CN114826765A - 一种基于异型接口的网络监控方法、系统 - Google Patents

Abstract

本发明公开了一种基于异型接口的网络监控方法、系统，通过使用神经网络模型对网络数据流特征矩阵执行处理提取其在高维特征空间上的表达以及初步的判断结果，并同时考虑到对网络数据流直观特征数据的分析，通过算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量，并进一步基于第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；通过判断若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型，提高了网络状态监控的准确率。

Description

一种基于异型接口的网络监控方法、系统

技术领域

本发明属于数字信息的传输领域，具体涉及一种基于异型接口的网络监控方法、系统。

背景技术

网络数据安全监测一般是利用旁路镜像/分光业务访问流量的方式，基于大数据技术对数据流分析，通过半自动化梳理数据资产，识别核心业务及敏感数据分布，对重点数据资产互联关系、流向、操作行为进行监控，发现边界数据非法接入或操作行为，快速定位问题、分析异常操作行为，构建立体式全方位的网络数据安全管控能力。但是现在对于网络情况进行监控往往是采用硬件设备执行的触发式监控，即异常触发消息或报警，但是这样的方法不能对潜在的数据进行监测异常，且一般网络监测执行安全识别的准确性低。

发明内容

为了解决上述技术问题，提出了本申请。本申请的实施例提供了一种基于异型接口的网络监控方法、系统，其通过使用神经网络模型对网络数据流特征矩阵执行处理提取其在高维特征空间上的表达以及初步的判断结果，并同时考虑到对网络数据流直观特征数据的分析，通过算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量，并进一步基于第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；通过判断若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型。

根据本申请的一个方面，提供了一种基于异型接口的网络监控方法，所述方法包括：

接收监控请求，所述监控请求包括异型接口ID以及监控时间；根据监控请求，捕获经过所述异型接口的网络数据流，将网络数据流进行预处理操作以生成第一特征矩阵；

将第一特征矩阵输入至第一神经网络模型，以获得第一特征向量；同时，计算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量；

将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；其中，所述第一神经网络模型、支持向量机模型包括定义的多种网络状态类型。

优选的，所述预处理操作，包括：

其中，X 为网络数据流，M第一特征矩阵，W为预处理权重矩阵，b 为偏移量。

优选的，将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量，包括：

确定所述第一特征向量、第二特征向量的拼接向量，所述拼接向量的维数为第一特征向量、第二特征向量的维数总和；

基于拼接向量将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量。

优选的，所述第一神经网络模型的各层在层的正向传递中包括对输入数据进行卷积处理、沿所述第一特征矩阵的最大值池化处理和激活处理，其中，激活处理过程中，通过随机选取神经元节点操作，使得任一神经元的激活值以一定的概率停止；所述第一神经网络模型的第一层的输入为第一特征矩阵，输出为第一特征向量以及网络状态初步判断结果。

优选的，基于拼接特征向量以及支持向量机模型，确定网路状态类型，所述支持向量机模型包括定义的网络状态类型，包括：

预先定义网络状态类型为异常状态、正常状态，其中，异常状态至少包括离线异常和/或入侵异常；并对应的网络状态类型下的经过所述异型接口的网络数据流；

基于拼接特征向量以及支持向量机模型，确定当前网路状态类型，若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型。

优选的，所述方法还包括：

若确定的网路状态类型为入侵异常，则触发系统断网操作，并提示用户、显示预警信息；

若确定的网路状态类型为正常，则获取所述异型接口的传输速率，并将显示信息至用户；其中，显示信息包括异型接口ID、传输速率波动图。

此外，根据本申请的另一个方面，提供了一种基于异型接口的网络监控系统，所述系统包括：

捕获与预处理模块，接收监控请求，所述监控请求包括异型接口ID以及监控时间；根据监控请求，捕获经过所述异型接口的网络数据流，将网络数据流进行预处理操作以生成第一特征矩阵；

特征生成模块，将第一特征矩阵输入至第一神经网络模型，以获得第一特征向量；同时，计算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量；

监控状态确定模块，将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；其中，所述第一神经网络模型、支持向量机模型包括定义的多种网络状态类型。

优选的，所述预处理操作，包括：

其中，X 为网络数据流，M第一特征矩阵，W为预处理权重矩阵，b 为偏移量；

将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量，包括：确定所述第一特征向量、第二特征向量的拼接向量，所述拼接向量的维数为第一特征向量、第二特征向量的维数总和；

基于拼接向量将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量。

优选的，所述第一神经网络模型的各层在层的正向传递中包括对输入数据进行卷积处理、沿所述第一特征矩阵的最大值池化处理和激活处理，其中，激活处理过程中，通过随机选取神经元节点操作，使得任一神经元的激活值以一定的概率停止；所述第一神经网络模型的第一层的输入为第一特征矩阵，输出为第一特征向量以及网络状态初步判断结果。

优选的，基于拼接特征向量以及支持向量机模型，确定网路状态类型，所述支持向量机模型包括定义的网络状态类型，包括：

预先定义网络状态类型为异常状态、正常状态，其中，异常状态至少包括离线异常和/或入侵异常；并对应的网络状态类型下的经过所述异型接口的网络数据流；

基于拼接特征向量以及支持向量机模型，确定当前网路状态类型，若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型。

本发明所提供的基于异型接口的网络监控方法、系统，通过使用神经网络模型对网络数据流特征矩阵执行处理提取其在高维特征空间上的表达以及初步的判断结果，并同时考虑到对网络数据流直观特征数据的分析，通过算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量，并进一步基于第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；通过判断若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型，提高了网络状态监控的准确率。

附图说明

图1为本发明实施例一种基于异型接口的网络监控方法的流程示意图的流程图；

图2为本发明实施例一种基于异型接口的网络监控系统的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本申请将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本申请的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本申请的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

以下对本申请实施例的技术方案的实现细节进行详细阐述：

请参阅图1，图1是本发明实施例公开的一种基于异型接口的网络监控方法的流程示意图。如图1所示，本发明实施例的一种基于异型接口的网络监控方法，包括：

S1，接收监控请求，所述监控请求包括异型接口ID以及监控时间；根据监控请求，捕获经过所述异型接口的网络数据流，将网络数据流进行预处理操作以生成第一特征矩阵；

S2，将第一特征矩阵输入至第一神经网络模型，以获得第一特征向量；同时，计算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量；

S3，将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；其中，所述第一神经网络模型、支持向量机模型包括定义的多种网络状态类型。

本实施例，异型接口包括异型USB接口或者其他网络传输接口。

优选的，所述预处理操作，包括：

其中，X 为网络数据流，M第一特征矩阵，W为预处理权重矩阵，b 为偏移量。

优选的，将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量，包括：

确定所述第一特征向量、第二特征向量的拼接向量，所述拼接向量的维数为第一特征向量、第二特征向量的维数总和；

基于拼接向量将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量。

本实施例，具体地，若第一特征向量为x_i=[x_i1, x_i2, x_i3, x_i4, x_i5… x_ia], 第二特征向量为y_i=[y_i1, y_i2, y_i3, y_i4, y_i5… y_ib],其中，i=1,2…n。设置拼接向量u=[ u₁, u₂,u₃, u₄… u_a+b]；拼接特征向量为K_i=[ u₁x_i1, u₂x_i2, u₃x_i3, u₄x_i4, u₅x_i5… u_ax_ia，u_a+1y_i1,u_a+2y_i2, u_a+3y_i3, u_a+4y_i4, u_a+5y_i5… u_a+by_ib]。

优选的，所述第一神经网络模型的各层在层的正向传递中包括对输入数据进行卷积处理、沿所述第一特征矩阵的最大值池化处理和激活处理，其中，激活处理过程中，通过随机选取神经元节点操作，使得任一神经元的激活值以一定的概率停止；所述第一神经网络模型的第一层的输入为第一特征矩阵，输出为第一特征向量以及网络状态初步判断结果。

优选的，基于拼接特征向量以及支持向量机模型，确定网路状态类型，所述支持向量机模型包括定义的网络状态类型，包括：

预先定义网络状态类型为异常状态、正常状态，其中，异常状态至少包括离线异常和/或入侵异常；并对应的网络状态类型下的经过所述异型接口的网络数据流；

基于拼接特征向量以及支持向量机模型，确定当前网路状态类型，若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型。

优选的，所述方法还包括：

若确定的网路状态类型为入侵异常，则触发系统断网操作，并提示用户、显示预警信息；

若确定的网路状态类型为正常，则获取所述异型接口的传输速率，并将显示信息至用户；其中，显示信息包括异型接口ID、传输速率波动图。

请参阅图2，图2是本发明实施例公开的一种基于异型接口的网络监控系统的结构示意图。如图2所示，本发明实施例的一种基于异型接口的网络监控系统，包括：

捕获与预处理模块10，接收监控请求，所述监控请求包括异型接口ID以及监控时间；根据监控请求，捕获经过所述异型接口的网络数据流，将网络数据流进行预处理操作以生成第一特征矩阵；

特征生成模块20，将第一特征矩阵输入至第一神经网络模型，以获得第一特征向量；同时，计算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量；

监控状态确定模块30，将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；其中，所述第一神经网络模型、支持向量机模型包括定义的多种网络状态类型。

优选的，所述预处理操作，包括：

其中，X 为网络数据流，M第一特征矩阵，W为预处理权重矩阵，b 为偏移量；

将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量，包括：确定所述第一特征向量、第二特征向量的拼接向量，所述拼接向量的维数为第一特征向量、第二特征向量的维数总和；

基于拼接向量将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量。

优选的，所述第一神经网络模型的各层在层的正向传递中包括对输入数据进行卷积处理、沿所述第一特征矩阵的最大值池化处理和激活处理，其中，激活处理过程中，通过随机选取神经元节点操作，使得任一神经元的激活值以一定的概率停止；所述第一神经网络模型的第一层的输入为第一特征矩阵，输出为第一特征向量以及网络状态初步判断结果。

优选的，基于拼接特征向量以及支持向量机模型，确定网路状态类型，所述支持向量机模型包括定义的网络状态类型，包括：

预先定义网络状态类型为异常状态、正常状态，其中，异常状态至少包括离线异常和/或入侵异常；并对应的网络状态类型下的经过所述异型接口的网络数据流；

基于拼接特征向量以及支持向量机模型，确定当前网路状态类型，若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型。

此外，所述系统还包括显示模块，用于：若确定的网路状态类型为入侵异常，则触发系统断网操作，并提示用户、显示预警信息；若确定的网路状态类型为正常，则获取所述异型接口的传输速率，并将显示信息至用户；其中，显示信息包括异型接口ID、传输速率波动图。

在本发明上述实施例的方案中，所提供的基于异型接口的网络监控方法、系统，通过接收监控请求，所述监控请求包括异型接口ID以及监控时间；根据监控请求，捕获经过所述异型接口的网络数据流，将网络数据流进行预处理操作以生成第一特征矩阵； 将第一特征矩阵输入至第一神经网络模型，以获得第一特征向量；同时，计算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量；将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；其中，所述第一神经网络模型、支持向量机模型包括定义的多种网络状态类型。

通过使用神经网络模型对网络数据流特征矩阵执行处理提取其在高维特征空间上的表达以及初步的判断结果，并同时考虑到对网络数据流直观特征数据的分析，通过算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量，并进一步基于第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；通过判断若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型，提高了网络状态监控的准确率。

本发明实施例还公开了一种计算机存储介质，该存储介质上存储有计算机程序，该计算机程序被处理器运行时执行如前所述的方法。

本申请实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实现方式中描述的方法。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网格设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于异型接口的网络监控方法，其特征在于，所述方法包括：

接收监控请求，所述监控请求包括异型接口ID以及监控时间；根据监控请求，捕获经过所述异型接口的网络数据流，将网络数据流进行预处理操作以生成第一特征矩阵；

将第一特征矩阵输入至第一神经网络模型，以获得第一特征向量；同时，计算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量；

将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；其中，所述第一神经网络模型、支持向量机模型包括定义的多种网络状态类型。

2.根据权利要求1所述的基于异型接口的网络监控方法，其特征在于，所述预处理操作，包括：

其中，X 为网络数据流，M第一特征矩阵，W为预处理权重矩阵，b 为偏移量。

3.根据权利要求2所述的基于异型接口的网络监控方法，其特征在于，将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量，包括：

确定所述第一特征向量、第二特征向量的拼接向量，所述拼接向量的维数为第一特征向量、第二特征向量的维数总和；

基于拼接向量将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量。

4.根据权利要求2所述的基于异型接口的网络监控方法，其特征在于，所述第一神经网络模型的各层在层的正向传递中包括对输入数据进行卷积处理、沿所述第一特征矩阵的最大值池化处理和激活处理，其中，激活处理过程中，通过随机选取神经元节点操作，使得任一神经元的激活值以一定的概率停止；所述第一神经网络模型的第一层的输入为第一特征矩阵，输出为第一特征向量以及网络状态初步判断结果。

5.根据权利要求4所述的基于异型接口的网络监控方法，其特征在于，基于拼接特征向量以及支持向量机模型，确定网路状态类型，所述支持向量机模型包括定义的网络状态类型，包括：

预先定义网络状态类型为异常状态、正常状态，其中，异常状态至少包括离线异常和/或入侵异常；并对应的网络状态类型下的经过所述异型接口的网络数据流；

基于拼接特征向量以及支持向量机模型，确定当前网路状态类型，若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型。

6.根据权利要求5所述的基于异型接口的网络监控方法，其特征在于，所述方法还包括：

若确定的网路状态类型为入侵异常，则触发系统断网操作，并提示用户、显示预警信息；

若确定的网路状态类型为正常，则获取所述异型接口的传输速率，并将显示信息至用户；其中，显示信息包括异型接口ID、传输速率波动图。

7.一种基于异型接口的网络监控系统，其特征在于，所述系统包括：

捕获与预处理模块，接收监控请求，所述监控请求包括异型接口ID以及监控时间；根据监控请求，捕获经过所述异型接口的网络数据流，将网络数据流进行预处理操作以生成第一特征矩阵；

特征生成模块，将第一特征矩阵输入至第一神经网络模型，以获得第一特征向量；同时，计算所述第一特征矩阵的协方差矩阵，并计算所述协方差矩阵的特征值，将所述特征值对应的特征向量，作为第二特征向量；

监控状态确定模块，将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量；基于拼接特征向量以及支持向量机模型，确定网路状态类型；其中，所述第一神经网络模型、支持向量机模型包括定义的多种网络状态类型。

8.根据权利要求7所述的基于异型接口的网络监控系统，其特征在于，所述预处理操作，包括：

其中，X 为网络数据流，M第一特征矩阵，W为预处理权重矩阵，b 为偏移量；

将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量，包括：确定所述第一特征向量、第二特征向量的拼接向量，所述拼接向量的维数为第一特征向量、第二特征向量的维数总和；

基于拼接向量将所述第一特征向量、第二特征向量执行拼接，得到拼接特征向量。

9.根据权利要求8所述的基于异型接口的网络监控系统，其特征在于，所述第一神经网络模型的各层在层的正向传递中包括对输入数据进行卷积处理、沿所述第一特征矩阵的最大值池化处理和激活处理，其中，激活处理过程中，通过随机选取神经元节点操作，使得任一神经元的激活值以一定的概率停止；所述第一神经网络模型的第一层的输入为第一特征矩阵，输出为第一特征向量以及网络状态初步判断结果。

10.根据权利要求9所述的基于异型接口的网络监控系统，其特征在于，基于拼接特征向量以及支持向量机模型，确定网路状态类型，所述支持向量机模型包括定义的网络状态类型，包括：

预先定义网络状态类型为异常状态、正常状态，其中，异常状态至少包括离线异常和/或入侵异常；并对应的网络状态类型下的经过所述异型接口的网络数据流；

基于拼接特征向量以及支持向量机模型，确定当前网路状态类型，若当前网络状态类型与所述网络状态初步判断结果一致，则将当前网路状态类型确定为最终网路状态类型。

Images