【技术实现步骤摘要】
异常流量的检测方法、装置、计算机设备和存储介质
本申请涉及计算机
,尤其涉及一种异常流量的检测方法、装置、计算机设备和存储介质。
技术介绍
异常流量检测是网络异常检测中的重要任务之一。目前,有很多异常流量检测方法。例如,基于特征检测的异常流量检测方法、基于机器学习的异常流量检测方法、基于有监督深度学习的异常流量检测方法等。其中,基于特征检测的异常流量检测方法,通过维护异常特征库来匹配异常流量,检测出特征库中已知的攻击类型;基于机器学习的异常流量检测方法,利用人工构造的特征表示训练数据,即利用机器学习中的特征工程通过专家知识将原始数据转换为特征向量,并通过训练数据学习出用于异常流量检测的模型;基于有监督深度学习的异常流量检测方法,通过有标签的网络数据进行有监控学习,进而利用训练好的模型确定流量是否异常。但是,基于特征检测的异常流量检测方法,只能检测出特征库中已知的攻击类型,需要专家定期更新特征库,成本高;对于基于机器学习的异常流量检测方法,基于人工构造的特征需要大量的专家知识,人力成本和时间成本较高,而且人工构造的特征与当时具体的攻击类型有关,当新型的复杂攻击...
【技术保护点】
1.一种异常流量的检测方法,其特征在于,包括:获取网络数据包,并提取所述网络数据包之中的会话信息和网络应用层负载信息;根据所述会话信息和所述网络应用层负载信息生成检测样本;根据所述检测样本生成抽象特征;以及根据所述抽象特征进行分类以检测异常流量。
【技术特征摘要】
1.一种异常流量的检测方法,其特征在于,包括:获取网络数据包,并提取所述网络数据包之中的会话信息和网络应用层负载信息;根据所述会话信息和所述网络应用层负载信息生成检测样本;根据所述检测样本生成抽象特征;以及根据所述抽象特征进行分类以检测异常流量。2.如权利要求1所述的异常流量的检测方法,其特征在于,在所述根据所述会话信息和所述网络应用层负载信息生成检测样本之后,还包括:对所述检测样本进行归一化处理。3.如权利要求1或2所述的异常流量的检测方法,其特征在于,所述会话信息包括协议类型、端口特征值、网络消息控制协议ICMP类型值、ICMP代码值、传输控制协议TCP标志位、一个会话中数据包时间间隔的平均值、一个会话中数据包时间间隔的方差值。4.如权利要求1或2所述的异常流量的检测方法,其特征在于,所述网络应用层负载信息为网络应用层负载数据中预设字节长度的部分。5.如权利要求3所述的异常流量的检测方法,其特征在于,所述会话信息通过以下步骤进行归一化处理,包括:保持协议类型不变;端口特征值除以第一预设值;ICMP类型值和ICMP代码值除以第二预设值。6.如权利要求5所述的异常流量的检测方法,其特征在于,还包括:获取TCP标志位、一个...
【专利技术属性】
技术研发人员:于洋,关塞,陈洁远,曾凡,李家昌,聂利权,阮华,万志颖,王伟,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。