【技术实现步骤摘要】
一种基于全流量分析的威胁检测方法
[0001]本专利技术涉及网络数据安全领域,尤其涉及一种基于全流量分析的威胁检测方法。
技术介绍
[0002]随着互联网技术的快速发展,网络流量越来越大,应用越来越丰富,网络攻击行为越来越多,攻击方式越来越隐蔽,传统的网络安全分析系统越来越难以满足企事业单位对网络安全的需求,尤其是大规模园区复杂网络情况下,网络安全面临更大的挑战。为了应对日益复杂的网络安全威胁,依靠单一安全检测技术已经无法很好满足大规模网络环境的安全要求,例如采用基于神经网络技术的网络流量分析技术,具有识别未知的安全攻击的优势,但正确率有待提升;采用知识图谱技术,具有较高准确率的优势,但召回率有待提升。网络恶意流量检测作为一项有效的安全防护技术,能够对网络进行实时监测,有效感知外部攻击,为相关管理人员提供响应决策。
[0003]中国专利CN115941361A《恶意流量识别方法、装置及设备》公开了供一种恶意流量识别方法,基于待识别流量数据的证书注册信息对待识别流量数据进行分类,从而确定待识别流量数据是否存在恶意风险。...
【技术保护点】
【技术特征摘要】
1.一种基于全流量分析的威胁检测方法,其特征在于,包括以下步骤:S1,获取流量数据集,采集其信息熵数据和网络行为距离数据,构建高维数据压缩结构,检测流量数据集的第一威胁程度;S2,通过流量数据集的流量特征结合正态分布模型,建立威胁概率模型,检测流量数据集的第二威胁程度;S3,通过流量数据集的特征向量结合人工神经网络模型,建立威胁机器学习模型,检测流量数据集的第三威胁程度;S4,综合第一、第二和第三威胁程检测流量数据集的总威胁程度。2.如权利要求1所述的一种基于全流量分析的威胁检测方法,其特征在于,所述步骤S1还包括:通过哈希函数对信息熵数据和网络行为距离数据进行随机聚合,构建一个高维数据压缩结构:C[a,h
a
(key)]+=value,a∈[1,H],h
a
(key)∈[1,K],其中,C[a,h
a
(key)]为高维数据压缩结构第a行第h
a
(key)列的数值,value为字节数或包数,key为信息熵数据,H为哈希函数的个数,h
a
(key)为哈希函数,K为哈希表的大小,哈希表为H个。3.如权利要求2所述的一种基于全流量分析的威胁检测方法,其特征在于,所述步骤S1还包括:通过判断高维数据压缩结构的哈希表是否超过阈值,超过阈值的哈希表为异常哈希表,当超过H/2个哈希表为异常哈希表,判断该高维数据压缩结构异常,输出第一威胁程度为2;否则输出第一威胁程度为0。4.如权利要求3所述的一种基于全流量分析的威胁检测方法,其特征在于,所述步骤S2还包括:通过流量数据集获取一条具...
【专利技术属性】
技术研发人员:孙进,钟收成,杨志刚,陈冰清,高雪琪,
申请(专利权)人:武汉云计算科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。