CN115426161A - 异常设备识别方法、装置、设备、介质和程序产品 - Google Patents

异常设备识别方法、装置、设备、介质和程序产品 Download PDF

Info

Publication number
CN115426161A
CN115426161A CN202211050202.8A CN202211050202A CN115426161A CN 115426161 A CN115426161 A CN 115426161A CN 202211050202 A CN202211050202 A CN 202211050202A CN 115426161 A CN115426161 A CN 115426161A
Authority
CN
China
Prior art keywords
equipment
ith
abnormal
network traffic
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211050202.8A
Other languages
English (en)
Inventor
祝萍
王贵智
严晓娇
刘赫德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
ICBC Technology Co Ltd
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
ICBC Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC, ICBC Technology Co Ltd filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202211050202.8A priority Critical patent/CN115426161A/zh
Publication of CN115426161A publication Critical patent/CN115426161A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种异常设备识别方法,可以应用于人工智能技术领域。该方法包括:提取与待检测设备对应的网络流量数据;判断第i台设备是否属于白名单设备或黑名单设备;当第i台设备不属于白名单设备或黑名单设备,基于与第i台设备对应的网络流量数据提取与第i台设备对应的异常识别特征信息;将与第i台设备对应的异常识别特征信息输入网络流量时序预测模型,获取网络流量时序预测结果;以及计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度,当相似度小于第一阈值的时点数大于第二阈值时,判定所述第i台设备为可疑异常设备。本公开还提供了一种异常设备识别装置、设备、存储介质和程序产品。

Description

异常设备识别方法、装置、设备、介质和程序产品
技术领域
本公开涉及人工智能技术领域或金融领域,具体地,涉及一种异常设备识别方法、装置、设备、介质和程序产品。
背景技术
随着大数据技术的发展,网络流量分析技术越来越受到重视。在企业内网安全控制领域,通过对网络流量数据的分析,可以获取哪些设备访问了企业内网,是正常访问还是疑似入侵,网路流程分析已经逐渐发展成企业内网访问控制的重要技术手段。目前识别网络流量异常的方法,主要是对抓取的网络流量数据,进行统计分析,可视化、事后审计等监控办法,发现可疑设备的异常访问历史记录。在该设备再次访问时,进行阻断。
在实现本公开构思的过程中,发明人发现现有技术中至少存在如下问题:
1、通过事后对历史数据的统计,发现异常访问或存在入侵嫌疑的设备,需要专业经验,投入较多人力;
2、基于历史数据分析,只能有效阻止前期已经异常访问过的设备,不能主动发现首次入侵的设备。
3、基于事后审计的办法对于异常设备的发现时效性较差。
发明内容
鉴于上述问题,本公开的实施例提供了一种提高异常设备发现的智能性和时效性的异常设备识别方法、装置、设备、介质和程序产品。
根据本公开的第一个方面,提供了一种异常设备识别方法,包括:提取与待检测设备对应的网络流量数据,所述待检测设备的数量为m,m为大于或等于1的整数;判断第i台设备是否属于白名单设备或黑名单设备,其中,i满足1≤i≤m且i为整数;当所述第i台设备不属于白名单设备或黑名单设备,基于与所述第i台设备对应的网络流量数据提取与所述第i台设备对应的异常识别特征信息;将所述与所述第i台设备对应的异常识别特征信息输入网络流量时序预测模型,获取网络流量时序预测结果,所述网络流量时序预测结果包括对应于n个时点的预测结果,n为大于或等于2的整数;以及计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度,当相似度小于第一阈值的时点数大于第二阈值时,判定所述第i台设备为可疑异常设备。
根据本公开的实施例,当判定所述第i台设备为可疑异常设备后,所述方法还包括:将所述第i台设备加入黑名单,阻断设备访问。
根据本公开的实施例,当所述第i台设备属于白名单设备时,判定所述第i台设备为正常设备,允许设备访问;和/或,当所述第i台设备属于黑名单设备时,判定所述第i台设备为异常设备,阻断设备防问。
根据本公开的实施例,所述网络流量数据包含防问时间信息,防问目标信息和访问目标数据包信息;和/或,所述异常识别特征信息包括:访问目标信息和访问目标数据包信息。
根据本公开的实施例,基于余弦相似度算法计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度。
根据本公开的实施例,所述网络流量时序预测模型基于长短期记忆神经网络训练得到,其中,基于AutoML模型参数调优法调整训练过程中的超参数。
根据本公开的实施例,基于AutoML模型参数调优法调整的超参数包括长短期记忆神经网络的层数和模型训练迭代次数。
本公开的第二方面提供了一种异常识别装置,包括:数据采集模块,配置为提取与待检测设备对应的网络流量数据,所述待检测设备的数量为m,m为大于或等于1的整数;判断模块,配置为判断第i台设备是否属于白名单设备或黑名单设备其中,i满足1≤i≤m且i为整数;特征提取模块,配置为当所述第i台设备不属于白名单设备或黑名单设备时,基于与所述第i台设备对应的网络流量数据提取与所述第i台设备对应的异常识别特征信息;模型预测模块,配置为将所述与所述第i台设备对应的异常识别特征信息输入网络流量时序预测模型,获取网络流量时序预测结果,所述网络流量时序预测结果包括对应于n个时点的预测结果,n为大于或等于2的整数;以及异常判定模块,配置为计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度,当相似度小于第一阈值的时点数大于第二阈值时,判定所述第i台设备为可疑异常设备。
根据本公开的实施例,异常识别装置还可以包括结果处理模块。其中,结果处理模块被配置为当判断第i台设备为可疑异常设备时将第i台设备加入黑名单。
根据本公开的实施例,异常识别装置还可以包括阻断模块。其中,阻断模块被配置为或当将第i台设备加入黑名单后,阻断设备访问。可以理解,当判断第i台设备本身为黑名单设备后,也可启动阻断模块470,判定所述第i台设备为异常设备,阻断设备访问。
根据本公开的实施例,异常识别装置还可以包括放行模块,放行模块被配置为当第i台设备属于白名单设备时,判定所述第i台设备为正常设备,允许设备访问。
本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述异常识别方法。
本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述异常识别方法。
本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述异常识别方法。
本公开的实施例提供的方法,基于网络流量时序预测模型预测设备某一时点的网络流量时序预测值,将其与同一时点的真实观测值对比,并基于相似度计算判断该时点网络预测流量是否异常。进一步通过测定多个时点的网络流量的异常情况判定设备是否异常。本公开的实施例提供的方法,能够高效智能地实时监测设备状态,及时发现异常。并且通过设置黑名单设备/白名单设备,可以减少异常设备判定过程中的数据处理量,提升监测效率。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的异常设备识别方法、装置、设备、介质和程序产品的应用场景图。
图2示意性示出了根据本公开实施例的异常设备识别方法的流程图。
图3示意性示出了根据本公开另一些实施例的异常设备识别方法的流程图。
图4示例性示出了长短期记忆神经网络的工作原理图。
图5示意性示出了根据本公开实施例的异常识别装置的结构框图。
图6示意性示出了根据本公开另一些实施例的异常识别装置的结构框图。
图7示意性示出了根据本公开另一些实施例的异常识别装置的结构框图。
图8示意性示出了根据本公开另一些实施例的异常识别装置的结构框图。
图9示意性示出了根据本公开实施例的适于实现异常设备识别方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
在对本公开的实施例进行详细揭示以前,对本公开中将要用到的关键技术术语作一一说明:
LSTM:是深度学习中的一种神经网络,全称为长短期记忆神经网络Long Short-Term Memory)。LSTM是一种时间循环神经网络,是为了解决一般的RNN(循环神经网络)存在的长期依赖问题而专门设计出来的。LSTM常用来做时序相关预测,效果较好。
余弦相似度:又称余弦相似性,通过计算两个向量的夹角余弦值来评估他们的相似度。
网络流量:是通过部署在交换机上的网络流程采集设备采集到的网络相关数据。
设备指纹:指可以用于唯一标识出该设备的设备特征或者独特的设备标识。
超参数:机器学习在学习之前预先设置好的参数,而非通过训练得到的参数,例如:树的数量深度,神经网络的层数等,都属于超参数的范畴。
随着大数据技术的发展,网络流量分析技术越来越受到重视。在企业内网安全控制领域,通过对网络流量数据的分析,可以获取哪些设备访问了企业内网,是正常访问还是疑似入侵,网路流程分析已经逐渐发展成企业内网访问控制的重要技术手段。目前识别网络流量异常的方法,主要是对抓取的网络流量数据,进行统计分析,可视化、事后审计等监控办法,发现可疑设备的异常访问历史记录。在该设备再次访问时,进行阻断。然而,现有技术中存在的上述方法,存在如下缺点:通过事后对历史数据的统计,发现异常访问或存在入侵嫌疑的设备,需要专家经验多,且需要投入较多人力;通过发现可疑设备的异常访问历史记录进行的分析,只能有效阻止前期已经异常访问过的设备,不能主动发现首次入侵的设备;基于历史数据的统计方法对于异常设备的发现时效性较差。
针对现有技术中存在的上述问题,本公开的实施例提供了一种异常设备识别方法,包括:提取与待检测设备对应的网络流量数据,所述待检测设备的数量为m,m为大于或等于1的整数;判断第i台设备是否属于白名单设备或黑名单设备,其中,i满足1≤i≤m且i为整数;当所述第i台设备不属于白名单设备或黑名单设备,基于与所述第i台设备对应的网络流量数据提取与所述第i台设备对应的异常识别特征信息;将所述与所述第i台设备对应的异常识别特征信息输入网络流量时序预测模型,获取网络流量时序预测结果,所述网络流量时序预测结果包括对应于n个时点的预测结果,n为大于或等于2的整数;以及计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度,当相似度小于第一阈值的时点数大于第二阈值时,判定所述第i台设备为可疑异常设备。
本公开的实施例提供的方法,基于网络流量时序预测模型预测设备某一时点的网络流量时序预测值,将其与同一时点的真实观测值对比,并基于相似度计算判断该时点网络预测流量是否异常。进一步通过测定多个时点的网络流量的异常情况判定设备是否异常。本公开的实施例提供的方法,能够高效智能地实时监测设备状态,及时发现异常。并且通过设置黑名单设备/白名单设备,可以减少异常设备判定过程中的数据处理量,提升监测效率。
需要说明的是,本公开实施例提供的异常设备识别方法、装置、设备、介质和程序产品可用于人工智能技术在设备异常流量识别相关方面,也可用于除人工智能技术之外的多种领域,如金融领域等。本公开实施例提供的异常设备识别方法、装置、设备、介质和程序产品的应用领域不做限定。
以下将结合附图及其说明文字围绕实现本公开的至少一个目的的上述操作进行阐述。
图1示意性示出了根据本公开实施例的异常设备识别方法、装置、设备、介质和程序产品的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括终端设备101、102、103。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的异常设备识别方法一般可以由服务器105执行。相应地,本公开实施例所提供的异常设备识别装置一般可以设置于服务器105中。本公开实施例所提供的异常设备识别方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的异常设备识别装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
以下将基于图1描述的场景,通过图2~图4对公开实施例的异常设备识别方法进行详细描述。
图2示意性示出了根据本公开实施例的异常设备识别方法的流程图。
如图2所示,该实施例的异常设备识别方法至少包括操作S210~操作S250,该异常设备识别可以由处理器执行,也可以由包括处理器的任何电子设备执行。
在操作S210,提取与待检测设备对应的网络流量数据,所述待检测设备的数量为m,m为大于或等于1的整数。
根据本公开的实施例,可以理解,待检测设备可以有一台或多台。可以应用本公开的实施例的方法同时对范围内的多台待检测设备进行检测。其中,可以通过在交换机上部署的网络流量采集设备提供的数据接口,实时采集网络流量数据,存储至数据库,以备进行网络流量时序预测。通过对网络流量数据进行格式化处理,可以提取出与每一台待检测设备对应的网络流量数据。例如,可以基于设备指纹信息,例如IP信息,MAC信息等获取该台设备在指定时间范围内产生的网络流量数据。
在操作S220,判断第i台设备是否属于白名单设备或黑名单设备,其中,i满足1≤i≤m且i为整数。
根据本公开的实施例,为减少数据处理量,提升异常设备监测效率,可以设置白名单设备列表和黑名单设备列表。例如,可以配置设备指纹库,在所述设备指纹库中存储白名单设备列表和黑名单设备列表信息。当待检测设备属于白名单设备列表或黑名单设备列表时,可以不对其进行进一步的异常识别。在本公开的实施例中,白名单设备列表可以包含例行探测扫描设备。例如平时较少使用,而在特定时间范围会有大量网络流量数据通过的设备。白名单设备如纳入待检测设备列表,可能产生误报,浪费探测资源。可以设置白名单设备列表,对其中的设备不作异常监测分析,减少数据处理量,节约资源。黑名单设备列表可以包含已确认访问异常的设备,可以单独设置对黑名单设备列表中的设备进行人工监测和排查,以减少网络流量时序预测模型的数据处理量。
应理解,操作S220不必然在操作S210后执行。例如,操作S220也可以在执行操作S210的同时执行,或操作S220可以在执行操作S210之前执行。
当所述第i台设备不属于白名单设备或黑名单设备时,执行操作S230。
在操作S230,基于与所述第i台设备对应的网络流量数据提取与所述第i台设备对应的异常识别特征信息。
根据本公开的实施例,异常识别特征信息获取自网络流量数据。可以采用特征工程方法,对原始的网络流量数据在进行数据清洗等预处理手段之后提取用于输入模型的特征信息,即与第i台设备对应的异常识别特征信息。
在一些实施例中,所述网络流量数据包含访问时间信息,访问目标信息和访问目标数据包信息。进一步的,在一些实施例中,所述异常识别特征信息包括访问目标信息和访问目标数据包信息。
根据本公开的实施例,可以基于设备指纹标识识别设备,以预设的时间间隔统计针对每个设备的访问目标的数据包数量,构建异常识别特征信息向量X。通过数据包数量的变化趋势是否异常可以较为明显地判断异常或者恶意流量。其中,预设的时间间隔可以基于设备访问情况和监测需求灵活调整设置。在一些优选的实施例中,可以设置5-20分钟为预设的时间间隔,经测试,上述时间间隔周期具有较好的异常监测识别效果。
在一个具体的示例中,以5分钟为时间间隔统计待检测设备访问不同目的IP的数据包数量并构建异常识别特征信息向量X。针对每台设备,构建的特征空间如表1所示:
表1
Figure BDA0003822240620000101
在操作S240,将所述与所述第i台设备对应的异常识别特征信息输入网络流量时序预测模型,获取网络流量时序预测结果,所述网络流量时序预测结果包括对应于n个时点的预测结果,n为大于或等于2的整数。
在操作S250,计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度,当相似度小于第一阈值的时点数大于第二阈值时,判定所述第i台设备为可疑异常设备。
根据本公开的实施例,由于一次测定结果可能存在误判,可以通过测定不同时点的网络流量时序预测结果,并与同时点的网络流量观测值进行对比,计算二者的相似度,以判断该时点的访问行为是否异常。在相似度比较的过程中,可以设置第一阈值作为访问行为是否异常的衡量标准,当相似度小于第一阈值时,说明当前访问行为异常。示例性的,可以基于异常识别的标准和准确度需求设置第一阈值,优选的,可以设置第一阈值为50%,55%,60%,65%,70%,75%等。可以为在本公开的实施例中,可以在获取多个时点的相似度计算结果后,基于预设的规则判断该设备是否存在异常。例如,可以预设第二阈值作为监测时点数的衡量标准。当访问行为异常的时点数大于第二阈值时,判断设备可疑。例如,可以以预设的时间间隔监测预设的时间范围内待检测设备的访问情况,当出现超过第二阈值数量的访问行为异常的时点数时,判断设备可疑。示例性的,以5分钟为时间间隔,检测一天中待检测设备,可以获取288个时点的相似度监测结果,可以预设第二阈值数量为5,则当访问行为异常的时点数大于5时,判断该设备异常。
应理解,当判断第i台设备属于白名单设备时,执行操作S260。
在操作S230,判定所述第i台设备为正常设备,允许设备访问。
其中,当判断第i台设备属于黑名单设备时,执行操作S270。
在操作S240,判定所述第i台设备为异常设备,阻断设备访问。
根据本公开的实施例,可以采用余弦相似度算法计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度。例如,00:40分,实际观测的特征向量为[26,36,28,29],通过网络流量时序预测模型预测的00:40分预测向量数据为[1,0,0,1],基于余弦相似度的计算公式计算实际观测的特征向量和通过网络流量时序预测模型预测的预测向量的相似度,二者余弦相似度较低,低于50%,则认为该设备访问异常。
图3示意性示出了根据本公开另一些实施例的异常设备识别方法的流程图。
如图3所示,该实施例的异常设备识别方法除可以包含与图2的实施例的异常设备识别方法相同的流程外,还可以包括操作S280。
在操作S280,当判定所述第i台设备为可疑异常设备后,将所述第i台设备加入黑名单,阻断设备访问。
在本公开的实施例中,网络流量时序预测模型基于长短期记忆神经网络训练得到,其中,基于AutoML模型参数调优法调整训练过程中的超参数。
长短期记忆神经网络(Long Short-Term Memory,简称为LSTM)是一种时间循环神经网络,其是为了解决一般的RNN(循环神经网络)存在的长期依赖问题而专门设计的。LSTM由记忆细胞、遗忘门、输入门、输出门组成。其中,记忆细胞负责存储历史信息,通过一个状态参数来记录和更新历史信息,三个门结构则通过Sigmoid函数决定信息的取舍,从而作用于记忆细胞。遗忘门用来选择性忘记多余或次要的记忆,输入门决定需要更新什么值,输出门决定细胞状态的哪个部分输出出去。
在本公开的实施例中,基于LSTM建立网络流量时序预测模型的基本过程如下:
假设原始时间序列数据格式为是:[1,2,3,4,5,6,7]
基于LSTM建立的网络流量时序预测模型即为基于n个步长,推算第n+1个时点的时序预测值的模型。由此,可以获取训练样本特征X向量以及对应的时序预测标签(Lable)Y。
示例性的样本数据特征向量及标签如下:
Figure BDA0003822240620000121
基于所采集到的样本数据利用LSTM算法即可构建本公开实施例的网络流量时序预测模型。其中,为保证模型的准确性,可以采集一定时间范围内的异常识别特征信息样本数据。在一个示例中,可以统计一个月内的,按照每5分钟的采样频率统计的访问目标信息和访问目标数据包量,作为样本数据构建模型。
图4示例性示出了长短期记忆神经网络的工作原理图。
如图4,C(t)决定当前时刻有多少记忆保留到下一时刻的系数,h(t)为当前时刻LSTM的输出值,C(t-1)决定上一时刻有多少记忆保留到当前时刻的系数,h(t-1)为上一时刻LSTM的输出值,x(t-1)为序列索引号t-1时训练样本的输入,Wi为输入门的权值矩阵,对应于输入变量X,Wf为遗忘门的权值矩阵,对应于输入变量X,Wo为输出门的权值矩阵,对应于输入变量X,Wc细胞状态更新权值矩阵,对应于输入变量X,σ为激活函数。可以基于前向传播算法或反向传播算法进行计算。本公开的实施例利用反向传播算法更新模型参数,其中,定义损失函数为均方误差函数,采用梯度下降法不断更新权值直至训练截止条件,例如预设的迭代次数或模型,即可得到网络流量时序预测模型。
在本公开的实施例中,基于AutoML模型参数调优法调整训练过程中的超参数。AutoML是一种自动机器学习方法,其可以将机器学习的特征工程、超参优化自动化完成,是一种全管道的机器学习自动化工具。在本公开的实施例中,为提升模型准确度,提高模型训练的速度,可以利用AutoML方法进行模型超参数自动调优。具体可以为设置初始超参数,而后通过随机搜索,网格搜索等方法自动对初始超参数进行调整,直至获取模型准确度,精度较高时的超参数作为模型实际确定的超参数。
在一些实施例中,可以基于AutoML模型参数调优法调整的超参数包括长短期记忆神经网络的层数和模型训练迭代次数。
通过本公开的实施例提供的异常设备识别方法,在识别异常设备时,通过设备自身的访问时序信息作为网络流量时序预测模型的输入,即可自动获取对未来访问情况的预测判断。可以针对设备产生的网络访问流量数据,实时判断其是否为异常访问,时效性较高。在优选的模型训练过程中,利用AutoML的自动化调参功能可以实现超参数调整的自动化,相对人工调参,可以获得更高的调参效率和模型准确度。
基于上述异常识别方法,本公开的实施例还提供了一种异常识别装置。以下将结合图5对该装置进行详细描述。
图5示意性示出了根据本公开实施例的异常识别装置的结构框图。
如图5所示,该实施例的异常识别装置500包括数据采集模块510、判断模块520、特征提取模块530、模型预测模块540和异常判定模块550。
数据采集模块510被配置为提取与待检测设备对应的网络流量数据,所述待检测设备的数量为m,m为大于或等于1的整数。
判断模块520被配置为判断第i台设备是否属于白名单设备或黑名单设备其中,i满足1≤i≤m且i为整数。
特征提取模块530被配置为当所述第i台设备不属于白名单设备或黑名单设备时,基于与所述第i台设备对应的网络流量数据提取与所述第i台设备对应的异常识别特征信息。
模型预测模块540被配置为将所述与所述第i台设备对应的异常识别特征信息输入网络流量时序预测模型,获取网络流量时序预测结果,所述网络流量时序预测结果包括对应于n个时点的预测结果,n为大于或等于2的整数。
异常判定模块550被配置为计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度,当相似度小于第一阈值的时点数大于第二阈值时,判定所述第i台设备为可疑异常设备。
图6示意性示出了根据本公开另一些实施例的异常识别装置的结构框图。
如图6所示,该实施例的异常识别装置500除包括数据采集模块510、判断模块520、特征提取模块530、模型预测模块540和异常判定模块550外,还可以包括结果处理模块560。
其中,数据采集模块510、判断模块520、特征提取模块530、模型预测模块540和异常判定模块550的功能可以与图5示出的实施例的异常识别装置中的模块功能相同,在此不再赘述。
其中,结果处理模块560被配置为当判断第i台设备为可疑异常设备时将第i台设备加入黑名单。
图7示意性示出了根据本公开另一些实施例的异常识别装置的结构框图。
如图7所示,该实施例的异常识别装置500除包括数据采集模块510、判断模块520、特征提取模块530、模型预测模块540和异常判定模块550外,还可以包括阻断模块570。
其中,数据采集模块510、判断模块520、特征提取模块530、模型预测模块540和异常判定模块550的功能可以与图5示出的实施例的异常识别装置中的模块功能相同,在此不再赘述。
阻断模块570被配置为或当将第i台设备加入黑名单后,阻断设备访问。可以理解,当判断第i台设备本身为黑名单设备后,也可启动阻断模块570,判定所述第i台设备为异常设备,阻断设备访问。
图8示意性示出了根据本公开另一些实施例的异常识别装置的结构框图。
如图7所示,该实施例的异常识别装置500除包括数据采集模块510、判断模块520、特征提取模块530、模型预测模块540和异常判定模块550外,还可以包括放行模块580。
其中,数据采集模块510、判断模块520、特征提取模块530、模型预测模块540和异常判定模块550的功能可以与图5示出的实施例的异常识别装置中的模块功能相同,在此不再赘述。
放行模块580被配置为当第i台设备属于白名单设备时,判定所述第i台设备为正常设备,允许设备访问。
根据本公开的实施例,数据采集模块510、判断模块520、特征提取模块530、模型预测模块540、异常判定模块550、结果处理模块560、阻断模块570和放行模块580中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,数据采集模块510、判断模块520、特征提取模块530、模型预测模块540、异常判定模块550、结果处理模块560、阻断模块570和放行模块580中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,数据采集模块510、判断模块520、特征提取模块530、模型预测模块540、异常判定模块550、结果处理模块560、阻断模块570和放行模块580中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图9示意性示出了根据本公开实施例的适于实现异常设备识别方法的电子设备的方框图。
如图9所示,根据本公开实施例的电子设备900包括处理器901,其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。处理器901例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器901还可以包括用于缓存用途的板载存储器。处理器901可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 903中,存储有电子设备900操作所需的各种程序和数据。处理器901、ROM902以及RAM 903通过总线904彼此相连。处理器901通过执行ROM 902和/或RAM 903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 902和RAM 903以外的一个或多个存储器中。处理器901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备900还可以包括输入/输出(I/O)接口905,输入/输出(I/O)接口905也连接至总线904。电子设备900还可以包括连接至I/O接口905的以下部件中的一项或多项:包括键盘、鼠标等的输入部分906;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907;包括硬盘等的存储部分908;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器910上,以便于从其上读出的计算机程序根据需要被安装入存储部分908。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 902和/或RAM 903和/或ROM 902和RAM 903以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的方法。
在该计算机程序被处理器901执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分909被下载和安装,和/或从可拆卸介质911被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分909从网络上被下载和安装,和/或从可拆卸介质911被安装。在该计算机程序被处理器901执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (11)

1.一种异常设备识别方法,其特征在于,包括:
提取与待检测设备对应的网络流量数据,所述待检测设备的数量为m,m为大于或等于1的整数;
判断第i台设备是否属于白名单设备或黑名单设备,其中,i满足1≤i≤m且i为整数;
当所述第i台设备不属于白名单设备或黑名单设备,基于与所述第i台设备对应的网络流量数据提取与所述第i台设备对应的异常识别特征信息;
将所述与所述第i台设备对应的异常识别特征信息输入网络流量时序预测模型,获取网络流量时序预测结果,所述网络流量时序预测结果包括对应于n个时点的预测结果,n为大于或等于2的整数;以及
计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度,当相似度小于第一阈值的时点数大于第二阈值时,判定所述第i台设备为可疑异常设备。
2.一种根据权利要求1所述的方法,其中,当判定所述第i台设备为可疑异常设备后,所述方法还包括:
将所述第i台设备加入黑名单,阻断设备访问。
3.一种根据权利要求1所述的方法,其中,所述方法还包括:
当所述第i台设备属于白名单设备时,判定所述第i台设备为正常设备,允许设备访问;
和/或,
当所述第i台设备属于黑名单设备时,判定所述第i台设备为异常设备,阻断设备访问。
4.一种根据权利要求1所述的方法,其中,所述网络流量数据包含访问时间信息,访问目标信息和访问目标数据包信息;
和/或,所述异常识别特征信息包括:访问目标信息和访问目标数据包信息。
5.一种根据权利要求1所述的方法,其中,基于余弦相似度算法计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度。
6.一种根据权利要求1所述的方法,其中,所述网络流量时序预测模型基于长短期记忆神经网络训练得到,其中,基于AutoML模型参数调优法调整训练过程中的超参数。
7.一种根据权利要求6所述的方法,其中,基于AutoML模型参数调优法调整的超参数包括长短期记忆神经网络的层数和模型训练迭代次数。
8.一种异常识别装置,包括:
数据采集模块,配置为提取与待检测设备对应的网络流量数据,所述待检测设备的数量为m,m为大于或等于1的整数;
判断模块,配置为判断第i台设备是否属于白名单设备或黑名单设备其中,i满足1≤i≤m且i为整数;
特征提取模块,配置为当所述第i台设备不属于白名单设备或黑名单设备时,基于与所述第i台设备对应的网络流量数据提取与所述第i台设备对应的异常识别特征信息;
模型预测模块,配置为将所述与所述第i台设备对应的异常识别特征信息输入网络流量时序预测模型,获取网络流量时序预测结果,所述网络流量时序预测结果包括对应于n个时点的预测结果,n为大于或等于2的整数;以及
异常判定模块,配置为计算所述网络流量时序预测结果与同时点的网络流量观测值的相似度,当相似度小于第一阈值的时点数大于第二阈值时,判定所述第i台设备为可疑异常设备。
9.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~7中任一项所述的方法。
11.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~7中任一项所述的方法。
CN202211050202.8A 2022-08-30 2022-08-30 异常设备识别方法、装置、设备、介质和程序产品 Pending CN115426161A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211050202.8A CN115426161A (zh) 2022-08-30 2022-08-30 异常设备识别方法、装置、设备、介质和程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211050202.8A CN115426161A (zh) 2022-08-30 2022-08-30 异常设备识别方法、装置、设备、介质和程序产品

Publications (1)

Publication Number Publication Date
CN115426161A true CN115426161A (zh) 2022-12-02

Family

ID=84199530

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211050202.8A Pending CN115426161A (zh) 2022-08-30 2022-08-30 异常设备识别方法、装置、设备、介质和程序产品

Country Status (1)

Country Link
CN (1) CN115426161A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116248412A (zh) * 2023-04-27 2023-06-09 中国人民解放军总医院 共享数据资源异常检测方法、系统、设备、存储器及产品
CN118709118A (zh) * 2024-08-27 2024-09-27 中铁建设集团机电安装有限公司 一种机电设备健康监测数据分析方法及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116248412A (zh) * 2023-04-27 2023-06-09 中国人民解放军总医院 共享数据资源异常检测方法、系统、设备、存储器及产品
CN116248412B (zh) * 2023-04-27 2023-08-22 中国人民解放军总医院 共享数据资源异常检测方法、系统、设备、存储器及产品
CN118709118A (zh) * 2024-08-27 2024-09-27 中铁建设集团机电安装有限公司 一种机电设备健康监测数据分析方法及系统

Similar Documents

Publication Publication Date Title
CN111475804B (zh) 一种告警预测方法及系统
CN115426161A (zh) 异常设备识别方法、装置、设备、介质和程序产品
CN113159615B (zh) 一种工业控制系统信息安全风险智能测定系统及方法
CN113645232B (zh) 一种面向工业互联网的智能化流量监测方法、系统及存储介质
CN111309539A (zh) 一种异常监测方法、装置和电子设备
CN109471783B (zh) 预测任务运行参数的方法和装置
CN105471882A (zh) 一种基于行为特征的网络攻击检测方法及装置
CN113015167B (zh) 加密流量数据的检测方法、系统、电子装置和存储介质
CN111796957B (zh) 基于应用日志的交易异常根因分析方法及系统
KR102247179B1 (ko) 이상행위탐지모델의 비지도 학습을 위한 xai 기반 정상학습데이터 생성방법 및 장치
CN114422267A (zh) 流量检测方法、装置、设备及介质
CN116822803B (zh) 基于智能算法的碳排放数据图构建方法、装置与设备
CN115034596A (zh) 一种风险传导预测方法、装置、设备和介质
CN116389235A (zh) 一种应用于工业物联网的故障监测方法及系统
CN115795330A (zh) 一种基于ai算法的医疗信息异常检测方法及系统
CN113282920B (zh) 日志异常检测方法、装置、计算机设备和存储介质
CN110399537B (zh) 一种基于人工智能技术的警情时空预测方法
CN117573477A (zh) 异常数据监控方法、装置、设备、介质和程序产品
CN113901441A (zh) 一种用户异常请求检测方法、装置、设备及存储介质
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
CN113986671A (zh) 运维数据异常检测方法、装置、设备及介质
CN114416422A (zh) 问题定位方法、装置、设备、介质和程序产品
CN111181756B (zh) 一种域名安全性判定方法、装置、设备及介质
Jin Network Data Detection for Information Security Using CNN-LSTM Model
CN113626815A (zh) 病毒信息的识别方法、病毒信息的识别装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination