CN113315790A - 入侵流量检测方法、电子设备及存储介质 - Google Patents
入侵流量检测方法、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113315790A CN113315790A CN202110863952.6A CN202110863952A CN113315790A CN 113315790 A CN113315790 A CN 113315790A CN 202110863952 A CN202110863952 A CN 202110863952A CN 113315790 A CN113315790 A CN 113315790A
- Authority
- CN
- China
- Prior art keywords
- flow
- address
- target
- access
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据安全技术,揭露了一种入侵流量检测方法,包括:通过提取预设平台的访问流量的IP地址和流量特征,根据IP地址是否在预设的黑名单IP地址中,以及流量特征是否符合预设的入侵流量标准来判断访问流量是否为入侵流量,当二者均判断为不是入侵流量时,再通过向访问流量的IP地址发送验证请求,并获取访问流量根据所述验证请求返回的验证结果,进而根据验证结果与预设的标准结果判断访问流量是否为入侵流量。本发明还提出一种电子设备以及计算机可读存储介质。本发明可以解决对资源生成的标签的精确度较低的问题。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种入侵流量检测方法、电子设备及计算机可读存储介质。
背景技术
在当今的大数据时代,数据已经成为企业的核心资产之一,企业越来越常见地对各项业务、流程、产品等相关的数据进行分析以提高企业效益,满足用户需求,进而导致各类企业对网络数据进行采集、保护的需求日益增长。但由于数据的重要性,导致恶意的入侵流量攻击也在快速增长。所述入侵流量攻击是基于爬虫、病毒等技术非法获取保密数据,或者对预设系统、平台的数据进行非法修改的行为,大量的入侵流量攻击不仅会影响正常用户的访问,还会给系统、平台等带来极大的威胁。
传统的入侵流量检测方法大部分都是基于技术层面进行硬实施,但对于入侵流量的定位不精准,效果不佳,甚至会对正常流量的访问有误伤,或者对进行入侵的流量进行遗漏,因此,传统的入侵流量检测面临越来越明显的挑战。
发明内容
本发明提供一种入侵流量检测方法、电子设备及计算机可读存储介质,其主要目的在于解决进行入侵流量检测时的精确度较低的问题。
为实现上述目的,本发明提供的一种入侵流量检测方法,包括:
提取预设平台的访问流量中的IP地址,从所述IP地址中逐个选取其中一个IP地址作为目标IP地址;若所述目标IP地址在预设的黑名单IP地址中,则确定所述目标IP地址对应的访问流量是入侵流量;
若所述目标IP地址不在所述黑名单IP地址中,则提取所述目标IP地址对应的访问流量的流量特征;
利用预先构建的多个决策树判断所述流量特征是否存在异常,整合每个决策树的判断结果,得到结果集合;
若所述结果集合符合预设的入侵流量标准,则确定所述目标IP地址对应的访问流量为入侵流量;
若所述结果集合不符合所述入侵流量标准,则向所述目标IP地址对应的访问流量发送验证请求,并获取所述目标IP地址对应的访问流量根据所述验证请求返回的验证结果;
若所述验证结果与预设的标准结果一致,则确定所述目标IP地址对应的访问流量不是入侵流量;
若所述验证结果与所述标准结果不一致,则确定所述目标IP地址对应的访问流量是入侵流量。
可选地,所述提取所述目标IP地址对应的访问流量的流量特征,包括:
利用预先训练的特征提取模型对所述目标IP地址对应的访问流量进行卷积、池化操作,得到所述访问流量的低维特征表达;
将所述低维特征表达映射至预先构建的高维空间,得到所述低维特征表达的高维特征表达;
利用预设的激活函数计算每一个所述高维特征表达的输出值,并确定所述输出值大于预设输出阈值的高维特征表达为所述访问流量的流量特征。
可选地,所述用预先训练的特征提取模型对所述目标IP地址对应的访问流量进行卷积、池化操作,之前,所述方法还包括:
获取预设平台的历史访问流量,以及所述历史访问流量的特征标注;
利用预先构建的特征提取模型提取所述历史访问流量的流量特征,计算所述流量特征与所述特征标注之间的损失值;
在所述损失值大于或者等于预设的损失阈值时,计算所述特征提取模型的参数更新梯度;
利用所述参数更新梯度对所述初始模型的参数进行更新,并返回上述利用预先构建的特征提取模型提取所述历史访问流量的流量特征的步骤,直至所述损失值小于预设的损失阈值,得到训练完成的特征提取模型。
可选地,所述利用预先构建的多个决策树判断所述流量特征是否存在异常,包括:
从预先构建的多个决策树中依次选取其中一棵决策树作为目标决策树,并利用所述目标决策树判断所述流量特征中是否包含与所述目标决策树的决策条件相同的特征;
若所述流量特征中包含所述目标决策树的决策条件相同的特征,则判断所述流量特征存在异常;
若所述流量特征中不包含所述目标决策树的决策条件相同的特征,则判断所述流量特征不存在异常。
可选地,所述判断所述流量特征中是否包含与所述目标决策树的决策条件相同的特征,包括:
分别将所述流量特征中每一个特征进行向量转换,得到特征向量;
将所述目标决策树的决策条件进行向量转换,得到决策向量;
分别计算所述决策向量与所述流量特征中每一个特征对应的特征向量之间的距离值,得到所述目标决策树的决策条件与所述流量特征之间的距离值集;
当所述距离值集中存在小于预设阈值的距离值时,确定所述流量特征中包含与所述目标决策树的决策条件相同的特征;
当所述距离值集中的所有距离值均大于或等于所述预设阈值时,确定所述流量特征中不包含与所述目标决策树的决策条件相同的特征。
可选地,所述分别计算所述决策向量与所述流量特征中每一个特征对应的特征向量之间的距离值,包括:
利用如下距离算法计算所述决策向量与所述流量特征中每一个特征对应的特征向量之间的距离值:
可选地,所述向所述目标IP地址对应的访问流量发送验证请求,并获取所述目标IP地址对应的访问流量根据所述验证请求返回的验证结果,包括:
获取预先设定的验证数据,将所述验证数据编译为验证请求;
根据所述IP地址向所述访问流量的发送方发送所述验证请求;
获取所述发送方根据所述验证请求返回的响应请求,对所述响应请求进行内容解析,得到验证结果。
可选地,所述提取预设平台的访问流量中的IP地址之前,所述方法还包括:
获取所述预设平台中前端页面的代码函数;
将预设的利用数据采集函数编译的数据采集埋点添加至所述代码函数中;
当接受到外界对所述预设平台的访问流量时,利用所述前端页面的代码函数采集所述预设平台的访问流量。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现上述所述的入侵流量检测方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现上述所述的入侵流量检测方法。
本发明实施例通过对访问流量进行IP地址的黑名单检测、流量特征的检测以及验证码的检测,实现了对访问流量的三重入侵流量检测,避免出现误检、漏检的情况,有利于提高入侵流量检测的精确度。因此本发明提出的入侵流量检测方法、装置、电子设备及计算机可读存储介质,可以解决进行入侵流量检测时的精确度较低的问题。
附图说明
图1为本发明一实施例提供的入侵流量检测方法的流程示意图;
图2为本发明一实施例提供的判断被选取的IP地址是否在预设的黑名单IP地址中的流程示意图;
图3为本发明一实施例提供的判断流量特征是否存在异常并生成结果集合的流程示意图;
图4为本发明一实施例提供的入侵流量检测装置的功能模块图;
图5为本发明一实施例提供的实现所述入侵流量检测方法的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种入侵流量检测方法。所述入侵流量检测方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述入侵流量检测方法可以由安装在终端设备或服务端设备的软件或硬件来执行。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。
参照图1所示,为本发明一实施例提供的入侵流量检测方法的流程示意图。在本实施例中,所述入侵流量检测方法包括:
S1、提取预设平台的访问流量中的IP地址。
本发明实施例中,所述预设平台可以为任何具有数据处理功能的平台,例如,购物平台、资源存储平台等,所述访问流量是指对该预设平台进行访问的流量数据,例如,用于对该预设平台进行登录的数据请求,用于对该预设平台中存储的数据进行调用的数据请求等。
本发明实施例中,提取预设平台的访问流量的IP地址之前,可在所述预设平台中预先创建的数据埋点对该预设平台的访问流量进行实时采集,利用数据埋点对该预设平台的访问流量进行实时采集可以提高对访问流量进行入侵流量检测的实时性。
本发明实施例中,所述提取预设平台的访问流量的IP地址之前,所述方法还包括:
获取所述预设平台中前端页面的代码函数;
将预设的利用数据采集函数编译的数据采集埋点添加至所述代码函数中;
当接受到外界对所述预设平台的访问流量时,利用所述前端页面的代码函数采集所述预设平台的访问流量。
具体地,所述代码函数为支持所述预设平台中前端页面正常运行的函数,所述数据采集函数为具有数据采集功能的函数(如java中的getUserInfo函数),通过数据采集函数编译为数据采集埋点,并添加至前端页面的代码函数中,可实现对前端浏览记录的实时采集。
本发明其他实施例中,可利用预先安装于该预设平台的流量监测器对所述访问流量进行实时获取。
例如,预先在所述预设平台中安装流量监测器,当所述预设平台在与外界进行数据交互时,利用所述流量监测器实时对外界输入至所述预设平台的访问流量进行采集。
本发明其中一个实际应用场景中,由于平台每个时刻接受的访问流量可能较多,若之间对每一个访问流量的内容进行分析来判断该访问流量是否为入侵流量,会消耗大量计算资源,导致分析效率低下,因此,本发明实施例可提取所述访问流量的IP地址,进而后续根据IP地址对访问流量实现初次筛选,以减少计算资源的占用,提高入侵检测效率。
本发明实施例中,可构建正则表达式,进而利用构建的正则表达式从所述访问流量中提取该访问流量的IP地址。
本发明实施例中,所述提取预设平台的访问流量的IP地址,包括:
获取IP协议,根据所述IP协议确定IP地址的地址格式;
按照所述地址格式将预设字符编译为正则表达式;
利用所述正则表达式提取所述访问流量中与所述地址格式相同的字段为所述访问流量的IP地址。
详细地,所述IP协议是国际通用的用于规定计算机网络在进行通信时使用的地址格式的协议,可根据该IP协议确定计算机在通信时,可使用的IP地址的地址格式,进而根据所述地址格式编译正则表达式,利用所述正则表达式实现对访问流量的IP地址的提取,所述预设字符包括但不限于英文字母、数字、运算符号等字符。
具体地,正则表达式可用于实现对特定格式字符的精确匹配,即通过该正则表达式,可实现从数据中匹配得到于该正则表达式具有相同格式的数据字段。
例如,根据所述IP协议确定的IP地址的地址格式包括:x.x.x.x、xxx.x.x.x、xxx.xxx.xxx.xxx,则可利用预设的编译器将所述预设字符按照所述地址格式编译为正则表达式,进而利用该正则表达式对所述访问流量进行匹配,即可获取所述访问流量中以x.x.x.x、xxx.x.x.x和xxx.xxx.xxx.xxx格式存在的字段,确定提取出的字段为所述访问流量的IP地址。
S2、从所述IP地址中逐个选取其中一个IP地址作为目标IP地址,判断所述目标IP地址是否在预设的黑名单IP地址中。
本发明实施例中,可从所述IP地址中逐个选取其中一个IP地址作为目标IP地址,通过将所述目标IP地址与预设的黑名单IP地址中的每个IP地址进行比对,以判断所述目标IP地址是否在预设的黑名单IP地址中。
例如,利用所述目标IP地址在所述黑名单IP地址中进行检索,若可在所述黑名单IP地址中检索到与所述目标IP地址相同的内容,则确定所述目标IP地址在所述黑名单IP地址中,若无法从所述黑名单IP地址中检索到与所述目标IP地址相同的内容,则确定所述目标IP地址不在所述黑名单IP地址中。
本发明实施例中,参图2所示,所述判断所述目标IP地址是否在预设的黑名单IP地址中,包括:
S21、构建所述黑名单IP地址的索引;
S22、利用预设的精确匹配算法将所述目标IP地址在所述索引中进行检索,得到检索字段;
S23、判断所述检索字段的字段与所述目标IP地址是否相同;
若所述检索字段的字段与所述目标IP地址相同,则执行S24、确定所述目标IP地址在所述黑名单IP地址中;
若所述检索字段的字段与所述目标IP地址不相同,则执行S25、确定所述目标IP地址不在所述黑名单IP地址中。
详细地,可通过预设的SQL库中的CREATE INDEX函数构建所述黑名单IP地址的索引,并利用预设的精确匹配算法将所述目标IP地址在所述黑名单IP地址的索引中进行检索,得到检索字段。
具体地,所述精确匹配算法包括hash匹配算法、字符串多模式精确匹配算法,利用所述精确匹配算法可实现对所述目标IP地址的精确匹配,即匹配获取所述黑名单IP地址中与所述目标IP地址完全相同的地址,利用精确匹配算法可实现对被选取的IP地址的精确检索,减少对所述目标IP地址是否在所述黑名单IP地址中的误判。
本发明实施例通过直接判断所述检索字段的字段与所述目标IP地址是否相同,进而确定所述目标IP地址是否在预设的黑名单IP地址中,提高了判断所述目标IP地址是否在预设的黑名单IP地址中的效率。
若所述目标IP地址在预设的黑名单IP地址中,则执行S3、确定所述目标IP地址对应的访问流量是入侵流量。
本发明实施例中,所述黑名单IP地址中存在至少一个IP地址,该黑名单IP地址中的所有IP地址均被确认为向所述预设平台发送入侵流量的地址,因此,若所述目标IP地址在预设的黑名单IP地址中,即可确定所述目标IP地址对应的访问流量为入侵流量。
本发明实施例中,当所述确定所述目标IP地址对应的访问流量是入侵流量之后,所述方法还包括:向预设用户推送所述入侵流量的信息。
详细地,可通过提示框、表单、彩色标记等将所述目标IP地址对应的访问流量向预设用户进行展示,以向该预设用户推送所述入侵流量的信息。
若所述目标IP地址不在所述黑名单IP地址中,则执行S4、提取所述目标IP地址对应的访问流量的流量特征。
本发明其中一个实际应用场景中,由于预设平台可能遭受到所述黑名单IP地址之外的IP地址发送的入侵流量,因此,若所述IP地址不在所述黑名单IP地址中,还需继续对所述IP地址对应的访问流量进行分析,以提高入侵检测的精确度。
本发明实施例中,若所述IP地址不在所述黑名单IP地址中,则提取所述访问流量的流量特征,以便于后续根据提取的流量特征对该访问流量进行分析,所述流量特征包括但不限于:访问流量的访问时间、访问时长、单位时间内访问流量的大小。
本发明实施例中,可利用预先训练的特征提取模型提取所述目标IP地址对应的访问流量的流量特征。
详细地,所述特征提取模型的训练数据包括正常访问流量与异常入侵流量,所述正常访问流量包括获取的历史上对所述预设平台进行正常访问的流量数据,所述异常入侵流量包括获取的历史上被检测出为入侵流量的流量数据。
本发明实施例中,所述特征提取模型的训练过程包括:
获取预设平台的历史访问流量,以及所述历史访问流量的特征标注;
利用预先构建的特征提取模型提取所述历史访问流量的流量特征,计算所述流量特征与所述特征标注之间的损失值;
根据所述损失值计算所述特征提取模型的参数更新梯度;
利用所述参数更新梯度对所述初始模型的参数进行更新,并返回提取述第一流量特征的步骤,直至所述损失值小于预设的损失阈值,得到训练完成的特征提取模型。
本发明实施例中,可通过具有数据调用功能的计算机语句(如java语句、python语句)从所述预设平台的后台数据库中提取该预设平台的历史访问流量,所述历史访问流量的特征标注可由用户预先标注完成。
详细地,所述预先构建的特征提取模型包括但不限于ResNet模型、VGG模型、bert模型等。
利用所述预先构建的特征提取模型对所述历史访问流量进行特征提取,得到该历史访问流量的流量特征,并利用预设的损失函数计算所述流量特征与所述特征标注之间的损失值,所述损失函数包括但不限于对数损失函数、交叉熵损失函数、平方误差损失函数。
本发明实施例中,可利用预设的梯度下降算法对所述损失值进行运算,得到该特征提取模型中参数的更新梯度,进而按照该更新梯度对所述初始模型的参数进行更新,所述梯度下降算法包括但不限于随机梯度下降算法、批量梯度下降算法、小批量梯度下降算法。
在所述特征提取模型中参数按照所述更新梯度进行更新后,返回提取述第一流量特征的步骤,以实现对该特征提取模的迭代更新,直至所述损失值小于预设的损失阈值,得到训练完成的特征提取模型。
进一步地,可利用该训练完成的特征提取模型提取所述访问流量的流量特征,以便于后续根据该流量特征对所述访问流量进行入侵检测。
本发明实施例中,所述提取所述目标IP地址对应的访问流量的流量特征,包括:
利用预先训练的特征提取模型对所述目标IP地址对应的访问流量进行卷积、池化,得到所述访问流量的低维特征表达;
将所述低维特征表达映射至预先构建的高维空间,得到所述低维特征表达的高维特征表达;
利用预设的激活函数计算每一个所述高维特征表达的输出值,并确定所述输出值大于预设输出阈值的高维特征表达为所述访问流量的流量特征。
详细地,可将所述访问流量输入至预先训练的特征提取模型,利用所述特征提取模型对所述访问流量进行卷积、池化操作,得到该访问流量的低维特征表达。
通过获取该访问流量的低维特征表达,可减少所述访问流量的数据维度,进而降低对所述访问流量进行分析时计算资源的占用,提高分析效率。
本发明实施例中,所述低维特征表达中可能存在多种低维特征,但并不是每一种低维特征均是该访问流量的流量特征,因此,还需对该低维特征表达进行筛选,以获取该访问流量的流量特征。
详细地,由于在对所述访问流量进行卷积、池化后,降低了该访问流量的数据维度,以获取该访问流量的低维特征表达,虽然减少了对数据流量进行分析时计算资源的占用,但导致获取的低维特征表达不容易被分类,因此,可通过所述映射函数将所述低维特征表达映射至预先构建的高维空间,以提高该低维特征表达的可分类性。
具体地,可利用预设的映射函数将所述低维特征表达映射至预先构建的高维空间,得到所述低维特征表达的高维特征表达,所述映射函数包括但不限于Gaussian RadialBasis Function函数、高斯函数。
例如,在二维平面中存在以点进行表达的低维特征表达,通过所述映射函数对该点的二维坐标值进行运算,得到该点对于的三维坐标值,根据所述三维坐标值将该点映射至预先构建的三维空间,即得到该点的高维特征表达。
进一步地,可利用预设的激活函数对所述高维特征表达进行选择性输出,实现对该高维特征表达中特征的筛选,得到所述访问流量的流量特征,所述激活函数包括但不限于sigmoid激活函数、relu激活函数、softmax激活函数。
S5、利用预先构建的多个决策树判断所述流量特征是否存在异常,整合每个决策树的判断结果,得到结果集合。
本发明实施例中,可利用预先构建的多个决策树对所述流量特征进行异常判断,以得到每个决策树判断所述流量特征是否符合异常入侵流量的异常特征的判断结果,并将每个决策树的判断结果整合为结果集合。
本发明实施例中,可按照如S4提取所述目标IP地址对应的访问流量的流量特征的步骤,提取预先获取的异常流量的特征,并将该异常流量的特征作为决策树的决策条件,构建多个决策树。
例如,异常流量的特征包括:访问时间为每天22:00至次日6:00,平均每小时访问次数大于5000次,平均每秒内访问流量大小大于7000bit,则分别将上述三个特征中每一个特征作为一个决策条件构建如下三个决策树:
第一决策树:以访问时间是否包括每天22:00至次日6:00作为决策条件,若输入的访问流量的数据特征中包含访问时间为每天22:00至次日6:00的特征,则第一决策树输出该访问流量是入侵流量的判断结果,或者,若输入的访问流量的数据特征中不包含访问时间为每天22:00至次日6:00的特征,则第一决策树输出该访问流量不是入侵流量的判断结果。
第二决策树:以平均每小时访问次数是否大于5000次作为决策条件,若输入的访问流量的数据特征中包含平均每小时访问次数大于5000次的特征,则第二决策树输出该访问流量是入侵流量的判断结果,或者,若输入的访问流量的数据特征中不包含平均每小时访问次数大于5000次的特征,则第二决策树输出该访问流量不是入侵流量的判断结果。
第三决策树:以平均每秒内访问流量大小是否大于7000bit作为决策条件,若输入的访问流量的数据特征中包含平均每秒内访问流量大小大于7000bit的特征,则第三决策树输出该访问流量是入侵流量的判断结果,或者,若输入的访问流量的数据特征中不包含平均每秒内访问流量大小大于7000bit的特征,则第三决策树输出该访问流量不是入侵流量的判断结果。
详细地,所述多个决策树中包括至少两个决策树,且每个决策树根据不同的决策条件对所述流量特征进行异常判断。
本发明实施例中,参图3所示,所述利用预先构建的多个决策树判断所述流量特征是否存在异常,整合每个决策树的判断结果,得到结果集合,包括:
S31、从预先构建的多个决策树中选取目标决策树;
S32、判断所述流量特征中是否包含与所述目标决策树的决策条件相同的特征;
若所述流量特征中包含所述目标决策树的决策条件相同的特征,则执行S33、获取所述目标决策树输出的所述流量特征对应的访问流量是入侵流量的判断结果;
若所述流量特征中不包含所述目标决策树的决策条件相同的特征,则执行S34、获取所述目标决策树输出的所述流量特征对应的访问流量不是入侵流量的判断结果;
S35、判断被选取的所述目标决策树的数量是否大于或等于所述多个决策树中决策树的数量;
若被选取的所述目标决策树的数量小于所述多个决策树中决策树的数量,则执行S36、返回从预先构建的多个决策树中选取目标决策树的步骤;
若被选取的所述目标决策树的数量大于或等于所述多个决策树中决策树的数量,则执行S37、整合所有目标决策树输出的判断结果为结果集合。
例如,所述多个决策树包括决策树A、决策树B和决策树C,其中决策树A的决策条件为a,决策树B的决策条件为b,决策树C的决策条件为c;选取决策树A为目标决策树,利用决策树A将该流量特征与决策条件a进行比对,若该流量特征中包含有与决策条件a相同的数据,则决策树A输出该访问流量为入侵流量的判断结果;或者,若该流量特征中不包含有雨决策条件a相同的数据,则决策树A输出该访问流量为不是入侵流量的判断结果。
此时被选取的决策树数量为1,小于所述多个决策树中决策树的数量3,因此,选取决策树B为目标决策树,利用决策树B将该流量特征与决策条件b进行比对,若该流量特征中包含有与决策条件b相同的数据,则决策树B输出该访问流量为入侵流量的判断结果;或者,若该流量特征中不包含有雨决策条件b相同的数据,则决策树B输出该访问流量为不是入侵流量的判断结果。
同理,此时被选取的决策树数量为2,小于所述多个决策树中决策树的数量3,因此,选取决策树C为目标决策树,利用决策树C将该流量特征与决策条件c进行比对,若该流量特征中包含有与决策条件c相同的数据,则决策树C输出该访问流量为入侵流量的判断结果;或者,若该流量特征中不包含有雨决策条件c相同的数据,则决策树C输出该访问流量为不是入侵流量的判断结果。
此时被选取的决策树数量为3,等于所述多个决策树中决策树的数量3,因此,将决策树A、决策树B和决策树C输出的判断结果整合为结果集合。
本发明实施例中,可通过数值化的方式将所述流量特征与所述决策条件转换为数值形式,进而利用预设距离算法计算转化为数值形式的所述流量特征与所述决策条件之间的距离值,进而提高判断所述流量特征中是否包含与所述目标决策树的决策条件相同的特征的效率。
详细地,所述判断所述流量特征中是否包含与所述目标决策树的决策条件相同的特征,包括:
分别将所述流量特征中每一个特征进行向量转换,得到所述流量特征中每一个对应的特征向量;
将所述目标决策树的决策条件进行向量转换,得到决策向量;
分别计算所述决策向量与所述流量特征中每一个特征对应的特征向量之间的距离值;
当所述距离值中存在小于预设阈值的数值时,确定所述流量特征中包含与所述目标决策树的决策条件相同的特征;
当所述距离值均大于或等于所述预设阈值时,确定所述流量特征中不包含与所述目标决策树的决策条件相同的特征。
本发明实施例中,可利用预设的具有向量转换功能的智能模型将所述流量特征中每一个特征和所述决策条件进行向量转换,得到所述流量特征中每一个对应的特征向量,以及所述决策条件对应的决策向量。
详细地,可利用预设的距离算法计算所述决策向量与所述流量特征中每一个对应的特征向量之间的距离值,所述距离算法包括但不限于:余弦距离算法、欧式距离算法。
本发明实施例中,所述分别计算所述决策向量与所述流量特征中每一个特征对应的特征向量之间的距离值,包括:
利用如下距离算法计算所述决策向量与所述流量特征中每一个特征对应的特征向量之间的距离值:
本发明实施例中,当所述流量特征中任何一个特征对应的特征向量与所述决策向量之间的距离值小于预设阈值的数值时,确定所述流量特征中包含与所述目标决策树的决策条件相同的特征,或者,当所述流量特征中所有特征对应的特征向量与所述决策向量之间的距离值均大于或等于预设阈值的数值时,确定所述流量特征中不包含与所述目标决策树的决策条件相同的特征。
S6、判断所述结果集合是否符合预设的入侵流量标准,若所述结果集合符合预设的入侵流量标准,则执行S3、确定所述目标IP地址对应的访问流量为入侵流量;
本发明实施例中,由于所述结果集合中包含多个决策树中每一个决策树输出的判断结果,因此,可通过将该结果集合与预设的入侵流量标准进行比对,进而判断所述访问流量是否为入侵流量。
本发明其中一个实际应用场景中,根据随机森林算法的思想,当多个决策树进行决策时,最终的输出结果为该多个决策树中数量较多的结果。例如,存在三个决策树对所述流量特征进行异常判断,其中2个决策树判断该流量特征异常,输出该流量特征对应的访问流量是入侵流量的判断结果,1个决策树判断该流量特征不异常,输出该流量特征对应的访问流量不是入侵流量的判断结果,则可得出最终的结果为该流量特征对应的访问流量是入侵流量。
本发明实施例可根据所述随机森林算法的思想设定所述入侵流量标准,例如,设定的入侵流量标准为:所述结果集合中,确定所述目标IP地址对应的访问流量为入侵流量的判断结果的数量,多于确定所述访问流量不是入侵流量的判断结果的数量。
详细地,可通对所述结果集合中确定所述目标IP地址对应的访问流量为入侵流量的判断结果的数量,以及确定所述访问流量不是入侵流量的判断结果的数量进行统计,进而判断所述结果集合中,确定所述目标IP地址对应的访问流量为入侵流量的判断结果的数量是否多于确定所述访问流量不是入侵流量的判断结果的数量。
若所述结果集合符合预设的入侵流量标准,即所述结果集合中,确定所述目标IP地址对应的访问流量为入侵流量的判断结果的数量多于确定所述访问流量不是入侵流量的判断结果的数量,则确定所述目标IP地址对应的访问流量为入侵流量。
若所述结果集合符合所述入侵流量标准,则执行S7、向所述目标IP地址对应的访问流量发送验证请求,并获取所述目标IP地址对应的访问流量根据所述验证请求返回的验证结果。
本发明其中一个实际应用场景中,由于一些入侵流量为了避免被上述决策树检测到,会模仿正常用户在对预设平台进行访问时的访问流量的浏览特征,因此,为了提高入侵检测的精确度,当所述结果集合符合所述入侵流量标准时(即所述结果集合中,确定所述目标IP地址对应的访问流量为入侵流量的判断结果的数量少于或等于确定所述访问流量不是入侵流量的判断结果的数量),本发明实施例根据所述IP地址向所述访问流量发送验证请求,并获取所述访问流量根据所述验证请求返回的验证结果。
详细地,向所述目标IP地址对应的访问流量发送验证码、验证链接等方式,对所述访问流量进行验证,并获取所述访问流量根据所述验证请求返回的验证结果。
具体地,所述验证结果即为用户对验证码、验证链接等验证请求的响应数据,例如,当验证请求为数字串时,所述验证结果即为用户根据该验证请求的数字串返回的响应数据。
本发明实施例中,所述向所述目标IP地址对应的访问流量发送验证请求,并获取所述目标IP地址对应的访问流量根据所述验证请求返回的验证结果,包括:
获取预先设定的验证数据,将所述验证数据编译为验证请求;
根据所述IP地址向所述访问流量的发送方发送所述验证请求;
获取所述发送方根据所述验证请求返回的响应请求,对所述响应请求进行内容解析,得到验证结果。
详细地,所述验证数据包括图像、数字、字符串等,可通过编译器将所述验证数据编译为验证请求,并向根据所述IP地址将所述验证请求发送至所述访问流量的发送方,所述编译器包括但不限于Visual Studio编译器、Dev C++编译器、Pelles C编译器。
具体地,获取所述发送方根据所述验证请求返回的响应请求后,可利用预设的解析器对所述响应请求进行内容解析,以获取所述响应请求中携带的验证结果,所述解析器包括但不限于 CarakanC/C++解析器、SquirrelFishC++解析器、SquirrelFishExtremeC++解析器。
S8、判断所述验证结果与预设的标准结果是否一致,若所述验证结果与预设的标准结果一致,则执行S9、确定所述目标IP地址对应的访问流量不是入侵流量。
本发明实施例中,可通过判断获取的验证结果与预设的标准结果是否一致,若所述验证结果与预设的标准结果一致,则确定所述访问流量不是入侵流量。
例如,预设的标准结果为数字串165465301,将该验证结果与所述标准结果进行比对,若所述验证结果与所述标准结果一致,为165465301,则确定所述访问流量不是入侵流量。
若所述验证结果与所述标准结果不一致,则执行S3、确定所述目标IP地址对应的访问流量是入侵流量。
若所述验证结果与所述标准结果不一致,例如,预设的标准结果为数字串165465301,将该验证结果与所述标准结果进行比对,若所述验证结果为486152846,可得出该验证结果与所述标准结果不一致,则确定所述访问流量不是入侵流量。
本发明实施例通过对访问流量进行IP地址的黑名单检测、流量特征的检测以及验证码的检测,实现了对访问流量的三重入侵流量检测,避免出现误检、漏检的情况,有利于提高入侵流量检测的精确度。因此本发明提出的入侵流量检测方法,可以解决进行入侵流量检测时的精确度较低的问题。
如图4所示,是本发明一实施例提供的入侵流量检测装置的功能模块图。
本发明所述入侵流量检测装置100可以安装于电子设备中。根据实现的功能,所述入侵流量检测装置100可以包括IP地址检测模块101、流量特征检测模块102及验证请求检测模块103。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述IP地址检测模块101,用于提取预设平台的访问流量中的IP地址,从所述IP地址中逐个选取其中一个IP地址作为目标IP地址,若所述目标IP地址在预设的黑名单IP地址中,则确定所述目标IP地址对应的访问流量是入侵流量,若所述目标IP地址不在所述黑名单IP地址中,则提取所述目标IP地址对应的访问流量的流量特征;
所述流量特征检测模块102,用于利用预先构建的多个决策树判断所述流量特征是否存在异常,整合每个决策树的判断结果,得到结果集合,若所述结果集合符合预设的入侵流量标准,则确定所述目标IP地址对应的访问流量为入侵流量,若所述结果集合不符合所述入侵流量标准,则向所述目标IP地址对应的访问流量发送验证请求;
所述验证请求检测模块103,用于获取所述目标IP地址对应的访问流量根据所述验证请求返回的验证结果,若所述验证结果与预设的标准结果一致,则确定所述目标IP地址对应的访问流量不是入侵流量,若所述验证结果与所述标准结果不一致,则确定所述目标IP地址对应的访问流量是入侵流量。
详细地,本发明实施例中所述入侵流量检测装置100中所述的各模块在使用时采用与上述图1至图4中所述的入侵流量检测方法一样的技术手段,并能够产生相同的技术效果,这里不再赘述。
如图5所示,是本发明一实施例提供的实现入侵流量检测方法的电子设备的结构示意图。
所述电子设备可以包括处理器10、存储器11、通信总线12以及通信接口13,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如前端监控程序。
其中,所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(ControlUnit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行前端监控程序等),以及调用存储在所述存储器11内的数据,以执行电子设备的各种功能和处理数据。
所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card, SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据,例如前端监控程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述通信总线12可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
所述通信接口13用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
图5仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对所述电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备中的所述存储器11存储的入侵流量检测程序是多个指令的组合,在所述处理器10中运行时,可以实现:
提取预设平台的访问流量中的IP地址,从所述IP地址中逐个选取其中一个IP地址作为目标IP地址;若所述目标IP地址在预设的黑名单IP地址中,则确定所述目标IP地址对应的访问流量是入侵流量;
若所述目标IP地址不在所述黑名单IP地址中,则提取所述目标IP地址对应的访问流量的流量特征;
利用预先构建的多个决策树判断所述流量特征是否存在异常,整合每个决策树的判断结果,得到结果集合;
若所述结果集合符合预设的入侵流量标准,则确定所述目标IP地址对应的访问流量为入侵流量;
若所述结果集合不符合所述入侵流量标准,则向所述目标IP地址对应的访问流量发送验证请求,并获取所述目标IP地址对应的访问流量根据所述验证请求返回的验证结果;
若所述验证结果与预设的标准结果一致,则确定所述目标IP地址对应的访问流量不是入侵流量;
若所述验证结果与所述标准结果不一致,则确定所述目标IP地址对应的访问流量是入侵流量。
具体地,所述处理器10对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
提取预设平台的访问流量中的IP地址,从所述IP地址中逐个选取其中一个IP地址作为目标IP地址;若所述目标IP地址在预设的黑名单IP地址中,则确定所述目标IP地址对应的访问流量是入侵流量;
若所述目标IP地址不在所述黑名单IP地址中,则提取所述目标IP地址对应的访问流量的流量特征;
利用预先构建的多个决策树判断所述流量特征是否存在异常,整合每个决策树的判断结果,得到结果集合;
若所述结果集合符合预设的入侵流量标准,则确定所述目标IP地址对应的访问流量为入侵流量;
若所述结果集合不符合所述入侵流量标准,则向所述目标IP地址对应的访问流量发送验证请求,并获取所述目标IP地址对应的访问流量根据所述验证请求返回的验证结果;
若所述验证结果与预设的标准结果一致,则确定所述目标IP地址对应的访问流量不是入侵流量;
若所述验证结果与所述标准结果不一致,则确定所述目标IP地址对应的访问流量是入侵流量。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种入侵流量检测方法,其特征在于,所述方法包括:
提取预设平台的访问流量中的IP地址,从所述IP地址中逐个选取其中一个IP地址作为目标IP地址;
若所述目标IP地址在预设的黑名单IP地址中,则确定所述目标IP地址对应的访问流量是入侵流量;
若所述目标IP地址不在所述黑名单IP地址中,则提取所述目标IP地址对应的访问流量的流量特征;
利用预先构建的多个决策树判断所述流量特征是否存在异常,整合每个决策树的判断结果,得到结果集合;
若所述结果集合符合预设的入侵流量标准,则确定所述目标IP地址对应的访问流量为入侵流量;
若所述结果集合不符合所述入侵流量标准,则向所述目标IP地址对应的访问流量发送验证请求,并获取所述目标IP地址对应的访问流量根据所述验证请求返回的验证结果;
若所述验证结果与预设的标准结果一致,则确定所述目标IP地址对应的访问流量不是入侵流量;
若所述验证结果与所述标准结果不一致,则确定所述目标IP地址对应的访问流量是入侵流量。
2.如权利要求1所述的入侵流量检测方法,其特征在于,所述提取所述目标IP地址对应的访问流量的流量特征,包括:
利用预先训练的特征提取模型对所述目标IP地址对应的访问流量进行卷积、池化操作,得到所述访问流量的低维特征表达;
将所述低维特征表达映射至预先构建的高维空间,得到所述低维特征表达的高维特征表达;
利用预设的激活函数计算每一个所述高维特征表达的输出值,并确定所述输出值大于预设输出阈值的所述高维特征表达为所述访问流量的流量特征。
3.如权利要求2所述的入侵流量检测方法,其特征在于,所述利用预先训练的特征提取模型对所述目标IP地址对应的访问流量进行卷积、池化操作,之前,所述方法还包括:
获取预设平台的历史访问流量,以及所述历史访问流量的特征标注;
利用预先构建的特征提取模型提取所述历史访问流量的流量特征,计算所述流量特征与所述特征标注之间的损失值;
在所述损失值大于或者等于预设的损失阈值时,计算所述特征提取模型的参数更新梯度;
利用所述参数更新梯度对初始模型的参数进行更新,并返回上述利用预先构建的特征提取模型提取所述历史访问流量的流量特征的步骤,直至所述损失值小于预设的损失阈值,得到训练完成的所述特征提取模型。
4.如权利要求1所述的入侵流量检测方法,其特征在于,所述利用预先构建的多个决策树判断所述流量特征是否存在异常,包括:
从预先构建的多个决策树中依次选取其中一棵决策树作为目标决策树,并利用所述目标决策树判断所述流量特征中是否包含与所述目标决策树的决策条件相同的特征;
若所述流量特征中包含与所述目标决策树的决策条件相同的特征,则判断所述流量特征存在异常;
若所述流量特征中不包含与所述目标决策树的决策条件相同的特征,则判断所述流量特征不存在异常。
5.如权利要求4所述的入侵流量检测方法,其特征在于,所述判断所述流量特征中是否包含与所述目标决策树的决策条件相同的特征,包括:
分别将所述流量特征中每一个特征进行向量转换,得到特征向量;
将所述目标决策树的决策条件进行向量转换,得到决策向量;
分别计算所述决策向量与所述流量特征中每一个特征对应的特征向量之间的距离值,得到所述目标决策树的决策条件与所述流量特征之间的距离值集;
当所述距离值集中存在小于预设阈值的距离值时,确定所述流量特征中包含与所述目标决策树的决策条件相同的特征;
当所述距离值集中的所有距离值均大于或等于所述预设阈值时,确定所述流量特征中不包含与所述目标决策树的决策条件相同的特征。
7.如权利要求1至6中任一项所述的入侵流量检测方法,其特征在于,所述向所述目标IP地址对应的访问流量发送验证请求,并获取所述目标IP地址对应的访问流量根据所述验证请求返回的验证结果,包括:
获取预先设定的验证数据,将所述验证数据编译为验证请求;
根据所述IP地址向所述访问流量的发送方发送所述验证请求;
获取所述发送方根据所述验证请求返回的响应请求,对所述响应请求进行内容解析,得到验证结果。
8.如权利要求1至6中任一项所述的入侵流量检测方法,其特征在于,所述提取预设平台的访问流量中的IP地址之前,所述方法还包括:
获取所述预设平台中前端页面的代码函数;
将预设的利用数据采集函数编译的数据采集埋点添加至所述代码函数中;
当接受到外界对所述预设平台的访问流量时,利用所述前端页面的代码函数采集所述预设平台的访问流量。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至8中任意一项所述的入侵流量检测方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8中任意一项所述的入侵流量检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110863952.6A CN113315790B (zh) | 2021-07-29 | 2021-07-29 | 入侵流量检测方法、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110863952.6A CN113315790B (zh) | 2021-07-29 | 2021-07-29 | 入侵流量检测方法、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113315790A true CN113315790A (zh) | 2021-08-27 |
CN113315790B CN113315790B (zh) | 2021-11-02 |
Family
ID=77382053
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110863952.6A Active CN113315790B (zh) | 2021-07-29 | 2021-07-29 | 入侵流量检测方法、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113315790B (zh) |
Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080133518A1 (en) * | 2005-07-01 | 2008-06-05 | Harsh Kapoor | Systems and methods for processing data flows |
US8418249B1 (en) * | 2011-11-10 | 2013-04-09 | Narus, Inc. | Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats |
CN103544436A (zh) * | 2013-10-12 | 2014-01-29 | 深圳先进技术研究院 | 一种钓鱼网站鉴别系统和方法 |
US8682812B1 (en) * | 2010-12-23 | 2014-03-25 | Narus, Inc. | Machine learning based botnet detection using real-time extracted traffic features |
CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
CN106973047A (zh) * | 2017-03-16 | 2017-07-21 | 北京匡恩网络科技有限责任公司 | 一种异常流量检测方法和装置 |
CN108269012A (zh) * | 2018-01-12 | 2018-07-10 | 中国平安人寿保险股份有限公司 | 风险评分模型的构建方法、装置、存储介质及终端 |
CN108390864A (zh) * | 2018-02-01 | 2018-08-10 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
CN110348715A (zh) * | 2019-06-28 | 2019-10-18 | 北京淇瑀信息科技有限公司 | 基于流量指标监测的渠道异常检测方法、装置和电子设备 |
CN111274395A (zh) * | 2020-01-19 | 2020-06-12 | 河海大学 | 基于卷积和长短期记忆网络的电网监控告警事件识别方法 |
CN111431819A (zh) * | 2020-03-06 | 2020-07-17 | 中国科学院深圳先进技术研究院 | 一种基于序列化的协议流特征的网络流量分类方法和装置 |
CN112073550A (zh) * | 2020-08-26 | 2020-12-11 | 重庆理工大学 | 融合字符级滑动窗口和深度残差网络的dga域名检测方法 |
CN112087447A (zh) * | 2020-09-07 | 2020-12-15 | 广西师范大学 | 面向稀有攻击的网络入侵检测方法 |
CN112153000A (zh) * | 2020-08-21 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 网络流量异常的检测方法、装置、电子装置和存储介质 |
CN112367222A (zh) * | 2020-10-30 | 2021-02-12 | 中国联合网络通信集团有限公司 | 网络异常检测方法和装置 |
CN112491796A (zh) * | 2020-10-28 | 2021-03-12 | 北京工业大学 | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 |
-
2021
- 2021-07-29 CN CN202110863952.6A patent/CN113315790B/zh active Active
Patent Citations (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080133518A1 (en) * | 2005-07-01 | 2008-06-05 | Harsh Kapoor | Systems and methods for processing data flows |
US8682812B1 (en) * | 2010-12-23 | 2014-03-25 | Narus, Inc. | Machine learning based botnet detection using real-time extracted traffic features |
US8418249B1 (en) * | 2011-11-10 | 2013-04-09 | Narus, Inc. | Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats |
CN103544436A (zh) * | 2013-10-12 | 2014-01-29 | 深圳先进技术研究院 | 一种钓鱼网站鉴别系统和方法 |
CN105897714A (zh) * | 2016-04-11 | 2016-08-24 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
CN106973047A (zh) * | 2017-03-16 | 2017-07-21 | 北京匡恩网络科技有限责任公司 | 一种异常流量检测方法和装置 |
CN108269012A (zh) * | 2018-01-12 | 2018-07-10 | 中国平安人寿保险股份有限公司 | 风险评分模型的构建方法、装置、存储介质及终端 |
CN108390864A (zh) * | 2018-02-01 | 2018-08-10 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
CN110348715A (zh) * | 2019-06-28 | 2019-10-18 | 北京淇瑀信息科技有限公司 | 基于流量指标监测的渠道异常检测方法、装置和电子设备 |
CN111274395A (zh) * | 2020-01-19 | 2020-06-12 | 河海大学 | 基于卷积和长短期记忆网络的电网监控告警事件识别方法 |
CN111431819A (zh) * | 2020-03-06 | 2020-07-17 | 中国科学院深圳先进技术研究院 | 一种基于序列化的协议流特征的网络流量分类方法和装置 |
CN112153000A (zh) * | 2020-08-21 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 网络流量异常的检测方法、装置、电子装置和存储介质 |
CN112073550A (zh) * | 2020-08-26 | 2020-12-11 | 重庆理工大学 | 融合字符级滑动窗口和深度残差网络的dga域名检测方法 |
CN112087447A (zh) * | 2020-09-07 | 2020-12-15 | 广西师范大学 | 面向稀有攻击的网络入侵检测方法 |
CN112491796A (zh) * | 2020-10-28 | 2021-03-12 | 北京工业大学 | 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法 |
CN112367222A (zh) * | 2020-10-30 | 2021-02-12 | 中国联合网络通信集团有限公司 | 网络异常检测方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113315790B (zh) | 2021-11-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103685307A (zh) | 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器 | |
CN113364753B (zh) | 反爬虫方法、装置、电子设备及计算机可读存储介质 | |
CN104158828B (zh) | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 | |
CN111800404B (zh) | 一种对恶意域名的识别方法、装置以及存储介质 | |
CN115150261B (zh) | 告警分析的方法、装置、电子设备及存储介质 | |
CN116305168A (zh) | 一种多维度信息安全风险评估方法、系统及存储介质 | |
CN112148305A (zh) | 一种应用检测方法、装置、计算机设备和可读存储介质 | |
CN113282854A (zh) | 数据请求响应方法、装置、电子设备及存储介质 | |
CN112650909A (zh) | 产品展示方法、装置、电子设备及存储介质 | |
CN106301979B (zh) | 检测异常渠道的方法和系统 | |
CN115048382A (zh) | 基于二叉树的层级数据搜索方法、装置、设备及存储介质 | |
CN113869456A (zh) | 采样监测方法、装置、电子设备及存储介质 | |
CN116595554B (zh) | 基于多维度实现政务数据安全性分析方法及装置 | |
CN113315790B (zh) | 入侵流量检测方法、电子设备及存储介质 | |
CN115168848B (zh) | 基于大数据分析拦截的拦截反馈处理方法 | |
CN114518993A (zh) | 基于业务特征的系统性能监控方法、装置、设备及介质 | |
CN114513355A (zh) | 恶意域名检测方法、装置、设备及存储介质 | |
CN114840631A (zh) | 空间文本查询方法、装置、电子设备及存储介质 | |
CN113888760A (zh) | 基于软件应用的违规信息监控方法、装置、设备及介质 | |
CN113191455B (zh) | 边缘计算盒子选举方法、装置、电子设备及介质 | |
CN113724065B (zh) | 基于流程指导的辅助催收方法、装置、设备及存储介质 | |
CN115718696B (zh) | 源码密码学误用检测方法、装置、电子设备和存储介质 | |
CN113672483B (zh) | 一种设备日志存储方法、装置、电子设备及介质 | |
CN116431711B (zh) | 基于数据特征实现的数据智能采集方法及系统 | |
CN110719260B (zh) | 智能网络安全分析方法、装置及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |