【技术实现步骤摘要】
僵尸网络的家族规模的异常检测方法和装置
[0001]本专利技术实施例涉及网络安全
,具体涉及一种僵尸网络的家族规模的异常检测方法、装置、电子设备、及存储介质。
技术介绍
[0002]僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
[0003]僵尸网络自出现以来,越来越成为全球网络安全的主要威胁,尤其是以p2p形式传播的僵尸样本,能否通过对僵尸网络的监测数据的分析,形成僵尸网络家族传播源数量变化的分析能力,对异常变化的某僵尸网络家族形成有效的预警和干预,是僵尸网络治理工作中重要的一环。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供一种僵尸网络的家族规模的异常检测方法、装置、电子设备、及存储介质,以实现自动化地监控僵尸网络的发展情况。
[0005]本专利技术实施例的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本专利技术实施例的实践而习得。
[0006]在...
【技术保护点】
【技术特征摘要】
1.一种僵尸网络的家族规模的异常检测方法,其特征在于,包括:根据历史数据统计监控区间内僵尸网络家族在各预定单位时长内的传播源数量;根据各预定单位时长内的传播源数量生成训练样本集,根据所述训练样本集训练孤立森林模型;实时监控所述监控区间内所述僵尸网络家族在所述预定单位时长内的传播源数量,计算所述传播源数量在所述孤立森林模型中的异常值分数;根据所述异常值分数对所述僵尸网络家族的传播进行异常检测。2.根据权利要求1所述的方法,其特征在于,所述根据所述异常值分数对所述僵尸网络家族的传播进行异常检测包括:将所述异常值分数与设定异常阈值进行比较,根据比较结果确定所述僵尸网络家族的传播是否异常。3.根据权利要求2所述的方法,其特征在于,所述方法还包括,在将所述异常值分数与设定异常阈值进行比较之前还包括:接收用户设置的所述设定异常阈值。4.根据权利要求1所述的方法,其特征在于,所述根据所述异常值分数对所述僵尸网络家族的传播进行异常检测包括:在获取预定数量的所述异常值分数之后,根据设定异常比例和各所述异常值分数对所述僵尸网络家族的传播进行异常检测。5.根据权利要求4所述的方法,其特征在于,在根据设定异常比例和各所述异常值分数对所述僵尸网络家族的传播进行异常检测之前还包括:接收用户设置的所述设定异常比例。6...
【专利技术属性】
技术研发人员:郭晶,温森浩,姚力,李友豪,张红宝,周忠义,傅强,阿曼太,梁彧,田野,王杰,杨满智,蔡琳,金红,陈晓光,
申请(专利权)人:恒安嘉新北京科技股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。