【技术实现步骤摘要】
本申请涉及计算机,尤其涉及网络异常流量检测方法、装置、设备及存储介质。
技术介绍
1、随着互联网、移动互联网、物联网等技术的迅速发展,大量的数据被生成,数据安全问题日益凸显。随着网络攻击的不断增强和演化,攻击者的很多攻击行为,包括存活主机探测、端口扫描、慢速攻击、僵尸网络、漏洞扫描等,这些攻击行为都可能会引起网络流量的波动。因此,通过检测网络流量的波动情况,就可以有效的监控网络中异常流量的变化情况,从而发现网络攻击活动。
2、相关技术中,在进行网络异常流量检测时,通常是采用基于阈值的方法和基于特征匹配的方法。具体地,基于阈值的方法是通过设定流量阈值,来判断实际流量是否超出阈值,从而判定是否是异常流量;基于特征匹配的方法是通过维护大量的特征库,来匹配流量中的异常行为,进而判断是否是异常流量。
3、然而,采用上述方式进行网络异常流量检测时均存在准确性较低的问题。
技术实现思路
1、本申请旨在至少解决现有技术中存在的技术问题,为此,本申请第一方面提出一种网络异常流量检测方法,该方法包括:
2、获取多个第一预设时间段内的当前网络流量数据包;其中,当前网络流量数据包中包括目标网络的网络层及传输层的包头数据;
3、针对各第一预设时间段内的当前网络流量数据包,通过目标特征函数集及预设网络异常流量检测模型对包头数据进行处理,生成处理结果;
4、基于处理结果及预设模型经验分布之间的目标相对熵增益,确定当前网络流量数据包对应的流量状态信息;其
5、在一种可能的实施方式中,基于处理结果及预设模型经验分布之间的目标相对熵增益,确定当前网络流量数据包对应的流量状态信息,包括:
6、计算处理结果及预设模型经验分布之间的目标相对熵增益;
7、若目标相对熵增益超过第一预设阈值的持续时长大于或等于第一预设时间段,则确定当前网络流量数据包对应的流量状态信息为异常流量状态;
8、若目标相对熵增益超过第一预设阈值的持续时长小于第一预设时间段,则确定当前网络流量数据包对应的流量状态信息为正常流量状态。
9、在一种可能的实施方式中,预设模型经验分布的生成过程,包括:
10、获取训练数据集;其中,训练数据集中包括目标网络在正常业务状态下第二预设时间段内的多个历史网络流量数据包;
11、将训练数据集中的多个历史网络流量数据包进行分类,得到至少一个第一分类结果,并计算各第一分类结果对应的第一权重;其中,第一权重用于表征各第一分类结果在总的第一分类结果中历史网络流量数据包的个数占比;
12、基于候选特征函数集及总的第一分类结果对应的分类个数,计算训练数据集对应的预设模型经验分布。
13、在一种可能的实施方式中,预设网络异常流量检测模型的构建过程,包括:
14、基于预设数据包分类的总数量,计算初始模型分布;
15、依次遍历候选特征函数集中的各候选特征函数,将当前遍历的候选特征函数加入到中间特征函数集中,得到更新后的特征函数集;
16、基于更新后的特征函数集对训练数据集中的多个历史网络流量数据包进行分类,得到至少一个第二分类结果,并计算各第二分类结果对应的第二权重;其中,第二权重用于表征各第二分类结果在总的第二分类结果中历史网络流量数据包的个数占比;
17、基于初始模型分布、更新后的特征函数集及第二权重,计算训练数据集对应的当前模型分布;
18、计算当前模型分布与预设模型经验分布之间的当前相对熵增益,并基于当前相对熵增益继续对中间特征函数集进行更新,生成目标特征函数集及预设网络异常流量检测模型。
19、在一种可能的实施方式中,基于当前相对熵增益继续对中间特征函数集进行更新,生成目标特征函数集,包括:
20、将当前相对熵增益与第二预设阈值进行比较,生成比较结果;
21、若比较结果不满足预设条件,则将生成当前相对熵增益对应的候选特征函数从中间特征函数集中移除,并继续依次遍历候选特征函数集中的其他候选特征函数,并重复上述基于当前相对熵增益继续对中间特征函数集进行更新的步骤;
22、若比较结果满足预设条件,则将生成当前相对熵增益对应的候选特征函数保留至中间特征函数集中,并继续依次遍历候选特征函数集中的其他候选特征函数,并重复上述基于当前相对熵增益继续对中间特征函数集进行更新的步骤;
23、将满足预设更新截止条件后的中间特征函数集作为目标特征函数集。
24、在一种可能的实施方式中,该方法还包括:
25、基于当前相对熵增益继续对中间特征函数集进行更新,生成中间网络异常流量检测模型;
26、采用测试数据集和验证数据集对中间网络异常流量检测模型进行处理后,生成预设网络异常流量检测模型;其中,测试数据集和验证数据集中包括目标网络在异常业务状态下第三预设时间段内的多个历史网络流量数据包,第三预设时间段小于第二预设时间段。
27、在一种可能的实施方式中,该方法还包括:
28、获取多个分类标签信息;其中,分类标签信息包括网络层协议类型、传输层协议类型、目的端口及tcp标志;
29、基于多个分类标签信息,得到预设数据包分类的总数量。
30、本申请第二方面提出一种网络异常流量检测装置,该装置包括:
31、获取模块,用于获取多个第一预设时间段内的当前网络流量数据包;其中,当前网络流量数据包中包括目标网络的网络层及传输层的包头数据;
32、处理模块,用于针对各第一预设时间段内的当前网络流量数据包,通过目标特征函数集及预设网络异常流量检测模型对包头数据进行处理,生成处理结果;
33、确定模块,用于基于处理结果及预设模型经验分布之间的目标相对熵增益,确定当前网络流量数据包对应的流量状态信息;其中,流量状态信息包括异常流量状态和正常流量状态。
34、在一种可能的实施方式中,上述确定模块具体用于:
35、基于处理结果及预设模型经验分布之间的目标相对熵增益,确定当前网络流量数据包对应的流量状态信息,包括:
36、计算处理结果及预设模型经验分布之间的目标相对熵增益;
37、若目标相对熵增益超过第一预设阈值的持续时长大于或等于第一预设时间段,则确定当前网络流量数据包对应的流量状态信息为异常流量状态;
38、若目标相对熵增益超过第一预设阈值的持续时长小于第一预设时间段,则确定当前网络流量数据包对应的流量状态信息为正常流量状态。
39、在一种可能的实施方式中,上述网络异常流量检测装置还用于:
40、获取训练数据集;其中,训练数据集中包括目标网络在正常业务状态下第二预设时间段内的多个历史网络流量数据包;
41、将训练数据集中的多个历史网络流量数据包进行分类,得到至少一个第一本文档来自技高网...
【技术保护点】
1.一种网络异常流量检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述处理结果及预设模型经验分布之间的目标相对熵增益,确定所述当前网络流量数据包对应的流量状态信息,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述预设模型经验分布的生成过程,包括:
4.根据权利要求3所述的方法,其特征在于,所述预设网络异常流量检测模型的构建过程,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述当前相对熵增益继续对所述中间特征函数集进行更新,生成目标特征函数集,包括:
6.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
8.一种网络异常流量检测装置,其特征在于,所述装置包括:
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1-7任一项所述的方法的步骤。
...【技术特征摘要】
1.一种网络异常流量检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述处理结果及预设模型经验分布之间的目标相对熵增益,确定所述当前网络流量数据包对应的流量状态信息,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述预设模型经验分布的生成过程,包括:
4.根据权利要求3所述的方法,其特征在于,所述预设网络异常流量检测模型的构建过程,包括:
5.根据权利要求4所述的方法,其特征在于,所述基于所述当前相对熵增益继续对所述中间特征函数集进行更新,生成目标特征函数集,包括:
6.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:<...
【专利技术属性】
技术研发人员:白小鹏,苏嘉鹏,童小敏,马坤,赵培源,
申请(专利权)人:西安四叶草信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。