CN114363212A - 一种设备检测方法、装置、设备和存储介质 - Google Patents
一种设备检测方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN114363212A CN114363212A CN202111616978.7A CN202111616978A CN114363212A CN 114363212 A CN114363212 A CN 114363212A CN 202111616978 A CN202111616978 A CN 202111616978A CN 114363212 A CN114363212 A CN 114363212A
- Authority
- CN
- China
- Prior art keywords
- intranet
- tested
- intranet equipment
- equipment
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 62
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 230000002159 abnormal effect Effects 0.000 claims abstract description 56
- 238000010586 diagram Methods 0.000 claims abstract description 41
- 238000000034 method Methods 0.000 claims abstract description 31
- 230000005540 biological transmission Effects 0.000 claims abstract description 25
- 230000006870 function Effects 0.000 claims description 109
- 239000011159 matrix material Substances 0.000 claims description 43
- 238000004590 computer program Methods 0.000 claims description 18
- 101100534223 Caenorhabditis elegans src-1 gene Proteins 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000002547 anomalous effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种设备检测方法、装置、设备和存储介质,涉及互联网技术领域。本申请可以基于待测内网设备关联的各个流数据,建立待测内网设备的访问关系图;并基于待测内网设备的访问关系图和预先训练好的检测模型,确定待测内网设备的性能指标;若根据性能指标,确定待测内网设备处于异常状态,则显示基于访问关系图生成的异常传输线路图。针对处于异常状态的内网设备,可以对该内网设备异常数据的传输过程进行还原。
Description
技术领域
本申请涉及互联网技术领域,特别涉及一种设备检测方法、装置、设备和存储介质。
背景技术
随着互联网技术的不断发展,互联网用户的数量飞速增长,各种各样的网络资源问题和网络安全问题也随之而来,例如,网络阻塞,网路资源恶意消耗以及针对网络设备的恶意攻击等。
目前,可以通过检测网络数据流的方法,对网络异常和网络攻击及逆行检测,但该方法仅能对异常数据进行展示并发出异常告警,无法对异常设备的异常数据的传输过程进行还原。
发明内容
为了解决上述现有技术中的问题,本申请实施例提供了一种设备检测方法、装置、设备和存储介质,针对处于异常状态的内网设备,可以对该内网设备异常数据的传输过程进行还原。
第一方面,本申请实施例提供了一种设备检测方法,所述方法包括:
基于待测内网设备关联的各个流数据,建立所述待测内网设备的访问关系图;
根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标;所述性能指标用于表征所述待测内网设备各个流数据的异常程度;所述预先训练好的检测模型是根据预先获取的各个内网设备的访问关系图确定的;
若根据所述性能指标,确定所述待测内网设备处于异常状态,则显示基于所述访问关系图生成的异常传输线路图。
在一种可能的实施方式中,所述待测内网设备包含P个功能;所述P为大于等于1的整数;所述性能指标包括所述待测内网设备的每个功能各自对应的均值;所述预先训练好的检测模型包括多个单一功能检测模型;所述根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标,包括:
基于所述待测内网设备的P个功能,将所述访问关系图划分为P个单一功能访问关系图;
根据每个单一功能访问关系图和对应的单一功能检测模型,确定所述待测内网设备的每个功能对应的均值。
在一种可能的实施方式中,所述基于所述待测内网设备的P个功能,将所述访问关系图划分为P个单一功能访问关系图之前,所述方法还包括:
根据所述各个流数据中包含的属性,确定所述待测内网设备的P个功能。
在一种可能的实施方式中,所述根据每个单一功能访问关系图和对应的单一功能检测模型,确定所述待测内网设备的每个功能对应的均值,包括:
基于每个单一功能访问关系图的每个内网设备,分别确定所述每个内网设备对应的特征矩阵和邻接矩阵;
将所述每个内网设备对应的特征矩阵和邻接矩阵输入至对应的单一功能检测模型中,确定所述每个内网设备对应的隐变量;
基于所述每个内网设备对应的隐变量,分别确定所述待测内网设备的每个功能的均值。
在一种可能的实施方式中,通过如下方式确定所述待测内网设备是否处于异常状态:
根据所述待测内网设备的每个功能对应的均值和标准均值的差值,将所述差值与标准差阈值进行比对;所述标准均值和所述标准差阈值是预先确定的;
获取每个功能对应的单一功能检测模型的重构误差,将所述重构误差与误差阈值进行比对;
若所述差值大于所述标准差阈值,且所述重构误差大于所述误差阈值,则确定所述待测内网设备处于异常状态。
第二方面,本申请实施例提供一种设备检测装置,所述装置包括:
建立单元,基于待测内网设备关联的各个流数据,建立所述待测内网设备的访问关系图;
确定单元,根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标;所述性能指标用于表征所述待测内网设备各个流数据的异常程度;所述预先训练好的检测模型是根据预先获取的各个内网设备的访问关系图确定的;
显示单元,若根据所述性能指标,确定所述待测内网设备处于异常状态,则显示基于所述访问关系图生成的异常传输线路图。
在一种可能的实施方式中,所述待测内网设备包含P个功能;所述P为大于等于1的整数;所述性能指标包括所述待测内网设备的每个功能各自对应的均值;所述预先训练好的检测模型包括多个单一功能检测模型;所述根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标,包括:
基于所述待测内网设备的P个功能,将所述访问关系图划分为P个单一功能访问关系图;
根据每个单一功能访问关系图和对应的单一功能检测模型,确定所述待测内网设备的每个功能对应的均值。
在一种可能的实施方式中,所述装置还包括:
所述基于所述待测内网设备的P个功能,将所述访问关系图划分为P个单一功能访问关系图之前,根据所述待测内网设备的属性,确定所述待测内网设备的P个功能。
第三方面,本申请实施例提供一种电子设备,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,实现第一方面所述的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现第一方面所述的方法。
本申请实施例提供的一种设备检测方法、装置、设备和存储介质,基于待测内网设备关联的各个流数据,可以建立待测内网设备的访问关系图;基于该访问关系图和预先训练好的检测模型,可以确定待测内网设备的性能指标;根据该性能指标,可以判断待测内网设备是否处于异常状态,若待测内网设备处于异常状态,则可以显示基于访问关系图生成的异常传输线路图,通过该设备检测方法,可以对处于异常状态的内网设备的异常数据的传输过程进行还原,有助于及时对该内网设备进行检修。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种设备检测方法的应用场景图;
图2为本申请实施例提供的一种设备检测方法的流程图;
图3为本申请实施例提供的一种确定性能指标对的流程图;
图4为本申请实施例提供的一种内网中网络拓扑结构图;
图5为本申请实施例提供的一种访问关系图;
图6为本申请实施例提供的一种单一功能访问关系图;
图7为本申请实施例提供的一种单一功能访问关系图的数学表达图;
图8为本申请实施例提供的一种内网设备的异常线路图;
图9为本申请实施例提供的一种设备检测装置的结构框图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部份实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
需要说明的是,下述本申请实施例描述的应用场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
为了及时对处于异常状态的内网设备进行检修,本申请实施例提供的一种设备检测方法、装置、设备和存储介质,基于待测内网设备关联的各个流数据,可以建立待测内网设备的访问关系图;基于该访问关系图,可以确定待测内网设备的性能指标;根据该性能指标,可以判断待测内网设备是否处于异常状态,若待测内网设备处于异常状态,则可以显示基于访问关系图生成的异常传输线路图,通过该设备检测方法,可以对处于异常状态的内网设备的异常数据的传输过程进行还原,有助于及时对该内网设备进行检修。
图1示出了本申请实施例提供的一种设备检测方法的应用场景图,其中,103和106为收集器,分别与内网出口路由104和内网交换机105进行连接,收集器103可以收集到内网与外网之间的流数据,收集器106可以采集到内网设备之间的流数据;例如,内网设备101和内网设备102之间的流数据,服务器107可以从收集器106和收集器103中获取流数据,并可以从流数据中根据待测内网设备的IP地址(Internet Protocol Address,互联网协议地址),获取到与待测内网设备关联的流数据,并生成待测内网设备的访问关系图。
基于待测内网设备的访问关系图,可以对待测内网设备的性能指标进行确定,然后根据性能指标,判断待测内网设备是否处于异常状态,若待测内网设备处于异常状态,可以基于访问关系图生成异常传输线路图,并进行展示。
在本申请实施例中,流数据可以但不限于是netflow流数据,下述描述以netflow流数据为例进行说明。
为进一步说明本申请实施例提供的技术方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本申请实施例提供的执行顺序。所述方法在实际的处理过程中或者装置执行时,可按照实施例或者附图所示的方法顺序执行或者并执行。
图2示出了本申请实施例提供的一种设备检测方法的流程图。如图2所示,该方法可以包括如下步骤:
步骤S201,基于待测内网设备关联的各个流数据,建立待测内网设备的访问关系图。
步骤S202,根据待测内网设备的访问关系图和预先训练好的检测模型,确定待测内网设备的性能指标。
在一种可选的实施方式中,服务器可以从预先连接好的收集器中获得待测内网设备关联的各个流数据,即与待测内网设备相关的各个流数据,例如,源内网设备为待测内网设备的各个流数据,和目的内网设备为待测内网设备的各个流数据;其中,流数据可以为netflow流数据。
服务器可以根据各个netflow流数据建立访问关系图,并根据各个netflow流数据中包含的与源内网设备对应的源IP属性,例如,源内网设备的端口号、协议、设备类型和自治域等,和与目的内网设备对应的目的IP属性的属性,例如,目的内网设备的端口号、协议、设备类型和自治域等,以及输入方向/输出方向的流量属性,例如,持续时间、流数量、包数量和字节数等,确定出待测内网设备包含的各个功能。
假设待测内网设备包含的功能由P个,服务器可以基于待测内网设备的P个功能,将建立的访问关系图划分为P个单一功能访问关系图;并针对每个单一功能访问关系图的每个内网设备,分别确定出每个内网设备对应的特征矩阵和邻接矩阵。
并将各个内网设备对应的特征矩阵和邻接矩阵输入至训练好的图自编码器的编码器中,其中,图自编码器可以包含编码器和解码器两部分。分别确定所述每个内网设备对应的隐变量,并基于每个内网设备对应的隐变量,分别确定所述待测内网设备的每个功能的均值,其中,该均值即为一种可选的性能指标,用来表征待测内网设备的网络传输性能。
步骤S203,若根据性能指标,确定待测内网设备处于异常状态,则显示基于访问关系图生成的异常传输线路图。
在一种可选的实施方式中,针对待测内网设备的每个功能对应的均值,可以将均值与预先确定的标准均值相减,求出差值,并根据三个标准差原则,将该差值与预先确定的三倍标准差的值进行比较,其中,三倍标准差的值为一种可选的标准差阈值。
若差值大于预先确定的三倍标准差的值,则确定待测内网设备处于异常状态,则显示基于访问关系图生成的异常传输线路图。
在另一种可选的实施方式中,在将差值与预先确定的三倍标准差的值进行比较后,还可以根据图自编码器的重构误差,确定待测内网设备是否处于异常状态。
具体地,若差值大于预先确定的三倍标准差的值,且图自编码器的重构误差大于设定的阈值,则确定待测内网设备处于异常状态,则显示基于访问关系图生成的异常传输线路图;若差值小于预先确定的三倍标准差的值,且图自编码器的重构误差小于设定的阈值,则确定待测内网设备处于正常状态;若差值大于预先确定的三倍标准差的值,或这,图自编码器的重构误差大于设定的阈值,则待测内网设备为可疑设备。
在一种可选的实施方式中,在对待测内网设备进行检测前,还需要确定各个单一功能访问关系图对应的性能指标对,即均值和标准差(μp,σp)。其中,p=1、2、3……M,M表示单一功能网络设备访问关系图的数量。具体地,如图3所示,包括如下步骤:
步骤S301,获取netflow流数据。
在一种可选的实施方式中,服务器可以定时收到收集器发送的任一时间段内的netflow流数据。
具体地,在一种实施例中,在收集器向服务器发送netflow流数据之前,收集器可以由技术人员根据目标位置的网络拓扑结构图,判断出收集器的连接位置,并将收集器连接至各个连接位置上。其中,收集器的连接位置可以包含多个,以收集到更全面的netflow流数据。
示例性地,如图4所示,收集器可以与内网出口路由器401进行连接,用来收集内网与外网之间的netflow流数据,也可以与内网交换机402和内网交换机403建立连接,用来收集各个内网设备之间的netflow流数据。
通过上述方法完成对收集器的连接后,收集器可以收集到相应的netflow流数据,并将收集到的任一时间段内的netflow流数据定时发送至服务器。
步骤S302,建立访问关系图。
通过步骤S301,服务器在接收到任一时间段内的netflow流数据后,可以针对该时间段内的各个netflow流数据,将netflow流数据中包含的与源内网设备对应的源IP属性和与目的内网设备对应的目的IP属性作为顶点集合,并将各个netflow流数据中包含的输入方向(或输出方向)的流量属性作为边集合,建立对应的访问关系图,假设该时间段的结束时刻为t时刻,则可以将该访问关系图称为t时刻的访问关系图。其中,源IP属性可以包括源内网设备的端口号、协议、设备类型和自治域等,目的IP属性可以包括目的内网设备的端口号、协议、设备类型和自治域等,输入方向(或输出方向)的流量属性可以包括持续时间、流数量、包数量和字节数等。
示例性地,如图5所示,图5为服务器根据接收到的netflow流数据建立的t时刻的访问关系图,其中,一个椭圆表示一个内网设备,可以包含内网设备的端口号、协议、设备类型和自治域等属性信息;连接线表示两个内网设备之间的数据传输,可以包含输入方向/输出方向的数据传输的持续时间、流数量、包数量和字节数等属性信息。
步骤S303,计算各个单一功能内网设备访问关系图对应的性能指标对。
具体地,在一种实施例中,服务器可以根据各个netflow流数据中包含的源IP属性和目的IP属性以及输入方向(或输出方向)的流量属性,判断出各个内网设备的功能,假设判断各个内网设备共包含M种功能,例如,存储功能,传输功能等,则根据各个内网设备包含的M个功能将上述建立的访问关系图划分为M个单一功能访问关系图,示例性地,如图6所示,图6为一个单一功能访问关系图;M个单一功能访问关系图可以用公式1表示:
其中,p=1、2、3……M;i=1、2、3……N;M表示有单一功能访问关系图的数量,N表示任一功能下内网设备的数量;表示第p组单一功能网络设备访问关系图中的第i个内网设备,V表示顶点集合,E表示边集合。
针对任一单一功能访问关系图,可以忽略其边的方向性,即该单一功能访问关系图为无向图,针对该单一功能访问关系图中包含的所有内网设备,均执行下列步骤:
对顶点的属性维度和边的属性维度,进行归一化,例如,Min-Max归一化;其中,顶点的属性维度即源IP属性和目的IP属性的维度,边的属性维度即输入方向(或输出方向)的流量属性,分别求出特征矩阵和邻接矩阵,特征矩阵可以用公式2表示,邻接矩阵可以用公式3表示:
X(1+m)×w (公式2)
A′(1+m)×(1+m)=a′i,j∈Rl (公式3)
其中,1表示源IP的数量,m表示目的IP的数量,w表示顶点的属性维度,包括端口号、设备类型和自治域等,l表示边的属性维度,且l=(1+m)×(1+m),m表示目的IP的数量,a′i,j表示顶点vi和顶点vj之间存在边关系。
在一种实施例中,为了便于建模,可以对公式3进行降维,得到公式4;例如,算术平均数。
示例性地,如图7所示,通过上述步骤对顶点的属性维度和边的属性维度进行归一化和降维后,可以得到图7所示的单一功能访问关系图的数学表达图,其中,src_1与图6中的内网主机0相对应,dst_1与图6中的服务器2相对应;dst_m-2与图6中的内网主机1相对应;dst_m-1与图6中的内网主机2相对应;dst_2与图6中的服务器1相对应;src_1与dst_1之间的0.8表示内网主机0与服务器2之间的边属性的量化值;src_1与dst_m-1之间的0.3表示内网主机0与内网主机1之间的边属性的量化值;src_1与dst_m之间的0.9表示内网主机0与内网主机2之间的边属性的量化值;src_1与dst_2之间的0.5表示内网主机0与服务器1之间的边属性的量化值。
可以将上述单一功能访问关系图的数学表达图转化为相应的特征矩阵和邻接矩阵,示例性地,如公式5和公式6所示,公式5为转化后的特征矩阵,公式6为转化后的特征矩阵,其中,特征矩阵和邻接矩阵中包含的具体值都可以从上述单一功能访问关系图的数学表达图中获得。
B1,m=[0.8 0.5 0 … 0.3 0.9 0]
通过上述步骤,得到该单一功能访问关系图中包含的所有内网设备对应的特征矩阵和邻接矩阵的值后,可以将各个内网设备对应的特征矩阵和邻接矩阵的值,依次输入至图自编码器的编码器中,得到对应的隐变量值。该隐变量的值可以用公式7表示:
其中,t表示t时刻,D是度矩阵,W0和W1是待学习参数,A是邻接矩阵,X是顶点的特征矩阵,Z表示隐变量的值,Z的维度取决于待学习参数的维度。
得到对应的隐变量值后,可以将隐变量值输入至图自编码器的解码器中,得到重构后的邻接矩阵,可以用公式8来表示:
将该单一功能内网设备访问关系图中包含的,各个内网设备的特征矩阵和邻接矩阵的值输入至,训练好的图自编码器的编码器中,得到对应的隐变量值,该隐变量的值可以用公式10表示:
zi,t∈R1+m(i=1,..,N) (公式10)
其中,N表示内网设备的数量,1+m表示隐变量的1+m个元素。
通过上述方法,求出该单一功能网络设备访问关系图中,各个内网设备对应的隐变量值后,可以根据隐变量值,求出该单一功能下,各个内网设备的指标,该指标可以用公式11表示。
通过上述方法,求出该单一功能下,各个内网设备的指标后,可以求出该单一功能下,所有内网设备的均值,示例性地,假设该单一功能对应的p=1,则可以通过公式12求出,t时刻下该单一功能中包含的各个内网设备的指标的均值。
通过上述方法,求出t时刻下该单一功能中包含的各个内网设备的指标的均值后,可以根据公式13和公式14求出各个时刻下,该单一功能中包含的所有内网设备的性能指标对,该性能指标对可以包含均值和标准差。
重复上述步骤,依次求出M组单一功能内网设备访问关系图对应的性能指标对,可以用公式15表示:
yp~(μp,σp) (公式15)
其中,p=1,2,…,M。
通过上述步骤,确定出各个单一功能访问关系图对应的性能指标对后,可以对待测内网设备进行预测。
示例性地,在一种实施例中,假设待测内网设备为内网设备A,服务器在收到netflow收集器发送的任一时间段内的netflow流数据后,可以根据内网设备A的IP地址,获取到待测内网设备在该时间段内的netflow流数据。
在获取到与内网设备A相关的各个netflow流数据后,服务器可以根据netflow流数据建立内网设备A的访问关系图,并将访问关系图划分成多组单一功能访问关系图。
根据每一个单一功能访问关系图,可以对单一功能访问关系图的顶点的属性维度和边的属性维度进行归一化和降维,得到单一功能访问关系图的数学表达图,并针对每一个单一功能访问关系图的数学表达图分别计算出其对应的均值yp,具体实施方式与上述步骤相同,此处不再赘述。
针对每一个单一功能访问关系图对应的均值yp,将均值yp与对应功能下的内网设备的均值μp的差值,并判断该差值是否大于3σp,若均值yp与均值μp的差值大于3σp,表明对应功能下,内网设备A为异常设备,则显示基于访问关系图生成的异常传输线路图。
具体地,当均值yp与均值μp的差值大于3σp时,表明对应功能下,内网设备A为异常设备,就可以基于该功能下与内网设备A的单一功能访问关系图对应的netflow流数据中包含的顶点属性和边属性,还原出该功能下与内网设备A的异常传输线路图,示例性地,如图8所示,图8即为基于访问关系图生成的内网设备A的异常传输线路图。
在另一种实施例中,在将均值yp与对应功能下的内网设备的均值μp的差值与3σp进行比较后,还可以根据图自编码器的重构误差,确定待测内网设备是否处于异常状态。
具体地,若yp与μp的差值大于3σp,且图自编码器的重构误差大于设定的阈值,则确定待测内网设备处于异常状态,则显示基于访问关系图生成的异常传输线路图;若yp与μp的差值小于3σp,且图自编码器的重构误差小于设定的阈值,则确定待测内网设备处于正常状态;若yp与μp的差值大于3σp,或者,图自编码器的重构误差大于设定的阈值,则待测内网设备为可疑设备。
基于同一发明构思,本申请实施例中还提供了一种设备检测装置,如图9所示,该自动导航装置包括:
建立单元901,基于待测内网设备关联的各个流数据,建立所述待测内网设备的访问关系图;
确定单元902,根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标;所述性能指标用于表征所述待测内网设备各个流数据的异常程度;所述预先训练好的检测模型是根据预先获取的各个内网设备的访问关系图确定的;
显示单元903,若根据所述性能指标,确定所述待测内网设备处于异常状态,则显示基于所述访问关系图生成的异常传输线路图。
在一种可能的实施方式中,所述待测内网设备包含P个功能;所述P为大于等于1的整数;所述性能指标包括所述待测内网设备的每个功能各自对应的均值;所述预先训练好的检测模型包括多个单一功能检测模型;所述根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标,包括:
基于所述待测内网设备的P个功能,将所述访问关系图划分为P个单一功能访问关系图;
根据每个单一功能访问关系图和对应的单一功能检测模型,确定所述待测内网设备的每个功能对应的均值。
在一种可能的实施方式中,所述确定单元902,具体用于:
根据所述各个流数据中包含的属性,确定所述待测内网设备的P个功能。
在一种可能的实施方式中,所述确定单元902,具体用于:
基于每个单一功能访问关系图的每个内网设备,分别确定所述每个内网设备对应的特征矩阵和邻接矩阵;
将所述每个内网设备对应的特征矩阵和邻接矩阵输入至对应的单一功能检测模型中,确定所述每个内网设备对应的隐变量;
基于所述每个内网设备对应的隐变量,分别确定所述待测内网设备的每个功能的均值。
在一种可能的实施方式中,所述确定单元902,具体用于:
根据所述待测内网设备的每个功能对应的均值和标准均值的差值,将所述差值与标准差阈值进行比对;所述标准均值和所述标准差阈值是预先确定的;
获取每个功能对应的单一功能检测模型的重构误差,将所述重构误差与误差阈值进行比对;
若所述差值大于所述标准差阈值,且所述重构误差大于所述误差阈值,则确定所述待测内网设备处于异常状态。
基于同一发明构思,本申请实施例提供一种电子设备,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,实现上述实施例中的任一项设备检测方法。
基于同一发明构思,本申请实施例提供一种计算机可读存储介质,当存储介质中的指令由处理器执行时,使得处理器能够执行上述实施例中的任一项设备检测方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种设备检测方法,其特征在于,所述方法包括:
基于待测内网设备关联的各个流数据,建立所述待测内网设备的访问关系图;
根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标;所述性能指标用于表征所述待测内网设备各个流数据的异常程度;所述预先训练好的检测模型是根据预先获取的各个内网设备的访问关系图确定的;
若根据所述性能指标,确定所述待测内网设备处于异常状态,则显示基于所述访问关系图生成的异常传输线路图。
2.根据权利要求1所述的方法,其特征在于,所述待测内网设备包含P个功能;所述P为大于等于1的整数;所述性能指标包括所述待测内网设备的每个功能各自对应的均值;所述预先训练好的检测模型包括多个单一功能检测模型;所述根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标,包括:
基于所述待测内网设备的P个功能,将所述访问关系图划分为P个单一功能访问关系图;
根据每个单一功能访问关系图和对应的单一功能检测模型,确定所述待测内网设备的每个功能对应的均值。
3.根据权利要求2所述的方法,其特征在于,所述基于所述待测内网设备的P个功能,将所述访问关系图划分为P个单一功能访问关系图之前,所述方法还包括:
根据所述各个流数据中包含的属性,确定所述待测内网设备的P个功能。
4.根据权利要求2所述的方法,其特征在于,所述根据每个单一功能访问关系图和对应的单一功能检测模型,确定所述待测内网设备的每个功能对应的均值,包括:
基于每个单一功能访问关系图的每个内网设备,分别确定所述每个内网设备对应的特征矩阵和邻接矩阵;
将所述每个内网设备对应的特征矩阵和邻接矩阵输入至对应的单一功能检测模型中,确定所述每个内网设备对应的隐变量;
基于所述每个内网设备对应的隐变量,分别确定所述待测内网设备的每个功能的均值。
5.根据权利要求2所述的方法,其特征在于,通过如下方式确定所述待测内网设备是否处于异常状态:
根据所述待测内网设备的每个功能对应的均值和标准均值的差值,将所述差值与标准差阈值进行比对;所述标准均值和所述标准差阈值是预先确定的;
获取每个功能对应的单一功能检测模型的重构误差,将所述重构误差与误差阈值进行比对;
若所述差值大于所述标准差阈值,且所述重构误差大于所述误差阈值,则确定所述待测内网设备处于异常状态。
6.一种设备检测装置,其特征在于,所述装置包括:
建立单元,基于待测内网设备关联的各个流数据,建立所述待测内网设备的访问关系图;
确定单元,根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标;所述性能指标用于表征所述待测内网设备各个流数据的异常程度;所述预先训练好的检测模型是根据预先获取的各个内网设备的访问关系图确定的;
显示单元,若根据所述性能指标,确定所述待测内网设备处于异常状态,则显示基于所述访问关系图生成的异常传输线路图。
7.根据权利要求6所述的装置,其特征在于,所述待测内网设备包含P个功能;所述P为大于等于1的整数;所述性能指标包括所述待测内网设备的每个功能各自对应的均值;所述预先训练好的检测模型包括多个单一功能检测模型;所述根据所述待测内网设备的访问关系图和预先训练好的检测模型,确定所述待测内网设备的性能指标,包括:
基于所述待测内网设备的P个功能,将所述访问关系图划分为P个单一功能访问关系图;
根据每个单一功能访问关系图和对应的单一功能检测模型,确定所述待测内网设备的每个功能对应的均值。
8.根据权利要求7所述的装置,其特征在于,所述基于所述待测内网设备的P个功能,将所述访问关系图划分为P个单一功能访问关系图之前,所述装置还包括:
根据所述待测内网设备的属性,确定所述待测内网设备的P个功能。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,当所述计算机程序被所述处理器执行时,实现权利要求1~5中任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,其特征在于:所述计算机程序被处理器执行时,实现权利要求1~5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111616978.7A CN114363212B (zh) | 2021-12-27 | 2021-12-27 | 一种设备检测方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111616978.7A CN114363212B (zh) | 2021-12-27 | 2021-12-27 | 一种设备检测方法、装置、设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114363212A true CN114363212A (zh) | 2022-04-15 |
CN114363212B CN114363212B (zh) | 2023-12-26 |
Family
ID=81104123
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111616978.7A Active CN114363212B (zh) | 2021-12-27 | 2021-12-27 | 一种设备检测方法、装置、设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114363212B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114650187A (zh) * | 2022-04-29 | 2022-06-21 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
CN115277102A (zh) * | 2022-06-29 | 2022-11-01 | 北京天融信网络安全技术有限公司 | 网络攻击检测方法、装置、电子设备及存储介质 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150341376A1 (en) * | 2014-05-26 | 2015-11-26 | Solana Networks Inc. | Detection of anomaly in network flow data |
CN110149247A (zh) * | 2019-06-06 | 2019-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络状态的检测方法及装置 |
US20200099707A1 (en) * | 2018-09-21 | 2020-03-26 | General Electric Company | Hybrid feature-driven learning system for abnormality detection and localization |
CN111030992A (zh) * | 2019-11-08 | 2020-04-17 | 厦门网宿有限公司 | 检测方法、服务器及计算机可读存储介质 |
CN111107072A (zh) * | 2019-12-11 | 2020-05-05 | 中国科学院信息工程研究所 | 一种基于认证图嵌入的异常登录行为检测方法及系统 |
CN111277459A (zh) * | 2020-01-16 | 2020-06-12 | 新华三信息安全技术有限公司 | 一种设备异常检测方法、装置和机器可读存储介质 |
CN111556057A (zh) * | 2020-04-29 | 2020-08-18 | 绿盟科技集团股份有限公司 | 一种流量异常检测方法、装置、电子设备及存储介质 |
CN111600880A (zh) * | 2020-05-14 | 2020-08-28 | 深信服科技股份有限公司 | 异常访问行为的检测方法、系统、存储介质和终端 |
CN112866175A (zh) * | 2019-11-12 | 2021-05-28 | 华为技术有限公司 | 一种异常流量类型保留方法、装置、设备及存储介质 |
CN113328908A (zh) * | 2021-05-10 | 2021-08-31 | 广东电网有限责任公司广州供电局 | 异常数据的检测方法、装置、计算机设备和存储介质 |
CN113364752A (zh) * | 2021-05-27 | 2021-09-07 | 鹏城实验室 | 一种流量异常检测方法、检测设备及计算机可读存储介质 |
WO2021223177A1 (zh) * | 2020-05-07 | 2021-11-11 | 深圳市欢太科技有限公司 | 异常文件检测方法及相关产品 |
WO2021244415A1 (zh) * | 2020-06-03 | 2021-12-09 | 华为技术有限公司 | 检测网络故障的方法和装置 |
CN113822313A (zh) * | 2021-04-20 | 2021-12-21 | 京东科技控股股份有限公司 | 图节点异常检测方法及装置 |
-
2021
- 2021-12-27 CN CN202111616978.7A patent/CN114363212B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150341376A1 (en) * | 2014-05-26 | 2015-11-26 | Solana Networks Inc. | Detection of anomaly in network flow data |
US20200099707A1 (en) * | 2018-09-21 | 2020-03-26 | General Electric Company | Hybrid feature-driven learning system for abnormality detection and localization |
CN110149247A (zh) * | 2019-06-06 | 2019-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络状态的检测方法及装置 |
CN111030992A (zh) * | 2019-11-08 | 2020-04-17 | 厦门网宿有限公司 | 检测方法、服务器及计算机可读存储介质 |
CN112866175A (zh) * | 2019-11-12 | 2021-05-28 | 华为技术有限公司 | 一种异常流量类型保留方法、装置、设备及存储介质 |
CN111107072A (zh) * | 2019-12-11 | 2020-05-05 | 中国科学院信息工程研究所 | 一种基于认证图嵌入的异常登录行为检测方法及系统 |
CN111277459A (zh) * | 2020-01-16 | 2020-06-12 | 新华三信息安全技术有限公司 | 一种设备异常检测方法、装置和机器可读存储介质 |
CN111556057A (zh) * | 2020-04-29 | 2020-08-18 | 绿盟科技集团股份有限公司 | 一种流量异常检测方法、装置、电子设备及存储介质 |
WO2021223177A1 (zh) * | 2020-05-07 | 2021-11-11 | 深圳市欢太科技有限公司 | 异常文件检测方法及相关产品 |
CN111600880A (zh) * | 2020-05-14 | 2020-08-28 | 深信服科技股份有限公司 | 异常访问行为的检测方法、系统、存储介质和终端 |
WO2021244415A1 (zh) * | 2020-06-03 | 2021-12-09 | 华为技术有限公司 | 检测网络故障的方法和装置 |
CN113822313A (zh) * | 2021-04-20 | 2021-12-21 | 京东科技控股股份有限公司 | 图节点异常检测方法及装置 |
CN113328908A (zh) * | 2021-05-10 | 2021-08-31 | 广东电网有限责任公司广州供电局 | 异常数据的检测方法、装置、计算机设备和存储介质 |
CN113364752A (zh) * | 2021-05-27 | 2021-09-07 | 鹏城实验室 | 一种流量异常检测方法、检测设备及计算机可读存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114650187A (zh) * | 2022-04-29 | 2022-06-21 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
CN114650187B (zh) * | 2022-04-29 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
CN115277102A (zh) * | 2022-06-29 | 2022-11-01 | 北京天融信网络安全技术有限公司 | 网络攻击检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114363212B (zh) | 2023-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110519290B (zh) | 异常流量检测方法、装置及电子设备 | |
KR100974888B1 (ko) | 비정상 트래픽 탐지 장치 및 방법 | |
CN111191767B (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
CN114363212B (zh) | 一种设备检测方法、装置、设备和存储介质 | |
CN112468347B (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
JP2018147172A (ja) | 異常検知装置、異常検知方法及びプログラム | |
CN112559831A (zh) | 链路监控方法、装置、计算机设备及介质 | |
CN112134875B (zh) | 一种IoT网络异常流量检测方法及系统 | |
CN111181930A (zh) | DDoS攻击检测的方法、装置、计算机设备及存储介质 | |
CN112422556A (zh) | 一种物联网终端信任模型构建方法及系统 | |
CN114842307A (zh) | 掩码图像模型训练方法、掩码图像内容预测方法和设备 | |
CN112583715A (zh) | 设备节点连接调整方法及装置 | |
CN112988892B (zh) | 一种分布式系统热点数据的管理方法 | |
CN110493218B (zh) | 一种态势感知虚拟化的方法和装置 | |
CN117336228A (zh) | 一种基于机器学习的igp仿真推荐方法、装置及介质 | |
CN115632888B (zh) | 一种基于图算法的攻击路径还原方法及系统 | |
CN110471975B (zh) | 一种物联网态势感知调用方法和装置 | |
CN112543145A (zh) | 发送数据的设备节点通信路径选择方法及装置 | |
CN106817364B (zh) | 一种暴力破解的检测方法及装置 | |
CN114866338A (zh) | 网络安全检测方法、装置及电子设备 | |
CN115643108A (zh) | 面向工业互联网边缘计算平台安全评估方法、系统及产品 | |
WO2022033579A1 (zh) | 一种联邦学习方法、设备及系统 | |
Chang et al. | Implementation of ransomware prediction system based on weighted-KNN and real-time isolation architecture on SDN Networks | |
CN115600195A (zh) | 一种web攻击检测方法、装置、设备及可读存储介质 | |
CN112543186A (zh) | 一种网络行为检测方法、装置、存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |