基于点云分析的恶意流量检测系统假阳性清洗方法及装置制造方法及图纸

本发明专利技术公开了基于点云分析的恶意流量检测系统假阳性清洗方法及装置，该方法包括：基于恶意流量检测系统产生的报警信号所关联的流量特征向量得到点云；利用第一多个体素覆盖点云，并基于点云覆盖结果确定第二多个体素；对第二多个体素进行聚集操作以构建体素群组；分别对基于体素群组聚类得到的高密度体素群组和低密度体素群组对应的警报信号进行识别以得到真阳性警报识别结果和假阳性警报识别结果。本发明专利技术通过基于体素的点云分析方法，自动将恶意流量识别系统产生的警报分成真阳性警报和假阳性警报。显著降低人工区分真阳性警报和假阳性警报的手工开销，并且具有良好的实时性、准确度、和鲁棒性。准确度、和鲁棒性。准确度、和鲁棒性。

【技术实现步骤摘要】
基于点云分析的恶意流量检测系统假阳性清洗方法及装置


[0001]本专利技术涉及网络安全
，特别是涉及基于点云分析的恶意流量检测系统假阳性清洗方法及装置。

技术介绍

[0002]近几年，网络安全逐渐成为了国家安全的重要组成部分。然而，每年都有大量的新型网络攻击被提出。而基于人工智能的恶意流量识别系统是一种新型的防御技术，它可以自动地检测出这些新型的网络攻击产生的流量，通过拦截检测出的攻击流量可以保护大量的合法互联网用户。
[0003]然而，恶意流量检测系统会产生大量的假阳性警报，也就是合法用户流量被错误识别成攻击流量而产生的警报。只有显著降低这些假阳性警报的数量，才能将基于人工智能的恶意流量检测系统真正的应用于工业环境。在现有的研究技术下，基于人工智能的恶意流量识别系统可以自动地识别出互联网上的恶意流量。通过对识别出地恶意流量进行拦截可以保证大量地互联网用户不受到网络攻击的影响。然而，作为一种新兴网络技术，恶意流量识别系统会产生大量的假阳性警报，严重影响系统的部署和使用。

技术实现思路

[0004]本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。
[0005]为此，本专利技术提出了一种基于点云分析的恶意流量检测系统假阳性清洗方法，可以显著降低各种恶意流量识别系统的假阳性警报的数量，从而降低人工区分真阳性警报和假阳性警报所导致的手工开销，显著降低运营成本，进而将基于人工智能的恶意流量识别系统应用在真实工业环境当中。
[0006]本专利技术的另一个目的在于提出一种基于点云分析的恶意流量检测系统假阳性清洗装置。
[0007]为达上述目的，本专利技术一方面提出一种基于点云分析的恶意流量检测系统假阳性清洗方法，包括：
[0008]基于恶意流量检测系统产生的报警信号所关联的流量特征向量得到点云；
[0009]利用第一多个体素覆盖所述点云，并基于点云覆盖结果确定第二多个体素；
[0010]对所述第二多个体素进行聚集操作以构建体素群组；
[0011]分别对基于所述体素群组聚类得到的高密度体素群组和低密度体素群组对应的警报信号进行识别以得到真阳性警报识别结果和假阳性警报识别结果。
[0012]另外，根据本专利技术上述实施例的基于点云分析的恶意流量检测系统假阳性清洗方法还可以具有以下附加的技术特征：
[0013]进一步地，在本专利技术的一个实施例中，所述基于恶意流量检测系统产生的报警信号所关联的流量特征向量得到点云，包括：
[0014]获取恶意流量检测系统在预设时间内的多个警报信号；
[0015]将所述多个警报信号的每个警报信号关联预设长度的流量特征向量，并将所有的流量特征向量组合得到第一矩阵；
[0016]对所述第一矩阵的每一个元素进行对数变换得到第二矩阵，并对所述第二矩阵进行最大最小归一化处理以得到第三矩阵所表示的点云。
[0017]进一步地，在本专利技术的一个实施例中，所述利用第一多个体素覆盖所述点云，并基于点云覆盖结果确定第二多个体素，包括：
[0018]基于多维特征空间中预设边长的立方体得到第一多个体素；
[0019]利用所述第一多个体素覆盖所述第三矩阵所表示的点云中的点，并去除所述第一多个体素中覆盖所述第三矩阵所表示的点云中低于预设数值点个数的体素得到第二多个体素。
[0020]进一步地，在本专利技术的一个实施例中，所述对所述第二多个体素进行聚集操作以构建体素群组，包括：
[0021]获取所述第二多个体素对应的索引；
[0022]计算所述索引所代表的体素之间的曼哈顿距离，并基于所述曼哈顿距离与第一距离阈值的比较结果得到体素邻接关系；
[0023]基于所述体素邻接关系将所述第二多个体素中相互邻接的体素表示为体素群组。
[0024]进一步地，在本专利技术的一个实施例中，所述分别对基于所述体素群组聚类得到的高密度体素群组和低密度体素群组对应的警报信号进行识别以得到真阳性警报识别结果和假阳性警报识别结果，包括：
[0025]基于抽取的所述体素群组的多个密度特征得到密度特征向量；
[0026]利用预设的聚类算法对所有的所述密度特征向量进行聚类，以将偏离聚类中心距离大于第二距离阈值的密度特征向量对应的体素群组识别为处于高密度区域的体素群组，反之，识别为处于低密度区域的体素群组；
[0027]分别对处于高密度区域和低密度区域的体素群组中全部体素所代表的点对应的警报信号进行识别以得到真阳性警报识别结果和假阳性警报识别结果。
[0028]为达上述目的，本专利技术另一方面提出一种基于点云分析的恶意流量检测系统假阳性清洗装置，包括：
[0029]点云获取模块，用于基于恶意流量检测系统产生的报警信号所关联的流量特征向量得到点云；
[0030]体素构建模块，用于利用第一多个体素覆盖所述点云，并基于点云覆盖结果确定第二多个体素；
[0031]体素聚集模块，用于对所述第二多个体素进行聚集操作以构建体素群组；
[0032]密度学习模块，用于分别对基于所述体素群组聚类得到的高密度体素群组和低密度体素群组对应的警报信号进行识别以得到真阳性警报识别结果和假阳性警报识别结果。
[0033]本专利技术实施例的基于点云分析的恶意流量检测系统假阳性清洗方法和装置，可以自动地将各种恶意流量识别系统产生的警报分类为真阳性警报和假阳性警报，进而过滤掉假阳性警报。并且不需要人工劳动、可以实时处理大量警报、具有良好的鲁棒性和良好的通用性。
[0034]本专利技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变
得明显，或通过本专利技术的实践了解到。
附图说明
[0035]本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
[0036]图1是根据本专利技术实施例的基于点云分析的恶意流量检测系统假阳性清洗方法的流程图；
[0037]图2是根据本专利技术实施例的基于点云分析的恶意流量检测系统假阳性清洗方法的架构图；
[0038]图3是根据本专利技术实施例的基于点云分析的恶意流量检测系统假阳性清洗装置的结构示意图。
具体实施方式
[0039]需要说明的是，在不冲突的情况下，本专利技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本专利技术。
[0040]为了使本
的人员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。
[0041]下面参照附图描述根据本专利技术实施例提出的基于点云分析的恶意流量检测系统假阳性清洗方法和装置。
[0042]图1是本专利技术实施例的基于点云分析的恶意流量检测系统假阳性清洗方法的流程图。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于点云分析的恶意流量检测系统假阳性清洗方法，其特征在于，包括以下步骤：基于恶意流量检测系统产生的报警信号所关联的流量特征向量得到点云；利用第一多个体素覆盖所述点云，并基于点云覆盖结果确定第二多个体素；对所述第二多个体素进行聚集操作以构建体素群组；分别对基于所述体素群组聚类得到的高密度体素群组和低密度体素群组对应的警报信号进行识别以得到真阳性警报识别结果和假阳性警报识别结果。2.根据权利要求1所述的方法，其特征在于，所述基于恶意流量检测系统产生的报警信号所关联的流量特征向量得到点云，包括：获取恶意流量检测系统在预设时间内的多个警报信号；将所述多个警报信号的每个警报信号关联预设长度的流量特征向量，并将所有的流量特征向量组合得到第一矩阵；对所述第一矩阵的每一个元素进行对数变换得到第二矩阵，并对所述第二矩阵进行最大最小归一化处理以得到第三矩阵所表示的点云。3.根据权利要求2所述的方法，其特征在于，所述利用第一多个体素覆盖所述点云，并基于点云覆盖结果确定第二多个体素，包括：基于多维特征空间中预设边长的立方体得到第一多个体素；利用所述第一多个体素覆盖所述第三矩阵所表示的点云中的点，并去除所述第一多个体素中覆盖所述第三矩阵所表示的点云中低于预设数值点个数的体素得到第二多个体素。4.根据权利要求3所述的方法，其特征在于，所述对所述第二多个体素进行聚集操作以构建体素群组，包括：获取所述第二多个体素对应的索引；计算所述索引所代表的体素之间的曼哈顿距离，并基于所述曼哈顿距离与第一距离阈值的比较结果得到体素邻接关系；基于所述体素邻接关系将所述第二多个体素中相互邻接的体素表示为体素群组。5.根据权利要求4所述的方法，其特征在于，所述分别对基于所述体素群组聚类得到的高密度体素群组和低密度体素群组对应的警报信号进行识别以得到真阳性警报识别结果和假阳性警报识别结果，包括：基于抽取的所述体素群组的多个密度特征得到密度特征向量；利用预设的聚类算法对所有的所述密度特征向量进行聚类，以将偏离聚类中心距离大于第二距离阈值的密度特征向量对应的体素群组识别为处于高密度区域的体素群组，反之，识别为处于低密度区域的体素群组；分别对处于高密度区域和低密度区域的体素群组中全部体素所代...

【专利技术属性】
技术研发人员：徐恪，傅川溥，李琦，
申请(专利权)人：清华大学，
类型：发明
国别省市：