一种异常流量检测方法、系统、存储介质和终端技术方案

本申请提供一种异常流量检测方法，包括：获取流量日志；解析流量日志，得到包含value值的键值对序列；对键值对序列进行枚举检测，得到枚举检测结果；对键值对序列进行value值长度检测，得到长度检测结果；对键值对序列进行乱码分布检测，得到乱码检测结果；利用预设概率统计模型预测键值对序列中value值的概率，得到所述键值对序列的参数预测概率；若枚举检测结果、长度检测结果、乱码检测结果和参数预测概率中存在异常值，确定流量日志存在异常。本申请能够有效的检测出异常攻击流量，降低误报率，显著提高对异常攻击流量的检测能力。本申请还提供一种异常流量检测系统、计算机可读存储介质和终端，具有上述有益效果。具有上述有益效果。具有上述有益效果。

【技术实现步骤摘要】
一种异常流量检测方法、系统、存储介质和终端


[0001]本申请涉及网络安全领域，特别涉及一种异常流量检测方法、系统、存储介质和终端。

技术介绍

[0002]随着Web技术的发展，客户业务愈发复杂，提高检测精确度一直是需要花费大量人力处理的难题。
[0003]业界已有的方案大多数是基于通过维护规则集，用规则进行匹配攻击流量。但是强规则在灵活的黑客面前，非常容易被绕过，其次面对0day攻击，基于以往知识的规则集无法应对，同时高效的规则的构造和维护需要安全专家的经验，门槛高、成本大。
[0004]因此，如何提高网络流量的检测精度是本领域技术人员亟需解决的技术问题。

技术实现思路

[0005]本申请的目的是提供一种异常流量检测方法、系统、存储介质和终端，通过多角度检测流量提高网络流量的检测精度。
[0006]为解决上述技术问题，本申请提供一种异常流量检测方法，具体技术方案如下：
[0007]获取流量日志；
[0008]解析所述流量日志，得到包含value值的键值对序列；
>[0009]对所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常流量检测方法，其特征在于，包括：获取流量日志；解析所述流量日志，得到包含value值的键值对序列；对所述键值对序列进行枚举检测，得到枚举检测结果；对所述键值对序列进行value值长度检测，得到长度检测结果；对所述键值对序列进行乱码分布检测，得到乱码检测结果；利用预设概率统计模型预测所述键值对序列中所述value值的概率，得到所述键值对序列的参数预测概率；若所述枚举检测结果、所述长度检测结果、所述乱码检测结果和所述参数预测概率中存在异常值，确定所述流量日志存在异常。2.根据权利要求1所述的异常流量检测方法，其特征在于，对所述键值对序列进行枚举检测，得到枚举检测结果包括：判断所述键值对序列中的所有value值是否均落在预设枚举样本集合；若是，确认枚举检测结果正常；若否，确认枚举检测结果异常。3.根据权利要求1所述的异常流量检测方法，其特征在于，对所述键值对序列进行value值长度检测，得到长度检测结果包括：利用长度检测模型对所述键值对的value值长度进行分布检测，得到键值长度分布；若所述键值长度分布偏离正常业务流量对应的标准键值长度分布，确定所述流量日志存在长度异常。4.根据权利要求3所述的异常流量检测方法，其特征在于，确定所述流量日志存在长度异常之前，还包括：利用切比雪夫不等式确定正常键值对的长度阈值区间；根据所述长度阈值区间确定正常业务流量对应的所述标准键值长度分布。5.根据权利要求3所述的异常流量检测方法，其特征在于，利用长度检测模型对所述键值对的value值长度进行分布检测，得到键值长度分布包括：利用长度检测模型计算所述键值对的平均长度和标准差；根据所述键值对中value值的实际长度、所述平均长度和所述标准差，得到键值长度分布。6.根据权利要求1所述的异常流量检测方法，其特征在于，对所述键值对序列进行乱码分布检测，得到乱码检测结果包括：构建乱码先验分布；确定所述键值对序列的真实分布；计算所述乱码先验分布和所述真实分布之间的距离；若所述距离超过阈...

【专利技术属性】
技术研发人员：胡晓晟，刘东，兰家旺，刘宇豪，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：