CN117061254B - 异常流量检测方法、装置和计算机设备 - Google Patents
异常流量检测方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN117061254B CN117061254B CN202311319155.7A CN202311319155A CN117061254B CN 117061254 B CN117061254 B CN 117061254B CN 202311319155 A CN202311319155 A CN 202311319155A CN 117061254 B CN117061254 B CN 117061254B
- Authority
- CN
- China
- Prior art keywords
- result
- detected
- hash
- data
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 199
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 74
- 108090000623 proteins and genes Proteins 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 54
- 238000012545 processing Methods 0.000 claims abstract description 52
- 238000000605 extraction Methods 0.000 claims abstract description 18
- 230000006399 behavior Effects 0.000 claims description 132
- 238000004364 calculation method Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 8
- 238000000926 separation method Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 3
- 230000005856 abnormality Effects 0.000 claims description 2
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 206010000117 Abnormal behaviour Diseases 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/1396—Protocols specially adapted for monitoring users' activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Abstract
本申请涉及一种异常流量检测方法、装置和计算机设备。所述方法包括:获取待检测流量数据,其中,待检测流量数据包括用户数据以及待检测流量信息;基于待检测流量信息进行特征提取处理,得到哈希结果,并基于哈希结果与预设的基因库进行匹配处理,得到流量检测结果;基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测,得到用户行为检测结果;基于流量检测结果以及用户行为检测结果,得到针对待检测流量数据的异常检测结果。采用本方法能够解决现有技术中针对异常流量检测灵活度以及效率较低的问题。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种异常流量检测方法、装置和计算机设备。
背景技术
随着互联网的普及和计算机网络的广泛应用,网络攻击和安全威胁也日益增多。此外,网络性能问题如带宽管理、拥塞控制和质量服务也称为关注的焦点,为了解决这些问题,网络流量检测技术应运而生。随着网络攻击的复杂性和频率的增加,保护计算机网络免受恶意活动的侵害变得至关重要。网络流量检测通过监测和分析网络数据流,可以及早发现和应对网络入侵、恶意软件、数据泄露等安全威胁,利用网络流量检测技术来检测和识别可能的网络入侵行为,也可以通过对网络流量进行实时分析来及时发现潜在的攻击,并采取措施进行阻止或响应。
现有的异常流量检测方式,主要是通过基于已知攻击模式或特定特征的方法,使用的是预定义的规则、模式或特征匹配来检测网络流量中的恶意活动,这些特征或攻击模式可以是已知的攻击代码,特定协议的异常行为等,这种检测方法简单直接,可以快速识别已知的攻击,但对于未知的攻击无法进行有效检测。
目前,针对异常流量检测的灵活度以及效率较低的问题,尚未提出有效的解决方案。
发明内容
基于此,有必要针对上述技术问题,提供一种异常流量检测方法、装置和计算机设备。
第一方面,本申请提供了一种异常流量检测方法。该方法包括:
获取待检测流量数据,其中,待检测流量数据包括用户数据以及待检测流量信息;
基于待检测流量信息进行特征提取处理,得到哈希结果,并基于哈希结果与预设的基因库进行匹配处理,得到流量检测结果;基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测,得到用户行为检测结果;
基于流量检测结果以及用户行为检测结果,得到针对待检测流量数据的异常检测结果。
在其中一个实施例中,获取基因库包括:
获取已检测流量信息;
基于已检测流量信息进行特征提取处理得到第一已检测哈希结果,并根据第一已检测哈希结果进行编码处理得到第二已检测哈希结果;
基于第二已检测哈希结果对第一已检测哈希结果进行分桶处理,得到至少一个分桶哈希数据;其中,分桶哈希数据与第二已检测哈希结果为一一对应关系;
基于至少一个分桶哈希数据得到所述基因库。
在其中一个实施例中,待检测哈希结果包括第一哈希结果以及第二哈希结果;第二哈希结果对应于至少一个第一哈希结果;基于哈希结果与预设的基因库进行匹配处理,得到流量检测结果,包括:
基于至少一条待检测流量信息的得到对应的第二哈希结果以及第一哈希结果;
基于第二哈希结果与第二已检测哈希结果进行匹配处理;
在第二哈希结果与第二已检测哈希结果匹配成功的情况下,在分桶哈希数据中获取与第二已检测哈希结果对应的目标分桶哈希数据,基于目标分桶哈希数据中的目标第一已检测哈希结果与第一哈希结果进行相似度计算,得到第一流量检测结果;
在第二哈希结果与第二已检测哈希结果匹配失败的情况下,得到第二流量检测结果;
基于第一流量检测结果或第二流量检测结果得到流量检测结果。
在其中一个实施例中,得到针对待检测流量数据的异常检测结果之后,该方法还包括:
基于异常检测结果以及待检测流量信息得到正常流量信息;
根据正常流量信息得到对应的第一正常哈希结果,并根据第一正常哈希结果进行编码处理,得到第二正常哈希结果;
将第二正常哈希结果与第二已检测哈希结果进行匹配处理;
在第二正常哈希结果与第二已检测哈希结果匹配成功的情况下,在分桶哈希数据中获取与第二正常哈希结果对应的目标分桶哈希数据,基于目标分桶哈希数据中的中心结果与第一正常哈希结果进行相似度计算,得到相似度结果;
在相似度结果大于或等于预设的相似度阈值的情况下,将正常流量信息归入目标分桶哈希数据中,得到最终分桶哈希数据;
在相似度小于相似度阈值的情况下,和/或,在第二正常哈希结果与第二已检测哈希结果匹配失败的情况下,基于正常流量信息新建一个初始分桶哈希数据,并将第一正常哈希结果作为与初始分桶哈希数据对应的初始中心结果;
基于最终分桶哈希数据以及初始分桶哈希数据,对基因库进行更新处理,得到新的基因库。
在其中一个实施例中,建立用户行为模型,包括:
基于至少一个计算机序列获取对应的已检测用户数据;其中,已检测用户数据包括至少一种已检测用户数据统计结果;
以计算机序列为主键,对已检测用户数据统计结果进行保存处理,得到用户行为模型。
在其中一个实施例中,用户数据包括用户行为类别以及用户行为特征;用户数据统计结果包括用户统计类别以及用户统计特征;基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测,得到用户行为检测结果,包括:
基于用户统计类别对用户行为类别进行匹配检测;
在用户统计类别与用户行为类别匹配成功的情况下,基于用户统计特征对用户行为特征进行检测,得到第一检测结果;或者,基于预设的类别阈值对用户行为类别进行检测,得到第二检测结果;
在用户统计类别与用户行为类别匹配不成功的情况下,得到第三检测结果;
基于第一检测结果、第二检测结果或第三检测结果,得到用户行为检测结果。
在其中一个实施例中,得到针对待检测流量数据的检测结果之后,该方法还包括:
基于检测结果以及预设的时间周期得到正常用户数据;其中,正常用户数据包括至少一种正常用户数据统计结果;
基于时间周期在已检测用户数据统计结果中筛选出历史用户数据统计结果并进行删除处理,得到已删除用户数据统计结果;
将已删除用户数据统计结果与正常用户数据统计结果进行相加处理,得到目标用户数据统计结果;
基于目标用户数据统计结果完成对于用户行为模型的更新,得到新的用户行为模型。
在其中一个实施例中,得到针对待检测流量数据的检测结果之后,方法还包括:
获取预设的黑名单数据库,并基于检测结果获取待检测流量数据中的异常流量数据;
将异常流量数据与黑名单数据库进行匹配处理,得到异常流量匹配结果;
基于异常流量匹配结果得到最终检测结果。
第二方面,本申请还提供了一种异常流量检测装置。该装置包括:
获取模块,用于获取待检测流量数据,其中,待检测流量数据包括用户数据以及待检测流量信息;
计算模块,用于基于待检测流量信息进行特征提取处理,得到哈希结果,并基于哈希结果与预设的基因库进行匹配处理,得到流量检测结果;基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测,得到用户行为检测结果;
生成模块,用于基于流量检测结果以及用户行为检测结果,得到针对待检测流量数据的异常检测结果。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取待检测流量数据,其中,待检测流量数据包括用户数据以及待检测流量信息;
基于待检测流量信息进行特征提取处理,得到哈希结果,并基于哈希结果与预设的基因库进行匹配处理,得到流量检测结果;基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测,得到用户行为检测结果;
基于流量检测结果以及用户行为检测结果,得到针对待检测流量数据的异常检测结果。
上述异常流量检测方法、装置和计算机设备,一方面,以用户为单位将上述用户数据与预设的用户行为模型中的用户数据统计结果进行比对,得到的用户行为检测结果反映了该用户的习惯行为;另一方面,将待检测流量信息基于哈希结果与预设的基因库进行匹配,得到的流量检测结果反映了该流量信息是否为常见流量,本申请基于用户的习惯行为以及流量信息是否为常见流量两个方面,将上述用户行为检测结果以及上述流量检测结果综合起来以得到更准确的流量检测结果。
附图说明
图1为一个实施例中异常流量检测方法的应用环境图;
图2为一个实施例中异常流量检测方法的流程示意图;
图3为一个实施例中待检测流量信息与基因库匹配步骤的流程示意图;
图4为另一个实施例中针对用户行为模型更新的流程示意图;
图5为一个优选实施例中异常流量检测方法的流程示意图;
图6为一个实施例中异常流量检测装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的异常流量检测方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。首先获取待检测流量数据中的用户数据以及待检测流量信息,而后基于待检测流量信息与预设的基因库进行匹配处理,得到流量检测结果,并基于预设的用户行为模型对用户数据进行检测,得到用户行为检测结果,最后,综合上述流量检测结果以及上述用户行为检测结果,得到异常检测结果。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种异常流量检测方法,以该方法应用于图1中的服务器为例进行说明,包括以下步骤:
步骤S202,获取待检测流量数据,其中,待检测流量数据包括用户数据以及待检测流量信息。
其中,上述待检测流量数据多为获取到的用户发出的指令或流量等,也包括基于系统进程获取到的流量数据。上述用户数据多以用户个人或用户对应的计算机ID为单位,用于通过用户对应的统计数据表征该用户的习惯行为。进一步地,用户数据包括但不限于:用户每天各方向流量数、总流量数、流量包大小、目的ip数、各host数量以及总host数量、各证书主体数量、各签发机构数量等;进一步地,在实际应用时,为了提高检测效率,多会由用户设置时间窗口周期,即上述用户数据包括:时间窗口周期内的各流量方向、总流量数、目的ip数、各host数量以及该时间窗口周期内总hast数量、各证书主体数量、各签发机构数量对应的最大值、最小值、平均值、方差等。上述待检测流量信息多为流量数据中的文本信息以及枚举类型信息(如端口、ip等),将上述文本信息以及枚举类型信息等合并为分段的文本信息,包括但不限于协议名、证书签发机构、证书主体、uri、host类型、文件类型、方法(method)、user-agent、referer、目的ip及端口等。
步骤S204,基于待检测流量信息进行特征提取处理,得到哈希结果,并基于哈希结果与预设的基因库进行匹配处理,得到流量检测结果;基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测,得到用户行为检测结果。
其中,对待检测流量信息进行特征提取处理包括,计算上述待检测流量信息的序列值;即,该序列值的生成方式可以为:基于N-garm、Bi-Gram等自然语言处理方式对该待检测流量信息进行特征提取处理后,提取得到该待检测流量信息的多个单词,并通过消息摘要算法(Message Digest Algorithm 5,MD5)、SHA(Secure Hash Algorithm,安全散列算法)等加密算法对该单词进行加密,从而得到上述序列值。在得到序列值后,基于该序列值的特征信息从而得到上述哈希结果。进一步地,本申请中的基因库用于存储预先确定好的已知为正常流量对应的哈希结果,上述将哈希结果与基因库进行匹配即为将哈希结果与基因库中的多种哈希结果进行匹配,计算相似度,从而得到上述流量检测结果。在计算上述用户行为检测结果时,是基于预先设置好的用户行为模型进行检测,该用户行为模型中保存有用户个人的行为习惯的统计结果,如访问某个网站的频率、访问的平均时长,发送过的指令的类型等,即上述用户数据统计结果,根据上述用户行为模型得到用户行为检测结果。
步骤S206,基于流量检测结果以及用户行为检测结果,得到针对待检测流量数据的异常检测结果。
其中,综合分析上述流量检测结果和用户行为检测结果得到对待检测流量数据的异常检测结果。例如,可以由用户设定权值分数,并基于用户设定的权值分数对上述获取到的流量检测结果以及上述行为检测结果进行加权计算,得到上述异常检测结果。
通过步骤S202至步骤S206,将获取到的待检测流量数据分为两个部分,一个是以用户为单位的,反映了用户行为习惯的流量统计数据的用户数据;以及综合所有用户流量数据的,反映了该流量类型、文本等是否为小概率流量的待检测流量信息,基于上述两个方面进行检测,通过上述方法,可以在保证了检测效率的同时得到更为准确全面的检测结果。进一步地,在对于用户数据以及待检测流量信息进行检测时分别基于预设的用户行为模型以及预设的基因库进行检测,该用户行为模型以及基因库均为根据已检测完毕的正常数据建立完成的,基于正常数据对待检测流量数据进行检测可以有更广泛的检测范围,更为灵活的针对不同类型的待检测流量数据进行检测。其中具体的,在针对待检测流量信息进行检测时,将该流量信息进行特征提取转换为哈希结果,与基因库进行相似度匹配,使得拥有更高的检测效率,大幅节省了计算资源。
在一个实施例中,获取基因库包括:
获取已检测流量信息;
基于已检测流量信息进行特征提取处理得到第一已检测哈希结果,并根据第一已检测哈希结果进行编码处理得到第二已检测哈希结果;
基于第二已检测哈希结果对第一已检测哈希结果进行分桶处理,得到至少一个分桶哈希数据;其中,分桶哈希数据与第二已检测哈希结果为一一对应关系;
基于至少一个分桶哈希数据得到基因库。
具体地,上述已检测流量信息类型可与上文中阐述的待检测流量信息类型一致,且已检测流量信息为已经检测完成并确定为正常的流量信息。在获取到上述已检测流量信息后,可以对该已检测流量信息以N-garm的方式处理后得到多个单词,然后统一计算单词的md5序列,可以理解的是,md5是一种加密算法,文件md5是通过md5算法针对文件生成的哈希值,对于不同的文件这个值相同就表示文件内容是一样的,反之则表示不一样,任何一个文件都只有一个独一无二的md5信息值,并且如果这个文件被修改过,他的md5值也将随之改变。在获取到上述md5信息值之后,基于md5信息值进行特征提取处理,得到第一已检测哈希结果,该特征提取处理可以为计算md5信息值的哈希值,优选的,在实际应用时多为计算其simhash值,用于以较小的字符表征对应的已检测流量信息。在计算得到第一已检测哈希结果后,对该第一已检测哈希结果进行编码处理,得到第二已检测哈希结果,优选的,该第二已检测哈希结果可以为在上述第一已检测哈希结果的基础上进一步计算其哈希值,实际应用时多为计算minhash值,用于表征哈希结果之间的相似度。
进一步地,在获取到第一已检测哈希结果以及第二已检测哈希结果后,基于第二已检测哈希结果以聚类计算的方式进行分桶处理,得到多个分桶哈希数据,且每个分桶哈希数据的聚类中心为一个第一已检测哈希结果,一个第二已检测哈希结果可以代表一种分桶哈希数据,其中具体的,一个分桶哈希数据中的所有第一已检测哈希结果的相似度较高,即第一已检测哈希结果对应的已检测流量信息相似度较高。基于上述分桶哈希数据完成对于上述基因库的建立。通过上述方法可以根据正常的已检测流量信息建立基因库,并对该基因库中保存的数据进行分桶处理,在后续的相似度匹配时大幅提升了匹配的效率。
在其中一个实施例中,待检测哈希结果包括第一哈希结果以及第二哈希结果;第二哈希结果对应于至少一个第一哈希结果;基于哈希结果与预设的基因库进行匹配处理,得到流量检测结果,包括:
基于至少一条待检测流量信息的得到对应的第二哈希结果以及第一哈希结果;
基于第二哈希结果与第二已检测哈希结果进行匹配处理;
在第二哈希结果与第二已检测哈希结果匹配成功的情况下,在分桶哈希数据中获取与第二已检测哈希结果对应的目标分桶哈希数据,基于目标分桶哈希数据中的目标第一已检测哈希结果与第一哈希结果进行相似度计算,得到第一流量检测结果;
在第二哈希结果与第二已检测哈希结果匹配失败的情况下,得到第二流量检测结果;
基于第一流量检测结果或第二流量检测结果得到流量检测结果。
具体地,图3为一个实施例中待检测流量信息与基因库进行匹配处理的流程示意图。在获取到待检测流量信息的第二哈希结果以及第一哈希结果之后,先将第二哈希结果与第二已检测哈希结果进行匹配处理,若第二哈希结果与至少一个第二已检测哈希结果相同,即上述第二哈希结果与至少一个第二已检测哈希结果匹配成功,匹配成功后与上述至少一个第二已检测哈希结果中的所有第一已检测哈希结果进行相似度计算,该相似度计算可以为计算他们的欧氏距离、马氏距离等,若待检测流量信息与上述第一已检测哈希结果的相似度计算指示,该待检测流量信息在基因库中相似的样本很多,则表示该待检测流量信息为常见流量信息,不是小概率事件,进一步地,可以根据用户设置的阈值对相似度计算的结果进行打分,得到上述第一流量检测结果。若上述第二哈希结果没有与基因库中的任何一个第二已检测哈希结果匹配成功,则表示在基因库现有的已检测流量信息中没有与该待检测流量信息相似的数据,则表示该待检测流量信息为小概率事件,从而得到上述第二流量检测结果。在获取到上述第一流量检测结果以及上述第二流量检测结果之后,可以根据用户需要对二者设置不同的权重,或是基于二者设置不同的评分机制,得到最终的流量检测结果。以图3为例,图中待检测流量信息对应的第二哈希结果为minhash54_21_92,其对应的第一哈希结果为simhash_X,首先和基因库中的第二已检测哈希结果匹配,即与基因库中的minhash匹配,若未匹配到相同的minhash则新建minhash_N+1;在匹配到相同的minhash后,与minhash对应的多个simhash匹配,若匹配到相似的simhash,表示其为异常流量的可能性较小,得到对应的第一流量检测结果,如图3中的simhash_X和simhash_m2相似,则新输入特征属于simhash_m2对应簇(类型),在一些实施例中,可以直接将该待检测流量信息归入该分桶哈希数据中。通过上述方法,在进行流量匹配时,首先将待检测的第二哈希结果与基因库中的第二已检测流量结果进行匹配,相比于将待检测流量信息直接与已检测流量信息进行匹配,减少了大量的计算成本,进一步地,在实际应用中,第二哈希结果相同并不代表其流量信息一定十分相似,只是代表其流量信息相似的可能性较大,所以在基于第二哈希结果匹配成功后,进一步地将第一哈希结果与第一已检测哈希结果进行匹配,可以得到更为准确的匹配结果。
在一个实施例中,得到针对待检测流量数据的异常检测结果之后,方法还包括:
基于异常检测结果以及待检测流量信息得到正常流量信息;
根据正常流量信息得到对应的第一正常哈希结果,并根据第一正常哈希结果进行编码处理,得到第二正常哈希结果;
将第二正常哈希结果与第二已检测哈希结果进行匹配处理;
在第二正常哈希结果与第二已检测哈希结果匹配成功的情况下,在分桶哈希数据中获取与第二正常哈希结果对应的目标分桶哈希数据,基于目标分桶哈希数据中的中心结果与第一正常哈希结果进行相似度计算,得到相似度结果;
在相似度结果大于或等于预设的相似度阈值的情况下,将正常流量信息归入目标分桶哈希数据中,得到最终分桶哈希数据;
在相似度小于相似度阈值的情况下,和/或,在第二正常哈希结果与第二已检测哈希结果匹配失败的情况下,基于正常流量信息新建一个初始分桶哈希数据,并将第一正常哈希结果作为与初始分桶哈希数据对应的初始中心结果;
基于最终分桶哈希数据以及初始分桶哈希数据,对基因库进行更新处理,得到新的基因库。
具体地,在对待检测流量信息检测完成后,获取到待检测流量信息中的正常流量信息可以对基因库进行更新,进一步地,对基因库的更新也可以基于获取到的其他已验证为正常的流量信息。计算正常流量信息的第一正常哈希结果以及第二正常哈希结果,优选的,该第一正常哈希结果可以为simhash的格式,该第二正常哈希结果也可以为minhash的形式。而后将第二正常哈希结果与基因库中的第二已检测哈希结果进行匹配,获取到多个第二正常哈希结果对应的目标分桶哈希数据,将目标分桶哈希数据的中心结果与第一哈希结果进行相似度计算,从而得到相似度结果,其中需要说明的是,上述目标分桶哈希数据的中心结果为其中的一个第一已检测哈希结果,该第一已检测哈希结果为该目标分桶哈希数据的聚类中心。若相似度结果大于或等于预设的阈值,则将该第一正常哈希结果归进该目标分桶哈希数据中,即相当于将该正常流量信息归入该目标分桶哈希数据中。
若未能在基因库中找到类似的数据,则基于该正常流量信息新建一个初始分桶哈希数据,一般在实际应用中,考虑到计算效率,将该正常流量信息作为该初始分桶哈希数据的聚类中心,后续若有新的流量数据归入该初始分桶哈希数据时,用户可根据实际情况进行选择,也可以不调整聚类中心,也可以根据新的流量数据调整该聚类中心,得到新的聚类结果,完成对于基因库的更新。通过上述方法,可以对基因库进行实时更新,不需要人工干预,且可以在不需要数据标签的情况下自行学习、更新,在实际应用时可以节省大量的人力以及算力,使该基因库可以适应多种不同的应用环境,也可以在后续的流量数据匹配时得到更为准确地结果。
在一个实施例中,建立用户行为模型,包括:
基于至少一个计算机序列获取对应的已检测用户数据;其中,已检测用户数据包括至少一种已检测用户数据统计结果;
以计算机序列为主键,对已检测用户数据统计结果进行保存处理,得到用户行为模型。
具体地,以用户对应的计算机ID为主键计算该用户的各维度数据,包括计算机流量的大小、数量等,即上文中阐述的特征,并将该特征作为上述用户数据统计结果保存至用户行为模型中,其中具体的,一个用户行为模型通常对应多个用户数据统计结果。通过上述方法建立用户行为模型,用户行为模型与用户一一对应,以便在后续计算待检测流量时可以更快速的计算出该待检测流量是否为该用户的习惯行为的流量,得到更为准确地结果。
在一个实施例中,用户数据包括用户行为类别以及用户行为特征;用户数据统计结果包括用户统计类别以及用户统计特征;基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测,得到用户行为检测结果,包括:
基于用户统计类别对用户行为类别进行匹配检测;
在用户统计类别与用户行为类别匹配成功的情况下,基于用户统计特征对用户行为特征进行检测,得到第一检测结果;或者,基于预设的类别阈值对用户行为类别进行检测,得到第二检测结果;
在用户统计类别与用户行为类别匹配不成功的情况下,得到第三检测结果;
基于第一检测结果、第二检测结果或第三检测结果,得到用户行为检测结果。
具体地,在计算待检测的用户数据时可以基于用户设定的评价方法计算用户数据的分数,基于上述训练好的用户行为模型自己配美好的用户统计类别,来评价该用户行为类别是否在过去曾经出现,并且计算该用户数据是否在过去频繁出现,若在过去频繁出现,则表明该用户数据符合该用户的行为习惯,若出现的不频繁,则表明该用户数据为正常用户数据的概率相对较小,从而得到上述第一检测结果。进一步地,若该用户数据在过去曾经出现过,则可以基于上述用户统计特征进行计算,其中具体的,统计特征表征了该数据历史的出现方式,如流量包大小,平均访问时长等,若该用户数据在过去曾经出现过,且其用户行为特征与已保存的用户统计特征差别小,则表明该用户数据符合该用户的行为习惯,反之,则不太符合,从而得到上述第二检测结果。用户统计类别与用户行为类别匹配不成功的情况,代表这个用户行为在过去从来没有出现过,则其用户行为为异常行为的可能性较大,从而得到上述第三检测结果。通过上述方法可以全面地计算出该用户数据是否为异常数据,若该用户数据无法和已保存在该用户对应的用户行为模型中的数据匹配成功,则代表该用户行为为异常行为的可能性较大,若可以匹配成功,则表示该用户行为为异常行为的可能性较低,从而可以及时对待检测的用户数据基于匹配的方式进行检测,在使得可检测的类型更灵活,同时,由于本申请中针对不同的用户建立了不同的用户行为模型,也使得本申请中的用户数据检测更有针对性、并且正确率也更高。在此基础上,本申请中的用户统计特征以及用户行为特征的匹配,也可以精确反映待检测的用户数据的特征(时长、流量大小等特征)是否与用户行为模型中的特征相似,从而进一步提升了检测的准确性。
在其中一个实施例中,得到针对待检测流量数据的检测结果之后,方法还包括:
基于检测结果以及预设的时间周期得到正常用户数据;其中,正常用户数据包括至少一种正常用户数据统计结果;
基于时间周期在已检测用户数据统计结果中筛选出历史用户数据统计结果并进行删除处理,得到已删除用户数据统计结果;
将已删除用户数据统计结果与正常用户数据统计结果进行相加处理,得到目标用户数据统计结果;
基于目标用户数据统计结果完成对于用户行为模型的更新,得到新的用户行为模型。
具体地,图4为一个实施例中针对上述用户行为模型的更新方法。在计算得到上述正常用户数据后,可以以上述时间周期为单位对用户行为模型中的正常用户数据进行更新,包括,首先根据上述时间周期长度淘汰模型中的历史用户数据,即老旧用户数据,该老旧用户数据为已经计算过的数据,比如Host_A在用户行为模型中总的访问量为M,历史用户数据里的Host_A访问量为N,则可以将用户行为模型中的用户数据统计结果更新为M-N,即可得到上述已删除用户数据统计结果,若M-N的统计结果小于或等于0,则可直接删除Host_A这项数据,其他类型的用户数据统计结果同理。在对历史用户数据统计结果删除完成后,在对正常用户数据统计结果进行添加处理,仍以Host_A为例,新数据中如果Host_A的访问量为S,那么更新后的模型为M+S,如果模型中不存在Host_A项,则新增Host_A项,从而得到目标用户数据统计结果。总的来说用户行为模型的更新可以理解为以滑动时间周期的方法进行的,该时间周期的长度可以由用户进行设定,如30天、10天等,图4中为当时间周期为10天时的更新方法。通过上述方法,可以以用户为单位,考虑到实际应用中,用户不同周期的行为习惯可能差别较大,通过上述更新方法可以及时更新用户的行为习惯,以在异常行为检测时得到更为准确地检测结果。
在一个实施例中,得到针对待检测流量数据的检测结果之后,方法还包括:
获取预设的黑名单数据库,并基于检测结果获取待检测流量数据中的异常流量数据;
将异常流量数据与黑名单数据库进行匹配处理,得到异常流量匹配结果;
基于异常流量匹配结果得到最终检测结果。
具体地,为了进一步提升异常流量的精确率,可设定规则做进一步提纯,即获取黑名单数据库,该黑名单数据库保存了各种类型的异常流量数据,用户也可自行在黑名单数据库中添加异常流量数据。在经过上述方法获取到针对待检测流量数据的异常检测结果后,为了进一步提升检测的准确性,可以将异常流量数据与黑名单数据库中的数据进行匹配,若相似度较高,则该异常流量数据为异常行为的可能性进一步提升,从而得到最终检测结果。通过上述方法可以进一步提升检测的准确率,减少在实际应用时将正常数据判定为异常数据的可能。
本实施例还提供了一种异常流量检测方法的具体实施例,如图5所示,图5是一个优选实施例中异常流量检测方法的流程示意图。
首先建立基因库以及用户行为模型,其中具体的,获取到已检测流量信息后对应各个已检测流量信息计算对应的simhash值,并在simhash值的基础上计算对应的minhash值,而后将所有simhash值以minhash为基础分桶保存,对应相同minhash值的已检测流量信息对应为同一个组,并以各个组为单位计算各自的聚类中心结果,完成对于基因库的建立。建立用户行为模型包括以各个用户为单位,建立与用户一一对应的用户行为模型,具体可以以用户对应的计算机序列为主键,将已检测用户数据统计结果进行保存处理,得到各个用户对应的用户行为模型。
然后获取待检测流量数据,该待检测流量数据包括用户数据以及待检测流量信息,本领域技术人员可以理解的是,上述用户数据以及待检测流量信息之和即为待检测流量数据包含的全部信息。将用户数据与上述用户对应的用户行为模型进行匹配处理,以过去时间周期内是否曾经出现、过去时间周期内是否频繁出现以及过去时间周期内出现的方式与待检测的用户行为的方式是否相似三个方面计算该待检测用户行为是否为异常用户行为,并根据用户定义的评分规则得到上述用户行为检测结果。将待检测流量信息与基因库中的已检测流量信息进行匹配,先将待检测流量对应的第二哈希结果与基因库中的第二已检测进行匹配,在匹配成功的情况下基于第一哈希结果与该第二已检测哈希结果对应的第一已检测哈希结果进行匹配,得到上述流量检测结果。若刘安量检测结果指示该待检测流量信息在基因库中能找到相似的已检测流量信息并样本很多,那么表示该待检测流量为常见流量,不是小概率事件,若可以找到相似的样本但种类数量较少,则可基于用户预设的评价方法得到对应的评价分数;若基因库中无法找到相似的数据,则表示该待检测流量为小概率时间。若可以匹配到相似的已检测流量信息时,在一些实施例中,可以直接将该待检测流量信息归入该分桶哈希数据中,实时完成基因库的更新。
最后合并计算异常分数,分数计算分两部分,一部分是基于上述用户行为检测结果得到的用户行为习惯分数,另一部分是基于流量检测结果计算得到的小概率事件分数,两种方式均分为三种不同的情况,一种夯实正常行为(即常见行为或常见事件),则可评为1分,没有出现则评为0分;若有出现但是有部分异常,即待检测的流量数据与已保存的流量数据形式有区别,则需要根据公式计算分数,公式计算方式根据不同情况而不同,最后将用户行为习惯分数和基因匹配分数(或称为小概率事件分数)合并得到最终分数,即得到上述异常检测结果。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的异常流量检测方法的异常流量检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个异常流量检测装置实施例中的具体限定可以参见上文中对于异常流量检测方法的限定,在此不再赘述。
在一个实施例中,如图6所示,提供了一种异常流量检测装置,包括:获取模块61、计算模块62和生成模块63,其中:
获取模块61,用于获取待检测流量数据,其中,待检测流量数据包括用户数据以及待检测流量信息;
计算模块62,用于基于待检测流量信息进行特征提取处理,得到哈希结果,并基于哈希结果与预设的基因库进行匹配处理,得到流量检测结果;基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测,得到用户行为检测结果;
生成模块63,用于基于流量检测结果以及用户行为检测结果,得到针对待检测流量数据的异常检测结果。
具体地,获取模块61与计算模块62连接,基于上述获取模块61获取到待检测流量数据,该待检测流量数据包括用户数据以及待检测流量信息,该用户数据主要表征了用户的流量统计数据,该待检测流量数据主要表征了流量数据的类型以及文本内容等。综合上述待检测流量信息以及用户数据即可获得在一段时间周期内完整的流量数据。获取模块61将该用户数据以及待检测流量信息发送至计算模块62,计算模块62根据待检测流量信息获取对应的哈希结果,并基于待检测流量信息的哈希结果与预设的基因库中保存的各个哈希结果进行匹配处理,得到流量检测结果。并以各个用户为单位,基于对应的预设的用户行为模型中的大批量用户数据统计结果对用户数据进行检测,得到用户行为检测结果;计算模块62将该用户行为检测结果以及流量检测结果传输至上述生成模块63中,生成模块63综合上述流量检测结果以及用户行为检测结果得到最终的针对待检测流量数据的异常检测结果。
通过上述异常流量检测装置,可以不仅可以用于流量的异常检测,也可以用户系统进程的异常检测,并且进一步地,该装置可以不依赖于预定义的规则或特征,而是通过学习和建模网络流量的正常行为,来基于正常行为检测到异常流量数据,这使得它拥有较高的灵活性和适应性,可以适应不同类型的攻击以及变化的网络环境,以应对新兴的威胁和攻击技术。
上述异常流量检测装置装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储已检测完成的正常流量数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种异常流量检测装置方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random AccessMemory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (9)
1.一种异常流量检测方法,其特征在于,所述方法包括:
获取待检测流量数据,其中,所述待检测流量数据包括用户数据以及待检测流量信息;
基于所述待检测流量信息进行特征提取处理,得到哈希结果,并基于所述哈希结果与预设的基因库进行匹配处理,得到流量检测结果;基于预设的用户行为模型中的用户数据统计结果对所述用户数据进行检测,得到用户行为检测结果;其中,获取所述基因库包括:获取已检测流量信息;
基于所述已检测流量信息进行特征提取处理得到第一已检测哈希结果,并根据所述第一已检测哈希结果进行编码处理得到第二已检测哈希结果;
基于所述第二已检测哈希结果对所述第一已检测哈希结果进行分桶处理,得到至少一个分桶哈希数据;其中,所述分桶哈希数据与所述第二已检测哈希结果为一一对应关系;
基于至少一个所述分桶哈希数据得到所述基因库;
基于所述流量检测结果以及所述用户行为检测结果,得到针对所述待检测流量数据的异常检测结果。
2.根据权利要求1所述的方法,其特征在于,所述哈希结果包括第一哈希结果以及第二哈希结果;所述第二哈希结果对应于至少一个所述第一哈希结果;所述基于所述哈希结果与预设的基因库进行匹配处理,得到流量检测结果,包括:
基于至少一条所述待检测流量信息的得到对应的所述第二哈希结果以及所述第一哈希结果;
基于所述第二哈希结果与所述第二已检测哈希结果进行匹配处理;
在所述第二哈希结果与所述第二已检测哈希结果匹配成功的情况下,在所述分桶哈希数据中获取与所述第二已检测哈希结果对应的目标分桶哈希数据,基于所述目标分桶哈希数据中的目标第一已检测哈希结果与所述第一哈希结果进行相似度计算,得到第一流量检测结果;
在所述第二哈希结果与所述第二已检测哈希结果匹配失败的情况下,得到第二流量检测结果;
基于所述第一流量检测结果或所述第二流量检测结果得到所述流量检测结果。
3.根据权利要求1所述的方法,其特征在于,所述得到针对所述待检测流量数据的异常检测结果之后,所述方法还包括:
基于所述异常检测结果以及所述待检测流量信息得到正常流量信息;
根据所述正常流量信息得到对应的第一正常哈希结果,并根据所述第一正常哈希结果进行编码处理,得到第二正常哈希结果;
将所述第二正常哈希结果与所述第二已检测哈希结果进行匹配处理;
在所述第二正常哈希结果与所述第二已检测哈希结果匹配成功的情况下,在所述分桶哈希数据中获取与所述第二正常哈希结果对应的目标分桶哈希数据,基于所述目标分桶哈希数据中的中心结果与所述第一正常哈希结果进行相似度计算,得到相似度结果;
在所述相似度结果大于或等于预设的相似度阈值的情况下,将所述正常流量信息归入所述目标分桶哈希数据中,得到最终分桶哈希数据;
在所述相似度小于所述相似度阈值的情况下,和/或,在所述第二正常哈希结果与所述第二已检测哈希结果匹配失败的情况下,基于所述正常流量信息新建一个初始分桶哈希数据,并将所述第一正常哈希结果作为与所述初始分桶哈希数据对应的初始中心结果;
基于所述最终分桶哈希数据以及所述初始分桶哈希数据,对所述基因库进行更新处理,得到新的基因库。
4.根据权利要求1所述的方法,其特征在于,建立所述用户行为模型,包括:
基于至少一个计算机序列获取对应的已检测用户数据;其中,所述已检测用户数据包括至少一种已检测用户数据统计结果;
以所述计算机序列为主键,对所述已检测用户数据统计结果进行保存处理,得到所述用户行为模型。
5.根据权利要求1所述的方法,其特征在于,所述用户数据包括用户行为类别以及用户行为特征;所述用户数据统计结果包括用户统计类别以及用户统计特征;所述基于预设的用户行为模型中的用户数据统计结果对所述用户数据进行检测,得到用户行为检测结果,包括:
基于用户统计类别对所述用户行为类别进行匹配检测;
在所述用户统计类别与所述用户行为类别匹配成功的情况下,基于所述用户统计特征对所述用户行为特征进行检测,得到第一检测结果;或者,基于预设的类别阈值对所述用户行为类别进行检测,得到第二检测结果;
在所述用户统计类别与所述用户行为类别匹配不成功的情况下,得到第三检测结果;
基于所述第一检测结果、所述第二检测结果或所述第三检测结果,得到所述用户行为检测结果。
6.根据权利要求1所述的方法,其特征在于,所述得到针对所述待检测流量数据的检测结果之后,所述方法还包括:
基于所述检测结果以及预设的时间周期得到正常用户数据;其中,所述正常用户数据包括至少一种正常用户数据统计结果;
基于所述时间周期在所述用户数据统计结果中筛选出历史用户数据统计结果并进行删除处理,得到已删除用户数据统计结果;
将所述已删除用户数据统计结果与所述正常用户数据统计结果进行相加处理,得到目标用户数据统计结果;
基于所述目标用户数据统计结果完成对于所述用户行为模型的更新,得到新的用户行为模型。
7.根据权利要求1至权利要求6任一项所述的方法,其特征在于,所述得到针对所述待检测流量数据的检测结果之后,所述方法还包括:
获取预设的黑名单数据库,并基于所述检测结果获取所述待检测流量数据中的异常流量数据;
将所述异常流量数据与所述黑名单数据库进行匹配处理,得到异常流量匹配结果;
基于所述异常流量匹配结果得到最终检测结果。
8.一种异常流量检测装置,其特征在于,所述装置包括:
获取模块,用于获取待检测流量数据,其中,所述待检测流量数据包括用户数据以及待检测流量信息;
计算模块,用于基于所述待检测流量信息进行特征提取处理,得到哈希结果,并基于所述哈希结果与预设的基因库进行匹配处理,得到流量检测结果;基于预设的用户行为模型中的用户数据统计结果对所述用户数据进行检测,得到用户行为检测结果;
所述计算模块,还用于获取所述基因库,包括:获取已检测流量信息;
基于所述已检测流量信息进行特征提取处理得到第一已检测哈希结果,并根据所述第一已检测哈希结果进行编码处理得到第二已检测哈希结果;
基于所述第二已检测哈希结果对所述第一已检测哈希结果进行分桶处理,得到至少一个分桶哈希数据;其中,所述分桶哈希数据与所述第二已检测哈希结果为一一对应关系;
基于至少一个所述分桶哈希数据得到所述基因库;
生成模块,用于基于所述流量检测结果以及所述用户行为检测结果,得到针对所述待检测流量数据的异常检测结果。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至权利要求6中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311319155.7A CN117061254B (zh) | 2023-10-12 | 2023-10-12 | 异常流量检测方法、装置和计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311319155.7A CN117061254B (zh) | 2023-10-12 | 2023-10-12 | 异常流量检测方法、装置和计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117061254A CN117061254A (zh) | 2023-11-14 |
CN117061254B true CN117061254B (zh) | 2024-01-23 |
Family
ID=88659451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311319155.7A Active CN117061254B (zh) | 2023-10-12 | 2023-10-12 | 异常流量检测方法、装置和计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117061254B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117376022A (zh) * | 2023-11-23 | 2024-01-09 | 江苏瀚天智能科技股份有限公司 | 一种基于深度学习的检测未知网络攻击的异常检测系统 |
Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN107070867A (zh) * | 2017-01-03 | 2017-08-18 | 湖南大学 | 基于多层局部敏感哈希表的网络流量异常快速检测方法 |
CN108596738A (zh) * | 2018-05-08 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种用户行为检测方法及装置 |
CN110519290A (zh) * | 2019-09-03 | 2019-11-29 | 南京中孚信息技术有限公司 | 异常流量检测方法、装置及电子设备 |
WO2020258101A1 (zh) * | 2019-06-26 | 2020-12-30 | 深圳市欢太科技有限公司 | 用户相似度计算方法、装置、服务端及存储介质 |
CN113015167A (zh) * | 2021-03-11 | 2021-06-22 | 杭州安恒信息技术股份有限公司 | 加密流量数据的检测方法、系统、电子装置和存储介质 |
CN113630389A (zh) * | 2021-07-22 | 2021-11-09 | 北京明略软件系统有限公司 | 用户异常行为识别方法、系统、电子设备及存储介质 |
WO2021258348A1 (zh) * | 2020-06-24 | 2021-12-30 | 深圳市欢太科技有限公司 | 异常流量检测方法和系统、及计算机存储介质 |
CN114900356A (zh) * | 2022-05-06 | 2022-08-12 | 联云(山东)大数据有限公司 | 恶意用户行为检测方法、装置及电子设备 |
CN115225385A (zh) * | 2022-07-20 | 2022-10-21 | 深信服科技股份有限公司 | 一种流量监控方法、系统、设备及计算机可读存储介质 |
WO2022228371A1 (zh) * | 2021-04-28 | 2022-11-03 | 百果园技术(新加坡)有限公司 | 恶意流量账号检测方法、装置、设备和存储介质 |
CN115664743A (zh) * | 2022-10-17 | 2023-01-31 | 浙江网商银行股份有限公司 | 行为检测方法以及装置 |
CN115766215A (zh) * | 2022-11-14 | 2023-03-07 | 湖北天融信网络安全技术有限公司 | 一种异常流量检测方法及装置 |
CN115987549A (zh) * | 2022-11-08 | 2023-04-18 | 国网福建省电力有限公司营销服务中心 | 移动终端的异常行为检测方法、装置及存储介质 |
CN116055214A (zh) * | 2023-01-17 | 2023-05-02 | 杭州迪普科技股份有限公司 | 攻击检测方法、装置、设备及可读存储介质 |
CN116738988A (zh) * | 2023-05-24 | 2023-09-12 | 腾讯音乐娱乐科技(深圳)有限公司 | 文本检测方法、计算机设备和存储介质 |
CN116827655A (zh) * | 2023-07-07 | 2023-09-29 | 鹏城实验室 | 流量检测加速方法和系统、电子设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1589716A1 (en) * | 2004-04-20 | 2005-10-26 | Ecole Polytechnique Fédérale de Lausanne (EPFL) | Method of detecting anomalous behaviour in a computer network |
-
2023
- 2023-10-12 CN CN202311319155.7A patent/CN117061254B/zh active Active
Patent Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN107070867A (zh) * | 2017-01-03 | 2017-08-18 | 湖南大学 | 基于多层局部敏感哈希表的网络流量异常快速检测方法 |
CN108596738A (zh) * | 2018-05-08 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种用户行为检测方法及装置 |
WO2020258101A1 (zh) * | 2019-06-26 | 2020-12-30 | 深圳市欢太科技有限公司 | 用户相似度计算方法、装置、服务端及存储介质 |
CN110519290A (zh) * | 2019-09-03 | 2019-11-29 | 南京中孚信息技术有限公司 | 异常流量检测方法、装置及电子设备 |
WO2021258348A1 (zh) * | 2020-06-24 | 2021-12-30 | 深圳市欢太科技有限公司 | 异常流量检测方法和系统、及计算机存储介质 |
CN115606162A (zh) * | 2020-06-24 | 2023-01-13 | 深圳市欢太科技有限公司(Cn) | 异常流量检测方法和系统、及计算机存储介质 |
CN113015167A (zh) * | 2021-03-11 | 2021-06-22 | 杭州安恒信息技术股份有限公司 | 加密流量数据的检测方法、系统、电子装置和存储介质 |
WO2022228371A1 (zh) * | 2021-04-28 | 2022-11-03 | 百果园技术(新加坡)有限公司 | 恶意流量账号检测方法、装置、设备和存储介质 |
CN113630389A (zh) * | 2021-07-22 | 2021-11-09 | 北京明略软件系统有限公司 | 用户异常行为识别方法、系统、电子设备及存储介质 |
CN114900356A (zh) * | 2022-05-06 | 2022-08-12 | 联云(山东)大数据有限公司 | 恶意用户行为检测方法、装置及电子设备 |
CN115225385A (zh) * | 2022-07-20 | 2022-10-21 | 深信服科技股份有限公司 | 一种流量监控方法、系统、设备及计算机可读存储介质 |
CN115664743A (zh) * | 2022-10-17 | 2023-01-31 | 浙江网商银行股份有限公司 | 行为检测方法以及装置 |
CN115987549A (zh) * | 2022-11-08 | 2023-04-18 | 国网福建省电力有限公司营销服务中心 | 移动终端的异常行为检测方法、装置及存储介质 |
CN115766215A (zh) * | 2022-11-14 | 2023-03-07 | 湖北天融信网络安全技术有限公司 | 一种异常流量检测方法及装置 |
CN116055214A (zh) * | 2023-01-17 | 2023-05-02 | 杭州迪普科技股份有限公司 | 攻击检测方法、装置、设备及可读存储介质 |
CN116738988A (zh) * | 2023-05-24 | 2023-09-12 | 腾讯音乐娱乐科技(深圳)有限公司 | 文本检测方法、计算机设备和存储介质 |
CN116827655A (zh) * | 2023-07-07 | 2023-09-29 | 鹏城实验室 | 流量检测加速方法和系统、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117061254A (zh) | 2023-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sahu et al. | Network intrusion detection system using J48 Decision Tree | |
KR102433425B1 (ko) | 손상된 범위 식별을 위한 다중-신호 분석 | |
US10409980B2 (en) | Real-time representation of security-relevant system state | |
CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
CN111565205A (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
US11159564B2 (en) | Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time | |
CN110855648B (zh) | 一种网络攻击的预警控制方法及装置 | |
CN117061254B (zh) | 异常流量检测方法、装置和计算机设备 | |
US20210281609A1 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
CN110912908A (zh) | 网络协议异常检测方法、装置、计算机设备和存储介质 | |
Kuppa et al. | Finding rats in cats: Detecting stealthy attacks using group anomaly detection | |
Liu et al. | Fewm-hgcl: Few-shot malware variants detection via heterogeneous graph contrastive learning | |
CN112287339A (zh) | Apt入侵检测方法、装置以及计算机设备 | |
CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
CN116614251A (zh) | 一种数据安全监控系统 | |
CN112087448B (zh) | 安全日志提取方法、装置和计算机设备 | |
CN112347477A (zh) | 家族变种恶意文件挖掘方法和装置 | |
CN114816964B (zh) | 风险模型构建方法、风险检测方法、装置、计算机设备 | |
US20230156034A1 (en) | Real-time threat detection for encrypted communications | |
KR102471731B1 (ko) | 사용자를 위한 네트워크 보안 관리 방법 | |
US20240073241A1 (en) | Intrusion response determination | |
CN115189963A (zh) | 异常行为检测方法、装置、计算机设备及可读存储介质 | |
CN117370969A (zh) | 数据异常检测方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |