CN113645215B - 异常网络流量数据的检测方法、装置、设备及存储介质 - Google Patents

异常网络流量数据的检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN113645215B
CN113645215B CN202110887249.9A CN202110887249A CN113645215B CN 113645215 B CN113645215 B CN 113645215B CN 202110887249 A CN202110887249 A CN 202110887249A CN 113645215 B CN113645215 B CN 113645215B
Authority
CN
China
Prior art keywords
network traffic
traffic data
data
detection model
flow data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110887249.9A
Other languages
English (en)
Other versions
CN113645215A (zh
Inventor
韩晓愈
史帅
尚程
王杰
杨满智
蔡琳
梁彧
田野
金红
陈晓光
傅强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eversec Beijing Technology Co Ltd
Original Assignee
Eversec Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eversec Beijing Technology Co Ltd filed Critical Eversec Beijing Technology Co Ltd
Priority to CN202110887249.9A priority Critical patent/CN113645215B/zh
Publication of CN113645215A publication Critical patent/CN113645215A/zh
Application granted granted Critical
Publication of CN113645215B publication Critical patent/CN113645215B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

本发明实施例公开了一种异常网络流量数据的检测方法、装置、设备及存储介质,属于网络安全技术领域;其中,方法包括:获取至少一条历史网络流量数据;其中,各历史网络流量数据为非异常网络流量数据;根据各历史网络流量数据生成基线检测模型;当接收到目标网络流量数据的访问指令时,根据基线检测模型确定目标网络流量数据是否为异常网络流量数据。本发明实施例的方案,可以对互联网中存在的异常网络流量数据进行实时检测,提升了互联网的安全性能。

Description

异常网络流量数据的检测方法、装置、设备及存储介质
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种异常网络流量数据的检测方法、装置、设备及存储介质。
背景技术
随着科学技术的不断发展,互联网得到了迅猛的发展。互联网可以极大地提高生产效率以及管理效率。
在互联网极大地提高生产效率以及管理效率的同时,互联网面临的安全问题也越来越复杂,互联网面临的安全挑战也日益凸显,成为制约互联网发展的关键问题。
如何对互联网中可能存在的异常网络流量数据进行实时检测是业内关注的重点问题。
发明内容
本发明实施例提供一种异常网络流量数据的检测方法、装置、设备及存储介质,以实现对互联网中存在的异常网络流量数据进行实时检测,提升互联网的安全性能。
第一方面,本发明实施例提供了一种异常网络流量数据的检测方法,包括:
获取至少一条历史网络流量数据;其中,各所述历史网络流量数据为非异常网络流量数据;
根据各所述历史网络流量数据生成基线检测模型;
当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据。
在本实施例的一个可选实现方式中,在根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据之后,还包括:
若所述目标网络流量数据为非异常网络流量数据,则根据所述目标网络流量数据对所述基线检测模型中的各属性参数进行调整,以对所述基线检测模型进行优化。
在本实施例的一个可选实现方式中,在获取至少一条历史网络流量数据之后,还包括:
对各所述历史网络流量数据进行描述性分析,确定各所述历史网络流量是否为非异常网络流量数据;
和/或,对各所述历史网络流量数据进行清洗处理,当目标历史网络流量数据的缺失值大于设定阈值时,分析所述目标历史网络流量数据缺失原因。
在本实施例的一个可选实现方式中,所述根据各所述历史网络流量数据生成基线检测模型,包括:
确定各所述历史网络流量数据是否存在周期性;
若是,则根据各所述历史网络流量数据的周期分布规律设定所述基线检测模型的范围;
否则,确定各所述历史网络流量数据是否服从正态分布。
在本实施例的一个可选实现方式中,在确定各所述历史网络流量数据是否服从正态分布之后,还包括:
根据预设规则确定所述基线检测模型的上限以及下限,得到最终的基线检测模型。
在本实施例的一个可选实现方式中,所述确定各所述历史网络流量数据是否存在周期性,包括:
创建回归模型;
对所述回归模型进行单位根检验,根据检验结果确定各所述历史网络流量数据是否存在周期性。
在本实施例的一个可选实现方式中,所述根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据,包括:
计算所述目标网络流量数据与所述基线检测模型中各参数的差值,当目标差值大于设定阈值时,确定所述目标网络流量数据为异常网络流量数据;
相应的,在确定所述目标网络流量数据为异常网络流量数据之后,还包括:
对所述目标网络流量数据进行拦截。
第二方面,本发明实施例还提供了一种异常网络流量数据的检测装置,包括:
历史网络流量数据获取模块,用于获取至少一条历史网络流量数据;其中,各所述历史网络流量数据为非异常网络流量数据;
基线检测模型生成模块,用于根据各所述历史网络流量数据生成基线检测模型;
异常网络流量数据确定模块,用于当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据。
第三方面,本发明实施例还提供了一种异常网络流量数据的检测设备,所述异常网络流量数据的检测设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明实施例中任一实施例所述的异常网络流量数据的检测设备方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明实施例中任一实施例所述的异常网络流量数据的检测设备方法。
本发明实施例,通过获取至少一条历史网络流量数据;其中,各所述历史网络流量数据为非异常网络流量数据;根据各所述历史网络流量数据生成基线检测模型;当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据,可以对互联网中存在的异常网络流量数据进行实时检测,提升了互联网的安全性能。
附图说明
图1是本发明实施例一中的一种异常网络流量数据的检测方法的流程图;
图2是本发明实施例二中的一种异常网络流量数据的检测方法的流程图;
图3是本发明实施例三中的一种异常网络流量数据的检测装置的结构示意图;
图4是本发明实施例四中的一种异常网络流量数据的检测设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明实施例作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明实施例,而非对本发明实施例的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明实施例相关的部分而非全部结构。
实施例一
图1是本发明实施例一中的一种异常网络流量数据的检测方法的流程图,本实施例可适用于对网络中的异常流量数据进行实时检测的情况,该方法可以由异常网络流量数据的检测装置来执行,该装置可以通过软件和/或硬件的方式实现,并集成在异常网络流量数据的检测设备中;在本实施例中,异常网络流量数据的检测设备可以为服务器、计算机或者平板电脑等电子设备;具体的,参考图1,该方法具体包括如下步骤:
步骤110、获取至少一条历史网络流量数据。
其中,各所述历史网络流量数据为非异常网络流量数据,即为正常的网络流量数据,安全事件。
在本实施例中,可以从互联网的管道侧,例如车联网的管道侧或者车端侧采集多条历史网络流量数据。
在本实施例的一个可选实现方式中,在获取到至少一个历史网络流量数据之后,可以进一步的对各所述历史网络流量数据进行描述性分析,确定各所述历史网络流量是否为非异常网络流量数据;和/或,对各所述历史网络流量数据进行清洗处理,当目标历史网络流量数据的缺失值大于设定阈值时,分析所述目标历史网络流量数据缺失原因。
这样设置的好处在于,可以过滤掉历史网络流量数据中的异常数据,保证生育的数据皆是非异常网络流量数据,为后续生成的基线检测模型的准确率提供保障。
在具体实现中,在获取到至少一个历史网络流量数据之后,可以进一步的对获取到的历史网络流量数据做基本的描述性分析,针对某些统计量过高的历史网络流量数据需要与业务人员确定是否存在异常,如果是与业务相关的正常情况,则可以过滤掉此类数据;进一步的,还可以对获取到的历史网络流量数据进行清洗,判断数据缺失值情况,如果缺失值情况在50%以上,则需要业务同事核实数据缺失原因。反之,将根据历史网络流量数据的实际规律采用均值、差值、固定值填充等的方式。
步骤120、根据各所述历史网络流量数据生成基线检测模型。
在本实施例的一个可选实现方式中,在获取到至少一条历史网络流量数据,并对个历史网络流量数据进行处理之后,可以进一步的根据各历史网络流量数据生成基线检测模型。
在本实施例的一个可选实现方式中,根据各所述历史网络流量数据生成基线检测模型,可以包括:确定各所述历史网络流量数据是否存在周期性;若是,则根据各所述历史网络流量数据的周期分布规律设定所述基线检测模型的范围;否则,确定各所述历史网络流量数据是否服从正态分布。
可选的,在确定各所述历史网络流量数据是否服从正态分布之后,还可以包括:根据预设规则确定所述基线检测模型的上限以及下限,得到最终的基线检测模型。
在具体实现中,可以利用预设的周期检测算法检测获取到的各历史网络流量数据是否存在周期性,如果存在周期性,将以不同时段做统计分布,给出基线的范围;例如如果周期单位为天,则可以把每天的相同小时的数据提取出来,对相同小时的数据利用k-sigma做基线,此时得到基线的上下界为两条折线;;如果不存在周期性,则观察数据是否服从正态分布,不服从则需要对数据作数据变化,之后方可使用k-sigma做基选上下限,从而得到最终的基线检测模型。
步骤130、当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据。
其中,目标网络流量数据可以为任一网络流量数据,例如某计算机的上行流量数据或者下行流量数据,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在根据各历史网络流量数据生成基线检测模型之后,如果接收到目标网络流量数据的访问指令,则可以根据生成的基线检测模型确定目标网络流量数据是否为异常网络流量数据。
在本实施例的一个可选实现方式中,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据,可以包括:计算所述目标网络流量数据与所述基线检测模型中各参数的差值,当目标差值大于设定阈值时,确定所述目标网络流量数据为异常网络流量数据。
其中,设定阈值可以为0.5、1或者2等任一数值,本实施例中对其不加以限定。
相应的,在确定所述目标网络流量数据为异常网络流量数据之后,还可以包括:对所述目标网络流量数据进行拦截,这样可以保证异常网络流量数据无法进行正常的发送或者接收,保证了互联网的安全。
本实施例的方案,通过获取至少一条历史网络流量数据;其中,各所述历史网络流量数据为非异常网络流量数据;根据各所述历史网络流量数据生成基线检测模型;当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据,可以对互联网中存在的异常网络流量数据进行实时检测,提升了互联网的安全性能。
实施例二
图2是本发明实施例二中的一种异常网络流量数据方法的流程图,本实施例是对上述各技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图2所示,异常网络流量数据方法可以包括如下步骤:
步骤210、获取至少一条历史网络流量数据。
步骤220、创建回归模型;对所述回归模型进行单位根检验,根据检验结果确定各所述历史网络流量数据是否存在周期性。
在本实施例的一个可选实现方式中,创建的回归模型的具体方程可以如下所示:
Δyt=α+βt+γyt-11Δyt-1+…+δp-1Δyt-p+1t
在本实施例中,可以先假设上述方程存在单位根,并计算满足该假设条件的p值,如果p值过小(例如,小于0.001),则认为上述方程不存在单位根,即各历史网络流量数据不存在周期性。
步骤230、若是,则根据各所述历史网络流量数据的周期分布规律设定所述基线检测模型的范围;否则,确定各所述历史网络流量数据是否服从正态分布。
在本实施例的一个可选实现方式中,如果各历史网络流量数据服从正态分布,在k-sigma原则下,异常值被定义为一组测定值中与平均值的偏差超过k倍标准差的值。在正态分布的假设下,距离平均值3sigma之外的值出现的概率,即P(|x-μ|>3σ≤0.003),属于极个别的小概率事件。
在本发明实施例中,考虑到传统的k-sigma的异常检测假设数据集符合正态分布,但在实际的场景中,大量的数据是有偏的,需要对采集到的各历史网络流量数据进行数学变换,通过变换前后的数据,选择更符合正态分布的数据集作为异常检测的数据集。
步骤240、生成基线检测模型。
需要说明的是,在本实施例中,在生成基线检测模型时,首先需要确定各历史网络流量数据是否与时间维度相关;如果不相关,将依据各历史网络流量数据的分布情况,采用k-sigma算法来得出基线;如果相关,需要依据数据的周期性,采用以周期单位划分为前提的统计分布进行k-sigma算法得到基线。
还需要说明的是,本实施例中涉及到的基线检测模型可以应用于上行流量数据、下行流量数据以及互联次数场景等。
在本实施例的一个可选实现方式中,针对待检测的ip流量问题,可以分别考虑其总上行流量和总下行流量两个方面,如果把两者加和,可能会出现流量抵消的情况,无法检测出实际流量异常的情况;因此,本实施例中针对总上、下行流量计算方式将针对源ip和目的ip分别考虑,计算方式如下:
总上行流量=待检测ip为源ip的上行流量+待检测ip为目的ip的下行流量
总下行流量=待检测ip为源ip的下行流量+待检测ip为目的ip的上行流量
对于互联次数来说,TCP协议可以通过是否成功建立连接来进行统计,而Internet控制报文协议(Internet Control Message Protocol,ICMP)和用户数据报协议(UserDatagram Protocol,UDP)无法确定是否连接成功,所以将通过统计所有的话单次数来计算其互联次数。
步骤250、当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据。
步骤260、若所述目标网络流量数据为非异常网络流量数据,则根据所述目标网络流量数据对所述基线检测模型中的各属性参数进行调整,以对所述基线检测模型进行优化。
在本实施例的一个可选实现方式中,在根据生成的基线检测模型确定所述目标网络流量数据是否为异常网络流量数据之后,如果确定所述目标网络流量数据为非异常网络流量数据,则可以进一步的根据所述目标网络流量数据对所述基线检测模型中的各属性参数进行调整,以对所述基线检测模型进行优化;这样可以不断地对基线检测模型进行优化,从而提升基线检测模型的性能,可以使基线检测模型对已知的异常网络流量数据进行检测,也可以对未知的异常网络流量数据进行预测。
现阶段,随着计算机网络的日益发展,网络规模越来越大,越来越多创新性的应用模式和需求的涌现,互联网纵深方向飞速发展的同时也呈现出诸多安全问题,同时计算机和网络技术越来越复杂,导致出现各种安全事件和网络异常的可能性增大,这些极大的增加了检测和管理的难度。因此,网络管理者通过对网络流量进行准确的安全性检测可以及时有效地发觉网络异常,并产生相应的报警,防止异常的进一步传播和扩大,从而为阻断网络异常行为提供决策依据,并为网络安全的管控提供技术支持和保障。
入侵检测于上世纪80年代被提出,经历了由理论框架到深度学习技术的迭代更新,伴随着入侵行为的不断产生而不断完善。随后有人引入了用户实体行为分析(UserEntity Behavior Ana-lytics,UEBA),用于发现企业基础结构中的安全威胁。该方法通过采集多种数据(设备信息、主机日志、应用日志、数据库日志等),不仅分析用户的行为,还分析设备、应用等实体对象的行为,使用异常检测和其他机器学习的方法来检测行为偏差。
UEBA的优势是通过长时间、持续性地对多种正常数据记录和分析,更容易发现异常的活动行为。通常,异常检测模型是为不同攻击场景设计的,样本空间不足的问题一直阻碍异常检测的发展脚步,该方法对未知的攻击较容易产生漏报,更难以设计一个通用的检测模型。鉴于正常流量是源源不断且容易采集的,本发明实施例将UEBA思想应用到流量异常检测中,通过采用Augmented Dickey–Fuller算法并结合k-sigma原则设计一种通用模型,用于保护特定的重要用户;通过利用历史网络流量数据学习得到业务基线,定时抽取业务数据,进行聚合统计,从而对非用户产生的异常行为流量进行检测,不但检测已知攻击行为,还能对未知行为预警。
实施例三
图3是本发明实施例三中的一种异常网络流量数据的检测装置的结构示意图,该装置可以执行上述各实施例中涉及到的异常网络流量数据的检测方法。参照图3,该装置包括:历史网络流量数据获取模块310、基线检测模型生成模块320以及异常网络流量数据确定模块330。
历史网络流量数据获取模块310,用于获取至少一条历史网络流量数据;其中,各所述历史网络流量数据为非异常网络流量数据;
基线检测模型生成模块320,用于根据各所述历史网络流量数据生成基线检测模型;
异常网络流量数据确定模块330,用于当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据。
本实施例的方案,通过历史网络流量数据获取模块获取至少一条历史网络流量数据;通过基线检测模型生成模块根据各所述历史网络流量数据生成基线检测模型;通过异常网络流量数据确定模块当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据,可以对互联网中存在的异常网络流量数据进行实时检测,提升了互联网的安全性能。
在本实施例的一个可选实现方式中,异常网络流量数据的检测装置,还包括:基线检测模型优化模块,用于若所述目标网络流量数据为非异常网络流量数据,则根据所述目标网络流量数据对所述基线检测模型中的各属性参数进行调整,以对所述基线检测模型进行优化。
在本实施例的一个可选实现方式中,异常网络流量数据的检测装置,还包括:分析模块,用于对各所述历史网络流量数据进行描述性分析,确定各所述历史网络流量是否为非异常网络流量数据;
和/或,对各所述历史网络流量数据进行清洗处理,当目标历史网络流量数据的缺失值大于设定阈值时,分析所述目标历史网络流量数据缺失原因。
在本实施例的一个可选实现方式中,基线检测模型生成模块320,具体用于确定各所述历史网络流量数据是否存在周期性;
若是,则根据各所述历史网络流量数据的周期分布规律设定所述基线检测模型的范围;
否则,确定各所述历史网络流量数据是否服从正态分布。
在本实施例的一个可选实现方式中,异常网络流量数据的检测装置,还包括:基线检测模型得到模块,用于根据预设规则确定所述基线检测模型的上限以及下限,得到最终的基线检测模型。
在本实施例的一个可选实现方式中,基线检测模型生成模块320,还具体用于创建回归模型;
对所述回归模型进行单位根检验,根据检验结果确定各所述历史网络流量数据是否存在周期性。
在本实施例的一个可选实现方式中,异常网络流量数据确定模块330,具体用于计算所述目标网络流量数据与所述基线检测模型中各参数的差值,当目标差值大于设定阈值时,确定所述目标网络流量数据为异常网络流量数据;
相应的,异常网络流量数据的检测装置,还包括:拦截模块,用于对所述目标网络流量数据进行拦截。
本发明实施例所提供的异常网络流量数据的检测装置可执行本发明任意实施例所提供的异常网络流量数据的检测方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4是本发明实施例四中的一种异常网络流量数据的检测设备的结构示意图,如图4所示,该异常网络流量数据的检测设备包括处理器40、存储器41、输入装置42和输出装置43;异常网络流量数据的检测设备中处理器40的数量可以是一个或多个,图4中以一个处理器40为例;异常网络流量数据的检测设备中的处理器40、存储器41、输入装置42和输出装置43可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储器41作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的异常网络流量数据的检测方法对应的程序指令/模块(例如,异常网络流量数据的检测装置中的历史网络流量数据获取模块310、基线检测模型生成模块320以及异常网络流量数据确定模块330)。处理器40通过运行存储在存储器41中的软件程序、指令以及模块,从而执行异常网络流量数据的检测设备的各种功能应用以及数据处理,即实现上述的异常网络流量数据的检测方法。
存储器41可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器41可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器41可进一步包括相对于处理器40远程设置的存储器,这些远程存储器可以通过网络连接至异常网络流量数据的检测设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置42可用于接收输入的数字或字符信息,以及产生与异常网络流量数据的检测设备的用户设置以及功能控制有关的键信号输入。输出装置43可包括显示屏等显示设备。
实施例五
本发明实施例五还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种异常网络流量数据的检测方法,该方法包括:
获取至少一条历史网络流量数据;其中,各所述历史网络流量数据为非异常网络流量数据;
根据各所述历史网络流量数据生成基线检测模型;
当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的异常网络流量数据的检测方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述异常网络流量数据的检测装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (8)

1.一种异常网络流量数据的检测方法,其特征在于,包括:
获取至少一条历史网络流量数据;其中,各所述历史网络流量数据为非异常网络流量数据;
根据各所述历史网络流量数据生成基线检测模型;
当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据;
其中,所述根据各所述历史网络流量数据生成基线检测模型,包括:确定各所述历史网络流量数据是否存在周期性;若是,则根据各所述历史网络流量数据的周期分布规律设定所述基线检测模型的范围;否则,确定各所述历史网络流量数据是否服从正态分布;
在确定各所述历史网络流量数据是否服从正态分布之后,还包括:根据预设规则确定所述基线检测模型的上限以及下限,得到最终的基线检测模型;
其中,在生成基线检测模型之时,确定各历史网络流量数据是否与时间维度相关;如果不相关,将依据各历史网络流量数据的分布情况,采用k-sigma算法得到基线;如果相关,依据所述历史网络流量数据的周期性,采用以周期单位划分为前提的统计分布进行k-sigma算法得到基线。
2.根据权利要求1所述的方法,其特征在于,在根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据之后,还包括:
若所述目标网络流量数据为非异常网络流量数据,则根据所述目标网络流量数据对所述基线检测模型中的各属性参数进行调整,以对所述基线检测模型进行优化。
3.根据权利要求1所述的方法,其特征在于,在获取至少一条历史网络流量数据之后,还包括:
对各所述历史网络流量数据进行描述性分析,确定各所述历史网络流量是否为非异常网络流量数据;
和/或,对各所述历史网络流量数据进行清洗处理,当目标历史网络流量数据的缺失值大于设定阈值时,分析所述目标历史网络流量数据缺失原因。
4.根据权利要求2所述的方法,其特征在于,所述确定各所述历史网络流量数据是否存在周期性,包括:
创建回归模型;
对所述回归模型进行单位根检验,根据检验结果确定各所述历史网络流量数据是否存在周期性。
5.根据权利要求1所述的方法,其特征在于,所述根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据,包括:
计算所述目标网络流量数据与所述基线检测模型中各参数的差值,当目标差值大于设定阈值时,确定所述目标网络流量数据为异常网络流量数据;
相应的,在确定所述目标网络流量数据为异常网络流量数据之后,还包括:
对所述目标网络流量数据进行拦截。
6.一种异常网络流量数据的检测装置,其特征在于,包括:
历史网络流量数据获取模块,用于获取至少一条历史网络流量数据;其中,各所述历史网络流量数据为非异常网络流量数据;
基线检测模型生成模块,用于根据各所述历史网络流量数据生成基线检测模型;
异常网络流量数据确定模块,用于当接收到目标网络流量数据的访问指令时,根据所述基线检测模型确定所述目标网络流量数据是否为异常网络流量数据;
所述基线检测模型生成模块,用于确定各所述历史网络流量数据是否存在周期性;若是,则根据各所述历史网络流量数据的周期分布规律设定所述基线检测模型的范围;否则,确定各所述历史网络流量数据是否服从正态分布;
基线检测模型得到模块,用于根据预设规则确定所述基线检测模型的上限以及下限,得到最终的基线检测模型;
所述基线检测模型生成模块,用于在生成基线检测模型之时,确定各历史网络流量数据是否与时间维度相关;如果不相关,将依据各历史网络流量数据的分布情况,采用k-sigma算法得到基线;如果相关,依据所述历史网络流量数据的周期性,采用以周期单位划分为前提的统计分布进行k-sigma算法得到基线。
7.一种异常网络流量数据的检测设备,其特征在于,所述异常网络流量数据的检测设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的异常网络流量数据的检测方法。
8.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-5中任一所述的异常网络流量数据的检测方法。
CN202110887249.9A 2021-08-03 2021-08-03 异常网络流量数据的检测方法、装置、设备及存储介质 Active CN113645215B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110887249.9A CN113645215B (zh) 2021-08-03 2021-08-03 异常网络流量数据的检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110887249.9A CN113645215B (zh) 2021-08-03 2021-08-03 异常网络流量数据的检测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN113645215A CN113645215A (zh) 2021-11-12
CN113645215B true CN113645215B (zh) 2023-05-26

Family

ID=78419500

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110887249.9A Active CN113645215B (zh) 2021-08-03 2021-08-03 异常网络流量数据的检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN113645215B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114172708A (zh) * 2021-11-30 2022-03-11 北京天一恩华科技股份有限公司 网络流量异常的识别方法
CN114389881A (zh) * 2022-01-13 2022-04-22 北京金山云网络技术有限公司 网络异常流量检测方法、装置、电子设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105049291B (zh) * 2015-08-20 2019-01-04 广东睿江云计算股份有限公司 一种检测网络流量异常的方法
CN107733921A (zh) * 2017-11-14 2018-02-23 深圳中兴网信科技有限公司 网络流量异常检测方法、装置、计算机设备和存储介质
CN110445680B (zh) * 2019-07-29 2021-06-08 新华三大数据技术有限公司 网络流量异常检测方法、装置及服务器
CN112436968B (zh) * 2020-11-23 2023-10-17 恒安嘉新(北京)科技股份公司 一种网络流量的监测方法、装置、设备及存储介质
CN113098888A (zh) * 2021-04-15 2021-07-09 恒安嘉新(北京)科技股份公司 异常行为预测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113645215A (zh) 2021-11-12

Similar Documents

Publication Publication Date Title
US20200412754A1 (en) System and method for comprehensive data loss prevention and compliance management
CN107566163B (zh) 一种用户行为分析关联的告警方法及装置
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
CN113645215B (zh) 异常网络流量数据的检测方法、装置、设备及存储介质
EP3465515B1 (en) Classifying transactions at network accessible storage
CN110493179B (zh) 基于时间序列的网络安全态势感知系统和方法
CN104899513B (zh) 一种工业控制系统恶意数据攻击的数据图检测方法
CN111654489A (zh) 一种网络安全态势感知方法、装置、设备及存储介质
EP2936772B1 (en) Network security management
CN102929773A (zh) 信息采集方法和装置
CN113055335A (zh) 用于检测通信异常的方法、装置、网络系统和存储介质
CN115001934A (zh) 一种工控安全风险分析系统及方法
US11665185B2 (en) Method and apparatus to detect scripted network traffic
CN110618977B (zh) 登录异常检测方法、装置、存储介质和计算机设备
CN107566187B (zh) 一种sla违例监测方法、装置和系统
CN110120893B (zh) 一种定位网络系统安全问题的方法及装置
CN114860543A (zh) 异常检测方法、装置、设备与计算机可读存储介质
Bravo et al. Distributed Denial of Service Attack Detection in Application Layer Based on User Behavior.
KR101326804B1 (ko) 분산서비스거부 공격 탐지 방법 및 시스템
Kadam et al. Various approaches for intrusion detection system: an overview
Zhang et al. Network security situation awareness technology based on multi-source heterogeneous data
CN111625727A (zh) 用于社交关系数据的信息处理方法、装置和存储介质
RU2781822C1 (ru) Система и способ автоматической оценки качества сигнатур сетевого трафика
CN113032774A (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
EP4332804A2 (en) System for automatically evaluating the quality of network traffic signatures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant