CN114650186A - 一种异常检测的方法及其检测装置 - Google Patents

一种异常检测的方法及其检测装置 Download PDF

Info

Publication number
CN114650186A
CN114650186A CN202210439263.7A CN202210439263A CN114650186A CN 114650186 A CN114650186 A CN 114650186A CN 202210439263 A CN202210439263 A CN 202210439263A CN 114650186 A CN114650186 A CN 114650186A
Authority
CN
China
Prior art keywords
data
flow
detected
detection model
anomaly detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202210439263.7A
Other languages
English (en)
Inventor
王喜
陈焜
张振华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Sankuai Online Technology Co Ltd
Original Assignee
Beijing Sankuai Online Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Sankuai Online Technology Co Ltd filed Critical Beijing Sankuai Online Technology Co Ltd
Priority to CN202210439263.7A priority Critical patent/CN114650186A/zh
Publication of CN114650186A publication Critical patent/CN114650186A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本说明书公开了一种异常检测的方法及其检测装置,该异常检测的方法包括:获取待检测流量数据,提取所述待检测流量数据对应的流量参数,以及所述待检测流量数据包含的数据内容,其中,所述待检测流量数据对应的流量参数包括所述待检测流量数据的协议标识种类数量、所述待检测流量数据的数据大小、所述待检测流量数据的数据长度、所述待检测流量数据中包含的数据包的传输速率、以及所述待检测流量数据中相邻数据包传输时间间隔中的至少一种,将所述流量参数以及所述数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量;若确定所述待检测流量数据为异常流量,则对所述异常流量进行处理。

Description

一种异常检测的方法及其检测装置
技术领域
本说明书涉及网络安全领域,尤其涉及一种异常检测的方法及其检测装置。
背景技术
随着互联网技术的高速发展,人们的生活也变得更加智能化,然而,在互联网技术发展的同时,一些网络安全问题也随之出现,各种网络安全问题(如:系统漏洞、端口渗透、密码破解等)层出不穷,这导致网络安全问题的威胁日益严重,影响也越来越大,而其中的一些网络安全问题,不但会导致系统资源被过度占用,甚至造成系统的阶段性瘫痪,严重影响了系统服务的安全性与稳定性。
目前,面对这类网络安全问题,主要采用的方法是扩容设备、基于深度学习的方案对异常流量进行检测,或者采用基于规则的方案对异常流量进行检测,然而,扩容设备需要投入大量的人力财力,并且不能从源头上防止同样的网络安全问题再次发生,基于深度学习的方案需要大量标签数据,标注数据成本过高,并且对已知异常流量内容的依赖性较强,无法对新型的网络安全问题进行有效识别。
因此,如何有效的识别异常流量,保证网络服务的安全,是一个亟待解决的问题。
发明内容
本说明书提供一种异常检测的方法及其检测装置,以部分的解决现有技术存在的上述问题。
本说明书采用下述技术方案:
本说明书提供了一种异常检测的方法,包括:
获取待检测流量数据;
提取所述待检测流量数据对应的流量参数,以及所述待检测流量数据包含的数据内容,其中,所述待检测流量数据对应的流量参数包括所述待检测流量数据的协议标识种类数量、所述待检测流量数据的数据大小、所述待检测流量数据的数据长度、所述待检测流量数据中包含的数据包的传输速率、以及所述待检测流量数据中相邻数据包传输时间间隔中的至少一种;
将所述流量参数以及所述数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量;
若确定所述待检测流量数据为异常流量,则对所述异常流量进行处理。
可选地,将所述流量参数以及所述数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量,具体包括:
对所述流量参数以及所述数据内容进行预处理,得到预处理后的流量参数以及数据内容;
将所述预处理后的流量参数以及数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量。
可选地,对所述流量参数以及所述数据内容进行预处理,得到预处理后的流量参数以及数据内容,具体包括:
根据所述待检测流量数据中所包含的数据包的传输顺序,选取指定数量的数据包,作为待检测数据包;
针对每一个待检测数据包,对该待检测数据包所对应的数据内容进行截取,得到该数据包对应的待检测数据内容;
将每个待检测数据包对应的待检测数据内容作为预处理后的数据内容。
可选地,对所述流量参数以及所述数据内容进行预处理,具体包括:
根据确定出的不同类型流量参数对应的数据区间,对从待检测流量数据中提取出的每个类型的流量参数进行归一化处理,得到归一化后的流量参数。
可选地,确定不同类型流量参数对应的数据区间,具体包括:
针对从所述待检测流浪数据中提取出的每个类型的流量参数,遍历所述待检测流量数据,以确定该类型的流量数据在所述待检测流量数据中的最大参数值以及最小参数值;
根据所述最大参数值以及最小参数值,确定该类型的流量数据对应的数据区间。
可选地,训练所述目标异常检测模型,具体包括:
获取样本数据,其中,所述样本数据包括接收到的历史流量数据;
提取所述历史流量数据对应的历史流量参数,以及所述历史流量数据包含的历史数据内容;
将所述历史流量参数以及所述历史数据内容输入所述目标异常检测模型中,确定所述历史流量数据是否为异常流量;
以最小化所述目标异常检测模型的检测结果与所述历史流量数据的实际异常情况之间的偏差为优化目标,对所述目标异常检测模型进行训练。
可选地,对所述目标异常检测模型进行训练之前,所述方法还包括:
针对目标异常检测模型的每一轮训练,从所述目标异常检测模型中包含的网络节点中丢弃指定数量的网络节点,得到在该轮训练中需要训练的目标异常检测模型。
可选地,对所述目标异常检测模型进行训练之前,所述方法还包括:
获取初始样本数据,以及获取初始异常检测模型;
根据所述初始样本数据,对初始异常检测模型进行训练;
调整训练完的初始异常检测模型中包含的网络节点的节点数量,得到所述目标异常检测模型。
可选地,调整训练完的初始异常检测模型中包含的网络节点的节点数量,得到所述目标异常检测模型,具体包括:
调整初始异常检测模型中包含的网络节点的节点数量,并确定调整后的初始异常检测模型对应的异常识别准确率,以及根据所述异常识别准确率,重新调整初始异常检测模型中包含的网络节点的节点数量,直到满足预设的条件为止,得到所述目标异常检测模型。
可选地,以最小化所述异常检测模型的检测结果与所述历史流量数据的实际异常情况之间的偏差为优化目标,对所述异常检测模型进行训练,具体包括:
根据所述异常检测模型的检测结果与所述历史流量数据的实际异常情况之间的偏差,确定所述异常检测模型对应损失函数的损失值;
以最小化所述损失值为优化目标,确定对所述目标异常检测模型中包含的每个网络节点进行参数调整的调整步长,并根据所述调整步长,对所述目标异常检测模型进行调整,以完成对所述目标异常检测模型的训练;其中
针对所述目标异常检测模型中包含的每个网络节点,该网络节点对应的调整次数越多,对该网络节点进行参数调整的调整步长越小,该网络节点对应的调整次数越少,对该网络节点进行参数调整的调整步长越大。
可选地,若确定所述待检测流量数据为异常流量,则对所述异常流量进行处理,具体包括:
若确定所述待检测流量数据为异常流量,则对发送所述异常流量的发送端进行验证,得到针对所述异常流量的验证结果;
根据所述验证结果,对所述异常流量进行处理。
可选地,根据所述验证结果,对所述异常流量进行处理,具体包括:
若通过所述验证结果确定发送所述异常流量的发送端未通过验证,则对发送所述异常流量的发送端的网络地址进行屏蔽。
本说明书提供了一种异常检测装置,包括:
获取模块,用于获取待检测流量数据;
提取模块,用于提取所述待检测流量数据对应的流量参数,以及所述待检测流量数据包含的数据内容,其中,所述待检测流量数据对应的流量参数包括所述待检测流量数据的协议标识种类数量、所述待检测流量数据的数据大小、所述待检测流量数据的数据长度、所述待检测流量数据中包含的数据包的传输速率、以及所述待检测流量数据中相邻数据包传输时间间隔中的至少一种;
确定模块,用于将所述流量参数以及所述数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量;
处理模块,用于若确定所述待检测流量数据为异常流量,则对所述异常流量进行处理。
本说明书提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述异常检测的方法。
本说明书提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述异常检测的方法。
本说明书采用的上述至少一个技术方案能够达到以下有益效果:
在本说明书提供的异常检测的方法中,可以提取待检测流量数据对应的流量参数以及包含的数据内容,并将其作为目标异常检测模型的输入,通过目标异常检测模型,确定该待检测流量数据是否为异常流量,若确定该待检测流量数据为异常流量,则对其进行相应的处理。
从上述方法可以看出,本说明书会根据待检测流量数据的流量参数,即待检测流量数据的协议标识种类数量、待检测流量数据的数据大小、待检测流量数据的数据长度、待检测流量数据中包含的数据包的传输速率和待检测流量数据中相邻数据包传输时间间隔,以及待检测流量数据包含的数据内容,来挖掘出异常流量数据的一些特性,进而根据这些特性来准确的判断出待检测流量数据是否为异常流量,提高了对异常流量的识别准确率,有效保证了网络服务的安全。
附图说明
此处所说明的附图用来提供对本说明书的进一步理解,构成本说明书的一部分,本说明书的示意性实施例及其说明用于解释本说明书,并不构成对本说明书的不当限定。在附图中:
图1为本说明书中提供的一种异常检测的方法流程示意图;
图2为本说明书提供的一种目标异常检测模型结构示意图;
图3为本说明书提供的一种异常检测装置示意图;
图4为本说明书提供的一种对应于图1的电子设备的示意图。
具体实施方式
为使本说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
图1为本说明书中提供的一种异常检测的方法流程示意图,包括以下步骤:
S101:获取待检测流量数据。
在服务器面对涉及到网络安全问题的异常流量时,该异常流量可能会通过消耗所有可用的服务器资源使服务器崩溃,如通过重复发送初始连接请求数据包,从而占用目标服务器上的所有可用端口,导致服务器无法响应正常的用户请求。
基于此,本说明书提供了一种异常检测的方法及检测装置,从而准确地检测出异常流量并加以处理,其中,当服务器接收到流量数据时,即可将接收到的流量数据作为待检测流量数据。
在本说明书中,用于实现异常检测的方法的执行主体,可以指服务器等设置于业务平台的指定设备,为了便于描述,下面仅以服务器是执行主体为例,对本说明书提供的一种异常检测的方法进行说明。
S102:提取所述待检测流量数据对应的流量参数,以及所述待检测流量数据包含的数据内容,其中,所述待检测流量数据对应的流量参数包括所述待检测流量数据的协议标识种类数量、所述待检测流量数据的数据大小、所述待检测流量数据的数据长度、所述待检测流量数据中包含的数据包的传输速率、以及所述待检测流量数据中相邻数据包传输时间间隔中的至少一种。
在服务器获取到待检测流量数据后,可以提取该待检测流量数据所对应的流量参数以及该待检测流量数据包含的数据内容,在信息传输的过程中,流量数据中包含有若干个数据包,这些数据包会按照一定的顺序进行传输。
在面对异常流量时,服务器通常会在同一时间接收到来自多个发送端所发送的信息,而在同一时间内由多个发送端向服务器发送的信息势必会占用大量的传输资源(如带宽),导致接收到的待检测流量数据对应的协议标识种类数量、待检测流量数据的数据大小、待检测流量数据的数据长度、待检测流量数据中包含的数据包的传输速率、以及相邻数据包传送时间间隔等流量参数都受到相应的影响,因此,服务器可以将上述流量参数作为依据,来判断待检测流量数据是否为异常流量。
当然,在实际应用中,服务器还可以将除上述流量参数外的其他类型的流量参数,作为判断待检测流量数据是否为异常流量的依据,为了便于描述,本说明书仅以上述几种具有代表性的流量参数为依据,对本说明书提供的异常检测的方法进行说明,对其他类型的流量参数不再一一进行列举。
具体的,在信息传输的过程中,不同的流量数据在传输时通常会基于通信协议获得不同的协议标识,由于异常流量会导致通信过程中基于通信协议的响应异常,所以正常数据包带有的协议标识种类数往往要高于异常数据包,因此服务器可以将流量数据对应的协议标识种类数作为异常流量的判断依据。
以基于超文本传输协议(Hyper Text Transfer Protocol,HTTP)进行传输为例,该协议下一共对应有8个协议标识,分别为:紧急(Urgent,URG)标识、确认(Acknowekegmen,ACK)标识、推送(Push,PSH)标识、复位(Reset,RST)标识、同步(Synchronization,SYN)标识、终止(Finish,FIN)标识、显式拥塞通知(Explicit Congestion Notification,ECN)标识、拥塞窗口减少(Congestion Window Reduced,CWR)标识。在数据传输过程中,正常流量数据对应的上述协议标识种类数,要高于异常流量数据对应的协议标识种类数。
再比如,由于服务器可能会在同一时间内接收到由同一地址的多个发送端发送的异常流量,而多个发送端所发送的异常流量对传输资源的占用,可能会导致服务器接收到的异常流量中包含的数据包的传输速率,低于正常流量中包含数据包的传输速率。所以,可以基于待检测流量数据中包含的数据包的传输速率,来判断待检测流量数据是否为异常流量。
下面仅以以下几个具有代表性的流量参数为例,对其计算方式进行说明。
为了便于异常检测模型的识别,服务器可以对流量数据的协议标识种类数进行归一化处理,以便作为异常检测模型的输入,则待检测流量数据对应的协议标识种类数经过归一化后的公式可以表示为:
Figure BDA0003610595000000081
其中,L1为该待检测流量数据经过归一化处理后的对应的协议标识种类数,Num为该数据流量对应的协议标识种类数,在基于HTTP协议进行传输的过程中,总共有8种协议标识。
在流量数据传输的过程中,待检测流量数据的数据大小可以为流量数据中包含的每一个数据包的大小之和,因此,该待检测流量数据的数据大小用公式可以表示为:
L2=∑i=1,2,..len l(pecketi)
其中,L2为该待检测流量数据的数据大小,i为该待检测流量数据中所包含的数据包i,len表示该流量数据中所包含数据包的数量,l(pecketi)表示该流量数据中数据包i对应的字节数。
服务器可以将该流量数据中包含的数据包的数量,作为该流量数据的数据长度,则该流量数据的数据长度用公式可以表示为:
L3=f(flow)
其中,L3为该流量数据的数据长度,f(flow)为该流量数据所包含的数据包数量。
服务器可以根据该待检测流量数据中包含的数据包数量以及传输这些数据包所用的时间,确定该待检测流量数据中包含的数据包的传输速率,该待检测流量数据中包含的数据包的传输速率用公式可以表示为:
Figure BDA0003610595000000091
其中,L4表示该待检测流量数据中包含的数据包的传输速率,h(s,p)表示从源地址s到目标地址p传输的数据包数量h,△t为传输这些数据包所用的时间。
服务器还可以根据该待检测流量数据中相邻数据包传送的时间间隔以及所包含的数据包数量,计算出该待检测流量数据对应的相邻数据包传送时间间隔,由于不同的相邻数据包的传输时间间隔可能也会有所不同,为了有效区分异常流量数据与正常流量数据之间相邻数据包传输时间间隔的差异,服务器可以将待检测流量数据中,相邻数据包传输时间间隔的均值,作为判断其是否为异常流量的依据。该待检测流量数据对应的相邻数据包传输时间间隔均值用公式可以表示为:
Figure BDA0003610595000000092
其中,L5为该待检测流量数据对应的相邻数据包传输时间间隔均值,(Ti-Ti-1)表示相邻两个数据包的传输时间间隔,len为该流量数据中所包含数据包的数量。
此外,服务器还需要对流量数据对应的数据内容进行提取,例如,在智能通话场景中,待检测流量数据中包含的数据内容可以为传输的语音信息,当然,该数据内容还可以为诸如图片验证场景中的图片信息等其他数据内容,本说明书对此不做具体限定。
S103:将所述流量参数以及所述数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量。
服务器在提取到待检测流量数据对应的流量参数以及该待检测流量数据对应的数据内容后,需要对该流量参数以及数据内容进行进一步的预处理,以得到符合目标异常检测模型输入格式的输入向量。
具体的,服务器在确定待检测流量数据所对应的流量参数(即待检测流量数据的协议标识种类数量、数据大小、数据长度、包含的数据包的传输速率、相邻数据包传输时间间隔)后,可以对其进行张量化处理,使其符合目标异常检测模型的输入格式,从而得到符合异常检测模型输入格式的输入向量。
另外,服务器还可以对提取到的流量数据对应的数据内容进行预处理,其中,为了提高异常检测模型的识别效率,服务器可以在待检测流量数据所包含的若干数据包中,选取指定数量的数据包,作为待检测数据包,从而通过限定数据包的数量来提高异常检测模型的识别效率。
为了保证每一待检测流量数据包含的数据内容对应模型输入的输入长度相同,服务器可以根据待检测流量数据中所包含的数据包的传输顺序,对每一个待检测数据包所对应的数据内容进行截取,得到该数据包对应的待检测数据内容,并将每个待检测数据包对应的待检测数据内容作为预处理后的数据内容,服务器可以对待检测流量数据中包含的每一个数据包对应的预处理后的数据内容进行张量化处理,从而得到符合异常检测模型输入格式的输入向量。
例如,服务器可以只选取传输的前18个数据包,若待检测流量数据中的数据包数量小于18个,则可以在数据包矩阵中的对应位置用0进行补齐,而对于每一个数据包对应的数据内容,服务器可以只截取该数据内容的前64个字节,若该数据内容不足64个字节,则也可以用0进行补齐,从而得到长度为18*64=1152的数据内容,进而将其张量化,从而得到符合异常检测模型输入格式的1152维输入向量。
由于流量数据中提取到的不同类型的流量参数对应的数据分量之间差别较大,数值较小的分量容易被数值较大的分量所掩盖,如果不对上述数据进行归一化,在模型训练中分量较小的数值很难发挥相应的作用,从而使目标异常检测模型陷入极值。因此,服务器还可以对上述输入向量进行归一化处理,确定不同类型流量参数在同一数据区间内对应的输入,从而缩小不同类型的流量参数对应数据分量之间的差别。
具体的,对于从待检测流量数据中提取出的每个类型的流量参数,服务器可以遍历待检测流量数据,以确定该类型的流量参数在待检测流量数据中的最大参数值以及最小参数值,并根据该最大值以及最小参数值,确定该类型的流量参数对应的数据区间,根据确定出的不同类型流量参数对应的数据区间,对从待检测流量数据中提取出的每个类型的流量参数进行归一化处理,得到归一化后的流量参数。
需要说明的是,上述归一化处理的过程仅针对一次对待检测流量数据进行检测,当下一次对其他待检测流量数据进行检测时,需要重新对其他待检测流量中不同类型的流量参数的数据区间。
当然,服务器也可以预先设定每个类型的流量参数对应的数据区间,这样一来,可以根据预先设定的数据区间对不同类型的流量参数进行归一化处理,从而得到归一化处理后的流量参数。
在对待检测流量数据对应的流量参数以及待检测流量数据包含的数据内容进行预处理后,服务器可以将上述流量参数对应的输入向量和数据内容对应的输入向量分别输入预先训练好的目标异常检测模型中,从而得到目标异常检测模型的检测结果。
在使用上述目标异常检测模型之前,需要事先对该目标异常检测模型进行训练。具体的,服务器可以获取样本数据,其中,该样本数据可以包括服务器接收到的历史流量数据,而后提取历史流量数据对应的历史流量参数,以及历史流量数据包含的历史数据内容,进而将历史流量参数以及历史数据内容输入该目标异常检测模型中,从而确定该历史流量数据是否为异常流量,并以最小化该目标异常检测模型的检测结果与历史流量数据的实际异常情况之间的偏差为优化目标,对该目标异常检测模型进行训练。
在本说明书中,可以采用线性整流函数(Re ctified Linear Unit,ReLU)作为目标异常检测模型的激活函数,当然,也可以采用其他激活函数,本说明书对此不做具体限定。
在本说明书中,该目标异常检测模型可以设置有多个隐层,如服务器可以在目标异常检测模型中设置有两个隐层,在对目标异常检测模型训练之前,服务器可以获取一定数量的初始样本数据,在本说明书中,该初始样本数据可以为上述训练目标异常检测模型时用到的样本数据中的部分或全部,而后服务器可以根据该初始样本数据,来对上述初始异常检测模型进行训练,该初始异常检测模型中可以设有指定数量的网络节点,其中,上述指定数量可以根据实际情况进行设定,本说明书对此不做具体限定。
服务器对该初始异常检测模型训练完成后,该初始模型已经具有一定的异常识别能力,但是由于其包含网络节点的节点数量较少,所以异常识别的准确率也相对较低,因此,服务器可以对训练完的初始异常检测模型中包含的网络节点的节点数量进行调整,从而得到目标异常检测模型。
具体的,服务器可以增加初始异常检测模型中包含的网络节点的节点数量,得到此次调整后的初始异常检测模型,并确定此次调整后的初始异常检测模型对应的异常识别准确率,若此次调整后的初始异常检测模型对应的异常识别准确率低于预设的准确率,则再一次增加其网络节点的节点数量,直至调整后的初始异常检测模型满足预设条件,则不再对其包含的网络节点的数量进行增加,并将此时的模型作为目标异常检测模型。
其中,上述预设条件可以包括:异常检测模型的识别准确率达到预设准确率,或者,达到预设训练次数,以保证该目标异常检测模型能够准确的识别异常流量。此外,上述预设准确率和预设训练次数可以根据实际情况进行设定,本说明书对此不做具体限定。
进一步的,在对目标异常检测模型进行训练时,为了提高目标异常检测模型的泛化能力,防止其出现过拟合的情况,服务器可以在每一轮对该目标异常检测模型进行训练时,分别从该目标异常检测模型的两个隐层中随机丢弃指定数量的网络节点,从而得到每一轮训练中需要训练的目标异常检测模型,以削弱各个网络节点之间的依赖关系,使每一个网络节点能够更加独立地提取数据的隐含特征,进而保证异常检测模型的异常识别准确率。
为了提高模型的收敛速度,服务器可以根据目标异常检测模型的检测结果与历史流量数据的实际异常情况之间的偏差,确定目标异常检测模型对应损失函数的损失值,并以最小化该损失值为目标,确定目标异常检测模型中包含的每个网络节点进行参数调整(如对网络节点偏置和权重的调整)的调整步长,以对该目标异常检测模型进行调整,进而完成对目标异常检测模型的训练。
其中,针对目标异常检测模型中包含的每个网络节点,该网络节点对应的调整次数越多,对该网络节点进行参数调整的调整步长越小,该网络节点对应的调整次数越少,对该网络节点进行参数调整的调整步长越大,从而使异常检测模型中的每一个网络节点都能尽快的收敛,进而提高模型的训练效率。
需要说明的是,在本说明书中,上述网络节点可以是异常检测模型中两个隐层中所包含的网络节点。
为了便于理解,本说明书提供了一种目标异常检测模型结构示意图,如图2所示。
图2为本说明书提供的一种目标异常检测模型结构示意图;
其中,该目标异检测模型拥有两个隐层,服务器对历史流量数据对应的流量参数以及历史流量数据对应的数据内容进行提取后,将其分别输入到目标异常检测模型中,通过目标异常检测模型的编码层(Embedding)层进行特征提取,而后将提取到的特征输入目标异常检测模型的两个隐层中,并在每一轮训练时分别对两个隐层中的节点进行丢弃,从而完成对目标异常检测模型的训练。
S104:若确定所述待检测流量数据为异常流量,则对所述异常流量进行处理。
在服务器确定待检测流量数据为异常流量后,为了防止出现误判,服务器可以通过诸如人脸识别或者指纹识别等验证方式,来对该异常流量的发送端进行验证,在实际应用中,一旦异常流量未通过验证或者拒接验证,则说明该异常流量可能会影响网络安全,因此服务器可以对该异常流量进行处理,如对该异常流量对应的一个或多个地址(如互联网协议(Internet Protocol Address,IP)地址)进行屏蔽或加入黑名单等,以对该异常流量进行拦截。
而若该异常流量的发送端通过验证,且通过验证后服务器再一次接收到由该发送端发送的流量数据时,检测出该流量数据为正常流量数据,则服务器可以不对该异常流量进行处理。
从上述方法可以看出,本说明书会根据正常流量数据以及异常流量数据之间流量参数与数据内容之间的明显差异,将流量参数与数据内容作为目标异常检测模型的输入,对其进行预处理后,输入到目标异常检测模型中,从而准确的判断出接收到的流量数据是否异常。此外,在模型训练过程中,本方案通过对目标异常检测模型中包含的网络节点的节点数量的设定,在保证目标异常检测模型识别准确率的同时提高其训练效率,并在每一轮训练时对目标异常检测模型中的节点进行丢弃,以及以最小化目标异常检测模型的检测结果与历史流量数据的实际异常情况之间的偏差为优化目标,确定对目标异常检测模型中包含的每个网络节点进行参数调整的调整步长,提高了对异常流量的识别准确率,有效保证了网络服务的安全。
需要说明的是,本说明书中所有获取信号、信息或数据的动作都是在遵照所在地国家相应的数据保护法规政策的前提下,并获得由相应装置所有者给与授权的情况下进行的。
以上为本说明书的一个或多个实施异常检测的方法,基于同样的思路,本说明书还提供了相应的异常检测装置,如图3所示。
图3为本说明书提供的一种异常检测装置意图,包括:
获取模块301,用于获取待检测流量数据;
提取模块302,用于提取所述待检测流量数据对应的流量参数,以及所述待检测流量数据包含的数据内容,其中,所述待检测流量数据对应的流量参数包括所述待检测流量数据的协议标识种类数量、所述待检测流量数据的数据大小、所述待检测流量数据的数据长度、所述待检测流量数据中包含的数据包的传输速率、以及所述待检测流量数据中相邻数据包传输时间间隔中的至少一种;
确定模块303,用于将所述流量参数以及所述数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量;
处理模块304,用于若确定所述待检测流量数据为异常流量,则对所述异常流量进行处理。
可选地,所述确定模块303具体用于,对所述流量参数以及所述数据内容进行预处理,得到预处理后的流量参数以及数据内容;将所述预处理后的流量参数以及数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量。
可选地,所述确定模块303具体用于,根据所述待检测流量数据中所包含的数据包的传输顺序,选取指定数量的数据包,作为待检测数据包;针对每一个待检测数据包,对该待检测数据包所对应的数据内容进行截取,得到该数据包对应的待检测数据内容;将每个待检测数据包对应的待检测数据内容作为预处理后的数据内容。
可选地,所述确定模块303具体用于,根据确定出的不同类型流量参数对应的数据区间,对从待检测流量数据中提取出的每个类型的流量参数进行归一化处理,得到归一化后的流量参数。
可选地,所述确定模块303具体用于,针对从所述待检测流量数据中提取出的每个类型的流量参数,遍历所述待检测流量数据,以确定该类型的流量数据在所述待检测流量数据中的最大参数值以及最小参数值;根据所述最大参数值以及最小参数值,确定该类型的流量数据对应的数据区间。
可选地,所述装置还包括:
训练模块305,用于获取样本数据,其中,所述样本数据包括接收到的历史流量数据;提取所述历史流量数据对应的历史流量参数,以及所述历史流量数据包含的历史数据内容;将所述历史流量参数以及所述历史数据内容输入所述目标异常检测模型中,确定所述历史流量数据是否为异常流量;以最小化所述目标异常检测模型的检测结果与所述历史流量数据的实际异常情况之间的偏差为优化目标,对所述目标异常检测模型进行训练。
可选地,所述训练模块305还用于,针对目标异常检测模型的每一轮训练,从所述目标异常检测模型中包含的网络节点中丢弃指定数量的网络节点,得到在该轮训练中需要训练的目标异常检测模型。
可选地,所述训练模块305还用于,获取初始样本数据,以及获取初始异常检测模型;根据所述初始样本数据,对初始异常检测模型进行训练;调整训练完的初始异常检测模型中包含的网络节点的节点数量,得到所述目标异常检测模型。
可选地,所述训练模块305具体用于,调整初始异常检测模型中包含的网络节点的节点数量,并确定调整后的初始异常检测模型对应的异常识别准确率,以及根据所述异常识别准确率,重新调整初始异常检测模型中包含的网络节点的节点数量,直到满足预设的条件为止,得到所述目标异常检测模型。
可选地,所述训练模块305具体用于,根据所述目标异常检测模型的检测结果与所述历史流量数据的实际异常情况之间的偏差,确定所述目标异常检测模型对应损失函数的损失值;以最小化所述损失值为优化目标,确定对所述目标异常检测模型中包含的每个网络节点进行参数调整的调整步长,并根据所述调整步长,对所述目标异常检测模型进行调整,以完成对所述目标异常检测模型的训练;其中针对所述目标异常检测模型中包含的每个网络节点,该网络节点对应的调整次数越多,对该网络节点进行参数调整的调整步长越小,该网络节点对应的调整次数越少,对该网络节点进行参数调整的调整步长越大。
可选地,所述处理模块304具体用于,若确定所述待检测流量数据为异常流量,则对发送所述异常流量的发送端进行验证,得到针对所述异常流量的验证结果;根据所述验证结果,对所述异常流量进行处理。
可选地,所述处理模块304具体用于,若通过所述验证结果确定发送所述异常流量的发送端未通过验证,则对发送所述异常流量的发送端的网络地址进行屏蔽。
本说明书还提供了一种计算机可读存储介质,该存储介质存储有计算机程序,计算机程序可用于执行上述图1提供的一种异常检测的方法。
本说明书还提供了图4所示的一种对应于图1的电子设备示意结构图。如图4所述,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述图1所述的异常检测的方法。当然,除了软件实现方式之外,本说明书并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、系统、或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。

Claims (15)

1.一种异常检测的方法,其特征在于,包括:
获取待检测流量数据;
提取所述待检测流量数据对应的流量参数,以及所述待检测流量数据包含的数据内容,其中,所述待检测流量数据对应的流量参数包括所述待检测流量数据的协议标识种类数量、所述待检测流量数据的数据大小、所述待检测流量数据的数据长度、所述待检测流量数据中包含的数据包的传输速率、以及所述待检测流量数据中相邻数据包传输时间间隔中的至少一种;
将所述流量参数以及所述数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量;
若确定所述待检测流量数据为异常流量,则对所述异常流量进行处理。
2.如权利要求1所述的方法,其特征在于,将所述流量参数以及所述数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量,具体包括:
对所述流量参数以及所述数据内容进行预处理,得到预处理后的流量参数以及数据内容;
将所述预处理后的流量参数以及数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量。
3.如权利要求2所述的方法,其特征在于,对所述流量参数以及所述数据内容进行预处理,得到预处理后的流量参数以及数据内容,具体包括:
根据所述待检测流量数据中所包含的数据包的传输顺序,选取指定数量的数据包,作为待检测数据包;
针对每一个待检测数据包,对该待检测数据包所对应的数据内容进行截取,得到该数据包对应的待检测数据内容;
将每个待检测数据包对应的待检测数据内容作为预处理后的数据内容。
4.如权利要求2所述的方法,其特征在于,对所述流量参数以及所述数据内容进行预处理,具体包括:
根据确定出的不同类型流量参数对应的数据区间,对从待检测流量数据中提取出的每个类型的流量参数进行归一化处理,得到归一化后的流量参数。
5.如权利要求4所述的方法,其特征在于,确定不同类型流量参数对应的数据区间,具体包括:
针对从所述待检测流量数据中提取出的每个类型的流量参数,遍历所述待检测流量数据,以确定该类型的流量数据在所述待检测流量数据中的最大参数值以及最小参数值;
根据所述最大参数值以及最小参数值,确定该类型的流量数据对应的数据区间。
6.如权利要求1所述的方法,其特征在于,训练所述目标异常检测模型,具体包括:
获取样本数据,其中,所述样本数据包括接收到的历史流量数据;
提取所述历史流量数据对应的历史流量参数,以及所述历史流量数据包含的历史数据内容;
将所述历史流量参数以及所述历史数据内容输入所述目标异常检测模型中,确定所述历史流量数据是否为异常流量;
以最小化所述目标异常检测模型的检测结果与所述历史流量数据的实际异常情况之间的偏差为优化目标,对所述目标异常检测模型进行训练。
7.如权利要求6所述的方法,其特征在于,对所述目标异常检测模型进行训练之前,所述方法还包括:
针对目标异常检测模型的每一轮训练,从所述目标异常检测模型中包含的网络节点中丢弃指定数量的网络节点,得到在该轮训练中需要训练的目标异常检测模型。
8.如权利要求6或7所述的方法,其特征在于,对所述目标异常检测模型进行训练之前,所述方法还包括:
获取初始样本数据,以及获取初始异常检测模型;
根据所述初始样本数据,对初始异常检测模型进行训练;
调整训练完的初始异常检测模型中包含的网络节点的节点数量,得到所述目标异常检测模型。
9.如权利要求8所述的方法,其特征在于,调整训练完的初始异常检测模型中包含的网络节点的节点数量,得到所述目标异常检测模型,具体包括:
调整初始异常检测模型中包含的网络节点的节点数量,并确定调整后的初始异常检测模型对应的异常识别准确率,以及根据所述异常识别准确率,重新调整初始异常检测模型中包含的网络节点的节点数量,直到满足预设的条件为止,得到所述目标异常检测模型。
10.如权利要求6所述的方法,其特征在于,以最小化所述目标异常检测模型的检测结果与所述历史流量数据的实际异常情况之间的偏差为优化目标,对所述目标异常检测模型进行训练,具体包括:
根据所述目标异常检测模型的检测结果与所述历史流量数据的实际异常情况之间的偏差,确定所述目标异常检测模型对应损失函数的损失值;
以最小化所述损失值为优化目标,确定对所述目标异常检测模型中包含的每个网络节点进行参数调整的调整步长,并根据所述调整步长,对所述目标异常检测模型进行调整,以完成对所述目标异常检测模型的训练;其中
针对所述目标异常检测模型中包含的每个网络节点,该网络节点对应的调整次数越多,对该网络节点进行参数调整的调整步长越小,该网络节点对应的调整次数越少,对该网络节点进行参数调整的调整步长越大。
11.如权利要求1所述的方法,其特征在于,若确定所述待检测流量数据为异常流量,则对所述异常流量进行处理,具体包括:
若确定所述待检测流量数据为异常流量,则对发送所述异常流量的发送端进行验证,得到针对所述异常流量的验证结果;
根据所述验证结果,对所述异常流量进行处理。
12.如权利要求11所述的方法,其特征在于,根据所述验证结果,对所述异常流量进行处理,具体包括:
若通过所述验证结果确定发送所述异常流量的发送端未通过验证,则对发送所述异常流量的发送端的网络地址进行屏蔽。
13.一种网络攻击的检测装置,其特征在于,所述装置应用于网络安全领域,包括:
获取模块,用于获取待检测流量数据;
提取模块,用于提取所述待检测流量数据对应的流量参数,以及所述待检测流量数据包含的数据内容,其中,所述待检测流量数据对应的流量参数包括所述待检测流量数据的协议标识种类数量、所述待检测流量数据的数据大小、所述待检测流量数据的数据长度、所述待检测流量数据中包含的数据包的传输速率、以及所述待检测流量数据中相邻数据包传输时间间隔中的至少一种;
确定模块,用于将所述流量参数以及所述数据内容输入预先训练好的目标异常检测模型中,确定所述待检测流量数据是否为异常流量;
处理模块,用于若确定所述待检测流量数据为异常流量,则对所述异常流量进行处理。
14.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1~12任一项所述的方法。
15.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述权利要求1~12任一项所述的方法。
CN202210439263.7A 2022-04-22 2022-04-22 一种异常检测的方法及其检测装置 Withdrawn CN114650186A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210439263.7A CN114650186A (zh) 2022-04-22 2022-04-22 一种异常检测的方法及其检测装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210439263.7A CN114650186A (zh) 2022-04-22 2022-04-22 一种异常检测的方法及其检测装置

Publications (1)

Publication Number Publication Date
CN114650186A true CN114650186A (zh) 2022-06-21

Family

ID=81996792

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210439263.7A Withdrawn CN114650186A (zh) 2022-04-22 2022-04-22 一种异常检测的方法及其检测装置

Country Status (1)

Country Link
CN (1) CN114650186A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111181986A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 数据安全检测方法、模型训练方法、装置和计算机设备
CN112860968A (zh) * 2021-02-02 2021-05-28 北京三快在线科技有限公司 一种异常检测的方法以及装置
WO2021114916A1 (zh) * 2019-12-13 2021-06-17 支付宝(杭州)信息技术有限公司 风险检测方法、装置及设备
CN113556358A (zh) * 2021-07-30 2021-10-26 平安普惠企业管理有限公司 异常流量数据检测方法、装置、设备及存储介质
CN113708987A (zh) * 2020-05-22 2021-11-26 浙江大学 网络异常检测方法及装置
CN113726756A (zh) * 2021-08-24 2021-11-30 南京邮电大学 一种web异常流量检测方法、装置、设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021114916A1 (zh) * 2019-12-13 2021-06-17 支付宝(杭州)信息技术有限公司 风险检测方法、装置及设备
CN111181986A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 数据安全检测方法、模型训练方法、装置和计算机设备
CN113708987A (zh) * 2020-05-22 2021-11-26 浙江大学 网络异常检测方法及装置
CN112860968A (zh) * 2021-02-02 2021-05-28 北京三快在线科技有限公司 一种异常检测的方法以及装置
CN113556358A (zh) * 2021-07-30 2021-10-26 平安普惠企业管理有限公司 异常流量数据检测方法、装置、设备及存储介质
CN113726756A (zh) * 2021-08-24 2021-11-30 南京邮电大学 一种web异常流量检测方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN107040585B (zh) 一种业务校验的方法及装置
US20190306282A1 (en) Methods and apparatus for virtualized hardware optimizations for user space networking
US11477123B2 (en) Methods and apparatus for low latency operation in user space networking
CN109792409B (zh) 用于在拥塞事件期间丢弃消息的方法、系统和计算机可读介质
EP2533492B1 (en) A node device and method to prevent overflow of pending interest table in name based network system
US20120195208A1 (en) Programmable multifield parser packet
US9356844B2 (en) Efficient application recognition in network traffic
CN110113366B (zh) Csrf漏洞的检测方法及装置,计算设备和存储介质
CN113300975A (zh) 网络设备的控制方法、网络传输的方法、装置及设备
CN112637162A (zh) 一种udp数据包处理方法及装置
US9185558B2 (en) Authentication server and authentication method by authentication server
CN113923002A (zh) 计算机网络入侵防御方法、装置、存储介质及处理器
US20230421594A1 (en) Service plane optimizations with learning-enabled flow identification
CN114650186A (zh) 一种异常检测的方法及其检测装置
CN109327404B (zh) 基于朴素贝叶斯分类算法的p2p预测方法及系统、服务器及介质
US20230388308A1 (en) Cloud server and method for application layer-independent accelerated triggering of events in a communication network
CN114528264A (zh) 一种数据同步方法和系统
CN116127148B (zh) 一种数据可信存储方法、装置、存储介质及电子设备
CN112437036B (zh) 一种数据分析的方法及设备
JP2018157343A (ja) 対処指示装置、対処指示方法、対処指示プログラム
AU2021105383A4 (en) A machine learning based system for enhancing computer network security
CN114697380B (zh) 访问请求的重定向方法、系统、装置以及存储介质
AU2021104769A4 (en) An improvisation system for computer network security based on an iot and block chain
CN113691517B (zh) 一种bypass的通信管理方法、装置、设备及介质
KR20180098246A (ko) 데이터스트림의 비동기식 분석

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20220621

WW01 Invention patent application withdrawn after publication