一种流量监测方法、装置、终端及存储介质制造方法及图纸

本发明专利技术公开了一种流量监测方法、装置、终端及存储介质，所述方法通过获取预先构建的标准活动键值集合，其中，标准活动键值集合中包括若干标准活动键值，若干标准活动键值分别对应目标系统中不同活动特征的标准流量的聚类集合；获取目标系统中的待检测流量，将待检测流量映射为待检测活动键值；根据标准活动键值集合和待检测活动键值，判断待检测流量是否为异常流量，其中，异常流量为不符合任意一种标准流量的活动特征的流量。本发明专利技术通过对系统中的流量进行监测，能够及时发现系统中不符合标准流量的活动特征的异常流量特征，解决了现有技术中物联网通过固件/软件更新来维持网络安全，难以有效降低网络被攻击的风险的问题。难以有效降低网络被攻击的风险的问题。难以有效降低网络被攻击的风险的问题。

【技术实现步骤摘要】
一种流量监测方法、装置、终端及存储介质


[0001]本专利技术涉及数据处理领域，尤其涉及的是一种流量监测方法、装置、终端及存储介质。

技术介绍

[0002]物联网设备在2029年全球的连接数量将达到58亿。然而，物联网安全问题依然严峻。由于物联网制造商更倾向于产品的功能提升而不是安全性加固，物联网设备会暴露更多的攻击平面，使物联网生态成为了恶意软件传播的极佳土壤。为了应对这种威胁，及时的固件/软件更新是一种最直接的解决方案，然而并不是所有的制造商都会及时提供更新，并且一部分更新无法适配老旧设备。此外，物联网消费者往往使用弱配置，例如使用默认密码、高危端口等，从而也会增加其设备被攻击的风险。
[0003]因此，现有技术还有待改进和发展。

技术实现思路

[0004]本专利技术要解决的技术问题在于，针对现有技术的上述缺陷，提供一种流量监测方法、装置、终端及存储介质，旨在解决现有技术中物联网通过固件/软件更新来维持网络安全，难以有效降低网络被攻击的风险的问题。
[0005]本专利技术解决问题所采用的技术方案如下：
[0006]第一方面，本专利技术实施例提供一种流量监测方法，其中，所述方法包括：
[0007]获取预先构建的标准活动键值集合，其中，所述标准活动键值集合中包括若干标准活动键值，若干所述标准活动键值分别对应目标系统中不同活动特征的标准流量的聚类集合；
[0008]获取所述目标系统中的待检测流量，将所述待检测流量映射为待检测活动键值；
[0009]根据所述标准活动键值集合和所述待检测活动键值，判断所述待检测流量是否为异常流量，其中，所述异常流量为不符合任意一种所述标准流量的活动特征的流量。
[0010]在一种实施方式中，所述获取预先构建的标准活动键值集合，包括：
[0011]获取所述目标系统中在预设时间段内的网络流量，将所述网络流量分为若干流量数据；
[0012]获取预设的层级分类结构和若干所述流量数据分别对应的会话参数；
[0013]根据所述层级分类结构和若干所述流量数据分别对应的所述会话参数，对若干所述流量数据进行聚类，得到若干哈希表，其中，每一所述哈希表包括若干键值对，每一所述键值对用于反映一个所述流量数据和所述流量数据对应的特征结构体；
[0014]对每一所述哈希表对应的键值列表进行聚类，得到每一所述哈希表对应的目标键值集合；
[0015]根据若干所述哈希表分别对应的所述目标键值集合构建所述标准活动键值集合。
[0016]在一种实施方式中，所述会话参数包括：协议号，地址，源端口以及目的端口；所述
层级分类结构为第一层基于所述协议号进行分类，第二层基于所述地址进行分类，第三层基于所述源端口进行分类，第四层基于所述目的端口进行分类。
[0017]在一种实施方式中，每一所述键值的生成过程，包括：
[0018]获取每一所述流量数据对应的包参数，其中，所述包参数用于反映所述流量数据对应的数据包的特征；
[0019]根据每一所述流量数据对应的所述包参数，生成每一所述流量数据对应的所述特征结构体；
[0020]根据每一所述流量数据对应的所述特征结构体，生成每一所述流量数据对应的所述哈希表中的一个所述键值。
[0021]在一种实施方式中，所述特征结构体包括包个数的线性和，包到达间隔的线性和，包的方向，包长的集合。
[0022]在一种实施方式中，所述对每一所述哈希表对应的键值列表进行聚类，包括：
[0023]根据每一所述哈希表对应的所述键值列表中任意两个所述键值分别对应的所述会话参数，确定每一所述哈希表对应的所述键值列表中任意两个所述键值之间的包含关系；
[0024]根据每一所述哈希表对应的所述键值列表中任意两个所述键值分别对应的所述特征结构体，确定每一所述哈希表对应的所述键值列表中任意两个所述键值之间的空间相关性以及时间相关性；
[0025]根据每一所述哈希表对应的所述键值列表中任意两个所述键值之间的所述包含关系、所述空间相关性以及所述时间相关性，对每一所述哈希表对应的所述键值列表进行聚类。
[0026]在一种实施方式中，所述根据所述标准活动键值集合和所述待检测活动键值，判断所述待检测流量是否为异常流量，包括：
[0027]根据所述标准活动键值集合匹配出所述待检测活动键值对应的若干候选标准活动键值；
[0028]根据若干所述候选标准活动键值，判断所述待检测流量是否为异常流量。
[0029]在一种实施方式中，所述根据若干所述候选标准活动键值，判断所述待检测流量是否为异常流量，包括：
[0030]获取若干所述候选标准活动键值分别对应的自编码器模型，得到若干所述自编码器模型；
[0031]将所述待检测活动键值分别输入若干所述自编码器模型，获取若干所述自编码器模型基于所述待检测活动键值分别产生的重构误差数据，其中，每一所述重构误差数据用于反映一个所述自编码器模型的输入与输出之间的差距；
[0032]根据若干所述重构误差数据，判断所述待检测流量是否为所述异常流量。
[0033]在一种实施方式中，所述自编码器模型为一维卷积神经网络自编码器。
[0034]在一种实施方式中，所述根据若干所述重构误差数据，判断所述待检测流量是否为所述异常流量，包括：
[0035]获取预设的重构误差阈值，当若干所述重构误差数据中任意一个大于所述重构误差阈值，判定所述待检测流量为所述异常流量。
[0036]第二方面，本专利技术实施例还提供一种流量监测装置，其中，所述装置包括：
[0037]获取模块，用于获取预先构建的标准活动键值集合，其中，所述标准活动键值集合中包括若干标准活动键值，若干所述标准活动键值分别对应目标系统中不同活动特征的标准流量的聚类集合；
[0038]映射模块，用于获取所述目标系统中的待检测流量，将所述待检测流量映射为待检测活动键值；
[0039]判断模块，用于根据所述标准活动键值集合和所述待检测活动键值，判断所述待检测流量是否为异常流量，其中，所述异常流量为不符合任意一种所述标准流量的活动特征的流量。
[0040]第三方面，本专利技术实施例还提供一种终端，其中，所述终端包括有存储器和一个或者一个以上处理器；所述存储器存储有一个或者一个以上的程序；所述程序包含用于执行如上述任一所述的流量监测方法的指令；所述处理器用于执行所述程序。
[0041]第四方面，本专利技术实施例还提供一种计算机可读存储介质，其上存储有多条指令，其中，所述指令适用于由处理器加载并执行，以实现上述任一所述的流量监测方法的步骤。
[0042]本专利技术的有益效果：本专利技术实施例通过获取预先构建的标准活动键值集合，其中，所述标准活动键值集合中包括若干标准活动键值，若干所述标准活动键值分别对应目标系统中不同活动特征的标准流量的聚类集合；获取所述目标系统中的待检测流量，将所述待检测流量映射为待检测活动键值；根据所述标准活本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种流量监测方法，其特征在于，所述方法包括：获取预先构建的标准活动键值集合，其中，所述标准活动键值集合中包括若干标准活动键值，若干所述标准活动键值分别对应目标系统中不同活动特征的标准流量的聚类集合；获取所述目标系统中的待检测流量，将所述待检测流量映射为待检测活动键值；根据所述标准活动键值集合和所述待检测活动键值，判断所述待检测流量是否为异常流量，其中，所述异常流量为不符合任意一种所述标准流量的活动特征的流量。2.根据权利要求1所述的流量监测方法，其特征在于，所述获取预先构建的标准活动键值集合，包括：获取所述目标系统中在预设时间段内的网络流量，将所述网络流量分为若干流量数据；获取预设的层级分类结构和若干所述流量数据分别对应的会话参数；根据所述层级分类结构和若干所述流量数据分别对应的所述会话参数，对若干所述流量数据进行聚类，得到若干哈希表，其中，每一所述哈希表包括若干键值对，每一所述键值对用于反映一个所述流量数据和所述流量数据对应的特征结构体；对每一所述哈希表对应的键值列表进行聚类，得到每一所述哈希表对应的目标键值集合；根据若干所述哈希表分别对应的所述目标键值集合构建所述标准活动键值集合。3.根据权利要求2所述的流量监测方法，其特征在于，所述会话参数包括：协议号，地址，源端口以及目的端口；所述层级分类结构为第一层基于所述协议号进行分类，第二层基于所述地址进行分类，第三层基于所述源端口进行分类，第四层基于所述目的端口进行分类。4.根据权利要求2所述的流量监测方法，其特征在于，每一所述键值的生成过程，包括：获取每一所述流量数据对应的包参数，其中，所述包参数用于反映所述流量数据对应的数据包的特征；根据每一所述流量数据对应的所述包参数，生成每一所述流量数据对应的所述特征结构体；根据每一所述流量数据对应的所述特征结构体，生成每一所述流量数据对应的所述哈希表中的一个所述键值。5.根据权利要求4所述的流量监测方法，其特征在于，所述特征结构体包括包个数的线性和，包到达间隔的线性和，包的方向，包长的集合。6.根据权利要求2所述的流量监测方法，其特征在于，所述对每一所述哈希表对应的键值列表进行聚类，包括：根据每一所述哈希表对应的所述键值列表中任意两个所述键值分别对应的所述会话参数，确定每一所述哈希表对应的所述键值列表中任意两个所述键值之间的包含关系；根据每一所述哈希表对应的所述键值列表中任意两个所述键值分别对应的所述特征结构体，确定每一所述哈希表对应的所述键值列表中任意两个所述键值之间的空间相关性以及时间相关性；根...

【专利技术属性】
技术研发人员：李清，李若愚，黄禹诚，江勇，朱春生，
申请(专利权)人：鹏城实验室，
类型：发明
国别省市：