【技术实现步骤摘要】
本专利技术涉及网络流量异常检测,具体而言,涉及一种基于机器学习的网络流量异常检测方法。
技术介绍
1、随着网络技术的快速发展,网络流量数据量呈爆炸性增长,如何有效地检测出异常流量成为网络安全领域的重要问题,传统的异常检测方法主要基于固定的规则或模型,对于复杂多变的网络流量往往难以准确检测,因此,急需一种能够自适应学习并准确检测网络流量异常的方法。
2、现有的网络流量异常检测方法中还存在以下几个方面的问题:1、当前网络流量异常检测中可以识别出异常终端设备ip,但未结合在线时长、消耗流量和流量传输速度对异常终端设备ip的流量异常预警情况进行深度分析,一些恶意行为或异常流量模式可能隐藏在更深层次的网络流中,仅通过ip地址分析可能无法发现这些异常,无法更准确地检测和预警潜在的流量异常,同时缺乏全面的流量异常分析可能导致应对策略的局限性。
3、2、当前可以检测出流量异常的终端设备,但对各异常终端设备的流量异常类型未进行深度分析,即未对异常运行app或者异常访问网页网址的确认进行深度分析,不知道异常流量的具体类型,就无法制定针对性的措施来处理或缓解问题,没有深度分析,检测和预防流量异常的效率可能会降低,可能需要更多的时间和资源来定位和解决问题,从而增加了运营成本和风险,同时异常的app或网页访问可能导致网络延迟、数据泄露或其他不良的用户体验问题。
技术实现思路
1、鉴于此,为解决上述
技术介绍
中所提出的问题,现提出一种基于机器学习的网络流量异常检测方法。
2、
3、s2、严重异常终端设备ip反馈:提取各异常终端设备ip在当前监测周期内的各次连接对应的在线时长、消耗流量和流量传输速度,分析各异常终端设备ip的流量异常预警系数,确认当前监测周期内的各严重异常终端设备ip,并将各严重异常终端设备ip反馈至网络管理员。
4、s3、异常终端设备确认:提取目标公司的各终端设备在历史各监测日的各监测时间段对应的消耗流量,并采集各终端设备在当前监测日的各监测时间段对应的消耗流量,确认目标公司在当前监测日的各监测时间段对应的各异常终端设备。
5、s4、流量异常类型反馈:提取目标公司的各终端设备的历史使用记录,得到各终端设备的历史使用信息,并提取目标公司在当前监测日的各监测时间段对应的各异常终端设备的ip、后台运行各app名称和访问的各网页网址,确认当前监测日的各监测时间段对应的各异常终端设备的流量异常类型,并将各异常终端设备的流量异常类型反馈至网络管理员。
6、具体地,所述确认当前监测周期内的各异常终端设备ip的方式为:将目标公司的无限局域网在当前监测周期内所连接的终端设备ip与目标公司的终端设备ip库内的终端设备ip进行匹配对比,若当前监测周期内所连接的某终端设备ip不位于终端设备ip库内,则将该终端设备ip记为异常终端设备ip,由此得到当前监测周期内的各异常终端设备ip。
7、具体地,所述分析各异常终端设备ip的流量异常预警系数,具体分析过程为:a1、基于各异常终端设备ip在当前监测周期内的各次连接对应的在线时长、消耗流量和流量传输速度,计算各异常终端设备ip在当前监测周期内的各次连接对应的流量异常行为指数χij,其中,i表示异常终端设备ip的编号,i=1,2,...,n,j表示各次连接的编号,j=1,2,...,m。
8、a2、将各异常终端设备ip在当前监测周期内的各次连接对应的流量异常行为指数与设定参照的流量异常行为指数进行对比,若某次连接对应的流量异常行为指数大于或者等于设定参照的流量异常行为指数,则将该次连接记为严重异常连接,统计各异常终端设备ip在当前监测周期内的严重异常连接次数,记为βi。
9、a3、计算各异常终端设备ip的流量异常预警系数δi,其中,χ′和k1分别表示设定参照的流量异常行为指数和严重异常连接次数占比,a1和a2分别表示设定的流量异常行为指数和严重异常连接次数占比对应流量异常预警占比权重,m表示连接次数。
10、具体地,所述计算各异常终端设备ip在当前监测周期内的各次连接对应的流量异常行为指数,具体计算过程为:b1、将各异常终端设备ip在当前监测周期内的各次连接对应的在线时长、消耗流量和流量传输速度分别记为tij、εij和vij。
11、b2、计算各异常终端设备ip在当前监测周期内的各次连接对应的流量异常行为指数χij,其中,t′、ε′和v′分别表示设定参照的在线时长、消耗流量和流量传输速度,a3、a4和a5分别表示设定的在线时长、消耗流量和流量传输速度对应流量异常行为评估占比权重。
12、具体地,所述确认当前监测周期内的各严重异常终端设备ip的方式为:将各异常终端设备ip的流量异常预警系数与设定参照的流量异常预警系数进行对比,并将流量异常预警系数大于或者等于设定参照的流量异常预警系数的异常终端设备ip记为严重异常终端设备ip,由此得到当前监测周期内的各严重异常终端设备ip。
13、具体地,所述确认目标公司在当前监测日的各监测时间段对应的各异常终端设备,具体确认方式为:c1、将目标公司的各终端设备在历史各监测日的各监测时间段对应的消耗流量进行均值计算,得到各终端设备在历史监测日的各监测时间段对应的消耗流量。
14、c2、以监测时间段为横坐标,以消耗流量为纵坐标,根据各终端设备在历史监测日的各监测时间段对应的消耗流量,建立各终端设备在历史监测日的消耗流量波动图,并将消耗流量波动图上的各点记为各参照点。
15、c3、将各终端设备在当前监测日的各监测时间段对应的消耗流量标注在对应消耗流量波动图中,并将各标注点记为各目标标注点,若某监测时间段对应的目标标注点位于对应监测时间段的参照点上方,则提取该监测时间段对应的目标标注点与参照点之间的距离,并将其记为该监测时间段的消耗流量偏差,由此得到各终端设备在各监测时间段的消耗流量偏差。
16、c4、将各终端设备在各监测时间段的消耗流量偏差与设定参照的消耗流量偏差进行对比,若某终端设备在某监测时间段的消耗流量偏差大于设定参照的消耗流量偏差,则将该终端设备在该监测时间段记为异常终端设备,由此得到目标公司在当前监测日的各监测时间段对应的各异常终端设备。
17、具体地,所述历史使用信息包括历史运行的各app名称和历史访问的各网页网址。
18、具体地,所述确认当前监测日的各监测时间段对应的各异常终端设备的流量异常类型,具体确认方式为:d1、从各终端设备的历史使用信息中提取历史运行的各app名称和历史访问的各网页网址,构建各终端设备的历史运行app名称本文档来自技高网...
【技术保护点】
1.一种基于机器学习的网络流量异常检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述确认当前监测周期内的各异常终端设备IP的方式为:将目标公司的无限局域网在当前监测周期内所连接的终端设备IP与目标公司的终端设备IP库内的终端设备IP进行匹配对比,若当前监测周期内所连接的某终端设备IP不位于终端设备IP库内,则将该终端设备IP记为异常终端设备IP,由此得到当前监测周期内的各异常终端设备IP。
3.根据权利要求1所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述分析各异常终端设备IP的流量异常预警系数,具体分析过程为:
4.根据权利要求3所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述计算各异常终端设备IP在当前监测周期内的各次连接对应的流量异常行为指数,具体计算过程为:
5.根据权利要求1所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述确认当前监测周期内的各严重异常终端设备IP的方式为:将各异常终端设备IP的流量异常预警系数与设
6.根据权利要求1所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述确认目标公司在当前监测日的各监测时间段对应的各异常终端设备,具体确认方式为:
7.根据权利要求1所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述历史使用信息包括历史运行的各app名称和历史访问的各网页网址。
8.根据权利要求7所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述确认当前监测日的各监测时间段对应的各异常终端设备的流量异常类型,具体确认方式为:
...【技术特征摘要】
1.一种基于机器学习的网络流量异常检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述确认当前监测周期内的各异常终端设备ip的方式为:将目标公司的无限局域网在当前监测周期内所连接的终端设备ip与目标公司的终端设备ip库内的终端设备ip进行匹配对比,若当前监测周期内所连接的某终端设备ip不位于终端设备ip库内,则将该终端设备ip记为异常终端设备ip,由此得到当前监测周期内的各异常终端设备ip。
3.根据权利要求1所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述分析各异常终端设备ip的流量异常预警系数,具体分析过程为:
4.根据权利要求3所述的一种基于机器学习的网络流量异常检测方法,其特征在于:所述计算各异常终端设备ip在当前监测周期内的各次连接对应的流量异常行为指数,具体计算过程为:
5.根据权利要求1所...
【专利技术属性】
技术研发人员:张燕平,靳黎忠,宋雪娇,彭超,王发发,李中文,雷祥,杨人众,
申请(专利权)人:太原清众鑫科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。