异常流量检测装置及其异常流量检测方法制造方法及图纸

一种异常流量检测装置及其异常流量检测方法。异常流量检测装置解析一时间区间所撷取的多个封包，以获得各封包的多个流量特征，并基于降维算法，自该等流量特征中选取出至少一关键流量特征。异常流量检测装置将各封包的至少一关键流量特征作为一双向生成式对抗网络的输入，以训练双向生成式对抗网络，而生成用于检测异常流量的一流量辨识模型。

Abnormal flow detection device and method

【技术实现步骤摘要】
异常流量检测装置及其异常流量检测方法
本专利技术是关于一种异常流量检测装置及其异常流量检测方法。具体而言，异常流量检测装置基于降维算法获得封包的至少一关键流量特征，并训练双向生成式对抗网络，以生成用于检测异常流量的一流量辨识模型。
技术介绍
随着科技的发展，网络通信的各种应用已充斥于人们的生活中，且人们对于网络通信的需求亦日益增加。因此，网络通信的安全性也随之日益重要。目前关于网络安全的多个研究议题其中之一在于，黑客会通过命令与控制服务器(command-and-controlserver；C2server)向被僵尸病毒感染的电脑下达指令并加以控制，以攻击特定受害者电脑(例如：企业的服务器)，其攻击方式例如：垃圾信件(SPAM)攻击、点击诈欺(ClickFraud；CF)攻击、端口扫描(PortScan；PS)攻击、分布式阻断服务(DistributedDenial-of-Service；DDoS)攻击及快速变动(FastFlux；FF)攻击等。此外，C2服务器通常会采用因特网中继聊天(InternetRelayChat；IRC)协议、本文档来自技高网...

【技术保护点】
1.一种异常流量检测装置，其特征在于，该异常流量检测装置包括：/n一存储器；/n一网络接口；以及/n一处理器，电性连接该存储器及该网络接口，用以执行以下操作：/n通过该网络接口，撷取一第一时间区间自一内部网络传送至一外部网络的多个第一输出封包；/n解析该等第一输出封包，以产生多个输出流量数据，其中各该输出流量数据具有多个输出特征；/n基于一降维算法，计算该等输出流量数据，以自该等输出特征中选取出至少一关键输出特征，并产生对应至该等输出流量数据的多个输出训练数据；/n将该等输出训练数据作为一双向生成式对抗网络的多个第一输入样本，并根据该等第一输入样本训练该双向生成式对抗网络，以生成一输出流量辨识...

【技术特征摘要】
20181109 TW 1071398681.一种异常流量检测装置，其特征在于，该异常流量检测装置包括：
一存储器；
一网络接口；以及
一处理器，电性连接该存储器及该网络接口，用以执行以下操作：
通过该网络接口，撷取一第一时间区间自一内部网络传送至一外部网络的多个第一输出封包；
解析该等第一输出封包，以产生多个输出流量数据，其中各该输出流量数据具有多个输出特征；
基于一降维算法，计算该等输出流量数据，以自该等输出特征中选取出至少一关键输出特征，并产生对应至该等输出流量数据的多个输出训练数据；
将该等输出训练数据作为一双向生成式对抗网络的多个第一输入样本，并根据该等第一输入样本训练该双向生成式对抗网络，以生成一输出流量辨识模型；
通过该网络接口，撷取一第二时间区间自该内部网络传送至该外部网络的多个第二输出封包；
解析该等第二输出封包，以产生多个待辨识输出流量数据，其中各该待辨识输出流量数据具有该至少一关键输出特征；以及
将各该待辨识输出流量数据输入至该输出流量辨识模型，以判断该等第二输出封包是否产生一异常输出流量。


2.如权利要求1所述的异常流量检测装置，其特征在于，该输出流量辨识模型包括一生成器及一判别器，以及该处理器针对各该待辨识输出流量数据，更执行以下操作：
计算该生成器所产生的一仿数据与该待辨识输出流量数据间的一第一差异值；
计算该判别器针对该待辨识输出流量数据与该仿数据所产生的两个判别值间的一第二差异值；
计算该第一差异值乘上一第一权重值与该第二差异值乘上一第二权重值的一总和值；
判断该总和值是否大于一总和门槛值；以及
当该总和值大于该总和门槛值时，判断对应至该待辨识输出流量数据的该等第二输出封包产生该异常输出流量。


3.如权利要求2所述的异常流量检测装置，其特征在于，该处理器更依据各该第一输出封包的一来源端信息，将该等第一输出封包该等划分成多个内部群组，并解析各该内部群组中的该等第一输出封包，以产生该等输出流量数据。


4.如权利要求1所述的异常流量检测装置，其特征在于，该等输出特征包括一网际协议特征、一超文本传输协议特征及一流量比例特征。


5.如权利要求1所述的异常流量检测装置，其特征在于，该处理器更执行以下操作：
通过该网络接口，撷取该第三时间区间自该外部网络传送至该内部网络的多个第一输入封包；
解析该等第一输入封包，以产生多个输入流量数据，其中各该输入流量数据具有多个输入特征；
基于该降维算法，计算该等输入流量数据，以自该等输入特征中选取出至少一关键输入特征，并产生对应至该等输入流量数据的多个输入训练数据；
将该等输入训练数据作为该双向生成式对抗网络的多个第二输入样本，并根据该第二输入样本训练该双向生成式对抗网络，以生成一输入流量辨识模型；
通过该网络接口，撷取一第四时间区间自该外部网络传送至该内部网络的多个第二输入封包；
解析该等第二输入封包，以产生多个待辨识输入流量数据，其中各该待辨识输入流量数据具有该至少一关键输入特征；以及
将各该待辨识输入流量数据输入至该输入流量辨识模型，以判断该等第二输入封包是否产生一异常输入流量。


6.如权利要求5所述的异常流量检测装置，其特征在于，该输入流量辨识模型包括一生成器及一判别器，以及该处理器针对各该待辨识输入流量数据，更执行以下操作：
计算该生成器所产生的一仿数据与该待辨识输入流量数据间的一第一差异值；
计算该判别器针对该待辨识输入流量数据与该仿数据所产生的两个判别值间的一第二差异值；
计算该第一差异值乘上一第一权重值与该第二差异值乘上一第二权重值的一总和值；
判断该总和值是否大于一总和门槛值；以及
当该总和值大于该总和门槛值时，判断对应至该待辨识输入流量数据的该等第二输入封包产生该异常输入流量。


7.如权利要求6所述的异常流量检测装置，其特征在于，该处理器更依据各该第一输入封包的一来源端信息，将该等第一输入封包该等划分成多个外部群组，并解析各该外部群组中的该等第一输入封包，以产生该等输入流量数据。


8.如权利要求5所述的异常流量检测装置，其特征在于，该等输入流量特征包括一网域连接特征、一网页连接特征及一网域注册信息特征。


9.如权利要求5所述的异常流量检测装置，其特征在于，各该输出流量数据及各该输入流量数据与多个僵尸病毒其中之一相关联。


10.如权利要求1所述的异常流量检测装置，其特征在于，该降维算法是一线性区别分析算法、一主成分分析算法及一奇异值分解算法其中之一。


...

【专利技术属性】
技术研发人员：李坤玮，陈劲维，魏得恩，张孝贤，
申请(专利权)人：财团法人资讯工业策进会，
类型：发明
国别省市：中国台湾;71