规则距离,该距离应当在计算dc,i前一步已经完成。
将前述两公式所计算的距离相加,作为dc,i的动态时间规整距离:
dci=di+dbest
更新当前相似度值的最小值dmin
dmin=min(dmin,dc,i);
步骤3.4:使用流式动态时间规则算法计算特征向量局部最小距离
每一个相似度计算任务中设置有前值起点序列Sl与当前起点序列Sc
Figure BDA0002749483440000133
当发现一次特性向量相似度计算中,不存在距离值小于当前最小值,且起点值小于当前特征向量序号时,认为识别出局部最小距离,最小距离为dmin,取
Figure BDA0002749483440000141
为当前目标检测流量Q与P的相似度值;
步骤4:判断流量异常事件及类型
判断相似度s是否超过相似度阈值,该阈值为预先设置的人为经验,依据不同的异常流量模板不同而不同;超过相似度阈值,则认为目标检测流量当前出现了与目标模板相似度极高的流量段,出现了流量异常,且异常类型为异常流量模板的异常类型
完成计算后,将dl更新为dc的值;
当出现s大于阈值的情况后,将dl进行初始化,初始化方法为所用数据结构可表达的最大值。
如图6所示,本发明基于流式动态时间规整算法的网络流量异常检测装置,其特征在于:包括以下部分:
异常网络流量特征模板库形成机构:根据专家经验,形成异常网络流量特征模板库,具体包括如下内容:
根据专家经验,采集若干网络流量出现异常时的网络数据报文,按相同五元组进行分组,并按时间顺序进行排列,形成异常网络流量,所述五元组包括源IP、源端口、目的IP、目的端口和传输层协议;按一定的时间周期计算各异常网络流量的特征信息,包含但不限于数据报文的数量、流字节数、平均报文大小、平均报文间隔、平均报文时长、连接连续时间、连接数和SYN错误数,形成异常网络流量特征向量的时间序列;假设进行特征提取的时间周期为t,则形成的异常网络流量特征向量时间序列的长度n为
Figure BDA0002749483440000142
则时间异常网络流量特征向量时间序列P可表示为P={p0,p1,...pn};所有异常网络流量特征向量时间序列的集合组合成异常网络流量特征模板库。
如图7所示,网络流量特征向量生成机构:提取网络流量特征信息,生成网络流量特征向量,具体包括如下内容:
将数据报文按五元组分类,然后进行特征采集和提取;
五元组分类单元:流量特征提取模块实时采集网络中的数据报文,抽取报文中的五元组信息:源IP、源端口、目的IP、目的端口和传输层协议,将相同五元组信息的网络数据包按时间顺序排列形成一个网络流量;
网络流量特征提取单元:流量特征提取模块按照网络流量的维度进行特征信息提取,包括但不限于提取来自同一网络流量的数据报文的数量,流字节数,平均报文大小,平均报文间隔,平均报文时长,连接连续时间,连接数,SYN错误数,将采集到的特征信息统计汇总,以一定时间周期进行统计和计算,形成网络流量特征向量q{h0,h1,...,hr},其中r为特征向量的维度;流量特征提取模块为每个网络流量特征向量生成所属网络流量的标签,标签方法为将网络流量的五元组按照源IP,源端口,目的IP,目的端口,传输层协议进行字符串拼接,并计算该字符串的SHA1值,取SHA1值的后8位字符作为网络流量的标签,记为signature,将该标签和网络流量特征向量一同发送给相似度计算模块;
如图8所示,相似度计算机构:计算网络流量特征向量与异常流量特征向量模板序列的相似度,具体包括如下内容:
使用周期性采集到的网络流量特征向量与从异常流量模板库中各个异常流量模板特征向量序列进行相似度计算,根据计算结果识别目标检测流量是否出现流量异常:
相似度流水线计算单元:为每一条目标检测流量检测相似度计算流水线,该流水线处理来自相同五元组的统一网络流量中提取的特征向量;当接收到未对应建立相似度计算流水线的网络流量特征向量时,创建一条新的相似度计算流水线,并从异常流量模板库读取异常流量模板至该流水线的内存中,开始进行特征向量与异常模板的相似度计算;当一条相似度计算流水线超过过期时间T后未接收到来自该目标检测流量的任何特征向量,则相似度计算模块销毁该流水线;
相似度计算任务单元:在相似度计算流水线中,目标检测流量的特征向量将与所有异常流量模板序列进行相似度计算,为每个异常流量模板计算建立相似度计算任务;创建相似度计算流水线时,在相似度计算流水线中,按照异常流量特征向量序列建立对应的相似度计算任务,每个相似度计算任务分别对应目标检测流量与异常流量特征向量之间的计算任务,任务数量与异常流量特征向量数量相同;
特征向量与异常流量特征向量模板序列距离值计算单元:每一个相似度计算任务中设置有前值距离序列Dl与当前距离序列Dc,前置距离序列Dl保存前一次相似度计算结束后,目标检测流量与异常流量特征向量序列的动态时间规整距离值,Dl序列的维度与异常流量特征向量序列的维度相同;Dc存放本次相似度计算已经完成计算的动态时间规整距离值;
其中,依次计算Dc中各个动态时间规整距离,具体计算方法如下:
假设最新到来的目标检测流量的特征向量为qi,该计算任务对应的异常流量特征向量序列为P,此时正在计算Dc中第i个元素的动态时间规则距离。
计算目标检测流量的特征向量q与异常流量特征向量序列P中第i个向量的距离,优选的可采用欧式距离作为距离计算公式,计算方法如下:
Figure BDA0002749483440000171
其中q的特征向量为{hq0,hq1,...,hqn},pi的特征向量为{hp0,hp1,...,hpn},
参考前值距离序列和已完成计算的当前距离序列,计算前值最佳距离,具体计算方法如下:
Figure BDA0002749483440000172
d(i,0)=0,d(0,j)=∞,(i=1,·..,m;j=1,,n),
其中dl,i为前值距离序列中第i个动态时间规整距离,dl,i-1为前值距离序列中第i-1个动态时间规整距离,dc,i-1为当前距离序列中第i-1个动态时间规则距离,该距离应当在计算dc,i前一步已经完成。
将前述两公式所计算的距离相加,作为dc,i的动态时间规整距离:
dci=di+dbest
更新当前相似度值的最小值dmin
dmin=min(dmin,dc,i);
特征向量局部最小距离计算单元:每一个相似度计算任务中设置有前值起点序列Sl与当前起点序列Sc,具体计算过程如下:
Figure BDA0002749483440000173
当发现一次特性向量相似度计算中,不存在距离值小于当前最小值,且起点值小于当前特征向量序号时,认为识别出局部最小距离dmin,取
Figure BDA0002749483440000181
为当前目标检测流量Q与P的相似度值;
流量异常判断机构:判断流量异常事件及类型,具体包括如下内容:
判断相似度s是否超过相似度阈值,该阈值为预先设置的人为经验,依据不同的异常流量模板不同而不同;超过相似度阈值,则认为目标检测流量当前出现了与目标模板相似度极高的流量段,出现了流量异常,且异常类型为异常流量模板的异常类型;完成计算后,将dl更新为dc的值;当出现s大于阈值的情况后,将dl进行初始化,初始化方法为所用数据结构可表达的最大值。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (10)

1.一种基于流式动态时间规整算法的网络流量异常检测方法,其特征在于:包括以下步骤:
步骤1、根据专家经验,形成异常网络流量特征模板库;
步骤2、提取网络流量特征信息,生成网络流量特征向量;
步骤3、计算网络流量特征向量与异常流量特征向量模板序列的相似度;
步骤4、判断流量异常事件及类型。
2.根据权利要求1所述的基于流式动态时间规整算法的网络流量异常检测方法,其特征在于:所述步骤1的具体过程如下:
根据专家经验,采集若干网络流量出现异常时的网络数据报文,按相同五元组进行分组,并按时间顺序进行排列,形成异常网络流量,所述五元组包括源IP、源端口、目的IP、目的端口和传输层协议;
按一定的时间周期计算各异常网络流量的特征信息,包含但不限于数据报文的数量、流字节数、平均报文大小、平均报文间隔、平均报文时长、连接连续时间、连接数和SYN错误数,形成异常网络流量特征向量的时间序列;
所有异常网络流量特征向量时间序列的集合组合成异常网络流量特征模板库。
3.根据权利要求2所述的基于流式动态时间规整算法的网络流量异常检测方法,其特征在于:所述步骤2的具体过程如下:
将数据报文按五元组分类,然后进行特征采集和提取;
步骤2.1、采集网络中的数据报文,按五元组进行分类:
流量特征提取模块实时采集网络中的数据报文,抽取报文中的五元组信息:源IP、源端口、目的IP、目的端口和传输层协议,将相同五元组信息的网络数据包按时间顺序排列形成一个网络流量;
步骤2.2、采集和提取网络流量的特征信息:
流量特征提取模块按照网络流量的维度进行特征信息提取,包括但不限于提取来自同一网络流量的数据报文的数量,流字节数,平均报文大小,平均报文间隔,平均报文时长,连接连续时间,连接数,SYN错误数,将采集到的特征信息统计汇总,以一定时间周期进行统计和计算,形成网络流量特征向量q{h0,h1,...,hr},其中r为特征向量的维度。
4.根据权利要求3所述的基于流式动态时间规整算法的网络流量异常检测方法,其特征在于:所述步骤3的具体过程如下:
使用周期性采集到的网络流量特征向量与从异常流量模板库中各个异常流量模板特征向量序列进行相似度计算,根据计算结果识别目标检测流量是否出现流量异常:
步骤3.1、按被检测的网络流量建立相似度计算流水线:
为每一条目标检测流量检测相似度计算流水线,该流水线处理来自相同五元组的统一网络流量中提取的特征向量;
当接收到未对应建立相似度计算流水线的网络流量特征向量时,创建一条新的相似度计算流水线,并从异常流量模板库读取异常流量模板至该流水线的内存中,开始进行特征向量与异常模板的相似度计算;
步骤3.2、建立相似度计算任务:
在相似度计算流水线中,目标检测流量的特征向量将与所有异常流量模板序列进行相似度计算,为每个异常流量模板计算建立相似度计算任务;
步骤3.3、使用流式动态时间规则算法计算特征向量与异常流量特征向量模板序列之间的距离值:
每一个相似度计算任务中设置有前值距离序列Dl与当前距离序列Dc,前置距离序列Dl保存前一次相似度计算结束后,目标检测流量与异常流量特征向量序列的动态时间规整距离值,Dl序列的维度与异常流量特征向量序列的维度相同;Dc存放本次相似度计算已经完成计算的动态时间规整距离值;
步骤3.4、使用流式动态时间规则算法计算特征向量局部最小距离:
每一个相似度计算任务中设置有前值起点序列Sl与当前起点序列Sc,具体计算过程如下:
Figure FDA0002749483430000031
当发现一次特性向量相似度计算中,不存在距离值小于当前最小值,且起点值小于当前特征向量序号时,认为识别出局部最小距离dmin,取
Figure FDA0002749483430000032
为当前目标检测流量Q与P的相似度值。
5.根据权利要求4所述的基于流式动态时间规整算法的网络流量异常检测方法,其特征在于:所述步骤3.3中,依次计算Dc中各个动态时间规整距离,具体计算过程如下:
假设最新到来的目标检测流量的特征向量为qi,该计算任务对应的异常流量特征向量序列为P,计算Dc中第i个元素的动态时间规则距离;
计算目标检测流量的特征向量q与异常流量特征向量序列P中第i个向量的距离,优选的可采用欧式距离作为距离计算公式,计算方法如下:
Figure FDA0002749483430000041
其中q的特征向量为{hq0,hq1,...,hqn},pi的特征向量为{hp0,hp1,...,hpn};
参考前值距离序列和已完成计算的当前距离序列,计算前值最佳距离,具体计算方法如下:
Figure FDA0002749483430000042
d(i,0)=0,d(0,j)=∞,(i=l,...,m;j=l,...,n),
其中dl,i为前值距离序列中第i个动态时间规整距离,dl,i-1为前值距离序列中第i-1个动态时间规整距离,dc,i-1为当前距离序列中第i-1个动态时间规则距离,该距离应当在计算dc,i前一步已经完成;
将前述两公式所计算的距离相加,作为dc,i的动态时间规整距离:
dci=di+dbest
更新当前相似度值的最小值dmin
dmin=min(dmin,dc,i)。
6.根据权利要求5所述的基于流式动态时间规整算法的网络流量异常检测方法,其特征在于:所述步骤3.1中,还包括如下内容:当一条相似度计算流水线超过过期时间T后未接收到来自该目标检测流量的任何特征向量,则相似度计算模块销毁该流水线;
所述步骤3.2中,还包括如下内容:创建相似度计算流水线时,在相似度计算流水线中,按照异常流量特征向量序列建立对应的相似度计算任务,每个相似度计算任务分别对应目标检测流量与异常流量特征向量之间的计算任务,任务数量与异常流量特征向量数量相同。
7.根据权利要求6所述的基于流式动态时间规整算法的网络流量异常检测方法,其特征在于:所述步骤1中,假设进行特征提取的时间周期为t,则形成的异常网络流量特征向量时间序列的长度n为
Figure FDA0002749483430000051
则时间异常网络流量特征向量时间序列P可表示为P={p0,p1,...pn};
所述步骤2.2中,还包括如下内容:流量特征提取模块为每个网络流量特征向量生成所属网络流量的标签,标签方法为将网络流量的五元组按照源IP,源端口,目的IP,目的端口,传输层协议进行字符串拼接,并计算该字符串的SHA1值,取SHA1值的后8位字符作为网络流量的标签,记为signature,将该标签和网络流量特征向量一同发送给相似度计算模块。
8.根据权利要求7所述的基于流式动态时间规整算法的网络流量异常检测方法,其特征在于:所述步骤4的具体过程如下:判断相似度s是否超过相似度阈值,该阈值为预先设置的人为经验,依据不同的异常流量模板不同而不同;超过相似度阈值,则认为目标检测流量当前出现了与目标模板相似度极高的流量段,出现了流量异常,且异常类型为异常流量模板的异常类型;完成计算后,将dl更新为dc的值;当出现s大于阈值的情况后,将dl进行初始化,初始化方法为所用数据结构可表达的最大值。
9.一种基于流式动态时间规整算法的网络流量异常检测装置,其特征在于:包括以下部分:
异常网络流量特征模板库形成机构:根据专家经验,形成异常网络流量特征模板库;
网络流量特征向量生成机构:提取网络流量特征信息,生成网络流量特征向量;
相似度计算机构:计算网络流量特征向量与异常流量特征向量模板序列的相似度;
流量异常判断机构:判断流量异常事件及类型。
10.根据权利要求9所述的基于流式动态时间规整算法的网络流量异常检测装置,其特征在于:所述异常网络流量特征模板库形成机构包括如下部分:根据专家经验,采集若干网络流量出现异常时的网络数据报文,按相同五元组进行分组,并按时间顺序进行排列,形成异常网络流量,所述五元组包括源IP、源端口、目的IP、目的端口和传输层协议;按一定的时间周期计算各异常网络流量的特征信息,包含但不限于数据报文的数量、流字节数、平均报文大小、平均报文间隔、平均报文时长、连接连续时间、连接数和SYN错误数,形成异常网络流量特征向量的时间序列;假设进行特征提取的时间周期为t,则形成的异常网络流量特征向量时间序列的长度n为
Figure FDA0002749483430000061
则时间异常网络流量特征向量时间序列P可表示为P={p0,p1,...pn};所有异常网络流量特征向量时间序列的集合组合成异常网络流量特征模板库;
所述网络流量特征向量生成机构包括如下部分:将数据报文按五元组分类,然后进行特征采集和提取;
五元组分类单元:流量特征提取模块实时采集网络中的数据报文,抽取报文中的五元组信息:源IP、源端口、目的IP、目的端口和传输层协议,将相同五元组信息的网络数据包按时间顺序排列形成一个网络流量;
网络流量特征提取单元:流量特征提取模块按照网络流量的维度进行特征信息提取,包括但不限于提取来自同一网络流量的数据报文的数量,流字节数,平均报文大小,平均报文间隔,平均报文时长,连接连续时间,连接数,SYN错误数,将采集到的特征信息统计汇总,以一定时间周期进行统计和计算,形成网络流量特征向量q{h0,h1,...,hr},其中r为特征向量的维度;流量特征提取模块为每个网络流量特征向量生成所属网络流量的标签,标签方法为将网络流量的五元组按照源IP,源端口,目的IP,目的端口,传输层协议进行字符串拼接,并计算该字符串的SHA1值,取SHA1值的后8位字符作为网络流量的标签,记为signature,将该标签和网络流量特征向量一同发送给相似度计算模块;
所述相似度计算机构包括如下部分:使用周期性采集到的网络流量特征向量与从异常流量模板库中各个异常流量模板特征向量序列进行相似度计算,根据计算结果识别目标检测流量是否出现流量异常:
相似度流水线计算单元:为每一条目标检测流量检测相似度计算流水线,该流水线处理来自相同五元组的统一网络流量中提取的特征向量;当接收到未对应建立相似度计算流水线的网络流量特征向量时,创建一条新的相似度计算流水线,并从异常流量模板库读取异常流量模板至该流水线的内存中,开始进行特征向量与异常模板的相似度计算;当一条相似度计算流水线超过过期时间T后未接收到来自该目标检测流量的任何特征向量,则相似度计算模块销毁该流水线;
相似度计算任务单元:在相似度计算流水线中,目标检测流量的特征向量将与所有异常流量模板序列进行相似度计算,为每个异常流量模板计算建立相似度计算任务;创建相似度计算流水线时,在相似度计算流水线中,按照异常流量特征向量序列建立对应的相似度计算任务,每个相似度计算任务分别对应目标检测流量与异常流量特征向量之间的计算任务,任务数量与异常流量特征向量数量相同;
特征向量与异常流量特征向量模板序列距离值计算单元:每一个相似度计算任务中设置有前值距离序列Dl与当前距离序列Dc,前置距离序列Dl保存前一次相似度计算结束后,目标检测流量与异常流量特征向量序列的动态时间规整距离值,Dl序列的维度与异常流量特征向量序列的维度相同;Dc存放本次相似度计算已经完成计算的动态时间规整距离值;
特征向量局部最小距离计算单元:每一个相似度计算任务中设置有前值起点序列Sl与当前起点序列Sc,具体计算过程如下:
Figure FDA0002749483430000081
当发现一次特性向量相似度计算中,不存在距离值小于当前最小值,且起点值小于当前特征向量序号时,认为识别出局部最小距离dmin,取
Figure FDA0002749483430000082
为当前目标检测流量Q与P的相似度值;
所述流量异常判断机构包括如下部分:判断相似度s是否超过相似度阈值,该阈值为预先设置的人为经验,依据不同的异常流量模板不同而不同;超过相似度阈值,则认为目标检测流量当前出现了与目标模板相似度极高的流量段,出现了流量异常,且异常类型为异常流量模板的异常类型;完成计算后,将dl更新为dc的值;当出现s大于阈值的情况后,将dl进行初始化,初始化方法为所用数据结构可表达的最大值。
CN202011178748.2A 2020-10-29 2020-10-29 一种基于流式动态时间规整算法的网络流量异常检测方法及装置 Active CN112565183B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011178748.2A CN112565183B (zh) 2020-10-29 2020-10-29 一种基于流式动态时间规整算法的网络流量异常检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011178748.2A CN112565183B (zh) 2020-10-29 2020-10-29 一种基于流式动态时间规整算法的网络流量异常检测方法及装置

Publications (2)

Publication Number Publication Date
CN112565183A true CN112565183A (zh) 2021-03-26
CN112565183B CN112565183B (zh) 2022-12-09

Family

ID=75042683

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011178748.2A Active CN112565183B (zh) 2020-10-29 2020-10-29 一种基于流式动态时间规整算法的网络流量异常检测方法及装置

Country Status (1)

Country Link
CN (1) CN112565183B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113422785A (zh) * 2021-08-20 2021-09-21 北京生泰尔科技股份有限公司 基于网络流量的恶意攻击检测方法、系统和可读存储介质
CN114124563A (zh) * 2021-12-02 2022-03-01 湖北天融信网络安全技术有限公司 一种异常流量检测方法、装置、电子设备及存储介质
CN114726593A (zh) * 2022-03-23 2022-07-08 阿里云计算有限公司 数据分析、异常信息识别方法、设备及存储介质
CN114760103A (zh) * 2022-03-21 2022-07-15 广州大学 一种工业控制系统异常检测系统、方法、设备及存储介质
CN114866349A (zh) * 2022-07-06 2022-08-05 深圳市永达电子信息股份有限公司 一种网络信息过滤方法
CN115801378A (zh) * 2022-11-10 2023-03-14 重庆邮电大学 一种终端安全策略生成方法和系统
CN116112287A (zh) * 2023-04-07 2023-05-12 国家计算机网络与信息安全管理中心 基于时空关联的网络攻击组织追踪方法与装置
CN117057819A (zh) * 2023-08-15 2023-11-14 泰华智慧产业集团股份有限公司 一种雨水管网污水排放溯源分析方法及系统

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN105678409A (zh) * 2015-12-31 2016-06-15 哈尔滨工业大学 一种自适应且分布无关的时间序列异常点检测方法
CN105978897A (zh) * 2016-06-28 2016-09-28 南京南瑞继保电气有限公司 一种电力二次系统僵尸网络的检测方法
WO2018126984A2 (zh) * 2017-01-06 2018-07-12 江南大学 一种基于mea-bp神经网络wsn异常检测方法
CN108280998A (zh) * 2018-01-30 2018-07-13 浙江大学 基于历史数据动态选择的短时交通流预测方法
CN109842628A (zh) * 2018-12-13 2019-06-04 成都亚信网络安全产业技术研究院有限公司 一种异常行为检测方法及装置
CN110287439A (zh) * 2019-06-27 2019-09-27 电子科技大学 一种基于lstm的网络行为异常检测方法
CN110505630A (zh) * 2019-03-12 2019-11-26 杭州海康威视数字技术股份有限公司 无线网络入侵检测方法、装置及电子设备
US20200174870A1 (en) * 2018-11-29 2020-06-04 Nec Laboratories America, Inc. Automated information technology system failure recommendation and mitigation
CN111681671A (zh) * 2020-05-20 2020-09-18 浙江大华技术股份有限公司 异常音识别方法、装置及计算机存储介质
CN111817909A (zh) * 2020-06-12 2020-10-23 中国船舶重工集团公司第七二四研究所 一种基于行为集合模板监测的设备健康管理方法

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895521A (zh) * 2009-05-22 2010-11-24 中国科学院研究生院 一种网络蠕虫检测与特征自动提取方法及其系统
CN105678409A (zh) * 2015-12-31 2016-06-15 哈尔滨工业大学 一种自适应且分布无关的时间序列异常点检测方法
CN105978897A (zh) * 2016-06-28 2016-09-28 南京南瑞继保电气有限公司 一种电力二次系统僵尸网络的检测方法
WO2018126984A2 (zh) * 2017-01-06 2018-07-12 江南大学 一种基于mea-bp神经网络wsn异常检测方法
CN108280998A (zh) * 2018-01-30 2018-07-13 浙江大学 基于历史数据动态选择的短时交通流预测方法
US20200174870A1 (en) * 2018-11-29 2020-06-04 Nec Laboratories America, Inc. Automated information technology system failure recommendation and mitigation
CN109842628A (zh) * 2018-12-13 2019-06-04 成都亚信网络安全产业技术研究院有限公司 一种异常行为检测方法及装置
CN110505630A (zh) * 2019-03-12 2019-11-26 杭州海康威视数字技术股份有限公司 无线网络入侵检测方法、装置及电子设备
CN110287439A (zh) * 2019-06-27 2019-09-27 电子科技大学 一种基于lstm的网络行为异常检测方法
CN111681671A (zh) * 2020-05-20 2020-09-18 浙江大华技术股份有限公司 异常音识别方法、装置及计算机存储介质
CN111817909A (zh) * 2020-06-12 2020-10-23 中国船舶重工集团公司第七二四研究所 一种基于行为集合模板监测的设备健康管理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
程梦驹: "基于数据挖掘的入侵检测技术研究", 《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》 *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113422785A (zh) * 2021-08-20 2021-09-21 北京生泰尔科技股份有限公司 基于网络流量的恶意攻击检测方法、系统和可读存储介质
CN114124563A (zh) * 2021-12-02 2022-03-01 湖北天融信网络安全技术有限公司 一种异常流量检测方法、装置、电子设备及存储介质
CN114124563B (zh) * 2021-12-02 2024-03-15 湖北天融信网络安全技术有限公司 一种异常流量检测方法、装置、电子设备及存储介质
CN114760103B (zh) * 2022-03-21 2023-10-31 广州大学 一种工业控制系统异常检测系统、方法、设备及存储介质
CN114760103A (zh) * 2022-03-21 2022-07-15 广州大学 一种工业控制系统异常检测系统、方法、设备及存储介质
CN114726593A (zh) * 2022-03-23 2022-07-08 阿里云计算有限公司 数据分析、异常信息识别方法、设备及存储介质
CN114866349A (zh) * 2022-07-06 2022-08-05 深圳市永达电子信息股份有限公司 一种网络信息过滤方法
CN114866349B (zh) * 2022-07-06 2022-11-15 深圳市永达电子信息股份有限公司 一种网络信息过滤方法
CN115801378A (zh) * 2022-11-10 2023-03-14 重庆邮电大学 一种终端安全策略生成方法和系统
CN115801378B (zh) * 2022-11-10 2024-07-09 重庆邮电大学 一种终端安全策略生成方法和系统
CN116112287A (zh) * 2023-04-07 2023-05-12 国家计算机网络与信息安全管理中心 基于时空关联的网络攻击组织追踪方法与装置
CN116112287B (zh) * 2023-04-07 2023-06-20 国家计算机网络与信息安全管理中心 基于时空关联的网络攻击组织追踪方法与装置
CN117057819A (zh) * 2023-08-15 2023-11-14 泰华智慧产业集团股份有限公司 一种雨水管网污水排放溯源分析方法及系统

Also Published As

Publication number Publication date
CN112565183B (zh) 2022-12-09

Similar Documents

Publication Publication Date Title
CN112565183B (zh) 一种基于流式动态时间规整算法的网络流量异常检测方法及装置
CN111475804B (zh) 一种告警预测方法及系统
US10587632B1 (en) Neural network-based malware detection
Syarif et al. Unsupervised clustering approach for network anomaly detection
CN110535878B (zh) 一种基于事件序列的威胁检测方法
CN113961434A (zh) 一种分布式区块链系统用户异常行为监测方法及系统
US20170132523A1 (en) Periodicity Analysis on Heterogeneous Logs
US20240250963A1 (en) Unsupervised gan-based intrusion detection system using temporal convolutional networks, self-attention, and transformers
Jongsuebsuk et al. Real-time intrusion detection with fuzzy genetic algorithm
CN106803263A (zh) 一种目标跟踪方法及装置
KR20200087299A (ko) 딥러닝 알고리즘을 이용한 비지도 방식의 네트워크 침입 탐지 방법 및 이를 실행하기 위한 프로그램이 기록된 기록매체
CN112766429B (zh) 一种异常检测的方法、装置、计算机设备和介质
JP2018526728A (ja) プロセストレースを用いたグラフベースの侵入検知
CN110460458A (zh) 基于多阶马尔科夫链的流量异常检测方法
CN109218321A (zh) 一种网络入侵检测方法及系统
CN114079579B (zh) 一种恶意加密流量检测方法及装置
CN114528190B (zh) 单指标异常的检测方法、装置、电子设备及可读存储介质
CN113918367A (zh) 一种基于注意力机制的大规模系统日志异常检测方法
CN105656693A (zh) 一种基于回归的信息安全异常检测的方法及系统
US20230186634A1 (en) Vision-based monitoring of site safety compliance based on worker re-identification and personal protective equipment classification
CN113343228B (zh) 事件可信度分析方法、装置、电子设备及可读存储介质
JP2021527873A (ja) プロトコルに依存しない異常検出
Hammerschmidt et al. Behavioral clustering of non-stationary IP flow record data
CN115085948A (zh) 基于改进d-s证据理论的网络安全态势评估方法
KR102609592B1 (ko) IoT 시스템의 비정상행위 탐지 방법 및 그 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant