基于网络空间地图的网络异常检测方法及装置制造方法及图纸

本发明专利技术提出一种基于网络空间地图的网络异常检测方法及装置，其中方法包括，获取原始网络流量；利用微批处理方式将原始网络流量划分至不同时隙，并通过动态端口划分算法对时隙内的流进行划分，将时隙内的流均匀分布至不同的端口区间；将各个端口区间内流映射到双平面网络空间地图，形成实时网络空间地图帧；利用目标检测框架YOLOv4

【技术实现步骤摘要】
基于网络空间地图的网络异常检测方法及装置


[0001]本专利技术属于网络安全、网络管理及网络监控领域。

技术介绍

[0002]随着互联网及其应用的发展，网络异常检测已经成为网络安全研究中一个十分重要的内容。网络异常主要包括各种类型的DDoS攻击、网络扫描、主机扫描、蠕虫病毒及远程利用等等。
[0003]近年来，比较典型的网络流量异常检测方法有以下几种类别：1)基于规则的网络异常检测方法，利用提前设定好的规则库对流量进行规则匹配，发现流量数据中的异常流量；2)基于统计的异常检测方法，通过监控网络流量的统计指标(带宽、连接数)，将离群值检测为异常；3)基于信息熵的异常检测方法，监控IP、端口等属性的熵值变化，超出阈值者为异常；4)基于机器学习或深度学习的异常检测方法。首先提取流量中的若干个特征，继而利用分类器自动学习每一类数据的特征，建立自动分类模型，在真实环境下完成异常流量的识别与分类任务。
[0004]但是，目前的异常检测方法存在一些局限：当异常检测系统检测到某个网络节点受到攻击时，管理员无法从网络全局的视角来掌控此次攻击的规模和程度、僵尸网络的分布、攻击者和被攻击者在网络中的位置和态势.其检测方法不够直观，检测结果不可解释，导致管理者无法对异常的详细状况进行全面直观、有效的认识。
[0005]目前，也有一些网络监控及网络安全态势感知技术，通过可视化及网络流量监控发现异常。但是，他们普遍使用肉眼观察可能出现的异常情况，凭经验推断出现的模式规律, 而没有使用机器视觉技术赋能,没有部署基于深度神经网络的自动化检测设备，不具备自动、精准、快速的网络异常检测功能。
[0006]综上，在异常检测算法研究方面，有的方法具有一定的检测准确率，但是检测方法不够直观，检测结果不可解释；在基于图形的异常检测研究中，有的方法具有直观性，但不具备自动检测的智能特性，缺乏具备高效、准确、直观、智能的检测方法和系统。因此，本专利技术提出一种基于网络空间地图的图形化流量异常检测方法，将网络流信息映射为网络空间地图，并与深度神经网络结合，自动完成异常流量检测与感知.本专利技术提出在可视化系统中嵌入自动化机器视觉的想法，为今后网络安全监控系统的立体、直观、自动化开启了新的研究思路。

技术实现思路

[0007]本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。
[0008]为此，本专利技术的第一个目的在于提出一种基于网络空间地图的网络异常检测方法，用于网络流量异常的检测和攻击态势感知。
[0009]本专利技术的第二个目的在于提出一种基于网络空间地图的网络异常检测装置。
[0010]本专利技术的第三个目的在于提出一种计算机设备。
[0011]本专利技术的第四个目的在于提出一种计算机可读存储介质。
[0012]为达上述目的，本专利技术第一方面实施例提出了一种基于网络空间地图的网络异常检测方法，包括：
[0013]获取原始网络流量；
[0014]利用微批处理方式将所述原始网络流量划分至不同时隙，并通过动态端口划分算法对时隙内的流进行划分，将所述时隙内的流均匀分布至不同的端口区间；
[0015]将各个端口区间内流映射到双平面网络空间地图，形成实时网络空间地图帧；
[0016]利用目标检测框架YOLOv4
‑
tiny对所述实时网络空间地图帧进行处理并检测异常图形，获取异常图形类别及异常区域；
[0017]对所述异常图形类别及异常区域进行分析，得到异常种类及数量。
[0018]另外，根据本专利技术上述实施例的基于网络空间地图的网络异常检测方法还可以具有以下附加的技术特征：
[0019]进一步地，在本专利技术的一个实施例中，在利用微批处理方式将所述原始网络流量划分至不同时隙之前，还包括：
[0020]将所述原始网络流量以流为单位进行聚合，并利用五元组进行划分；其中，所述五元组包括：源地址，目的地址，源端口，目的端口，协议。
[0021]进一步地，在本专利技术的一个实施例中，所述将所述时隙内的流均匀分布至不同的端口区间，还包括：
[0022]将所述时隙内的流依次划分至不同端口区间，每个端口区间具有固定的流数量。
[0023]进一步地，在本专利技术的一个实施例中，所述将各个端口区间内流映射到双平面网络空间地图，包括：
[0024]通过基于希尔伯特曲线的映射算法构建双平面网络空间地图，将所述各个端口区间内流映射至所述双平面网络空间地图。
[0025]进一步地，在本专利技术的一个实施例中，所述将所述各个端口区间内流映射至所述双平面网络空间地图，包括：
[0026]选定所述双平面网络空间地图比例尺；
[0027]以每条端口区间内流中的IP源地址作为线条起点，绘制在底面；
[0028]以每条流中的IP目的地址作为线条终点，绘制在顶面，其中，所述顶面线条终点的高度会随端口大小而变化；
[0029]以每条流中的端口大小作为线条终点的高度；
[0030]以每条流中的数据包平均长度作为线条的颜色；
[0031]将网络流中的源IP、目的IP、目的端口、流内数据包平均长度映射至网络空间地图中。
[0032]进一步地，在本专利技术的一个实施例中，所述对所述异常图形类别及异常区域进行分析，还包括：
[0033]根据所述异常图形类别及异常区域判断网络攻击的类型及特点、攻击源地址分布及溯源、攻击端口分布。
[0034]为达上述目的，本专利技术第二方面实施例提出了一种基于网络空间地图的网络异常检测装置，包括：
[0035]数据收集模块，用于获取原始网络流量；
[0036]预处理模块，用于利用微批处理方式将所述原始网络流量划分至不同时隙，并通过动态端口划分算法对时隙内的流进行划分，将所述时隙内的流均匀分布至不同的端口区间；
[0037]数据绘制模块，用于将各个端口区间内流映射到双平面网络空间地图，形成实时网络空间地图帧；
[0038]目标检测模块，用于利用目标检测框架YOLOv4
‑
tiny对所述实时网络空间地图帧进行处理并检测异常图形，获取异常图形类别及异常区域；
[0039]目标分析模块，用于对所述异常图形类别及异常区域进行分析，得到异常种类及数量。
[0040]进一步地，在本专利技术的一个实施例中，所述数据收集模块，还包括：
[0041]划分单元，用于在利用微批处理方式将所述原始网络流量划分至不同时隙之前，将所述原始网络流量以流为单位进行聚合，并利用五元组划分至不同时隙；其中，所述五元组包括：源地址，目的地址，源端口，目的端口，协议。
[0042]为达上述目的，本专利技术第三方面实施例提出了一种计算机设备，其特征在于，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如上所述的基于网络空间地图的网络异常检测方法。
[0043]为达上述目的，本专利技术第四方面实施例提出本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于网络空间地图的网络异常检测方法，其特征在于，包括以下步骤：获取原始网络流量；利用微批处理方式将所述原始网络流量划分至不同时隙，并通过动态端口划分算法对时隙内的流进行划分，将所述时隙内的流均匀分布至不同的端口区间；将各个端口区间内流映射到双平面网络空间地图，形成实时网络空间地图帧；利用目标检测框架YOLOv4
‑
tiny对所述实时网络空间地图帧进行处理并检测异常图形，获取异常图形类别及异常区域；对所述异常图形类别及异常区域进行分析，得到异常种类及数量。2.根据权利要求1所述的方法，其特征在于，在利用微批处理方式将所述原始网络流量划分至不同时隙之前，还包括：将所述原始网络流量以流为单位进行聚合，并利用五元组进行划分；其中，所述五元组包括：源地址，目的地址，源端口，目的端口，协议。3.根据权利要求1所述的方法，其特征在于，所述将所述时隙内的流均匀分布至不同的端口区间，还包括：将所述时隙内的流依次划分至不同端口区间，每个端口区间具有固定的流数量。4.根据权利要求1所述的方法，其特征在于，所述将各个端口区间内流映射到双平面网络空间地图，包括：通过基于希尔伯特曲线的映射算法构建双平面网络空间地图，将所述各个端口区间内流映射至所述双平面网络空间地图。5.根据权利要求4所述的方法，其特征在于，所述将所述各个端口区间内流映射至所述双平面网络空间地图，还包括：选定所述双平面网络空间地图比例尺；以每条端口区间内流中的IP源地址作为线条起点，绘制在底面；以每条流中的IP目的地址作为线条终点，绘制在顶面，其中，所述顶面线条终点的高度会随端口大小而变化；以每条流中的端口大小作为线条终点的高度；以每条流中的数据包平均长度作为线条的颜色；将网络流中的源IP、目的IP、目的端口、...

【专利技术属性】
技术研发人员：王继龙，李嘉睿，张晗，安常青，
申请(专利权)人：清华大学，
类型：发明
国别省市：