The invention provides a network anomaly detection method, device, device and medium based on the image technology. The method includes: obtaining the related data information of the equipment in the network, constructing the equipment vector according to the related data information, calculating the equipment deviation between the device vectors corresponding to the equipment, and calculating the equipment vector and setting. Type deviations between the type of device types corresponding to the equipment type belonging to the equipment; alarm when the device deviation and / or type deviations exceed the set threshold to achieve network anomaly detection. This invention provides a network anomaly detection method, device, equipment and medium based on image technology. It uses machine learning to describe the historical network traffic characteristics, so as to cluster the equipment in the network. At the same time, according to the historical traffic characteristics, each device and each kind of equipment are painted, and the traffic is found. Abnormal devices to achieve timely and accurate detection of network security attacks.
【技术实现步骤摘要】
基于画像技术的网络异常检测方法、装置、设备及介质
本专利技术涉及网络安全
,尤其涉及一种基于画像技术的网络异常检测方法、装置、设备及介质。
技术介绍
现有的网络安全技术,只能解决基于规则已知的网络安全攻击的发现(例如,基于签名的IDS/IPS等),对于未知的网络安全攻击行为(例如,APT攻击)难以发现或者发现结果不准确。
技术实现思路
本专利技术要解决的技术问题是提供一种基于画像技术的网络异常检测方法、装置、设备及介质,采用机器学习的方式对历史网络流量特征进行刻画,从而对网络中的设备进行聚类,同时根据历史流量特征为每一台设备、每一类设备进行画像,发现流量异常的设备,以实现及时准确地发现网络安全攻击行为。为解决上述技术问题,本专利技术提供的技术发方案是:第一方面,本专利技术实施例提供了一种基于画像技术的网络异常检测方法,方法包括:获取网络中的设备的相关数据信息;根据相关数据信息构造设备向量;计算设备向量与设备对应的设备画像间的设备偏差;计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差;在设备偏差和/或类型偏差超过设定阈值时,发出告警,以实现网络异常检测。进一步地,设备画像的构建,包括:采集设备在第一时间长度内的历史相关数据信息;根据历史相关数据信息,获取每个第二时间长度内,设备的基本信息;计算设备在第一时间长度内的,所有第二时间长度对应的基本信息的统计信息;根据统计信息确定设备画像信息,构建设备画像。进一步地,基本信息包括:在线时长,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接IP数量,连接端口数量,设备的最大 ...
【技术保护点】
1.一种基于画像技术的网络异常检测方法,其特征在于,所述方法包括:获取网络中的设备的相关数据信息;根据所述相关数据信息构造设备向量;计算所述设备向量与所述设备对应的设备画像间的设备偏差;计算所述设备向量与所述设备所属的设备类型对应的设备类型画像间的类型偏差;在所述设备偏差和/或所述类型偏差超过设定阈值时,发出告警,以实现网络异常检测。
【技术特征摘要】
1.一种基于画像技术的网络异常检测方法,其特征在于,所述方法包括:获取网络中的设备的相关数据信息;根据所述相关数据信息构造设备向量;计算所述设备向量与所述设备对应的设备画像间的设备偏差;计算所述设备向量与所述设备所属的设备类型对应的设备类型画像间的类型偏差;在所述设备偏差和/或所述类型偏差超过设定阈值时,发出告警,以实现网络异常检测。2.根据权利要求1所述的基于画像技术的网络异常检测方法,其特征在于,所述设备画像的构建,包括:采集设备在第一时间长度内的历史相关数据信息;根据所述历史相关数据信息,获取每个第二时间长度内,所述设备的基本信息;计算所述设备在所述第一时间长度内的,所有所述第二时间长度对应的所述基本信息的统计信息;根据所述统计信息确定设备画像信息,构建设备画像。3.根据权利要求2所述的基于画像技术的网络异常检测方法,其特征在于,所述基本信息包括:在线时长,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接IP数量,连接端口数量,所述设备的最大流量对应的端口,与所述设备连接的其他设备的设备类型;所述统计信息包括:在线时长的均值和标准差,TCP数据包数量的均值和标准差,TCP数据包长度的均值和标准差,UDP数据包数量的均值和标准差,UDP数据包长度的均值和标准差,连接设备数量的均值和标准差,连接端口数量的均值和标准差;所述设备画像信息包括:在线率,设备类型,设备分组,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接设备数量,连接端口数量,接入位置。4.根据权利要求3所述的基于画像技术的网络异常检测方法,其特征在于,所述设备类型画像的构建,包括:获取与所述设备属于同一类型的所有设备对应的设备画像信息的集合;根据所述设备画像信息的集合,确定设备类型画像。5.根据权利要求1所述的基于画像技术的网络异常检测方法,其特征在于,对网络中的所有设备进行分类以确定每个设备对应的设备类型,包括:获取每个设备的设备画像信息;根据设备画像信息构建与设备对应的设备向量;获取每个设备类型对...
【专利技术属性】
技术研发人员:涂大志,王志,王新成,
申请(专利权)人:深圳市联软科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。