CN115426124A - 一种用户异常网络行为预测方法及装置 - Google Patents

一种用户异常网络行为预测方法及装置 Download PDF

Info

Publication number
CN115426124A
CN115426124A CN202210518541.8A CN202210518541A CN115426124A CN 115426124 A CN115426124 A CN 115426124A CN 202210518541 A CN202210518541 A CN 202210518541A CN 115426124 A CN115426124 A CN 115426124A
Authority
CN
China
Prior art keywords
abnormal
user
flow
network
abnormal flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210518541.8A
Other languages
English (en)
Inventor
朱国胜
陈�胜
祁小云
雷龙飞
吴梦宇
吴善超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hubei University
CERNET Corp
Original Assignee
Hubei University
CERNET Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hubei University, CERNET Corp filed Critical Hubei University
Priority to CN202210518541.8A priority Critical patent/CN115426124A/zh
Publication of CN115426124A publication Critical patent/CN115426124A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种用户异常网络行为预测方法及装置,适用于网络安全领域。本发明提供的方法包括:采集用户流量数据,检测获得第一异常流量;分析与用户行为相关的异常流量特征并自定义用户异常行为类型,构建训练集和测试集;通过对预定义的神经网络进行训练、测试,得到异常流量识别模型;通过异常流量识别模型识别异常流量,得到第二异常流量;根据第一异常流量和第二异常流量,提取用户网络行为的时间段特征,并对异常流量数据包进行标记;将标记后的所述用户流量数据输入LSTM算法,训练得到预测模型。通过所述预测模型预测用户异常网络行为。通过本发明可以准确识别、预测用户异常网络行为,保障网络安全。

Description

一种用户异常网络行为预测方法及装置
技术领域
本发明属于网络安全领域,尤其涉及一种用户异常网络行为预测方法及装置。
背景技术
随着互联网的普及,网络应用及接入设备出现快速增长,由此网络环境也变得愈发复杂。在网络管理过程中,准确识别用户行为特征以及预测用户网络行为对于保障网络安全具有重要意义。
现有的基于神经网络的用户行为检测方法只能实现异常行为检测,无法对用户异常行为进行提前预测,而且公开的网络预测方法中只能实现异常流量的预测,由于传统的这些行为预测方法多是基于规则匹配、网络层和传输层的数据包解析与特征提取,在复杂的网络环境中,异常检测与行为预测精度有限,难以保障预测的准确性。
发明内容
有鉴于此,本发明实施例提供了一种用户异常网络行为预测方法及装置,用于准确预测用户的异常网络行为。
本发明实施例的第一方面,提供了一种用户异常网络行为预测方法,包括:
S1、采集用户流量数据,根据预定义规则检测所述用户流量数据,获得第一异常流量;
S2、根据不同网络环境的设定,分析与用户行为相关的异常流量特征并自定义用户异常行为类型,将所述异常流量特征作为神经网络的输入向量,构建训练集和测试集;
S3、通过所述训练集和测试集分别对预定义的神经网络进行训练、测试,得到异常流量识别模型;
S4、通过所述异常流量识别模型识别未被预定义规则检测出的异常流量,获得第二异常流量;
S5、根据所述第一异常流量和所述第二异常流量,提取用户网络行为的时间段特征,并根据所述时间段特征对所述用户流量数据中异常流量数据包进行标记;
S6、将标记后的所述用户流量数据作为LSTM算法的输入,训练得到用户行为预测模型,通过所述预测模型预测用户异常网络行为。
本发明实施例的第二方面,提供了一种用户异常网络行为预测方法及装置,包括:
检测模块,用于采集用户流量数据,根据预定义规则检测所述用户流量数据,获得第一异常流量;
定义模块,用于根据不同网络环境的设定,分析与用户行为相关的异常流量特征并自定义用户异常行为类型,将所述异常流量特征作为神经网络的输入向量,构建训练集和测试集;
训练模块,用于通过所述训练集和测试集分别对预定义的神经网络进行训练、测试,得到异常流量识别模型;
识别模块,通过所述异常流量识别模型识别未被预定义规则检测出的异常流量,获得第二异常流量;
标记模块,用于根据所述第一异常流量和所述第二异常流量,提取用户网络行为的时间段特征,并根据所述时间段特征对所述用户流量数据中异常流量数据包进行标记;
预测模块,用于将标记后的所述用户流量数据作为LSTM算法的输入,训练得到用户行为预测模型,通过所述预测模型预测用户异常网络行为。
本发明实施例中,通过预定义规则解析流量数据包,识别常见类型的流量异常,再结合用户行为特征,构建训练集与测试集,对神经网络训练得到异常流量检测模型,通过检测模型检测未被预定规则识别的异常流量,提取用户行为的时间段特征后对流量数据包中的异常数据包进行标记,输入到LSTM中,训练得到预测模型进行异常行为预测。在本发明实例提供的技术方案中,定义结合应用层的用户行为类型,构建训练集并对神经网络进行训练,使得训练后的神经网络可以准确识别流量异常,基于流量异常与用户行为的时间段特征,对采集的流量数据包中的异常数据包进行标记,进而输入LSTM算法中,得到的预测模型能够基于用户流量异常准确识别并预测用户异常行为,进而实现对用户网络行为的精确预测与判定,提前采取措施,保障网络安全。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的用户异常网络行为预测方法的一个实施例流程图;
图2为本发明实施例提供的用户异常网络行为预测方法的另一个实施例流程图;
图3为本发明实施例提供的用户异常网络行为预测装置的另一个实施例结构示意图;
具体实施方式
本发明实施例提供了一种用户异常网络行为预测方法及装置,用于准确识别预测用户的异常网络行为,以便采取对应预防措施。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一
请参阅图1,本发明实施例提供的单例类接口调用方法的流程示意图,包括以下步骤:
S101、采集用户流量数据,根据预定义规则检测所述用户流量数据,获得第一异常流量;
所述流量数据为从终端硬件网卡上采集,并记录所述流量数据采集时间。所述预定义规则即根据公知的网络异常检测规则,也可以是实际应用需要设定判断异常流量的规则,如每秒请求次数等,在此不做限定。所述第一异常流量为已知类型的网络异常,如请求异常、不合理链接、木马、FTP、SQL注入等。
S102、根据不同网络环境的设定,分析与用户行为相关的异常流量特征并自定义用户异常行为类型,将所述异常流量特征作为神经网络的输入向量,构建训练集和测试集;
所述网络环境为网络流量产生环境、或发生数据请求、交互时的网络环境。根据特定的网络环境下用户流量特征,可以判断异常流量特征。
可选的,建立网页、客户端的数据匹配库,对应用层的User Agent进行数据库匹配分析,分析对应的操作系统、设备类型、浏览器、网页、APP及舆情关键字等网络行为特征,根据网络行为特征,自定义相应的异常类型。
优选的,分析出与用户行为有密切关系的13个特征属性,包括:协议、服务、时间、源目标IP数据包个数、源目标IP流量大小、操作系统、设备类型、浏览器、网页、APP和舆情关键字,选取与用户行为特征有密切关系的13个特征属性来建立异常流量识别模型,以检测用户异常网络行为。
S103、通过所述训练集和测试集分别对预定义的神经网络进行训练、测试,得到异常流量识别模型;
所述异常流量识别模型为训练并测试后的所述预定义的神经网络。
S104、通过所述异常流量识别模型识别未被预定义规则检测出的异常流量,获得第二异常流量;
所述第二异常流量为未被预定义规则检测出的异常流量,即在采集的异常流量数据中,除第一异常流量外的异常流量数据,其中包括自定义范围的用户异常行为类型及未知的异常行为类型。
基于深度神经网络算法,实现未知攻击检测和未知用户网络行为的挖掘。并将检测的数据验证后作为训练集,更新模型的实时性。具体的,通过异常流量识别模型识别为异常流量后,加入到训练集中,实时更新训练所述异常流量识别模型,可以提高识别准确度。
S105、根据所述第一异常流量和所述第二异常流量,提取用户网络行为的时间段特征,并根据所述时间段特征对所述用户流量数据中异常流量数据包进行标记;
对所述用户流量数据中异常流量数据包进行标记,可以得到用户行为从正常行为到异常行为时的流量特征,方便进行时序预测。
根据用户网络行为的时间段特征对原数据流量包进行异常数据包标记,得到预测模型的训练测试数据。
S106、将标记后的所述用户流量数据作为LSTM算法的输入,训练得到用户行为预测模型,通过所述预测模型预测用户异常网络行为。
将原采集的流量数据包作为LSTM算法的输入,对流量进行全面的时序特征训练,实现用户网络行为的预测。
可选的,根据检测的用户异常网络行为类型,预先采取对应操作终止或拦截用户异常网络行为。
上述步骤,通过定义应用层用户异常网络行为,分析异常行为特征数据构建神经网络可以准确识别用户异常流量,基于用户异常网络行为的流量时序特征,通过输入到LSTM算法,得到预测模型,保障异常行为预测的准确性。
实施例二:
在图1的基础上,结合图2详述实现用户异常网络行为预测方法过程,具体如下:
在S202中通过预定义规则检测出常见类型的流量异常,如异常网络请求、不合理链接、木马、FTP、SQL注入等,将检测出的流量异常进行固定异常标记,可以记为第一异常流量。
在S203之前,解析采集的流量数据,分析并自定义用户网络行为类型。具体的,将各层与用户行为密切相关的13个特征作为深度神经网络的输入向量,构建训练集与测试集。其中,所述训练集中对应有不同行为类型的流量数据,所述测试集中流量数据用户测试训练后的神经网络,保证训练得到的异常流量识别模型识别精度。
在S206中,所述未识别流量为通过预定义规则未能检测出的异常流量,也即除第一异常流量外的异常流量数据。通过所述异常流量识别模型进行再次检测识别出异常流量,得到第二异常流量。
将通过所述异常流量识别模型识别验证后流量数据加入到训练集和测试集,实时更新识别模型,提高检测准确率。
在S207中,对检测出的用户网络行为数据提取时间段特征,根据时间段特征标记采集的流量数据包中用户正常行为转变成异常行为的训练数据和测试数据。将原数据包流量数据作为LSTM算法的输入,通过该训练数据和测试数据可以对预测模型进行训练、测试。
将S208中得到预测模型进行线上部署验证使用,可以实现离线、在线和离线在线结合的三种部署检测方式。
在本发明实施例中,通过用户网络行为预测模型实现用户网络行为的时序预防和检测,能提高异常用户检测的准确性和适用性,实现对未知用户网络行为的预测检测,适合复杂网络环境的应用。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
实施例三:
上面主要描述了一种用户异常网络行为预测方法,下面将对一种用户异常网络行为预测装置进行详细描述。
图3示出了实现用户异常网络行为预测装置的结构示意图,包括:
检测模块310,用于采集用户流量数据,根据预定义规则检测所述用户流量数据,获得第一异常流量;
定义模块320,用于根据不同网络环境的设定,分析与用户行为相关的异常流量特征并自定义用户异常行为类型,将所述异常流量特征作为神经网络的输入向量,构建训练集和测试集;
训练模块330,用于通过所述训练集和测试集分别对预定义的神经网络进行训练、测试,得到异常流量识别模型;
识别模块340,用于通过所述异常流量识别模型识别未被预定义规则检测出的异常流量,获得第二异常流量;
标记模块350,用于根据所述第一异常流量和第二异常流量,提取用户网络行为的时间段特征,并根据所述时间段特征对所述用户流量数据中异常流量数据包进行标记;
预测模块360,用于将标记后的所述用户流量数据作为LSTM算法的输入
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各实施例的模块、单元和/或方法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (5)

1.一种用户异常网络行为预测方法,其特征在于,包括:
S1、采集用户流量数据,根据预定义规则检测所述用户流量数据,获得第一异常流量;
S2、根据不同网络环境的设定,分析与用户行为相关的异常流量特征并自定义用户异常行为类型,将所述异常流量特征作为神经网络的输入向量,构建训练集和测试集;
S3、通过所述训练集和测试集分别对预定义的神经网络进行训练、测试,得到异常流量识别模型;
S4、通过所述异常流量识别模型识别未被预定义规则检测出的异常流量,获得第二异常流量;
S5、根据所述第一异常流量和所述第二异常流量,提取用户网络行为的时间段特征,并根据所述时间段特征对所述用户流量数据中异常流量数据包进行标记;
S6、将标记后的所述用户流量数据作为LSTM算法的输入,训练得到用户行为预测模型,通过所述预测模型预测用户异常网络行为。
2.根据权利要求1所述的方法,其特征在于,所述第一异常流量为已知类型的流量异常,所述第二异常流量为自定义类型的流量异常和未知类型的流量异常。
3.根据权利要求1所述的方法,其特征在于,所述根据不同网络环境的设定,分析与用户行为相关的异常流量特征并自定义用户异常行为类型具体为:
建立数据匹配库;
对所述异常流量应用层的用户行为进行数据库匹配,分析用户网络行为特征,并根据当前特定网络环境需求,自定义异常类型判断异常流量。
4.根据权利要求1所述的方法,其特征在于,所述步骤S7还包括:
S7、根据检测的用户异常网络行为类型,预先采取对应操作终止或拦截用户异常网络行为。
5.一种用户异常网络行为预测装置,其特征在于,包括:
检测模块,用于采集用户流量数据,根据预定义规则检测所述用户流量数据,获得第一异常流量;
定义模块,用于根据不同网络环境的设定,分析与用户行为相关的异常流量特征并自定义用户异常行为类型,将所述异常流量特征作为神经网络的输入向量,构建训练集和测试集;
训练模块,用于通过所述训练集和测试集分别对预定义的神经网络进行训练、测试,得到异常流量识别模型;
识别模块,用于通过所述异常流量识别模型识别未被预定义规则检测出的异常流量,获得第二异常流量;
标记模块,用于根据所述第一异常流量和所述第二异常流量,提取用户网络行为的时间段特征,并根据所述时间段特征对所述用户流量数据中异常流量数据包进行标记;
预测模块,用于将标记后的所述用户流量数据作为LSTM算法的输入,训练得到用户行为预测模型,通过所述预测模型预测用户异常网络行为。
CN202210518541.8A 2022-05-13 2022-05-13 一种用户异常网络行为预测方法及装置 Pending CN115426124A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210518541.8A CN115426124A (zh) 2022-05-13 2022-05-13 一种用户异常网络行为预测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210518541.8A CN115426124A (zh) 2022-05-13 2022-05-13 一种用户异常网络行为预测方法及装置

Publications (1)

Publication Number Publication Date
CN115426124A true CN115426124A (zh) 2022-12-02

Family

ID=84195880

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210518541.8A Pending CN115426124A (zh) 2022-05-13 2022-05-13 一种用户异常网络行为预测方法及装置

Country Status (1)

Country Link
CN (1) CN115426124A (zh)

Similar Documents

Publication Publication Date Title
CN112003870B (zh) 一种基于深度学习的网络加密流量识别方法及装置
CN111935172B (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
JP2019061565A (ja) 異常診断方法および異常診断装置
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN111107096A (zh) 一种Web站点安全防护方法及装置
CN112165484B (zh) 基于深度学习与侧信道分析的网络加密流量识别方法装置
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
CN112733045B (zh) 用户行为的分析方法、装置及电子设备
CN112055003B (zh) 一种基于字节长度分类的私有协议模糊测试用例生成方法
KR101953558B1 (ko) 스마트 기기 결함 관리 장치 및 방법
CN108108624A (zh) 基于产品和服务的信息安全质量评估方法及装置
CN109547426A (zh) 业务响应方法及服务器
CN111049828B (zh) 网络攻击检测及响应方法及系统
CN112437034A (zh) 虚假终端检测方法和装置、存储介质及电子装置
CN114298558A (zh) 电力网络安全研判系统及其研判方法
EP4169223A1 (en) Method and apparatus to detect scripted network traffic
CN115987687B (zh) 网络攻击取证方法、装置、设备及存储介质
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN115426124A (zh) 一种用户异常网络行为预测方法及装置
CN116248393A (zh) 一种内网数据传输漏洞扫描装置及系统
CN113553571B (zh) 一种终端设备可信度度量方法及装置
CN111181756B (zh) 一种域名安全性判定方法、装置、设备及介质
CN113836539A (zh) 基于精准测试的电力工控系统漏洞全流程处置系统及方法
CN114372497A (zh) 多模态安全数据分类方法和分类系统
Yu et al. Mining anomaly communication patterns for industrial control systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination