基于画像技术的网络异常检测方法、装置、设备及介质制造方法及图纸

本发明专利技术提供一种基于画像技术的网络异常检测方法、装置、设备及介质，方法包括：获取网络中的设备的相关数据信息；根据相关数据信息构造设备向量；计算设备向量与设备对应的设备画像间的设备偏差；计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差；在设备偏差和/或类型偏差超过设定阈值时，发出告警，以实现网络异常检测。本发明专利技术提供的基于画像技术的网络异常检测方法、装置、设备及介质，采用机器学习的方式对历史网络流量特征进行刻画，从而对网络中的设备进行聚类，同时根据历史流量特征为每一台设备、每一类设备进行画像，发现流量异常的设备，以实现及时准确地发现网络安全攻击行为。

Network anomaly detection method, device, equipment and medium based on portrait Technology

The invention provides a network anomaly detection method, device, device and medium based on the image technology. The method includes: obtaining the related data information of the equipment in the network, constructing the equipment vector according to the related data information, calculating the equipment deviation between the device vectors corresponding to the equipment, and calculating the equipment vector and setting. Type deviations between the type of device types corresponding to the equipment type belonging to the equipment; alarm when the device deviation and / or type deviations exceed the set threshold to achieve network anomaly detection. This invention provides a network anomaly detection method, device, equipment and medium based on image technology. It uses machine learning to describe the historical network traffic characteristics, so as to cluster the equipment in the network. At the same time, according to the historical traffic characteristics, each device and each kind of equipment are painted, and the traffic is found. Abnormal devices to achieve timely and accurate detection of network security attacks.

【技术实现步骤摘要】
基于画像技术的网络异常检测方法、装置、设备及介质
本专利技术涉及网络安全
，尤其涉及一种基于画像技术的网络异常检测方法、装置、设备及介质。
技术介绍
现有的网络安全技术，只能解决基于规则已知的网络安全攻击的发现(例如，基于签名的IDS/IPS等)，对于未知的网络安全攻击行为(例如，APT攻击)难以发现或者发现结果不准确。
技术实现思路
本专利技术要解决的技术问题是提供一种基于画像技术的网络异常检测方法、装置、设备及介质，采用机器学习的方式对历史网络流量特征进行刻画，从而对网络中的设备进行聚类，同时根据历史流量特征为每一台设备、每一类设备进行画像，发现流量异常的设备，以实现及时准确地发现网络安全攻击行为。为解决上述技术问题，本专利技术提供的技术发方案是：第一方面，本专利技术实施例提供了一种基于画像技术的网络异常检测方法，方法包括：获取网络中的设备的相关数据信息；根据相关数据信息构造设备向量；计算设备向量与设备对应的设备画像间的设备偏差；计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差；在设备偏差和/或类型偏差超过设定阈值时，发出告警，以实现网络异常检测。进一步地，设备画像的构建，包括：采集设备在第一时间长度内的历史相关数据信息；根据历史相关数据信息，获取每个第二时间长度内，设备的基本信息；计算设备在第一时间长度内的，所有第二时间长度对应的基本信息的统计信息；根据统计信息确定设备画像信息，构建设备画像。进一步地，基本信息包括：在线时长，TCP数据包数量，TCP数据包长度，UDP数据包数量，UDP数据包长度，连接IP数量，连接端口数量，设备的最大流量对应的端口，与设备连接的其他设备的设备类型；统计信息包括：在线时长的均值和标准差，TCP数据包数量的均值和标准差，TCP数据包长度的均值和标准差，UDP数据包数量的均值和标准差，UDP数据包长度的均值和标准差，连接设备数量的均值和标准差，连接端口数量的均值和标准差；设备画像信息包括：在线率，设备类型，设备分组，TCP数据包数量，TCP数据包长度，UDP数据包数量，UDP数据包长度，连接设备数量，连接端口数量，接入位置。进一步地，设备类型画像的构建，包括：获取与设备属于同一类型的所有设备对应的设备画像信息的集合；根据设备画像信息的集合，确定设备类型画像。进一步地，对网络中的所有设备进行分类以确定每个设备对应的设备类型，包括：获取每个设备的设备画像信息；根据设备画像信息构建与设备对应的设备向量；获取每个设备类型对应的设备类型画像信息；根据设备类型画像信息构建与设备类型对应的设备类型向量；计算设备向量与每个设备类型向量间的相似度，并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型。进一步地，计算设备向量与每个设备类型向量间的相似度，并将相似度最高且超过设定阈值的设备类型确定为设备所属的设备类型，包括：计算设备向量与每个设备类型向量间的向量距离；计算每个向量距离对应的均值和标准差；将对应均值最小和/或标准差最小，且对应相似度超过设定阈值的向量距离指向的设备类型确定为设备所属的设备类型。进一步地，在存在超过设定数量的设备不属于现有任一设备类型时，还包括：对所有未确定设备类型的设备对应的设备向量进行标准化；递归计算每两个标准化后的设备向量间的距离，并将距离超过距离阈值的设备确定为同一新类型；将属于同一新类型的所有设备的设备向量的均值作为新类型向量；计算新类型向量与未归类设备的设备向量间的距离，并将距离超过距离阈值的设备确定为同一新类型；依次类推，直至无法聚类为止。第二方面，本专利技术实施例提供了一种基于画像技术的网络异常检测装置，装置包括：数据获取单元，用于获取网络中的设备的相关数据信息；向量构建单元，用于根据相关数据信息构造设备向量；第一计算单元，用于计算设备向量与设备对应的设备画像间的设备偏差；第二计算单元，用于计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差；异常检测单元，用于在设备偏差和/或类型偏差超过设定阈值时，发出告警，以实现网络异常检测。第三方面，本专利技术实施例提供了一种计算机设备，包括：至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。第四方面，本专利技术实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。本专利技术实施例提供的基于画像技术的网络异常检测方法、装置、设备及介质，采用机器学习的方式对历史网络流量特征进行刻画，从而对网络中的设备进行聚类，同时根据历史流量特征为每一台设备、每一类设备进行画像，发现流量异常的设备，以实现及时准确地发现网络安全攻击行为。附图说明图1是本专利技术实施例提供的基于画像技术的网络异常检测方法的流程图；图2是本专利技术实施例提供的基于画像技术的网络异常检测方法的另一流程图；图3是本专利技术实施例提供的机器学习的流程图；图4是本专利技术实施例提供的设备画像的雷达图；图5是本专利技术实施例提供的数据包数量异常检测结果展示图；图6是本专利技术实施例提供的数据包数量异常检测结果又一展示图；图7是本专利技术实施例提供的连接关系异常检测结果展示图；图8是本专利技术实施例提供的基于画像技术的网络异常检测装置的框图；图9示出了本专利技术实施例提供的计算机设备的硬件结构示意图。具体实施方式下面通过具体的实施例进一步说明本专利技术，但是，应当理解为，这些实施例仅仅是用于更详细具体地说明之用，而不应理解为用于以任何形式限制本专利技术。实施例一结合图1，本实施例提供的基于画像技术的网络异常检测方法，方法包括：步骤S1，获取网络中的设备的相关数据信息；步骤S2，根据相关数据信息构造设备向量；步骤S3，计算设备向量与设备对应的设备画像间的设备偏差；步骤S4，计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差；步骤S5，在设备偏差和/或类型偏差超过设定阈值时，发出告警，以实现网络异常检测。本专利技术实施例提供的基于画像技术的网络异常检测方法，采用机器学习的方式对历史网络流量特征进行刻画，从而对网络中的设备进行聚类，同时根据历史流量特征为每一台设备、每一类设备进行画像，发现流量异常的设备，以实现及时准确地发现网络安全攻击行为。优选地，如图2所示地，获取网络中的设备的相关数据信息，包括：获取设备的通信数据包；对通信数据包进行深度报文解释，以获取设备的相关数据信息。进一步优选地，相关数据信息包括：设备的源IP地址、MAC地址、源端口、目的IP、目的端口、协议、每个端口上的数据包的数量和长度、连接状态。优选地，如图3所示地，设备画像的构建，包括：采集设备在第一时间长度内的历史相关数据信息；根据历史相关数据信息，获取每个第二时间长度内，设备的基本信息；计算设备在第一时间长度内的，所有第二时间长度对应的基本信息的统计信息；根据统计信息确定设备画像信息，构建设备画像。本实施例中，具体地，第一时间长度为一周，即连续七天，第二时间长度为一小时，此外，本实施例对第一时间长度和第二时间长度的具体值不做具体限定，可结合实际需求进行设定。具体地，基本信息包括：在线时长，TCP数据包数量，TCP数据包长度，UDP数据包数量，UDP数据包长本文档来自技高网...

【技术保护点】
1.一种基于画像技术的网络异常检测方法，其特征在于，所述方法包括：获取网络中的设备的相关数据信息；根据所述相关数据信息构造设备向量；计算所述设备向量与所述设备对应的设备画像间的设备偏差；计算所述设备向量与所述设备所属的设备类型对应的设备类型画像间的类型偏差；在所述设备偏差和/或所述类型偏差超过设定阈值时，发出告警，以实现网络异常检测。

【技术特征摘要】
1.一种基于画像技术的网络异常检测方法，其特征在于，所述方法包括：获取网络中的设备的相关数据信息；根据所述相关数据信息构造设备向量；计算所述设备向量与所述设备对应的设备画像间的设备偏差；计算所述设备向量与所述设备所属的设备类型对应的设备类型画像间的类型偏差；在所述设备偏差和/或所述类型偏差超过设定阈值时，发出告警，以实现网络异常检测。2.根据权利要求1所述的基于画像技术的网络异常检测方法，其特征在于，所述设备画像的构建，包括：采集设备在第一时间长度内的历史相关数据信息；根据所述历史相关数据信息，获取每个第二时间长度内，所述设备的基本信息；计算所述设备在所述第一时间长度内的，所有所述第二时间长度对应的所述基本信息的统计信息；根据所述统计信息确定设备画像信息，构建设备画像。3.根据权利要求2所述的基于画像技术的网络异常检测方法，其特征在于，所述基本信息包括：在线时长，TCP数据包数量，TCP数据包长度，UDP数据包数量，UDP数据包长度，连接IP数量，连接端口数量，所述设备的最大流量对应的端口，与所述设备连接的其他设备的设备类型；所述统计信息包括：在线时长的均值和标准差，TCP数据包数量的均值和标准差，TCP数据包长度的均值和标准差，UDP数据包数量的均值和标准差，UDP数据包长度的均值和标准差，连接设备数量的均值和标准差，连接端口数量的均值和标准差；所述设备画像信息包括：在线率，设备类型，设备分组，TCP数据包数量，TCP数据包长度，UDP数据包数量，UDP数据包长度，连接设备数量，连接端口数量，接入位置。4.根据权利要求3所述的基于画像技术的网络异常检测方法，其特征在于，所述设备类型画像的构建，包括：获取与所述设备属于同一类型的所有设备对应的设备画像信息的集合；根据所述设备画像信息的集合，确定设备类型画像。5.根据权利要求1所述的基于画像技术的网络异常检测方法，其特征在于，对网络中的所有设备进行分类以确定每个设备对应的设备类型，包括：获取每个设备的设备画像信息；根据设备画像信息构建与设备对应的设备向量；获取每个设备类型对...

【专利技术属性】
技术研发人员：涂大志，王志，王新成，
申请(专利权)人：深圳市联软科技股份有限公司，
类型：发明
国别省市：广东,44