【技术实现步骤摘要】
一种异常网络数据行为模型的获取方法及装置
本申请涉及通信
,尤其涉及一种异常网络数据行为模型的获取方法及装置。
技术介绍
随着网络规模的迅速扩大、网络技术的复杂化,以及网络设备的多样化,使得网络数据形态呈几何倍数增长变化。目前,网络数据的检测方法主要是先构建数据特征库:通过人工查找异常网络数据的数据包中特定位置的特殊字段,将该特殊字段作为异常网络数据的异常数据特征,构建数据特征库。在检测过程中,将网络数据与数据特征库中的多个异常数据特征进行匹配,若匹配成功,则确定网络数据为异常网络数据,若匹配不成功,则确定网络数据为正常网络数据。然而,专利技术人发现上述构建数据特征库的过程中需要解析数据包的内部信息,之后通过人工查找内部信息中的异常数据特征来构建数据特征库。由于存在人工操作,故存在人为误差,降低了获取异常数据特征的准确性和效率。
技术实现思路
本申请实施例提供一种异常网络数据行为模型的获取方法及装置,解决了现有技术存在的上述问题,提高了获取异常数据特征的准确性和效率。第一方面,提供了一种异常网络数据行为模型的获取方法,该方法可以包括:获取第一网络的第一混合网络数...
【技术保护点】
1.一种异常网络数据行为模型的获取方法,其特征在于,所述方法包括:获取第一网络的第一混合网络数据,第二网络的第一类型网络数据和第三网络的第二混合网络数据;其中,所述第一混合网络数据为所述第一网络中第一类型网络数据和第二类型网络数据的混合网络数据,所述第二混合网络数据为所述第三网络中在所述第一类型网络数据基础上所述第二类型网络数据从无到有再到无的变化过程的混合网络数据;网络数据包括多个netflow数据,所述netflow数据为基于四元组确定的数据信息,所述四元组包括源地址、目的地址、目的端口和网络数据类型;根据所述第一混合网络数据、所述第一类型网络数据或所述第二混合网络数据...
【技术特征摘要】
1.一种异常网络数据行为模型的获取方法,其特征在于,所述方法包括:获取第一网络的第一混合网络数据,第二网络的第一类型网络数据和第三网络的第二混合网络数据;其中,所述第一混合网络数据为所述第一网络中第一类型网络数据和第二类型网络数据的混合网络数据,所述第二混合网络数据为所述第三网络中在所述第一类型网络数据基础上所述第二类型网络数据从无到有再到无的变化过程的混合网络数据;网络数据包括多个netflow数据,所述netflow数据为基于四元组确定的数据信息,所述四元组包括源地址、目的地址、目的端口和网络数据类型;根据所述第一混合网络数据、所述第一类型网络数据或所述第二混合网络数据的多个netflow数据中流起始时间的先后顺序和预设状态标记规则,分别对所述第一混合网络数据、所述第一类型网络数据和所述第二混合网络数据的属性特征进行状态标记,获取相应的第一状态链、第二状态链和第三状态链,所述属性特征包括所述netflow数据的周期性、大小和持续时间,状态链是所述具有相同四元组的多个netflow数据的状态集合;基于相同的目的端口和网络数据类型,采用预设状态链修改规则,对所述第一状态链、所述第二状态链和所述第三状态链进行两两比对和状态链修改,获取异常状态链;将所述异常状态链确定为异常网络数据行为模型。2.如权利要求1所述的方法,其特征在于,获取相应的第一状态链、第二状态链和第三状态链,包括:对所述第一混合网络数据、所述第一类型网络数据和所述第二混合网络数据进行netflow类型提取,分别获取所述第一混合网络数据、所述第一类型网络数据和所述第二混合网络数据中具有相同四元组的多个netflow数据;在所述具有相同四元组的多个netflow数据中,根据预设状态标记规则,对所述多个netflow数据中每个netflow数据的周期性、大小和持续时间进行状态标记,得到所述netflow数据的状态组合;按照所述流起始时间的先后顺序,将所述多个netflow数据的状态组合构成所述第一混合网络数据对应的第一状态链、所述第一类型网络数据对应的第二状态链和所述第二混合网络数据对应的第三状态链;其中,所述netflow数据的大小是由netflow数据中总字节数字段的字节数确定的;所述netflow数据的持续时间是由netflow数据中流存在时间字段的流存在时间确定的;所述netflow数据的周期性是由netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间确定的。3.如权利要求2所述的方法,其特征在于,得到所述netflow数据的状态组合,包括:根据预设状态标记规则,对待标记的netflow数据的大小和周期性的关联关系进行第一类标记,且对所述待标记的netflow数据的持续时间进行第二类标记,得到所述待标记的netflow数据的状态组合,所述待标记的netflow数据为所述多个netflow数据中的任一netflow数据。4.如权利要求2所述的方法,其特征在于,基于相同的目的端口和网络数据类型,采用预设状态链修改规则,对所述第一状态链、所述第二状态链和所述第三状态链进行两两比对和状态链修改,获取异常状态链,包括:根据所述预设状态链修改规则,对所述第一状态链的状态组合与所述第二状态链的状态组合进行相应比对,判断所述第一状态链与所述第二状态链是否存在相同状态组合;若存在,则删除所述第一状态链中与所述第二状态链存在相同状态组合的第一状态链,得到处理后的第一状态链;根据所述预设状态链修改规则,对所述处理后的第一状态链的状态组合与所述第三状态链的状态组合进行相应比对,并按照所述第三状态链的状态组合对所述处理后的第一状态链的状态组合进行修改,得到所述异常状态链。5.如权利要求1所述的方法,其特征在于,所述第一类型网络数据为正常网络数据,所述第二类型网络数据为异常网络数据。6.如权利要求1所述的方法,其特征在于,基于相同的目的端口和网络数据类型,采用预设状态链修改规则,将所述第一状态链、所述第二状态链和所述第三状态链进行两两比对和状态链修改之前,所述方法还包括:若所述第二状态链和所述第三状态链中状态组合的数量超过预设数量范围,则删除所述数量对应的状态链;若所述第二状态链和所述第三状态链中状态组合的数量未超过预设数量范围,则基于相同的目的端口和网络数据类型,采用预设状态链修改规则,将所述第一状态链、检测后的第二状态链和检测后的第三状态链进行两两比对和状态链修改。7.如权利要求1所述的方法,其特征在于,基于相同的目的端口和网络数据类型,采用预设状态链修改规则,将所述第一状态链、所述第二状态链和所述第三状态链进行两两比对和状态链修改之前,所述方法还包括:检测所述第二状态链和所述第三状态链中有效负载信息的大小;若所述大小超过预设大小范围,则删除所述大小对应的状态链;若所述大小未超过预设大小范围,则基于相同的目的端口和网络数据类型,采用预设状态链修改规则,将所述第一状态链、检测后的第二状态链和检测后的第三状态链进行两两比对和状态链修改。8.如权利要求1所述的方法,其特征在于,基于相同的目的端口和网络数据类型,采用预设状态链修改规则,将所述第一状态链、所述第二状态链和所述第三状态链进行两两比对和状态链修改之前,所述方法还包括:检测所述第二状态链和所述第三状态链中是否包含预设异常四元组信息;若否,则返回执行获取相应的第一状态链、第二状态链和第三状态链的步骤;若是,则基于相同的目的端口和网络数据类型,采用预设状态链修改规则,将所述第一状态链、检测后的第二状态链和检测后的第三状态链进行两两比对和状态链修改。9.如权利要求1所述的方法,其特征在于,将所述异常状态链确定为异常网络数据行为模型之后,所述方法还包括:获取真实网络环境中的异常状态链;将所述异常状态链与所述异常网络数据行为模型进行匹配;若匹配成功,则确定所述异常网络数据行为模型为准确的异常网络数据行为模型。10.一种异常网络数据行为模型的获取装置,其特征...
【专利技术属性】
技术研发人员:姜龙,赵阳,魏向杰,肖丰佳,罗果,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。