【技术实现步骤摘要】
流量数据的检测方法及相关设备
本公开涉及计算机安全
,具体而言,涉及一种流量数据的检测方法及装置、电子设备和计算机可读存储介质。
技术介绍
随着计算机网络技术的飞速发展,社会的信息化程度不断提高,网络在给人们带来巨大的经济效益和社会效益的同时,也面临着日益严重的安全问题,针对网络的攻击层出不穷。攻击数量、种类越来越多,攻击越来越复杂,对依赖网络的用户危害也越来越大。其中一种情况下,攻击者会向目标机发送多次连接,在多次连接过程中,攻击者会频繁地更换源端口号,向目标机植入木马或恶意程序,通过植入的木马或恶意程序,建立与目标机的连接,从而控制目标机。相关技术中,主要通过设定源端口号的阈值对流量数据进行检测。例如,设定一分钟内源端口号的阈值为A,将流量数据中一分钟内源端口号的变化数量大于A的流量数据作为异常流量数据。由于阈值是人为设定的,且是静态的,不会根据流量数据的时间特征和应用场景而变化,会存在大量的误报和漏检的情况。因此,需要一种新的流量数据的检测方法及装置、电子设备和计算机可读存储介质。...
【技术保护点】
1.一种流量数据的检测方法,其特征在于,包括:/n获取第一时长内的目标流量数据,所述目标流量数据包括目标源地址、目标目的地址、源端口号和时间戳;/n根据所述目标流量数据中的时间戳和源端口号,获得所述第一时长内各预设时间段内所述目标源地址和所述目标目的地址的源端口特征值;/n获得所述目标流量数据的特征数据时间序列,所述特征数据时间序列包括按序排列的各预设时间段对应的源端口特征值;/n对所述特征数据时间序列进行异常检测,获得所述目标流量数据中的异常流量数据,所述异常流量数据包括所述目标源地址中的可疑目标源地址。/n
【技术特征摘要】
1.一种流量数据的检测方法,其特征在于,包括:
获取第一时长内的目标流量数据,所述目标流量数据包括目标源地址、目标目的地址、源端口号和时间戳;
根据所述目标流量数据中的时间戳和源端口号,获得所述第一时长内各预设时间段内所述目标源地址和所述目标目的地址的源端口特征值;
获得所述目标流量数据的特征数据时间序列,所述特征数据时间序列包括按序排列的各预设时间段对应的源端口特征值;
对所述特征数据时间序列进行异常检测,获得所述目标流量数据中的异常流量数据,所述异常流量数据包括所述目标源地址中的可疑目标源地址。
2.根据权利要求1所述的方法,其特征在于,对所述特征数据时间序列进行异常检测,获得所述目标流量数据中的异常流量数据,包括:
获得所述特征数据时间序列的周期分量;
获得所述特征数据时间序列的第一中位数;
根据所述特征数据时间序列、所述周期分量和所述第一中位数,获得第一余项时间序列,所述第一余项时间序列包括各源端口特征值对应的余项源端口特征值;
从所述第一余项时间序列检测获得所述余项源端口特征值中的异常余项源端口特征值;
确定所述异常余项源端口特征值对应的目标源地址为所述第一时长内的可疑目标源地址。
3.根据权利要求2所述的方法,其特征在于,所述异常余项源端口特征值包括第一异常余项源端口特征值;其中,检测获得所述第一余项时间序列中的异常余项源端口特征值,包括:
根据所述第一余项时间序列的第一数量和异常点阈值,确定第一临界值;
获得所述第一余项时间序列的第二中位数和第一绝对中位差,确定所述第一余项时间序列的第一偏离残差值;
将所述第一偏离残差值的最大值确定为第一检验统计量;
若所述第一检验统计量大于所述第一临界值,则将所述第一检验统计量对应的余项源端口特征值确定为所述第一异常余项源端口特征值。
4.根据权利要求3所述的方法,其特征在于,所述异常余项源端口特征值还包括第二异常余项源端口特征值;其中,检测获得所述第一余项时间序列中的异常余项源端口特征值,还包括:
从所述第一余项时间序列中删除所述第一异常余项源端口特征值,获得第二余项时间序列;
根据所述第二余项时间序列的第二数量和所述异常点阈值,确定第二临界值;
获得所述第二余项时间序列的第三中位数和第二绝对中位差,确定所述第二余项时间序列的第二偏离残差值;
将所述第二偏离残差值的最大值确定为第二检验统计量;
若所述第二检验统计量大于所述第二临界值,则将所述第二检验统计量对应的余项源端口特征值确定为所述第二异常余项源端口特征值。
5.根据权利要求2至4任一项所述的方法,其特征在于,还包括:
从所述第一时长内的可疑目标源地址中,获得第二时长内的所述可疑目标源地址,所述第一时长包括所述第二时长;
获得所述第二时长内的可疑目标源地址对应的各异常余项源端口特征值;
将所述第二时长内的各...
【专利技术属性】
技术研发人员:陈嘉豪,郭豪,宜娜,张融,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。