网络流量监控设备和异常流量检测方法技术

本申请提供一种网络流量监控设备和异常流量检测方法，属于网络安全技术领域。其中，网络流量监控设备包括网络接口、存储器和处理器；网络接口被配置为获取网络流量数据；存储器被配置为存储网络流量监控设备所使用的程序或数据；处理器被配置为若网络流量数据中包含异常数据，将异常数据输入攻击检测网络集合；根据攻击检测网络集合输出的检测结果，确定异常数据的攻击类型。本申请实施例提供的网络流量监控设备，在确定网络流量数据中包含异常数据之后，将异常数据输入攻击检测网络集合，根据攻击检测网络集合输出的检测结果，确定异常数据的攻击类型，不仅可以识别出异常数据，还可以确定异常数据的攻击类型，更有利于识别和化解网络攻击行为。

【技术实现步骤摘要】
网络流量监控设备和异常流量检测方法
本申请涉及网络安全
，特别是涉及一种网络流量监控设备和异常流量检测方法。
技术介绍
网络流量是指网络上传输的数据，通常在一个网络环境中绝大部分网络流量数据都是正常数据。而异常数据是指与正常数据模式相差较大的网络流量数据，异常数据很可能是攻击性行为产生的流量数据。从网络流量数据中识别出异常数据，是网络安全管理的重要基础。近年来，网络攻击的种类繁多，攻击能力急剧增强，攻击手段和攻击方式变化莫测，数据泄露、恶意软件及安全事件频发，尤其是在云计算、大数据等新技术形态下，为网络安全的检测及防御带来巨大挑战。现有的异常流量检测方法，通常是将获取的网络流量数据与预先设置的规则库进行特征匹配，识别出具有攻击性的异常数据。由于规则库中保存的特征有限，无法识别未保存在规则库中的之前从未出现过的异常数据，因此该方式漏报率较高。并且，现有的方法仅能确定网络流量数据是正常数据还是异常数据，无法对异常数据的攻击类型进行识别，因此不利于有效地识别和化解网络攻击行为。综上所述，现有技术中尚缺乏一种有效的异常流量检测方案本文档来自技高网...

【技术保护点】
1.一种网络流量监控设备，其特征在于，包括网络接口、存储器和处理器；/n所述网络接口，被配置为获取网络流量数据；/n所述存储器，被配置为存储所述网络流量监控设备所使用的程序或数据；/n所述处理器，被配置为若所述网络流量数据中包含异常数据，将所述异常数据输入攻击检测网络集合；所述攻击检测网络集合中包括至少一个攻击检测网络；根据所述攻击检测网络集合输出的检测结果，确定所述异常数据的攻击类型。/n

【技术特征摘要】
1.一种网络流量监控设备，其特征在于，包括网络接口、存储器和处理器；
所述网络接口，被配置为获取网络流量数据；
所述存储器，被配置为存储所述网络流量监控设备所使用的程序或数据；
所述处理器，被配置为若所述网络流量数据中包含异常数据，将所述异常数据输入攻击检测网络集合；所述攻击检测网络集合中包括至少一个攻击检测网络；根据所述攻击检测网络集合输出的检测结果，确定所述异常数据的攻击类型。


2.如权利要求1所述的网络流量监控设备，其特征在于，所述攻击检测网络集合中包括多个攻击检测网络，每个攻击检测网络用于检测至少一种攻击类型，每个攻击检测网络所检测的攻击类型互不相同；
所述处理器，还被配置为：将所述异常数据并行输入每个所述攻击检测网络。


3.如权利要求1或2所述的网络流量监控设备，其特征在于，所述处理器，还被配置为：
将同一个基础攻击检测网络分别发送至训练集群中的每个训练节点，以使每个训练节点将攻击检测训练数据集中的训练数据作为输入，将所述训练数据的攻击类型作为输出，对所述基础攻击检测网络进行训练；所述训练数据带有预先标注的攻击类型标签；
将每个训练节点返回的模型参数的平均值，作为所述基础攻击检测网络的模型参数，得到攻击检测中间网络；
采用攻击检测测试数据集对所述攻击检测中间网络进行检验；
若检验未通过，将所述攻击检测中间网络发送至训练集群中的每个训练节点继续训练；
若检验通过，将所述攻击检测中间网络作为已训练的攻击检测网络。


4.如权利要求3所述的网络流量监控设备，其特征在于，所述处理器，还被配置为：对所述攻击检测中间网络进行检验之后，若检验未通过，并且检验未通过的次数达到设定次数或训练时长达到设定时长，输出训练失败提示；
根据用户指令减少所述攻击检测训练数据集的训练数据，减少的训练数据均带有相同的攻击类型标签；
将减少训练数据后的攻击检测训练数据集发送至每个训练节点，以使每个训练节点采用减少训练数据后的攻击检测训练数据集继续对所述攻击检测中间网络进行训练。


5.如权利要求1所述的网络流量监控设备，其特征在于，所述处理器，还被配置为：

【专利技术属性】
技术研发人员：孙宗臣，方丽华，孙国臣，
申请(专利权)人：海信集团有限公司，
类型：发明
国别省市：山东;37