JP6850902B2 - ネットワークにおけるトラフィックの異常を検出するための方法および装置 - Google Patents

ネットワークにおけるトラフィックの異常を検出するための方法および装置 Download PDF

Info

Publication number
JP6850902B2
JP6850902B2 JP2019552323A JP2019552323A JP6850902B2 JP 6850902 B2 JP6850902 B2 JP 6850902B2 JP 2019552323 A JP2019552323 A JP 2019552323A JP 2019552323 A JP2019552323 A JP 2019552323A JP 6850902 B2 JP6850902 B2 JP 6850902B2
Authority
JP
Japan
Prior art keywords
time series
detected
attribute
sample
netflow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019552323A
Other languages
English (en)
Other versions
JP2020501476A (ja
Inventor
ウー,ヅジェン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NSFOCUS Information Technology Co Ltd
Nsfocus Technologies Inc
Original Assignee
NSFOCUS Information Technology Co Ltd
Nsfocus Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Nsfocus Technologies Inc filed Critical NSFOCUS Information Technology Co Ltd
Publication of JP2020501476A publication Critical patent/JP2020501476A/ja
Application granted granted Critical
Publication of JP6850902B2 publication Critical patent/JP6850902B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本出願は、2016年12月29日に中国特許庁に提出し、出願番号が201611246751.7であり、発明の名称「ネットワークにおけるトラフィックの異常を検出するための方法および装置」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
本発明はネットワークセキュリティ領域、特にネットワークにおけるトラフィックの異常を検出するための方法および装置に関する。
不正侵入検知システム(IDS)などの安全装置で構成する防御システムの大部分がネットワークの入口に配置され、入口でイントラネットの環境を防護することで、ネットワーク外部からの安全脅威を大きく減らしているものの、イントラネットの安全は軽視されがちである。多くのイントラネットの防護能力が比較的脆弱なため、内部人員による越権アクセス、不正アクセス、情報漏洩などの安全事故が頻発している。そのほか、ハッカーがエクストラネットのファイアウォールを突き破ってイントラネットに侵入すると、完全にオープンしているネットワーク環境に入ったようなもので、イントラネットのすべての資源がハッカーの攻撃と窃取のターゲットになっている。
イントラネットを防護するために、既存の技術の多くは規則に則った防御方法を取り入れている。既存の時系列を基本とする異常検知において、ヨーロッパ式ディスタンスで時系列の非類似度を量ることが多い。しかしながら、このような異常検知方法が平行移動変換や拡張変換に敏感なので、これらの変換を消去してしまうことがある。例えば、多くの場合装置のクロックが完全にシンクロナイズしているわけではなく、記録したデータが時間軸上である程度平行移動することがある。例えばバイトの数量において、異なる桁で記録する可能性があるため、時系列に拡張変換が生じる可能性がある。これらの変換が一旦取り消されてしまうと、記録したデータは類似な変化が表れる傾向があるため、データフローの検知結果に偏差が生じる結果を招いてしまう。
上述したように、既存の方法はネットワークの異常フローを正確に検知することが難しく、検知結果の正確性を保つことができない。
本発明の実施例はネットワークにおけるトラフィックの異常を検出するための方法および装置を提供し、より精確なネットワークにおけるトラフィックの異常を検出するための方法を提供することによって、検知結果の正確性を高めることが目的である。
第1態様によれば、本発明に係るネットワークにおけるトラフィックの異常を検出するための方法は、
所定期間内にネットワーク監視ノードによって生成されたネットワークデータフロー(Netflow)を取得し、前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するステップと、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するステップと、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定するステップと、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するステップとを備え、
前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルとの間の夾角の正弦である。
好ましくは、検知結果の確定方法として前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断し、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成する。それから、それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
好ましくは、式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、
前記式1
Figure 0006850902
であり、
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度である。
さらに、第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、
分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、第1時系列の目標検知結果を得て、
さらに、それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
ここで、好ましくは、前記所定の前記第1属性に対応する1クラスSVM分類器は次の方法で生成し、
前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
第2の態様によれば、同様な発想に基づいて、本発明の実施例はさらにネットワークにおけるトラフィックの異常を検出するための装置を提供し、当該設置は、
所定期間内にネットワーク監視ノードによって生成されたNetflowを取得するための取得ユニットと、
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するための処理ユニットと、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するための確定ユニットであって、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含む前記確定ユニットと、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するための計算ユニットであって、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかで、前記第1属性は前記Netflowの属性のうちのいずれかで、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルの間の夾角の正弦である計算ユニットと、
前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するための検知ユニットとを備える。
さらに、前記検知ユニットは、
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
さらに、前記計算ユニットは、
式1に基づいて、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性がそれぞれ対応しているN−1個の第2時系列との間のN−1個の角度の非類似度を計算し、
前記式1
Figure 0006850902
であり、
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度である。
さらに、当該設置は分類ユニットをさらに備え、分類ユニットは第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類するのに用い、
前記検知ユニットは、また、分類結果に基づいて前記第1時系列に関する第2検知結果を確定するに用い、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
当該設置は1クラスSVM分類器生成ユニットをさらに備え、次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成するのに用い、
前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
第3の態様によれば、本願の実施例は電子装置を提供し、当該電子装置は、通信用インタフェース、プロセッサーおよびメモリを含み、
前記プロセッサーはメモリに格納された命令を読み出し、
前記通信用インタフェースを通じて所定期間内にネットワーク監視ノードによって生成されたNetflowを取得し、
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成し、
それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定し、ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、ここで、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかで、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルとの間の夾角の正弦で、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定する。
好ましくは、前記プロセッサーは、
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記検知しようとするサンプルが異常データフローであるかどうかを確定する場合、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
好ましくは、前記プロセッサーは、式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算する。
さらに、前記プロセッサーは、第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、
分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、第1時系列の目標検知結果を得て、
それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
さらに、前記プロセッサーは、次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成し、
前記通信用インタフェースを通じて前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
第4の態様によれば、本発明の実施例は非一過性コンピュータが読み取り可能な記憶媒体を提供し、前記非一過性コンピュータが読み取り可能な記憶媒体にはコンピュータ命令が格納されており、前記コンピュータ命令は前記コンピュータに上述態様1に記載したネットワークにおけるトラフィックの異常を検出するための方法を実行させるのに用いる。
第5の態様によれば、本発明の実施例はコンピュータプログラム製品を提供し、前記コンピュータプログラム製品は非一過性コンピュータが読み取り可能な記憶媒体に格納したコンピュータプログラムを含み、前記コンピュータプログラムはプログラム命令を含み、前記プログラム命令がコンピュータによって実行される場合、前記コンピュータは上述態様1に記載した前記ネットワークにおけるトラフィックの異常を検出するための方法を実行する。
本発明の実施例は多次元時系列に対する異常検知を行うものであり、次元とはNetflowのそれぞれの属性を指しており、例えばソースIPアドレス、ソースポート番号、宛先IPアドレス、宛先ポート番号など、角度の非類似度の方法を利用して、Netflowの同一属性の時系列の相似性分析を通じて異常系列を探し出し、角度の非類似度は時系列ベクトル間の夾角の正弦であるため、装置のクロックが完全にシンクロナイズしなくても、検知結果の偏差を招くことはないため、本発明の実施例に係るネットワーク異常データフローの検知方法で得られた検知結果がより正確になり、こうすればタイムリー的かつ迅速的にネットワークの異常行為を発見し、効果的にネットワーク攻撃を予防することができる。
本発明実施例の技術手段をさらに説明するために、次に実施例を説明するのに必要な図面を簡潔に紹介するが、次に陳述する図面は本発明のいくつかの実施例に過ぎず、当領域の普通の技術者にとって、創造的工夫をしなくても、これらの図面をもとにその他の図面を容易に取得できることが明白である。
は本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための方法のフローチャートである。 本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための結果の概略図である。 本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための結果の概略図である。 本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための結果の概略図である。 本発明の実施例に係るネットワークにおけるトラフィックの異常を検出するための装置の構造図である。 本発明の実施例に係る電子装置の構造図である。
本発明の目的、技術手段と長所をさらに明確にするために、次に図面に合わせて本発明をさらに詳しく説明するが、描述している実施例は本発明の実施例の一部に過ぎず、全部の実施例でないことが明白である。本発明の実施例に基づいて、当領域の普通の技術者が創造的工夫をしなくて取得したその他のすべての実施例は、すべて本発明の保護する範囲に属するものである。
図1に示したように、本発明の実施例はネットワークにおけるトラフィックの異常を検出するための方法のフローチャートを提供し、具体的な実現方法は次のステップを備える。
ステップS101において、所定期間内にネットワーク監視ノードによって生成されたNetflowを取得する。
ステップS102において、前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成する。
ステップS103において、それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定する。ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含む。
ステップS104において、第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するここで、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルとの間の夾角の正弦である。前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定する。
ステップS105において、それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定する。
上述のステップは通常、ネットワークデータフロー(NetFlow)の診断ツールによって実行され、ここで、ネットワーク監視ノードは通常それぞれのルータあるいは交換機を指しており、ステップS101において、一般的にはコレクターを利用してそれぞれのルータあるいは交換機のNetFlow(ネットワークにおけるデータフロー)のデータを採集し、それから採集したデータフローをサーバーに格納して、種々のNetFlowデータ診断ツールを利用してNetflowに対する更なる処理を行う。
Netflow自身は主に1式のネットワークにおけるトラフィック統計プロトコルで、ルータはソースIPアドレス、ソースポート番号、宛先IPアドレス、宛先ポート番号、プロトコルのタイプ、サーバーのタイプおよび入力インタフェースなどの制御情報を通じてNetflowを区分する。あらゆる時間においてルータが新しいデータパケットを受けた時、ルータはデータフロー中のこれらの制御情報を精査して当該データパケットがあらゆる登録済みのNetflowに属しているかどうかを判断し、属している場合、新しく収集したデータパケットの関連情報を相応のNetflow記録に統合し、属していない場合、新しい記録を作成する。
ステップS102において、Netflowの属性は一般的にソースIPアドレス、ソースポート、宛先IPアドレス、宛先ポートおよびトランスポートプロトコルの5つの属性を指しており、この5つの属性を含むデータパケットがフローを生成し、例えば(192.168.1.1、10000、121.14.88.76、80)は、IPアドレス192.168.1.1の端末がポート10000を通して、TCPプロトコルを利用して、IPアドレス121.14.88.76、ポート80の端末と接続して、以上の5つの属性によって唯一の会話を確定することができることを表す。
上述のステップにおいて、時系列自身がベクトルの形式で表され、時系列ベクトルは一連のデータ要素からなる順序集合であり、これらのデータ要素自身は記録時刻と記録値によって構成されており、
Figure 0006850902
と記し、ここで、
要素
Figure 0006850902
はt時刻で取得した記録値がvであることを表し、ここの記録時刻tは厳格に単調で増加するものであり、すなわち時間の前進につれて、それぞれのデータを絶えずに累積し、|X|は時系列ベクトルXのノルムと称し、時系列の長さを表す。広義の時系列にとっては、記録値vは離散記号、構造化データ、マルチメディアデータなどであってもよく、狭義の時系列にとっては、記録値vは実数型である。
例えば、NetFlowデータ収集ソフトウェアは1時間内のフローを採集し、それからサーバーに格納して、さらにNetFlowデータ診断ツールはサーバーから連続して格納した10時間のNetflowを取得して、得られたNetflowに対して1時間をタイムスパンとして集約し、10個の集約期間のNetflowを得て、それからそれぞれのNetflowの3つの属性(ソースIPアドレス、ソースポート、トランスポート層のプロトコル)の3つの時系列を生成し、このようにして、属性元IPアドレスにとっては、10セグメントのNetflowには10本の時系列があり、同一期間のソースIPアドレスに対応する時系列、ソースポートに対応する時系列、トランスポート層のプロトコルに対応する時系列を1つの検知しようとするサンプルに構成すると、10個の検知しようとするサンプルを形成し、そしてそれぞれの検知しようとするサンプルの時系列に対する検知を行えば、異常なサンプルを検出することができる。
さらに、それぞれの検知しようとするサンプルの時系列の検知方法は次の通りである。第1検知しようとするサンプルの第1時系列に対して、式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、前記式1は
Figure 0006850902
である。
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度である。
上例に引き続いて、属性元IPアドレスにとっては、10セグメントのNetflowには10個の時系列があり、仮に第1セグメント検知しようとするサンプルの属性元IPアドレスに関する第1時系列ベクトルをX1、第2セグメント検知しようとするサンプルの属性元IPアドレスに関する時系列ベクトルをX2とした場合、順次に類推すると、第10セグメント検知しようとするサンプルの属性元IPアドレスに関する時系列ベクトルがX10となり、式1を利用して順次にX1とX2、X3…X10の間の角度の非類似度を計算することが可能で、例えば、X1とX2の間の角度の非類似度は
Figure 0006850902
である。
類推すれば、第1時系列ベクトルとその他の9つの時系列との間のベクトル間の角度の非類似度
Figure 0006850902
を計算することができ、同様に、第1検知しようとするサンプルの残余の属性の時系列ベクトルも上述の方法に基づいて順次に角度の非類似度を計算することができ、当然のことながら、その他の9つの検知しようとするサンプルのそれぞれの時系列ベクトルの角度の非類似度は第1検知しようとするサンプルの計算方法と同じなので、ここでその詳細を省略する。
さらに、それぞれの検知しようとするサンプルのそれぞれの時系列の角度の非類似度を得た後、前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成する。
すなわち、上述の第1時系列で計算して得られたこの9つの角度の非類似度
Figure 0006850902
を足して、その和を設定した閾値と比較して、設定した閾値より大きければ、第1時系列が異常時系列で、そうでなければ、正常な時系列である。
さらに、それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
例えば、上述の検知方法に基づいて次の検知結果を得たとする場合、第1検知しようとするサンプルの属性がソースIPアドレスの第1時系列ベクトルであれば異常時系列であり、第1検知しようとするサンプルの属性がソースポートの時系列ベクトルであれば異常時系列であり、第1検知しようとするサンプルの属性がトランスポート層のプロトコルの時系列ベクトルであれば正常な時系列であり、前記第1検知しようとするサンプルの異常時系列の数量が正常な時系列の数量より大きければ、第1検知しようとするサンプルに対応する当該時系列は異常時系列である。
さらに、角度の非類似度を利用して検知するほか、また1クラスSVM分類器に合わせてそれぞれの検知しようとするサンプルの時系列に対する検知を行うことも可能で、検知方法は次の通りである。
第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応するOCSVM(1クラスサポートベクターマシン)の分類器を利用して分類する。
分類結果に基づいて、前記第1時系列に関する第2検知結果を確定する。ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列で、分類結果が同類でなければ、前記第2検知結果が異常時系列である。
前記第1検知結果と前記第2検知結果の加重和を求め、第1時系列の目標検知結果を得る。
それからそれぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
ここで、データ分類とは既に分類されたトレーニングデータをもとに、ある種の原理に基づいて、トレーニングを経て1つの分類器を形成し、それから分類器を使って分類されていないデータの類別を判断することを指す。注意すべきなのは、データがすべてベクトルの形式で現れることである。OCSVMの基本的原理とは、与えられたデータサンプルに対して、カーネル関数Φを通じてそれを高次元特異空間に投影することである。高次元特異空間で1つの最適超平面を求めて目標データと座標原点の最大の分離を実現させる。ここで、座標原点を唯一の異常サンプルとする仮説を立てている。単一類別のデータを用いて1クラスSVM分類器をトレーニングして、それからトレーニング済みの分類器を用いて新しいデータに対する検知を行い、新しいデータがトレーニングデータと同一の類別に属するかどうかを判断する。OCSVMに基づく1分類方法はトレーニング、決定速度が速く、分類の正確率が高いなどの特徴があり、高次元、ノイズの多い環境および限られたサンプルの1分類問題の処理に適合している。OCSVMの1分類区別方法は取得した目標データに基づいてそのエッジを予想して、正しい分類を行うことができる。
本発明の実施例において、前もってM個の過去の同期のサンプルを選んで1つの1クラスSVM分類器をトレーニングして、それからトレーニング済みの分類器を用いて検知しようとするサンプルが異常であるかどうかを判断する。具体的には、前記所定の前記第1属性に対応するSVM分類器は次の方法で生成したものである。
前記所定期間前の過去のNetflowを取得し、前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかである。
第1属性に対応するN個の時系列をトレーニングデータとして、第1属性に関するSVM分類器を生成する。
すなわち、過去のNetflowのそれぞれの属性の時系列を用いて、それぞれの属性に対応するSVM分類器をトレーニングして、このようにして、トレーニング済みのそれぞれの属性のSVM分類器を用いて取得した新しいNetflowに対する検知を行うことができる。ここで、検知方法はまたオンライン検知とオフライン検知に分けられており、オンライン検知は主にリアルタイムでルータなどのネットワーク監視ノードのNetflowを取得して、それからリアルタイムに検知結果を提供し、当然なことながら、このような検知方法のリアルタイム性が比較的強く、もう1つのオフライン検知は主にサーバーに格納された一定時間のNetflowに対する検知を行い、この検知方法は明らかにリアルタイム性が欠けるが、異なる時間の長さの検知を行うことができるため、検知の正確率を高めることができる。
具体的に言えば、場面1、オンライン検知の目的はリアルタイムにシステムの異常フローを発見し、直ちに異常警報を提供することである。オンライン検知はリアルタイム性に対する要求が高いため、オンライン検知中に多種長さと多種粒度の時系列に対する検知を同時に行うことはできない。検知の過程において、まずNetflowデータに基づいて現在の時刻より先T時間窓の時系列を生成し、当該系列に対する異常検知分析を行うが、検知方法は上述の通りである。場面2、オフライン検知はオンライン検知に対する補充である。オンライン検知にリアルタイム性の要求があるため、検知の過程において検査漏れの情況があり得る。そのため、過去のデータに対するオフライン検知を行う必要がある。オフライン検知の過程において、多種長さと多種粒子の時系列を生成することが可能で、かつより多くの過去の同期の時系列を用いて非類似度を計算したり分類器をトレーニングしたりすることもできる。
次の異常検知事例は、イントラネット環境のNetflowデータに対する検知を行ったものである。本発明の実施例において、ネットワークの1つのキーノードに対して、それをソースIPのアクセス回数、各フローの持続時間、伝送したデータパケットの数量の3つのフィルードとすることを考慮して、それぞれの検知しようとするサンプルは3つの時系列を含む。与えられた時刻にとっては、上述の方法に基づいて時系列を生成し、ここで、T=24時間、Δt=1時間、M=10である。すべての10本の時系列において、第8本目の系列は異常系列で、残りは正常な系列である。角度異常の検知方法において、上述の角度の非類似度の計算方法に基づいて時系列の角度の非類似度を計算する。計算結果は図2a、図2b、図2cに示した通りである。図2a、図2b、図2cから、第8グループの3本の時系列の非類似度の和はその他の系列よりはるかに高いため、第8グループの時系列に対応するNetflowには異常な情況があることがわかる。1クラスSVM方法において、正常な系列で分類器をトレーニングし、そして異常系列に対する検知を行い、その検知結果は実際とも合致している。
同様な発明思想に基づいて、本発明の実施例はまたネットワークにおけるトラフィックの異常を検出するための装置を提供し、当該装置は上述の方法の実施例を実行することができる。本発明実施例が提供した装置は図3示した通りで、取得ユニット301、処理ユニット302、確定ユニット303、計算ユニット304、および検知ユニット305を備える。
前記取得ユニット301は、所定期間内にネットワーク監視ノードによって生成されたNetflowを取得するのに用いる。
前記処理ユニット302は、前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するのに用いる。
前記確定ユニット303は、それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するのに用い、ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含む。
前記計算ユニット304は、第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するのに用い、ここで、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかで、前記第1属性は前記Netflowの属性のうちのいずれかで、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルの間の夾角の正弦である。
前記検知ユニット305は、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するのに用いる。
さらに、前記検知ユニット305は、
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルの異常時系列は検知しようとするサンプルの正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
さらに、前記計算ユニット304は、
式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算するのに用いる。
前記式1は
Figure 0006850902
である。
ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度である。
さらに、それはまた第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類するための分類ユニット306を備える。
前記検知ユニット305は、また分類結果に基づいて、前記第1時系列に関する第2検知結果を確定するのに用い、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得る。それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
さらに、それはまた次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成するのに用いる1クラスSVM分類器生成ユニット307を備える。
前記1クラスSVM分類器生成ユニット307は、
前記所定期間前の過去のNetflowを取得する。
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかである。
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
上述したように、本発明の実施例が採用しているのは多次元時系列に対する異常検知を行うもので、次元とはNetflowのそれぞれの属性を指し、例えばソースIPアドレス、ソースポート番号、宛先IPアドレス、宛先ポート番号など、角度の非類似度の方法を利用して各セグメントのNetflowの同一属性の時系列の類似性の分析を通じて、そのなかの異常系列を探し出し、角度の非類似度が時系列ベクトル間の夾角の正弦であるため、装置のクロックが完全にシンクロナイズしなくても、検知結果の偏差を招くことはなく、そのため本発明の実施例に係るネットワーク異常データフローの検知方法で得られた検知結果がさらに正確となり、このようにすれば、タイムリーで、迅速にネットワークの異常行為を発見し、ネットワーク攻撃に対する効果的な検知を行うことができる。
本願は本発明実施例の手段、装置(システム)およびコンピュータプログラム製品のフローチャートと/あるいはブロック図を参照して描述したものである。コンピュータプログラム命令でフローチャートと/あるいはブロック図のなかのそれぞれのチャートと/あるいはブロック、ならびにフローチャートと/あるいはブロック図のなかのチャートと/あるいはブロックの組み合わせを実現することができると理解すべきである。これらのコンピュータプログラム命令を汎用コンピュータ、専用コンピュータ、組み込み式処理機あるいはその他のプログラミングできるデータ処理装置のプロセッサーに提供することによって一つの機器を生成させ、コンピュータあるいはその他のプログラミングできるデータ処理装置のプロセッサーが実行する命令を通じてフローチャート1つあるいは複数のチャートと/あるいはブロック図1つあるいは複数のブロックに指定された機能に用いる装置を形成させる。
これらのコンピュータプログラム命令はコンピュータあるいはその他のプログラミングできるデータ処理装置を誘導して特定の方式で働くコンピュータが読み取り可能なメモリのなかに格納することも可能で、当該コンピュータが読み取り可能なメモリのなかに格納された命令にコマンド装置を含む製造品を形成させ、当該コマンド装置はフローチャート1つあるいは複数のチャートと/あるいはブロック図1つあるいは複数のブロックに指定された機能を実現する。
これらのコンピュータプログラム命令はコンピュータあるいはその他のプログラミングできる処理装置に搭載することも可能で、コンピュータあるいはその他のプログラミングできる装置の上で一連の操作ステップを実行させてコンピュータで実現する処理を形成させることによって、コンピュータあるいはその他のプログラミングできる装置の上で実行する命令にフローチャート1つあるいは複数のチャートと/あるいはブロック図1つあるいは複数のブロックに指定された機能を実現するのに用いるステップを提供させる。
同様な発明思想に基づいて、本願の実施例はもう一種の電子装置を提供する。図4は本発明が提供した電子装置の構造概略図で、当該電子装置400は、通信用インタフェース401、プロセッサー402、メモリ403とバスシステム404を含む。
ここで、メモリ403は、プログラムを格納するのに用いる。具体的には、プログラムはプログラムコードを含んでもよく、プログラムコードはコンピュータの操作命令を含む。メモリ403はランダムアクセス記憶媒体(random access memory、略称RAM)であってもよく、不揮発性メモリ(non−volatile memory)であってもよいが、少なくとも1つのディスクのようなメモリである。図の中に1つのメモリしか示していないが、当然なことながら、メモリは必要に応じて、複数個を設けることもできる。メモリ403はプロセッサー402の中のメモリであってもよい。
メモリ403は次の要素を格納しており、モジュールあるいはデータ構造、あるいはそれらの部分集合、あるいはそれらの上位集合を実行することができる、
操作命令は、各種の操作命令を含み、各種の操作を実現するのに用いる。
操作システムは、各種のシステムプログラムを含み、各種の基礎的業務の実現およびハードウエアに基づく任務を処理するのに用いる。
上述した本願の実施例が掲示した方法はプロセッサー402に応用するか、あるいはプロセッサー402で実現することができる。プロセッサー402はICチップであってもよく、信号の処理能力がある。実現の過程において、前記方法の各ステップはプロセッサー402のハードウエアの集積論理回路あるいはソフトウェア形式の命令を通じて完成することができる。上述のプロセッサー402は汎用プロセッサー、デジタル・シグナル・プロセッサー(DSP)、エーシック(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)あるいはその他プログラマブルロジック装置、ディスクリートゲートあるいはトランジスターロジック装置、ディスクリートハードウエアモジュールであってもよい。本願の実施例が公開した各種の方法、ステップおよびロジックブロックダイアグラムを実現または実行することができる。汎用プロセッサーはマイクロ・プロセッサであってもよく、あるいは当該プロセッサーはあらゆる常用プロセッサーなどであってもよい。本願の実施例が公開した方法のステップに合わせて直接ハードウエアディコーディングプロセッサーに体現して実行するか、あるいはディコーディングプロセッサーの中のハードウエアとソフトウェアモジュールの組み合わせで実行して完成することができる。ソフトウェアモジュールはランダムアクセス記憶媒体、フラッシュ記憶媒体、読み出し専用メモリ、プログラマブル読み出し専用メモリあるいはイーイープロム、レジスターなど当該領域の成熟した記憶媒体の中にあってもよい。当該記憶媒体のメモリ403、プロセッサー402、読み出し専用メモリ403の中にある情報は、そのハードウエアと合わせて以下のステップを実行する。
プロセッサー402は通信用インタフェース401を通じて、ネットワーク監視ノードの期間内で生成したNetflowを取得し、
前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、プロセッサー402は前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成する。
プロセッサー402はそれぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定し、ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
第1検知しようとするサンプルの第1属性に対応する第1時系列に対応して、プロセッサー402は前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、ここで、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかで、前記第1属性は前記Netflowの属性のうちのいずれかで、それぞれの角度の非類似度は前記第1時系列ベクトルと前記第2時系列ベクトルとの間の夾角の正弦で、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、
それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定する。
好ましくは、前記プロセッサー402は具体的に次のように用いる。
前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
好ましくは、前記プロセッサー402は具体的には、式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算するのに用いる。
さらに、前記プロセッサー402は具体的に次のように用いる。第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、
分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
前記第1検知結果と前記第2検知結果の加重和を求め、第1時系列の目標検知結果を得て、
それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローである。
好ましくは、前記プロセッサー402は具体的に次のように用いる。
次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成し、
前記通信用インタフェースを通じて前記所定期間前の過去のNetflowを取得し、
前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかで、
第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成する。
本発明の実施例の電子装置は多様な形式で存在しており、次を含むが、それに限るものではない。
(1)移動通信装置:これらの装置の特徴は移動通信機能を備えており、かつ音声、データ通信を提供することを主な目標としている。これらの装置にはスマートフォン(例えばiPhone(登録商標))、マルチメディア携帯電話、機能性携帯電話および低価携帯などが含まれる。
(2)ウルトラモバイルパソコン装置:これらの装置はパソコンの範疇に属し、計算と処理機能のほか、一般的にはインターネットに接続する機能も備えている。これらの端末にはPDA、MIDおよびUMPCなどが含まれ、例えばiPad(登録商標)。
(3)ポータブルレクリエーション装置:これらの装置はマルチメディアの内容を表示したり、放映したりすることができる。これらの装置はオーディオ、ビデオプレーヤー(例えばiPod(登録商標))、携帯ゲーム機、電子書籍および知能玩具とポータブルカーナビゲーション装置を含む。
(4)サーバー:計算サービスを提供する装置で、サーバーの構成としてはプロセッサー、ハードディスク、メモリ、システムバスなどを含み、サーバーと通用コンピュータアーキーテクチャと類似しているが、高い信頼性のサービスを提供しなければならないため、処理能力、安定性、信頼性、安全性、拡張性能、管理の易さなどの面において高い性能が求められる。
(5)その他のデータ交換機能を有する電子装置。
当該領域の技術者は上述の実施例の方法の全部あるいは一部分のステップを実現するにはプログラムを通じて関連のハードウエアに命令して完成させることができると理解してもよく、当該プログラムは1つの記憶媒体に格納しており、いくつかの命令を含んで1つの装置(マイクロコントローラ、あるいはチップなどでもよい)あるいはプロセッサー(processor)に本願のそれぞれの実施例の方法の全部あるいは一部分のステップを実行させるのに用いる。上述の記憶媒体はUSB記憶媒体、ポータブルハードディスク、読み出し専用メモリ(ROM、Read−Only Memory)、ランダムアクセス記憶媒体(RAM、Random Access Memory)、ディスクあるいは光ディスクなど各種プログラムコードを格納できる媒質を含む。
そのほか、本発明は非一過性コンピュータの記憶媒体を提供し、前記非一過性コンピュータが読み取り可能な記憶媒体にはコンピュータ命令が格納されており、前記コンピュータ命令は前記コンピュータに上述任一つの意項目のネットワークにおけるトラフィックの異常を検出するための方法を実行させるのに用いる。
そのほか、本発明はコンピュータプログラム製品を提供し、前記コンピュータプログラム製品は非一過性コンピュータが読み取り可能な記憶媒体に格納されたコンピュータプログラムを含み、前記コンピュータプログラムはプログラム命令を含み、前記プログラム命令がコンピュータによって実行される場合、前記コンピュータが上述の任意一つの項目の前記ネットワークにおけるトラフィックの異常を検出するための方法を実行する。
本発明の好ましい実施例について描述してきたが、当該領域の技術者は一旦基本的創造理念を知っておけば、これらの実施例を変更したり修正したりすることが可能である。そのため、本願の権利請求は好ましい実施例および本願の請求範囲に羅列された如何なる変更と修正をも含むことと解釈すべきである。
当然なことながら、当該領域の技術者は本願の精神と範囲を逸脱しない限り本願に対する種々の補正と変更を行うことができる。このように、本願のこれらの補正と変更は本願の権利請求および同等の技術範囲内に属するものであれば、本願はこれらの変更と変更をも含むことを意図する。

Claims (17)

  1. 所定期間内にネットワーク監視ノードによって生成されたNetflowを取得するステップと、
    前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するステップと、
    それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するステップと、
    第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定するステップと、
    それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するステップとを備え、
    前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
    前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は第1時系列ベクトルと第2時系列ベクトルとの間の夾角の正弦であることを特徴とする、ネットワークにおけるトラフィックの異常を検出するための方法。
  2. 前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定するステップでは、
    前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
    前記それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記検知しようとするサンプルが異常データフローであるかどうかを確定するステップでは、
    それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを含むことを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
  3. 前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するステップでは、
    式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、
    前記式1は
    Figure 0006850902
    であり、
    ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度であることを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
  4. 第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、
    分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
    前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、
    前記それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記検知しようとするサンプルが異常データフローであるかどうかを確定するステップでは、
    それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
  5. 前記所定の第1属性に対応する1クラスSVM分類器は次の方法に基づいて生成したものであり、
    前記所定期間前の過去のNetflowを取得し、
    前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
    第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成することを特徴とする、請求項1に記載のネットワークにおけるトラフィックの異常を検出するための方法。
  6. 所定期間内にネットワーク監視ノードによって生成されたNetflowを取得するための取得ユニットと、
    前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成するための処理ユニットと、
    それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定するための確定ユニットであって、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含む前記確定ユニットと、
    第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算するための計算ユニットであって、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は第1時系列ベクトルと第2時系列ベクトルとの間の夾角の正弦である前記計算ユニットと、
    前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定するための検知ユニットとを備えることを特徴とする、ネットワークにおけるトラフィックの異常を検出するための装置。
  7. 前記検知ユニットは、
    前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
    それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
  8. 前記計算ユニットは、
    式1に基づいて、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性がそれぞれ対応しているN−1個の第2時系列との間のN−1個の角度の非類似度を計算するのに用い、
    前記式1は
    Figure 0006850902
    であり、
    ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度であることを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
  9. 第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類するための分類ユニットをさらに備え、
    前記検知ユニットは、分類結果に基づいて前記第1時系列に関する第2検知結果を確定するに用い、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常な時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
  10. 次の方法で前記所定の前記第1属性に対応する1クラスSVM分類器を生成するのに用いる1クラスSVM分類器生成ユニットをさらに備え、
    前記所定期間前の過去のNetflowを取得し、
    前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
    第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成することを特徴とする、請求項6に記載のネットワークにおけるトラフィックの異常を検出するための装置。
  11. 通信用インタフェース、プロセッサーおよびメモリを含み、
    前記プロセッサーはメモリに格納された命令を読み出し、前記通信用インタフェースを通じて所定期間内にネットワーク監視ノードによって生成されたたNetflowを取得し、
    前記Netflowのうちのいずれかの属性に対して、前記いずれかの属性に基づいて、前記Netflowを所定の時間間隔で集約し、前記いずれかの属性に関するN個の時系列を生成し、
    それぞれの属性に対応するそれぞれのN個の時系列に基づいて、前記Netflowに対応するN個の検知しようとするサンプルを確定し、ここで、前記それぞれの検知しようとするサンプルは同じ集約期間内のそれぞれの属性に対応する時系列を含み、
    第1検知しようとするサンプルの第1属性に対応する第1時系列に対して、前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれの角度の非類似度を計算し、前記第1検知しようとするサンプルはN個の検知しようとするサンプルのうちのいずれかであり、前記第1属性は前記Netflowの属性のうちのいずれかであり、それぞれの角度の非類似度は第1時系列ベクトルと第2時系列ベクトルとの間の夾角の正弦であり、前記第1時系列に対応するN−1個の角度の非類似度に基づいて、前記第1時系列に関する第1検知結果を確定し、
    それぞれの検知しようとするサンプルのそれぞれの時系列の検知結果に基づいて、前記それぞれの検知しようとするサンプルが異常データフローであるかどうかを確定することを特徴とする、電子装置。
  12. 前記プロセッサーは、
    前記第1時系列に対応するN−1個の角度の非類似度の総計が設定した閾値より大きいかどうかを判断して、大きければ、前記第1時系列が異常時系列である第1検知結果を生成し、そうでなければ、前記第1時系列が正常時系列である第1検知結果を生成し、
    それぞれの検知しようとするサンプルの異常時系列の数量が前記検知しようとするサンプルの正常時系列の数量より多いかどうかを確定し、多ければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであるように用いることを特徴とする、請求項11に記載の電子装置。
  13. 前記プロセッサーは、
    式1に基づいて前記第1時系列と残余のN−1個の検知しようとするサンプルの前記第1属性に対応するN−1個の第2時系列との間のそれぞれのN−1個の角度の非類似度を計算し、
    前記式1は
    Figure 0006850902
    であり、
    ここで、xは第1時系列ベクトルであり、yは第2時系列ベクトルであり、θxyは時系列ベクトル間の角度であり、前記sinθxyは角度の非類似度であることを特徴とする、請求項11に記載の電子装置。
  14. 前記プロセッサーは、
    第1検知しようとするサンプルの第1属性に対応する第1時系列を、所定の前記第1属性に対応する1クラスSVM分類器を用いて分類し、
    分類結果に基づいて、前記第1時系列に関する第2検知結果を確定し、ここで、分類結果が同類であれば、前記第2検知結果が正常な時系列であり、分類結果が同類でなければ、前記第2検知結果が異常時系列であり、
    前記第1検知結果と前記第2検知結果の加重和を求め、前記第1時系列の目標検知結果を得て、
    それぞれの検知しようとするサンプルのそれぞれの時系列に対応する目標検知結果の異常時系列が正常時系列より大きいかどうかを確定し、大きければ、前記検知しようとするサンプルが異常データフローであり、そうでなければ、正常なデータフローであることを特徴とする、請求項11に記載した電子装置。
  15. 前記プロセッサーは、
    次の方法に基づいて前記所定の前記第1属性に対応する1クラスSVM分類器を生成し、
    前記通信用インタフェースを通じて前記所定期間前の過去のNetflowを取得し、
    前記過去のNetflowの第1属性に対して、前記第1属性に基づいて、前記過去のNetflowを所定の時間間隔で集約し、前記第1属性に関するN個の時系列を生成し、前記第1属性は前記Netflowの属性のうちのいずれかであり、
    第1属性に対応するN個の時系列をトレーニングデータとして、前記第1属性に関する1クラスSVM分類器を生成することを特徴とする、請求項11に記載した電子装置。
  16. 非一過性コンピュータが読み取り可能な記憶媒体にコンピュータによって実行可能な命令を格納し、前記コンピュータによって実行可能な命令は前記コンピュータに請求項1ないし請求項5のいずれかに記載の前記方法を実行させることを特徴とする、非一過性コンピュータ記憶媒体。
  17. 非一過性コンピュータが読み取り可能な記憶媒体に格納したコンピュータプログラムを含み、前記コンピュータプログラムは前記コンピュータによって実行可能な命令を含み、前記コンピュータによって実行可能な命令がコンピュータによって実行された場合、前記コンピュータに請求項1ないし請求項5のいずれかに記載の前記方法を実行させることを特徴とする、コンピュータプログラム製品。
JP2019552323A 2016-12-29 2017-11-27 ネットワークにおけるトラフィックの異常を検出するための方法および装置 Active JP6850902B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201611246751.7 2016-12-29
CN201611246751.7A CN106506556B (zh) 2016-12-29 2016-12-29 一种网络流量异常检测方法及装置
PCT/CN2017/113217 WO2018121157A1 (zh) 2016-12-29 2017-11-27 一种网络流量异常检测方法及装置

Publications (2)

Publication Number Publication Date
JP2020501476A JP2020501476A (ja) 2020-01-16
JP6850902B2 true JP6850902B2 (ja) 2021-03-31

Family

ID=58334725

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019552323A Active JP6850902B2 (ja) 2016-12-29 2017-11-27 ネットワークにおけるトラフィックの異常を検出するための方法および装置

Country Status (4)

Country Link
US (1) US11451566B2 (ja)
JP (1) JP6850902B2 (ja)
CN (1) CN106506556B (ja)
WO (1) WO2018121157A1 (ja)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506556B (zh) * 2016-12-29 2019-11-19 北京神州绿盟信息安全科技股份有限公司 一种网络流量异常检测方法及装置
CN108874813B (zh) * 2017-05-10 2022-07-29 腾讯科技(北京)有限公司 一种信息处理方法、装置及存储介质
CN107547543A (zh) * 2017-05-26 2018-01-05 四川紫皓云端科技有限责任公司 一种网络异常行为的识别方法及装置
CN107204991A (zh) * 2017-07-06 2017-09-26 深信服科技股份有限公司 一种服务器异常检测方法及系统
CN107682319B (zh) * 2017-09-13 2020-07-03 桂林电子科技大学 一种基于增强型角度异常因子的数据流异常检测及多重验证的方法
CN108566340B (zh) * 2018-02-05 2021-03-09 中国科学院信息工程研究所 基于动态时间规整算法的网络流量精细化分类方法和装置
US10999304B2 (en) * 2018-04-11 2021-05-04 Palo Alto Networks (Israel Analytics) Ltd. Bind shell attack detection
CN109462521B (zh) * 2018-11-26 2020-11-20 华北电力大学 一种适用于源网荷互动工控系统的网络流量异常检测方法
CN109634767A (zh) * 2018-12-06 2019-04-16 北京字节跳动网络技术有限公司 用于检测信息的方法和装置
CN109617885B (zh) * 2018-12-20 2021-04-16 北京神州绿盟信息安全科技股份有限公司 攻陷主机自动判定方法、装置、电子设备及存储介质
US11093310B2 (en) * 2018-12-31 2021-08-17 Paypal, Inc. Flow based pattern intelligent monitoring system
US11070569B2 (en) 2019-01-30 2021-07-20 Palo Alto Networks (Israel Analytics) Ltd. Detecting outlier pairs of scanned ports
US11316872B2 (en) 2019-01-30 2022-04-26 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using port profiles
US11184378B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection
US11184376B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Port scan detection using destination profiles
US11184377B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using source profiles
CN110807468B (zh) * 2019-09-19 2023-06-20 平安科技(深圳)有限公司 检测异常邮件的方法、装置、设备和存储介质
CN110753053B (zh) * 2019-10-22 2021-07-20 北京鼎兴达信息科技股份有限公司 一种基于大数据分析的流量异常预判方法
CN110943974B (zh) * 2019-11-06 2022-08-02 国网上海市电力公司 一种DDoS异常检测方法及云平台主机
CN113132301B (zh) * 2019-12-30 2022-07-08 腾讯科技(深圳)有限公司 异常数据汇集的检测方法、装置和计算机存储介质
CN111476610B (zh) * 2020-04-16 2023-06-09 腾讯科技(深圳)有限公司 一种信息检测方法、装置及计算机可读存储介质
WO2021243663A1 (zh) * 2020-06-04 2021-12-09 深圳市欢太科技有限公司 一种会话检测方法、装置、检测设备及计算机存储介质
CN112165471B (zh) * 2020-09-22 2022-05-24 杭州安恒信息技术股份有限公司 一种工控系统流量异常检测方法、装置、设备及介质
US11509680B2 (en) 2020-09-30 2022-11-22 Palo Alto Networks (Israel Analytics) Ltd. Classification of cyber-alerts into security incidents
CN112468452B (zh) * 2020-11-10 2023-06-02 深圳市欢太科技有限公司 流量检测方法及装置、电子设备、计算机可读存储介质
CN112529678B (zh) * 2020-12-23 2023-06-23 华南理工大学 一种基于自监督判别式网络的金融指数时序异常检测方法
CN112597539A (zh) * 2020-12-28 2021-04-02 上海观安信息技术股份有限公司 一种基于无监督学习的时间序列异常检测方法及系统
CN112686330B (zh) * 2021-01-07 2024-05-31 中国农业银行股份有限公司 Kpi异常数据检测方法及装置、存储介质及电子设备
CN112765324B (zh) * 2021-01-25 2022-12-23 四川虹微技术有限公司 一种概念漂移检测方法及装置
US20220345389A1 (en) * 2021-04-23 2022-10-27 Clockwork Systems, Inc. Clock-synchronized edge-based network functions
CN113127716B (zh) * 2021-04-29 2023-07-28 南京大学 一种基于显著性图的情感时间序列异常检测方法
CN113343587A (zh) * 2021-07-01 2021-09-03 国网湖南省电力有限公司 用于电力工控网络的流量异常检测方法
CN113422785B (zh) * 2021-08-20 2021-11-09 北京生泰尔科技股份有限公司 基于网络流量的恶意攻击检测方法、系统和可读存储介质
US12039017B2 (en) 2021-10-20 2024-07-16 Palo Alto Networks (Israel Analytics) Ltd. User entity normalization and association
CN114205855A (zh) * 2021-10-25 2022-03-18 国网天津市电力公司电力科学研究院 一种面向5g切片的馈线自动化业务网络异常检测方法
CN114257553B (zh) * 2021-12-21 2024-06-07 科大讯飞股份有限公司 流量检测方法、装置、电子设备和存储介质
US11799880B2 (en) 2022-01-10 2023-10-24 Palo Alto Networks (Israel Analytics) Ltd. Network adaptive alert prioritization system
CN114629695A (zh) * 2022-02-28 2022-06-14 天翼安全科技有限公司 一种网络异常检测方法、装置、设备和介质
CN114726749B (zh) * 2022-03-02 2023-10-31 阿里巴巴(中国)有限公司 数据异常检测模型获取方法、装置、设备及介质
CN114978956B (zh) * 2022-04-11 2024-04-09 北京邮电大学 智慧城市网络设备性能异常突变点检测方法及装置
CN115277464B (zh) * 2022-05-13 2023-06-02 清华大学 基于多维时间序列分析的云网络变更流量异常检测方法、装置及存储介质
CN114816825B (zh) * 2022-06-23 2022-09-09 光谷技术有限公司 一种物联网网关数据纠错方法
CN115118511B (zh) * 2022-06-29 2024-06-18 北京奇艺世纪科技有限公司 异常流量识别方法、装置、电子设备及存储介质
CN115174254B (zh) * 2022-07-22 2023-10-31 科来网络技术股份有限公司 流量异常告警方法、装置、电子设备及存储介质
CN115146174B (zh) * 2022-07-26 2023-06-09 北京永信至诚科技股份有限公司 基于多维权重模型的重点线索推荐方法及系统
CN115567322B (zh) * 2022-11-15 2023-03-10 成都数默科技有限公司 一种基于tcp服务开放端口识别异常通信的方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030097439A1 (en) * 2000-10-23 2003-05-22 Strayer William Timothy Systems and methods for identifying anomalies in network data streams
US20030236995A1 (en) * 2002-06-21 2003-12-25 Fretwell Lyman Jefferson Method and apparatus for facilitating detection of network intrusion
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US8065722B2 (en) * 2005-03-21 2011-11-22 Wisconsin Alumni Research Foundation Semantically-aware network intrusion signature generator
WO2010076832A1 (en) * 2008-12-31 2010-07-08 Telecom Italia S.P.A. Anomaly detection for packet-based networks
CN101848160B (zh) * 2010-05-26 2012-07-18 钱叶魁 在线检测和分类全网络流量异常的方法
US9038172B2 (en) * 2011-05-06 2015-05-19 The Penn State Research Foundation Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows
CN103368979B (zh) * 2013-08-08 2015-02-04 电子科技大学 一种基于改进K-means算法的网络安全性验证装置
CN103488878B (zh) * 2013-09-09 2016-08-24 重庆大学 基于向量相似性的交通流时间序列变点识别方法
CN104394021B (zh) * 2014-12-09 2017-08-25 中南大学 基于可视化聚类的网络流量异常分析方法
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US9985982B1 (en) * 2015-12-21 2018-05-29 Cisco Technology, Inc. Method and apparatus for aggregating indicators of compromise for use in network security
JP6535809B2 (ja) * 2016-03-24 2019-06-26 株式会社日立製作所 異常検出装置、異常検出システム、及び、異常検出方法
CN106506556B (zh) * 2016-12-29 2019-11-19 北京神州绿盟信息安全科技股份有限公司 一种网络流量异常检测方法及装置

Also Published As

Publication number Publication date
CN106506556A (zh) 2017-03-15
US20200007566A1 (en) 2020-01-02
CN106506556B (zh) 2019-11-19
US11451566B2 (en) 2022-09-20
WO2018121157A1 (zh) 2018-07-05
JP2020501476A (ja) 2020-01-16

Similar Documents

Publication Publication Date Title
JP6850902B2 (ja) ネットワークにおけるトラフィックの異常を検出するための方法および装置
US9275224B2 (en) Apparatus and method for improving detection performance of intrusion detection system
CN107666410B (zh) 网络安全分析系统及方法
Tan et al. Detection of denial-of-service attacks based on computer vision techniques
US9386030B2 (en) System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
CN107360145B (zh) 一种多节点蜜罐系统及其数据分析方法
CN107968791B (zh) 一种攻击报文的检测方法及装置
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN113486334A (zh) 网络攻击预测方法、装置、电子设备及存储介质
CN113645232A (zh) 一种面向工业互联网的智能化流量监测方法、系统及存储介质
Al-Ghuwairi et al. Intrusion detection in cloud computing based on time series anomalies utilizing machine learning
CN109413071A (zh) 一种异常流量检测方法及装置
Gupta An effective model for anomaly IDS to improve the efficiency
Wang et al. An intrusion detection method based on log sequence clustering of honeypot for modbus tcp protocol
CN103154884A (zh) 模式检测
CN115270954A (zh) 基于异常节点识别的无监督的apt攻击检测方法和系统
US20170149812A1 (en) Suspicious network traffic identification method and apparatus
CN118041699A (zh) 一种基于人工智能的网络入侵定位系统
CN112291239B (zh) 一种面向scada系统的网络物理模型及其入侵检测方法
Whalen et al. Hidden markov models for automated protocol learning
CN116055092A (zh) 一种隐蔽隧道攻击行为检测方法和装置
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN110808915B (zh) 数据流所属应用识别方法、装置及数据处理设备
Kenaza et al. Adaptive SVDD-based learning for false alarm reduction in intrusion detection
Rakshe et al. Anomaly based network intrusion detection using machine learning techniques

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190612

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200525

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200623

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200923

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210308

R150 Certificate of patent or registration of utility model

Ref document number: 6850902

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250