本发明专利技术实施例公开了一种流量检测方法、装置、电子设备及存储介质,包括:获取待处理的会话日志,其中,所述会话日志中包括多个根据流量数据还原的会话信息,多个会话信息按会话时间进行排列;提取所述会话日志中的会话特征和时间特征;基于所述会话特征和时间特征,通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数;根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估。通过两个维度的特征对未来时间段内的流量参数进行预测,既能够识别会话本身是否存在错误,同时,由于,前瞻性的预测能够在实测数据出现时,就能够判断出是否存在异常状况,使检测不具有延时性,使检测的效率更高。
Flow detection method, device, electronic equipment and storage medium
【技术实现步骤摘要】
流量检测方法、装置、电子设备及存储介质
本专利技术实施例涉及网络安全领域,尤其是一种流量检测方法、装置、电子设备及存储介质。
技术介绍
今天的通信网络发展得很快。网络攻击也是如此。新的漏洞每天都会出现,并在零日攻击中被迅速利用。基于签名的检测无法检测到以前未知的攻击,异常检测技术可以发现与正常通信模式的偏差,因此是改善当今通信网络安全的重要工具。本专利技术创造的专利技术人在研究中发现,现有技术中,网络异常检测的特征是bps(Bitrate,比特率)和pps(PacketsperSecond,每秒发送多少个分组数据包)这些标识网络质量的的特征,这些特征只能表明网络传输状况和租户使用情况是否正常,并不能代表流量本身特征是否正常。
技术实现思路
本专利技术实施方式的目的在于提供一种流量检测方法、装置、电子设备及存储介质,使得能够根据流量数据组成的会话日志,对未来时间内的流量参数进行预测,并根据预测参数是实测参数判断会话环境是否异常。为解决上述技术问题,本专利技术的实施方式提供了一种流量检测方法,包括:获取待处理的会话日志,其中,所述会话日志中包括多个根据流量数据还原的会话信息,多个会话信息按会话时间进行排列;提取所述会话日志中的会话特征和时间特征;基于所述会话特征和时间特征,通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数;根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估。本专利技术的实施方式还提供了一种流量检测装置,包括:获取模块,用于获取待处理的会话日志,其中,所述会话日志中包括多个根据流量数据还原的会话信息,多个会话信息按会话时间进行排列;提取模块,用于提取所述会话日志中的会话特征和时间特征;处理模块,用于基于所述会话特征和时间特征,通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数;执行模块,用于根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估。本专利技术的实施方式还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,使得所述处理器执行上述所述流量检测方法。本专利技术的实施方式还提供了一种计算机可读介质,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述所述流量检测方法。本专利技术实施方式相对于现有技术而言,根据流量数据对会话信息进行还原,并将还原的会话信息依据会话时间进行排布生成会话日志,然后,通过会话维度和时间维度对会话日志的时间特征和会话特征进行提取,基于上述两个特征对未来时间段内目标检测节点的流量参数进行预测生成预测参数,并在目标检测节点采集实际的实测参数,将实测参数与和预测参数进行比对,如果,实测参数与预测参数之间存在较大差异时,则表明会话环境存在危险。通过两个维度的特征对未来时间段内的流量参数进行预测,既能够识别会话本身是否存在错误,同时,由于,前瞻性的预测能够在实测数据出现时,就能够判断出是否存在异常状况,使检测不具有延时性,使检测的效率更高。另外,所述获取待处理的会话日志之前,包括:获取目标会话链路中的至少一个流量数据;解析各流量数据表征的会话信息及会话时间;将所述会话信息按所述会话时间进行收录生成会话日志。会话日志由数据流量还原而成,为流量异常检测提供了深度素材,能够使检测结果更加准确。另外,所述提取所述会话日志中的会话特征和时间特征包括:识别所述流量数据的协议类型;在预设的特征策略数据库中查找与所述协议类型对应的特征提取策略;基于所述特征提取策略,从网络层、传输层和应用层三个维度提取所述会话日志中的会话特征和时间特征。除了提取流量在网络层和传输层特征外,同时还能关注流量在应用层的特征,并且能够针对不同协议特点提取不同的特征,实现从更多维度对异常行为进行分析。另外,所述通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数包括:识别所述多个流量数据变化是否具有周期性;当所述多个流量数据变化具有周期性时,在所述会话日志中提取预设周期长度内的会话信息的会话特征和时间特征;将所述会话特征和时间特征输入至所述预测模型中,对目标检测节点的流量参数进行预测生成预测参数,其中,所述预测模型为根据输入数据的周期特性对目标检测节点的流量参数进行预测的计算模型。结合流量数据的周期性,对标测试节点的流量参数进行预测,能够使预测结果更加准确。另外,所述预测参数包括会话预测参数和时间预测参数,所述实测参数包括会话实测参数和时间实测参数,所述根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估包括:根据所述会话预测参数与所述会话实测参数计算会话差异度;根据所述时间预测参数与所述时间实测参数计算时间差异度;当所述会话差异度与所述时间差异度均大于预设的标准阈值时,确定所述会话环境为异常环境。通过时间和会话的两个指标判断会话环境是否异常,能够使判断结果更加准确。附图说明一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。图1为本专利技术实施例流量检测方法的基本流程示意图;图2为本专利技术实施例会话日志生成方式流程示意图;图3为本专利技术实施例根据时长结束会话日志的流程示意图;图4为本专利技术实施例提取会话特征和时间特征的流程示意图;图5为本专利技术实施例根据流量数据的周期性进行流量预测的流程示意图;图6为本专利技术实施例根据流量数据的趋势性进行流量预测的流程示意图;图7为本专利技术实施例异常环境判断方法的流程示意图;图8为本专利技术实施例流量检测装置基本结构示意图;图9为本专利技术实施电子设备基本结构框图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本专利技术各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本专利技术的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。具体请参阅图1,图1为本实施例流量检测方法的基本流程示意图。如图1所示,一种流量检测方法,包括:S1100、获取待处理的会话日志,其中,所述会话日志中包括多个根据流量数据还原的会话信息,多个会话信息按会话时间进行排列;为了对网络链路中的流量数据进行检测,针对于同一个网络链路中网络流量的数据包进行抓取。通过会话还原技术对抓取的流量数据进行会话还原,并按照会话时间对还原的会话信息进行排列,排列的方式为根据会话时间进行升序排列。但是不局限于此,在一些实施方式中,排列方式为根据会话时间进行降序排列。会话本文档来自技高网...
【技术保护点】
1.一种流量检测方法,其特征在于,包括:/n获取待处理的会话日志,其中,所述会话日志中包括多个根据流量数据还原的会话信息,多个会话信息按会话时间进行排列;/n提取所述会话日志中的会话特征和时间特征;/n基于所述会话特征和时间特征,通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数;/n根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估。/n
【技术特征摘要】
1.一种流量检测方法,其特征在于,包括:
获取待处理的会话日志,其中,所述会话日志中包括多个根据流量数据还原的会话信息,多个会话信息按会话时间进行排列;
提取所述会话日志中的会话特征和时间特征;
基于所述会话特征和时间特征,通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数;
根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估。
2.根据权利要求1所述的流量检测方法,其特征在于,所述获取待处理的会话日志之前,包括:
获取目标会话链路中的至少一个流量数据;
解析各流量数据表征的会话信息及会话时间;
将所述会话信息按所述会话时间进行收录生成会话日志。
3.根据权利要求2所述的流量检测方法,其特征在于,所述解析各流量数据表征的会话信息及会话时间之后,包括:
采集所述目标会话链路中目标状态的延续时长;
将所述延续时长与预设的时间阈值进行比对;
当所述延续时长大于或者等于所述时间阈值时,将所述会话信息按所述会话时间进行收录生成会话日志。
4.根据权利要求1所述的流量检测方法,其特征在于,所述提取所述会话日志中的会话特征和时间特征包括:
识别所述流量数据的协议类型;
在预设的特征策略数据库中查找与所述协议类型对应的特征提取策略;
基于所述特征提取策略,从网络层、传输层和应用层三个维度提取所述会话日志中的会话特征和时间特征。
5.根据权利要求1所述的流量检测方法,其特征在于,所述通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数包括:
识别所述多个流量数据变化是否具有周期性;
当所述多个流量数据变化具有周期性时,在所述会话日志中提取预设周期长度内的会话信息的会话特征和时间特征;
将所述会话特征和时间特征输入至所述预测模型中,对目标检测节点的流量参数进行预测生成预测参数,其中,所述预测模型为根据输入数据的周期特性对...
【专利技术属性】
技术研发人员:罗彭彭,叶荣伟,康乾,
申请(专利权)人:中移杭州信息技术有限公司,中国移动通信集团有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。