【技术实现步骤摘要】
一种网络流量异常的判断方法及装置
本专利技术涉及基于网络的数据处理领域,特别涉及一种网络流量异常的判断方法及装置。
技术介绍
网络流量异常检测是网络安全领域的重要研究内容,网络流量异常是指对网络正常使用造成不良影响的网络流量模式,引起网络流量异常的原因很多,主要包括:1)网络攻击,如DDoS攻击、Dos攻击、端口查看等;2)导致数据量模式改变的网络病毒,如蠕虫病毒等;3)网络的使用问题,如大量的P2P的应用模式对网络流量造成影响;4)网络误配置及网络存储耗尽等。传统的网络流量异常检测是基于流量特征的,主要通过寻找能与已知异常特征相匹配的模式来检测异常,需要预先设定特征库或者规则库。这种方法的缺点是不能检测未知异常,同时随着异常种类的增多,特征库有限,检测效率及准确性下降。此外,目前很多网络流量是加密的,如使用TLS(安全传输层协议)进行加密,但目前的异常检测方法没有考虑如TLS流量的特征,因此对TLS加密等加密的异常流量检测准确率低。
技术实现思路
本专利技术实施例的目的在于提供一种网络流量异常的判断方法及装置。本申请的实施例采用了如下技术方案:一种网络流量异常的判断...
【技术保护点】
1.一种网络流量异常的判断方法,包括:获取待测数据,并从所述待测数据中过滤出基于第一通信协议的目标数据,进而获取所述目标数据中的预设字段数据;基于所述预设字段数据生成相应的具有特定数据结构的特征参数;将所述特征参数作为输入,利用训练过的第一模型,得到相应的输出数据;根据所述第一模型的输出数据与预设阈值的比较结果,判断所述待测数据是否为异常数据。
【技术特征摘要】
1.一种网络流量异常的判断方法,包括:获取待测数据,并从所述待测数据中过滤出基于第一通信协议的目标数据,进而获取所述目标数据中的预设字段数据;基于所述预设字段数据生成相应的具有特定数据结构的特征参数;将所述特征参数作为输入,利用训练过的第一模型,得到相应的输出数据;根据所述第一模型的输出数据与预设阈值的比较结果,判断所述待测数据是否为异常数据。2.根据权利要求1所述的方法,其特征在于,所述第一通信协议为安全传输层协议,所述的获取待测数据,并从所述待测数据中过滤出基于第一通信协议的目标数据,进而获取所述目标数据中的预设字段数据包括:确定所述目标数据中的数据流;获取所有的所述数据流的传输层协议,以及所述数据流中数据包对应的时间参数;获取所述目标数据中以明文显示的预设字段。3.根据权利要求1所述的方法,其特征在于,所述预设字段包括所述目标数据中的clienthello数据的CipherSuites字段和Extensions字段,其中所述clienthello数据为所述网络中的客户端向服务器发送的数据;所述预设字段还包括所述目标数据中的serverhello数据的CipherSuites字段和Extensions字段,其中所述serverhello数据为所述网络中的服务器向客户端发送的数据。4.根据权利要求1所述的方法,其特征在于,所述第一模型为孤立森林模型,所述方法还包括:基于训练数据对所述孤立森林模型进行训练,以生成多个孤立树结构数据;基于所述孤立树结构数据计算所述待测数据的异常概率,以形成所述输出数据。5.根据权利要求1所述的方法,其特征在于,所述预设阈值在0至1的范围内选定,所述的根据所述第一模型的输出数据与预设阈值的比较结果,判断所述待测数据是否为异常数据包括:当所述输出数据大于所述预设阈值时,...
【专利技术属性】
技术研发人员:张新,张旭,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。