本发明专利技术属于流量检测技术领域,为了解决基于深度学习方法提取出的特征有效性差,影响流量异常检测的效率的问题,提供了一种基于访问基线的主机异常流量检测方法、系统及设备。其中,该方法包括获取预设时间段内主机访问数据,并基于定量分析基线和定性分析基线分别对应进行定量分析和定性分析;其中,定量分析基线和定性分析基线是基于设定历史时间段内的主机访问数据而构建的;基于定量分析和定性分析两者的结果来判定主机流量的异常性:若定量分析和定性分析两者中存在任一者判定主机访问数据为异常流量,则认定存在主机异常流量。其可在多维度、多场景,并根据不同筛选条件确定基线,具有检测准确度更高、覆盖场景多、基线确定精确的优点。确定精确的优点。确定精确的优点。
【技术实现步骤摘要】
基于访问基线的主机异常流量检测方法、系统及设备
[0001]本专利技术属于流量检测
,尤其涉及一种基于访问基线的主机异常流量检测方法、系统及设备。
技术介绍
[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
[0003]随着网络技术的不断发展,主机每日的网络访问流量逐步增长。先前基于人工判断主机访问是否异常的方式已变得不再可能。因此如何从海量的主机访问数据中进行异常流量检测面临巨大挑战。
[0004]现阶段主机异常流量检测主要包含以下方法:(1)基于规则:通过程序开发完成检测规则的设计,在获取主机流量数据后进行规则匹配和筛选。通过筛选的则被判定为异常流量数据。基于规则的异常流量检测方法由于规则相对固定、流程相对固定,存在灵活性、扩展性不强的问题。且由于规则存在严格的条件限制,也会包含较高的误判率。对于数据量较大的情况,对性能也是一个极大的挑战。(2)基于统计或机器学习方法:利用统计学方法或传统机器学习方法建立流量访问基线或均值,并建立误差区间。最后对需要检测的数据进行聚合或分组操作,与基线进行对比判定,若不存在误差区间内则被判定为异常流量数据。基于统计或机器学习方法可较好实现异常流量检测,但是在大数据的前提下,传统方法则较难提取出数据中的共性特征,对检测准确度会有较大不利影响。(3)基于深度学习方法:随着流量数据的指数增长,利用深度学习方法进行异常流量检测则变得越来越流行,通过构造数据集、模型搭建和训练、结果预测的方式完成对异常流量的检测。该方法相比统计或机器学习方法检测准确度较高,但对训练数据有较高要求。由于主机访问数据区别与传统文本,不存在语义及上下文信息,因此基于深度学习方法提取出的特征有效性差,进而影响流量异常检测的效率。
技术实现思路
[0005]为了解决上述
技术介绍
中存在的技术问题,本专利技术提供一种基于访问基线的主机异常流量检测方法、系统及设备,其可在多维度、多场景,并根据不同筛选条件确定基线,具有检测准确度更高、覆盖场景多、基线确定精确的优点。
[0006]为了实现上述目的,本专利技术采用如下技术方案:本专利技术的第一个方面提供一种基于访问基线的主机异常流量检测方法,其包括:获取预设时间段内主机访问数据,并基于定量分析基线和定性分析基线分别对应进行定量分析和定性分析;其中,定量分析基线和定性分析基线是基于设定历史时间段内的主机访问数据而构建的;基于定量分析和定性分析两者的结果来判定主机流量的异常性:若定量分析和定性分析两者中存在任一者判定主机访问数据为异常流量,则认定存在主机异常流量。
[0007]作为一种实施方式,在基于定量分析基线进行定量分析的过程中,对主机访问数据进行聚合和分组之后,判断是否落在定量分析基线的误差区间内,若落在误差区间外,则被判定为异常流量。
[0008]作为一种实施方式,定量分析基线的误差区间为[平均值
‑
标准差,平均值+标准差]。
[0009]作为一种实施方式,在确定定量分析基线的误差区间之前进行噪音数据排除处理。这样能够有效完成异常流量检测。
[0010]作为一种实施方式,所述定性分析基线为基于主机访问数据预先训练的定性分析模型,若定性分析模型预测结果为异常场景,则被判定为异常流量。这样能够防止单一分析方式造成的误判、错判情况,建立定性分析基线,从多角度进行异常流量检测。
[0011]作为一种实施方式,所述异常场景包括:主机进行非正常时间访问;主机进行非正常端口访问;主机访问其他用户终端开启的服务;主机访问未知设备;以及主机越过堡垒机直接运维。
[0012]作为一种实施方式,定性分析模型包括加入残差网络结构和inception结构的卷积神经网络。加入残差网络结构和inception结构能够防止特征丢失,且提高了提取特征的有效性。
[0013]本专利技术的第二个方面提供一种基于访问基线的主机异常流量检测系统,其包括:定量及定性分析模块,其用于获取预设时间段内主机访问数据,并基于定量分析基线和定性分析基线分别对应进行定量分析和定性分析;其中,定量分析基线和定性分析基线是基于设定历史时间段内的主机访问数据而构建的;异常流量判断模块,其用于基于定量分析和定性分析两者的结果来判定主机流量的异常性:若定量分析和定性分析两者中存在任一者判定主机访问数据为异常流量,则认定存在主机异常流量。
[0014]作为一种实施方式,在所述定量及定性分析模块中,在基于定量分析基线进行定量分析的过程中,对主机访问数据进行聚合和分组之后,判断是否落在定量分析基线的误差区间内,若落在误差区间外,则被判定为异常流量。
[0015]作为一种实施方式,在所述定量及定性分析模块中,所述定性分析基线为基于主机访问数据预先训练的定性分析模型,若定性分析模型预测结果为异常场景,则被判定为异常流量。
[0016]本专利技术的第三个方面提供一种基于访问基线的主机异常流量检测系统,其包括前端服务器、后台接口服务器、数据库服务器、模型训练服务器及模型检测服务器;所述前端服务器用于接收页面访问请求;所述数据库服务用于存储主机访问数据;所述模型训练服务器,用于对定性分析模型进行训练并经后台接口服务器传送至模型检测服务器;所述模型检测服务器用于基于定性分析基线对主机访问数据进行定性分析;所述定性分析基线为基于主机访问数据预先训练的定性分析模型;所述后台接口服务器,用于调用数据库服务器并基于定量分析基线进行定量分析,将模型训练服务器或模型检测服务器的返回结果传送到前端服务器。
[0017]本专利技术的第四个方面提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述所述的基于
访问基线的主机异常流量检测方法中的步骤。
[0018]与现有技术相比,本专利技术的有益效果是:本专利技术基于定量分析基线和定性分析基线对预设时间段内主机访问数据分别对应进行定量分析和定性分析,再基于定量分析和定性分析两者的结果来判定主机流量的异常性,实现了从定量和定性多维度有效完成主机异常流量检测,而且可在多维度、多场景,并根据不同筛选条件确定基线,因此具有基线确定精确、覆盖场景多且检测准确度更高的优点。
[0019]本专利技术附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
附图说明
[0020]构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。
[0021]图1是本专利技术实施例的基于访问基线的主机异常流量方法流程图;图2是本专利技术实施例的定性分析模型结构示意图;图3是本专利技术实施例的模型对比分析图;图4是本专利技术实施例的基于访问基线的主机异常流量检测系统结构示意图;图5是本专利技术实施例的基于访问基线的主机异常流量检测系统框架图。
具体实施方式
[0022]下面结合附图与实施例对本专利技术作进一步说明。
...
【技术保护点】
【技术特征摘要】
1.一种基于访问基线的主机异常流量检测方法,其特征在于,包括:获取预设时间段内主机访问数据,并基于定量分析基线和定性分析基线分别对应进行定量分析和定性分析;其中,定量分析基线和定性分析基线是基于设定历史时间段内的主机访问数据而构建的;基于定量分析和定性分析两者的结果来判定主机流量的异常性:若定量分析和定性分析两者中存在任一者判定主机访问数据为异常流量,则认定存在主机异常流量。2.如权利要求1所述的基于访问基线的主机异常流量检测方法,其特征在于,在基于定量分析基线进行定量分析的过程中,对主机访问数据进行聚合和分组之后,判断是否落在定量分析基线的误差区间内,若落在误差区间外,则被判定为异常流量。3.如权利要求2所述的基于访问基线的主机异常流量检测方法,其特征在于,定量分析基线的误差区间为[平均值
‑
标准差,平均值+标准差]。4.如权利要求2或3所述的基于访问基线的主机异常流量检测方法,其特征在于,在确定定量分析基线的误差区间之前进行噪音数据排除处理。5.如权利要求1所述的基于访问基线的主机异常流量检测方法,其特征在于,所述定性分析基线为基于主机访问数据预先训练的定性分析模型,若定性分析模型预测结果为异常场景,则被判定为异常流量。6.如权利要求5所述的基于访问基线的主机异常流量检测方法,其特征在于,所述异常场景包括:主机进行非正常时间访问;主机进行非正常端口访问;主机访问其他用户终端开启的服务;主机访问未知设备;以及主机越过堡垒机直接运维。7.一种基于访问基线的主机异常流量检测系统,其特征在于,包括:定量及定性分析模块,其用于获取预设时间...
【专利技术属性】
技术研发人员:王琦博,熊英超,马衍硕,刘长秋,
申请(专利权)人:中孚安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。