本申请涉及网络安全技术领域,尤其涉及一种异常流量检测方法及装置。其中方法包括:确定流量段内的N个会话;流量段是通过采集设定时长的流量数据得到的;N为正整数;确定N个会话中每个会话对应的会话特征;基于N个会话的同一会话特征,构建会话特征的特征波;若特征波中存在波动区域,对波动区域进行特征提取,得到会话特征对应的区域特征;基于会话特征对应的区域特征,确定流量段是否异常;在上述方式中,基于N个会话的同一会话特征构建会话特征的特征波,着眼于特征波的波动区域,根据波动区域的区域特征,确定流量段是否异常。由于波动区域的区域特征较少,而且一次分析就针对多个会话,减少了计算量,从而提高了异常流量检测的效率。检测的效率。检测的效率。
【技术实现步骤摘要】
一种异常流量检测方法及装置
[0001]本申请涉及网络安全
,尤其涉及一种异常流量检测方法及装置。
技术介绍
[0002]随着互联网技术的发展,互联网应用的领域越来越多,对于互联网的安全保证也越来越重要。因此需要对访问互联网的流量进行有效的管控与分析,及时发现互联网中的异常流量。
[0003]现有技术中,是通过对互联网中的流量进行特征提取,对每一个特征进行分析,根据流量的特征确定流量是否异常。但是在这种方式中,首先需要对流量进行分类,基于每一个类别进行特征提取。流量的类别是较多的,针对每一个类别提取的特征也比较多。例如针对浏览视频网站的流量,需要提取源IP地址、目的IP地址,在一次通信中发送的数据包数目、产生的报文数量、日志数量等等。这样就会导致,即使分析一小段时间内的流量,产生的计算量也比较大。因此使用这种方式来检测异常流量,导致异常流量的检测效率较低。
[0004]基于此,目前亟需一种异常流量检测方法,用于提高异常流量的检测效率。
技术实现思路
[0005]本申请提供一种异常流量检测方法及装置,用于提高异常流量的检测效率。
[0006]第一方面,本申请提供一种异常流量检测方法,所述方法包括:确定流量段内的N个会话;所述流量段是通过采集设定时长的流量数据得到的;N为正整数;确定所述N个会话中每个会话对应的会话特征;基于所述N个会话的同一会话特征,构建所述会话特征的特征波;若所述特征波中存在波动区域,对所述波动区域进行特征提取,得到所述会话特征对应的区域特征;基于所述会话特征对应的区域特征,确定所述流量段是否异常;其中,所述特征波包括与所述N个会话一一对应的N个特征点,每个特征点的横坐标用于在时序上表征对应的会话,每个特征点的纵坐标用于表征对应会话在所述会话特征的特征值。
[0007]在上述方式中,基于N个会话的同一会话特征构建会话特征的特征波,着眼于特征波的波动区域,根据波动区域的区域特征,确定流量段是否异常。一方面通过同一会话特征构建特征波,特征波中的特征点的横坐标用于在时序上表征对应的会话,特征点的纵坐标用于表征对应会话在会话特征的特征值,该方式从时序角度对多个会话进行分析,因而从多会话角度提供了异常流量检测的方法,而非对单会话进行会话特征提取并分析;另一方面,由于是针对特征波的波动区域进行异常判断,加上波动区域的区域特征较少,因而进一步减少了计算量,从而提高了异常流量检测的效率。
[0008]一种可能的实现方式中,基于所述会话特征对应的区域特征,确定所述流量段是否异常,包括:针对任一会话特征,将所述会话特征对应的区域特征输入所述会话特征对应的异常检测模型,得到所述会话特征对应的流量段检测结果;基于多个会话特征的流量段检测结果,确定所述流量段是否异常。
[0009]通过上述方式,针对每个会话特征,仅需要将提取的区域特征输入已训练好的异
常检测模型中,就可以得到该会话特征的流量段检测结果;同时,会话特征有多个,可以综合多个会话特征的流量段检测结果得到流量段是否异常。结合不同角度的会话特征,加上对应的不同的异常检测模型,可以更快速更准确地进行异常流量检测。
[0010]一种可能的实现方式中,通过如下方式确定所述特征波中存在波动区域,包括:确定所述特征波中波形上升幅度超过幅度阈值且所述波形上升幅度对应的时间跨度大于时间阈值的凸波;所述凸波是由连续的波形上升区间和波形下降区间组成的;将所述凸波作为所述波动区域。
[0011]波动区域一般是指特征波中出现明显变化的区域,该区域类似于凸起的“山脉”,也可以理解为类似于波峰对应的区域。通过上述方式,可以通过较少的约束条件(即波形上升幅度和波形上升幅度对应的时间跨度)检测出特征波形中是否存在波动区域,既体现了波动性又可以有效的节省计算资源。
[0012]一种可能的实现方式中,基于所述N个会话的同一会话特征,构建所述会话特征的特征波,包括:确定每个会话的会话开始时间,将会话开始时间作为会话对应特征点的横坐标;将每个会话的所述会话特征的特征值作为会话对应特征点的纵坐标;通过每个会话对应的特征点,构建所述会话特征的特征波。
[0013]在上述方式中,将每个会话开始的时间作为会话对应特征点的横坐标,可以有效的避免会话重叠的情况,导致特征点选确定不准确,从而影响特征波反映特征的精准度,有效的提高了异常流量检测的准确性。
[0014]一种可能的实现方式中,所述多个会话特征包括以下至少两项:数据包数量、上行报文数量、下行报文数量、会话开始间隔时间。
[0015]上述几个会话特征,获得特征值较容易,有助于提高特征波构建效率,并且使用至少两项会话特征,有效地提高了异常流量检测的准确性。
[0016]一种可能的实现方式中,对所述波动区域进行特征提取,得到所述会话特征对应的区域特征,包括:确定所述波动区域的持续时间;和/或确定所述波动区域的波形上升区间的上升斜率;和/或确定所述波动区域的波形下降区间的下降斜率;和/或确定所述波动区域的面积;和/或,确定所述波动区域的峰值;从而得到所述会话特征对应的区域特征。
[0017]在上述方式中,波动区域是由于特征值明显大于其他区域的才产生的,针对波动区域进行区域特征提取,更容易发现会话特征的异常。并且对波动区域进行二次特征提取,计算较为简单,且最多只获取了波动区域的5个特征,计算量较少,可以有效提高异常流量检测效率。
[0018]一种可能的实现方式中,所述方法还包括:若任一会话特征的特征波中均不存在波动区域,则确定所述流量段无异常流量。
[0019]在上述方式中,如果一个流量段的所有会话特征的特征波均不存在波动区域,说明这段流量数据较为稳定,存在恶意攻击的几率较小。因此,就不把这个流量段作为异常流量段。
[0020]第二方面,本申请提供一种异常流量检测装置,所述装置包括:确定模块、特征波构建模块、提取模块、流量检测模块;所述确定模块,用于确定流量段内的N个会话;所述流量段是通过采集设定时长的流量数据得到的;N为正整数;所述确定模块,还用于确定所述N个会话中每个会话对应的会话特征;所述特征波构建模块,用于基于所述N个会话的同一会
话特征,构建所述会话特征的特征波;所述提取模块,用于若所述特征波中存在波动区域,对所述波动区域进行特征提取,得到所述会话特征对应的区域特征;所述流量检测模块,用于基于所述会话特征对应的区域特征,确定所述流量段是否异常;其中,所述特征波包括与所述N个会话一一对应的N个特征点,每个特征点的横坐标用于在时序上表征对应的会话,每个特征点的纵坐标用于表征对应会话在所述会话特征的特征值。
[0021]第三方面,本申请提供一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,当计算机程序被运行时,执行上述第一方面中任一项方法。
[0022]第四方面,本申请提供一种计算设备,包括:存储器,用于存储程序指令;处理器,用于调用存储器中存储的程序指令,按照获得的程序执行上述第一方面中任一项设计中的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常流量检测方法,其特征在于,所述方法包括:确定流量段内的N个会话;所述流量段是通过采集设定时长的流量数据得到的;N为正整数;确定所述N个会话中每个会话对应的会话特征;基于所述N个会话的同一会话特征,构建所述会话特征的特征波;若所述特征波中存在波动区域,对所述波动区域进行特征提取,得到所述会话特征对应的区域特征;基于所述会话特征对应的区域特征,确定所述流量段是否异常;其中,所述特征波包括与所述N个会话一一对应的N个特征点,每个特征点的横坐标用于在时序上表征对应的会话,每个特征点的纵坐标用于表征对应会话在所述会话特征的特征值。2.如权利要求1所述的方法,其特征在于,基于所述会话特征对应的区域特征,确定所述流量段是否异常,包括:针对任一会话特征,将所述会话特征对应的区域特征输入所述会话特征对应的异常检测模型,得到所述会话特征对应的流量段检测结果;基于多个会话特征的流量段检测结果,确定所述流量段是否异常。3.如权利要求1所述的方法,其特征在于,通过如下方式确定所述特征波中存在波动区域,包括:确定所述特征波中波形上升幅度超过幅度阈值且所述波形上升幅度对应的时间跨度大于时间阈值的凸波;所述凸波是由连续的波形上升区间和波形下降区间组成的;将所述凸波作为所述波动区域。4.如权利要求1所述的方法,其特征在于,基于所述N个会话的同一会话特征,构建所述会话特征的特征波,包括:确定每个会话的会话开始时间,将会话开始时间作为会话对应特征点的横坐标;将每个会话的所述会话特征的特征值作为会话对应特征点的纵坐标;通过每个会话对应的特征点,构建所述会话特征的特征波。5.如权利要求2所述的方法,其特征在于,所述多个会话特征包括以下至少两项:数据包数量、上行报文数量、下行报文数量、会话开始间隔时间。6.如权利要...
【专利技术属性】
技术研发人员:李甜梦,沈奇卉,李梅茵,朱荞荞,李伟泽,张洪钏,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。