一种异常流量检测方法、系统、存储介质和终端技术方案

本申请提供一种异常流量检测方法，包括：获取流量日志；解析流量日志，得到包含value值的键值对序列；对键值对序列进行枚举检测，得到枚举检测结果；对键值对序列进行value值长度检测，得到长度检测结果；对键值对序列进行乱码分布检测，得到乱码检测结果；利用预设概率统计模型预测键值对序列中value值的概率，得到所述键值对序列的参数预测概率；若枚举检测结果、长度检测结果、乱码检测结果和参数预测概率中存在异常值，确定流量日志存在异常。本申请能够有效的检测出异常攻击流量，降低误报率，显著提高对异常攻击流量的检测能力。本申请还提供一种异常流量检测系统、计算机可读存储介质和终端，具有上述有益效果。具有上述有益效果。具有上述有益效果。

【技术实现步骤摘要】
一种异常流量检测方法、系统、存储介质和终端


[0001]本申请涉及网络安全领域，特别涉及一种异常流量检测方法、系统、存储介质和终端。

技术介绍

[0002]随着Web技术的发展，客户业务愈发复杂，提高检测精确度一直是需要花费大量人力处理的难题。
[0003]业界已有的方案大多数是基于通过维护规则集，用规则进行匹配攻击流量。但是强规则在灵活的黑客面前，非常容易被绕过，其次面对0day攻击，基于以往知识的规则集无法应对，同时高效的规则的构造和维护需要安全专家的经验，门槛高、成本大。
[0004]因此，如何提高网络流量的检测精度是本领域技术人员亟需解决的技术问题。

技术实现思路

[0005]本申请的目的是提供一种异常流量检测方法、系统、存储介质和终端，通过多角度检测流量提高网络流量的检测精度。
[0006]为解决上述技术问题，本申请提供一种异常流量检测方法，具体技术方案如下：
[0007]获取流量日志；
[0008]解析所述流量日志，得到包含value值的键值对序列；
[0009]对所述键值对序列进行枚举检测，得到枚举检测结果；
[0010]对所述键值对序列进行value值长度检测，得到长度检测结果；
[0011]对所述键值对序列进行乱码分布检测，得到乱码检测结果；
[0012]利用预设概率统计模型预测所述键值对序列中所述value值的概率，得到所述键值对序列的参数预测概率；
[0013]若所述枚举检测结果、所述长度检测结果、所述乱码检测结果和所述参数预测概率中存在异常值，确定所述流量日志存在异常。
[0014]可选的，对所述键值对序列进行枚举检测，得到枚举检测结果包括：
[0015]判断所述键值对序列中的所有value值是否均落在预设枚举样本集合；
[0016]若是，确认枚举检测结果正常；
[0017]若否，确认枚举检测结果异常。
[0018]可选的，对所述键值对序列进行value值长度检测，得到长度检测结果包括：
[0019]利用长度检测模型对所述键值对的value值长度进行分布检测，得到键值长度分布；
[0020]若所述键值长度分布偏离正常业务流量对应的标准键值长度分布，确定所述流量日志存在长度异常。
[0021]可选的，确定所述流量日志存在长度异常之前，还包括：：
[0022]利用切比雪夫不等式确定正常键值对的长度阈值区间；
[0023]根据所述长度阈值区间确定正常业务流量对应的所述标准键值长度分布。
[0024]可选的，利用长度检测模型对所述键值对的value值长度进行分布检测，得到键值长度分布包括：
[0025]利用长度检测模型计算所述键值对的平均长度和标准差；
[0026]根据所述键值对中value值的实际长度、所述平均长度和所述标准差，得到键值长度分布。
[0027]可选的，对所述键值对序列进行乱码分布检测，得到乱码检测结果包括：
[0028]构建乱码先验分布；
[0029]确定所述键值对序列的真实分布；
[0030]计算所述乱码先验分布和所述真实分布之间的距离；
[0031]若所述距离超过阈值，确定所述键值对序列存在乱码。
[0032]可选的，利用预设概率统计模型预测所述键值对序列中所述value值的概率，得到所述键值对序列的参数预测概率之前，还包括：
[0033]基于所述隐马尔可夫模型对所述键值对序列建模，并配置N
‑
Gram算法，得到预设概率统计模型；
[0034]则相应的，所述利用预设概率统计模型预测所述键值对序列中所述value值的概率，得到所述键值对序列的参数预测概率包括：
[0035]利用所述预设概率统计模型预测所述键值对序列中键值对的预测value值；
[0036]若所述预测value值与键值对实际value值的差值小于预设阈值区间，确认所述目标键值对预测成功；
[0037]统计所述键值对序列中value值预测成功的概率，得到所述键值对序列的参数预测概率。
[0038]本申请还提供一种异常流量检测系统，包括：
[0039]日志获取模块，用于获取流量日志；
[0040]日志解析模块，用于解析所述流量日志，得到包含value值的键值对序列；
[0041]枚举检测模块，用于对所述键值对序列进行枚举检测，得到枚举检测结果；
[0042]长度检测模块，用于对所述键值对序列进行value值长度检测，得到长度检测结果；
[0043]乱码检测模块，用于对所述键值对序列进行乱码分布检测，得到乱码检测结果；
[0044]概率预测模块，用于利用预设概率统计模型预测所述键值对序列中所述value值的概率，得到所述键值对序列的参数预测概率；
[0045]异常定位模块，用于若所述枚举检测结果、所述长度检测结果、所述乱码检测结果和所述参数预测概率中存在异常值，确定所述流量日志存在异常。
[0046]本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的方法的步骤。
[0047]本申请还提供一种终端，包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如上所述的方法的步骤。
[0048]本申请提供一种异常流量检测方法，包括：获取流量日志；解析所述流量日志，得到包含value值的键值对序列；对所述键值对序列进行枚举检测，得到枚举检测结果；对所
述键值对序列进行value值长度检测，得到长度检测结果；对所述键值对序列进行乱码分布检测，得到乱码检测结果；利用预设概率统计模型预测所述键值对序列中所述value值的概率，得到所述键值对序列的参数预测概率；若所述枚举检测结果、所述长度检测结果、所述乱码检测结果和所述参数预测概率中存在异常值，确定所述流量日志存在异常。
[0049]本申请对于流量日志，分别执行流量枚举检测、键值长度检测、乱码分布检测和键值概率预测等四个维度的检测，只要任意维度存在异常即可判定为异常流量。相较于仅仅维护一个规则集进行异常流量的检测，能够通过对特定业务下的大量正常流量建立相应的模型，站在特定业务场景下检测出与正常流量不符的异常流量。能够有效的检测出异常攻击流量，同时又能大幅过滤符合各个模型和检测的白流量，进而降低误报率。本申请适用于Web攻击检测等场景，以及便于应用在防火墙和安全态势感知等产品，显著提高对异常攻击流量的检测能力。
[0050]本申请还提供一种异常流量检测系统、计算机可读存储介质和终端，具有上述有益效果，此处不再赘述。
附图说明
[0051]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常流量检测方法，其特征在于，包括：获取流量日志；解析所述流量日志，得到包含value值的键值对序列；对所述键值对序列进行枚举检测，得到枚举检测结果；对所述键值对序列进行value值长度检测，得到长度检测结果；对所述键值对序列进行乱码分布检测，得到乱码检测结果；利用预设概率统计模型预测所述键值对序列中所述value值的概率，得到所述键值对序列的参数预测概率；若所述枚举检测结果、所述长度检测结果、所述乱码检测结果和所述参数预测概率中存在异常值，确定所述流量日志存在异常。2.根据权利要求1所述的异常流量检测方法，其特征在于，对所述键值对序列进行枚举检测，得到枚举检测结果包括：判断所述键值对序列中的所有value值是否均落在预设枚举样本集合；若是，确认枚举检测结果正常；若否，确认枚举检测结果异常。3.根据权利要求1所述的异常流量检测方法，其特征在于，对所述键值对序列进行value值长度检测，得到长度检测结果包括：利用长度检测模型对所述键值对的value值长度进行分布检测，得到键值长度分布；若所述键值长度分布偏离正常业务流量对应的标准键值长度分布，确定所述流量日志存在长度异常。4.根据权利要求3所述的异常流量检测方法，其特征在于，确定所述流量日志存在长度异常之前，还包括：利用切比雪夫不等式确定正常键值对的长度阈值区间；根据所述长度阈值区间确定正常业务流量对应的所述标准键值长度分布。5.根据权利要求3所述的异常流量检测方法，其特征在于，利用长度检测模型对所述键值对的value值长度进行分布检测，得到键值长度分布包括：利用长度检测模型计算所述键值对的平均长度和标准差；根据所述键值对中value值的实际长度、所述平均长度和所述标准差，得到键值长度分布。6.根据权利要求1所述的异常流量检测方法，其特征在于，对所述键值对序列进行乱码分布检测，得到乱码检测结果包括：构建乱码先验分布；确定所述键值对序列的真实分布；计算所述乱码先验分布和所述真实分布之间的距离；若所述距离超过阈...

【专利技术属性】
技术研发人员：胡晓晟，刘东，兰家旺，刘宇豪，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：