本公开提供了一种异常流量检测方法、装置、电子设备及存储介质,涉及网络安全技术领域。该方法包括,获取待检测流量的数据信息;判断待检测流量的数据信息是否满足预设的判断条件,其中,预设的判断条件根据异常流量占比信息确定;若待检测流量的数据信息满足预设的判断条件,将待检测流量的数据信息发送到二分类模型进行第一识别,第一识别为正常流量则正常转发、第一识别为异常流量则将异常流量与异常流量对应的特征信息发送到多分类模型进行第二识别,并根据第二识别结果做不同的处理。本公开由于将二分类模型和多分类模型结合,综合不同模型的优势,在保证流量检测准确率的同时提升了速度,实现了快速检测异常流量。实现了快速检测异常流量。实现了快速检测异常流量。
【技术实现步骤摘要】
异常流量检测方法、装置、电子设备及存储介质
[0001]本公开涉及网络安全
,尤其涉及一种异常流量检测方法、装置、电子设备及存储介质。
技术介绍
[0002]流量检测是识别网络攻击的重要方式,传统的流量检测方法是由特征库进行匹配,其优点在于速度快,随着互联网的发展,网络攻击方法层出不穷,网络流量变的更加复杂多变,需要一种有效的方法能够对异常流量进行检测。
[0003]现有技术中,以深度学习为主的异常流量检测能够对异常流量进行准确的检测,可应对未知异常流量。但是,以深度学习为主的异常流量检测需要较多的参数,导致运算时间过长,造成更多的时延,不能满足对安全性、实时性有较高要求的场景。因此如何基于深度学习技术,快速准确的识别网络异常流量,是当前亟需解决的问题。
[0004]需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0005]本公开提供一种异常流量检测方法、装置、电子设备及存储介质,至少在一定程度上克服相关技术中无法快速检测异常流量的问题。
[0006]本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
[0007]根据本公开的一个方面,提供一种异常流量检测方法,包括:获取待检测流量的数据信息;判断所述待检测流量的数据信息是否满足预设的判断条件,其中,所述预设的判断条件根据异常流量占比信息确定;若所述待检测流量的数据信息满足预设的判断条件,将所述待检测流量的数据信息发送到二分类模型进行第一识别,第一识别为正常流量则正常转发、第一识别为异常流量则将所述异常流量与异常流量对应的特征信息发送到多分类模型进行第二识别,并根据第二识别结果做不同的处理。
[0008]在本公开的一个实施例中,所述方法还包括:若所述待检测流量的数据信息不满足预设的判断条件,将所述待检测流量的特征信息发送到多分类模型进行第二识别,并根据第二识别结果做不同的处理。
[0009]在本公开的一个实施例中,所述第一识别包括:二分类模型对所述待检测流量的特征信息进行模型计算,输出置信度;当置信度大于预设置信度阈值,则识别为正常流量;当置信度小于预设置信度阈值,则识别为异常流量。
[0010]在本公开的一个实施例中,所述第二识别包括:多分类模型对所述待检测流量的特征信息进行模型计算,输出多维度置信度向量,其中,多维度置信度向量中的每个元素均为0到1之间的数值;根据所述元素的排列序号,确定第二识别结果,其中,所述元素的排列序号为流量对应的类别,元素最大序号对应的类别为第二识别结果。
[0011]在本公开的一个实施例中,所述方法还包括:根据预设时间段,确定预设时间段内正常流量数量信息和异常流量数量信息;根据预设时间段内正常的流量数量信息和异常的流量数量信息,确定异常流量占比信息。
[0012]在本公开的一个实施例中,所述方法还包括:获取待检测流量;根据所述待检测流量,确定所述待检测流量的特征信息;根据所述待检测流量的特征信息,确定所述待检测流量的数据信息,其中,所述数据信息用于表征待检测流量与待检测流量的特征信息,且所述数据信息为机器学习模型可识别的数据形式。
[0013]在本公开的一个实施例中,根据第二识别结果做不同的处理包括:第二识别结果为异常流量,将所述异常流量截留并进行处理;第二识别结果为正常流量,将所述正常流量正常转发。
[0014]根据本公开的另一个方面,提供一种异常流量检测装置,包括:数据信息获取模块,获取待检测流量的数据信息;数据信息判断模块,用于判断所述待检测流量的数据信息是否满足预设的判断条件,其中,所述预设的判断条件根据异常流量占比信息确定;双模型识别模块,用于将所述待检测流量的数据信息发送到二分类模型进行第一识别,第一识别为正常流量则正常转发、第一识别为异常流量则将所述异常流量与异常流量对应的特征信息发送到多分类模型进行第二识别,并根据第二识别结果做不同的处理。
[0015]根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的异常流量检测方法。
[0016]根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的异常流量检测方法。
[0017]根据本公开的另一个方面,提供一种计算机程序产品,包括计算机指令,所述计算机指令存储在计算机可读存储介质中,所述计算机指令被处理器执行时实现上述任一项所述异常流量检测方法的操作指令。
[0018]本公开的实施例所提供的一种异常流量检测方法、装置、电子设备及存储介质,获取待检测流量的数据信息;判断待检测流量的数据信息是否满足预设的判断条件,其中,预设的判断条件根据异常流量占比信息确定;若待检测流量的数据信息满足预设的判断条件,将待检测流量的数据信息发送到二分类模型进行第一识别,第一识别为正常流量则正常转发、第一识别为异常流量则将异常流量与异常流量对应的特征信息发送到多分类模型进行第二识别,并根据第二识别结果做不同的处理。本公开实施例中,由于将二分类模型和多分类模型结合,综合不同模型的优势,在保证流量检测准确率的同时提升了速度,实现了快速检测异常流量。
[0019]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
[0020]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据
ProtocolSecurity,IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中,还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。
[0039]终端设备101、102、103、104可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、可穿戴设备、增强现实设备、虚拟现实设备等。
[0040]可选地,不同的终端设备101、102、103、104中安装的应用程序的客户端是相同的,或基于不同操作系统的同一类型应用程序的客户端。基于终端平台的不同,该应用程序的客户端的具体形态也可以不同,比如,该应用程序客户端可以是手机客户端、PC客户端等。
[0041]在近域网络(P
‑
RAN)中,由中继设备向其他设备提供网络上网,在此场景下,可由一级中继设备部署流量特征处理模块和小型模型(二分类模型),网关服务器部署大型模型(多类模型),近域管理服务器中部署检测控制模块。
[0042]在多模型识别模式下,一级中继设备将流量识别为正常和异常流量并标记,都发送给网关服务器,网关服务器使用大型模型仅本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常流量检测方法,其特征在于,包括:获取待检测流量的数据信息;判断所述待检测流量的数据信息是否满足预设的判断条件,其中,所述预设的判断条件根据异常流量占比信息确定;若所述待检测流量的数据信息满足预设的判断条件,将所述待检测流量的数据信息发送到二分类模型进行第一识别,第一识别为正常流量则正常转发、第一识别为异常流量则将所述异常流量的数据信息发送到多分类模型进行第二识别,并根据第二识别结果做不同的处理。2.根据权利要求1所述的异常流量检测方法,其特征在于,所述方法还包括:若所述待检测流量的数据信息不满足预设的判断条件,将所述待检测流量的特征信息发送到多分类模型进行第二识别,并根据第二识别结果做不同的处理。3.根据权利要求1所述的异常流量检测方法,其特征在于,所述第一识别包括:二分类模型对所述待检测流量的特征信息进行模型计算,输出置信度;当置信度大于预设置信度阈值,则识别为正常流量;当置信度小于预设置信度阈值,则识别为异常流量。4.根据权利要求1所述的异常流量检测方法,其特征在于,所述第二识别包括:多分类模型对所述待检测流量的特征信息进行模型计算,输出多维度置信度向量,其中,多维度置信度向量中的每个元素均为0到1之间的数值;根据所述元素的排列序号,确定第二识别结果,其中,所述元素的排列序号为流量对应的类别,元素最大序号对应的类别为第二识别结果。5.根据权利要求1所述的异常流量检测方法,其特征在于,所述方法还包括:根据预设时间段,确定预设时间段内正常流量数量信息和异常流量数量信息;根据预设时间段内正常的流量数量...
【专利技术属性】
技术研发人员:陈方杰,白景鹏,王海燚,高唯瀚,沈军,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。