本发明专利技术提供了一种网络异常行为的检测方法、装置、设备及可读存储介质,涉及网络安全异常检测技术领域,包括获取网络流量数据包,由网络特征时间序列构成第一数据集;利用所述第一数据集对第一双向长短期记忆模型进行训练和测试得到网络特征检测模型;提取物理侧信道数据中的物理特征序列以构建第二数据集;利用所述第二数据集对第二双向长短期记忆模型进行训练和测试,得到物理特征检测模型;利用所述网络特征检测模型检测网络中的异常流量以定位至异常电子设备;利用所述物理特征检测模型检测异常电子设备以确定异常电子设备的网络行为是否异常,本发明专利技术通过从网络流量侧和电子设备侧同时对网络进行异常检测,提升了网络异常行为识别准确率。异常行为识别准确率。异常行为识别准确率。
【技术实现步骤摘要】
网络异常行为的检测方法、装置、设备及可读存储介质
[0001]本专利技术涉及网络安全异常检测
,具体而言,涉及网络异常行为的检测方法、装置、设备及可读存储介质。
技术介绍
[0002]网络流量作为网络空间的信息传输和交互的载体,包含了大量的网络行为相关信息,正常情况下产生的网络流量通信行为和异常情况下产生的网络流量通信行为具有明显的不同。因此,从网络流量侧进行检测能够及时发现各类异常网络行为以及潜在的网络攻击行为。另一方面,电子设备在进行网络通信或信息处理时,会产生如功耗、资源开销等不同的工作参数,这些工作参数能够通过传感器设备检测出并应用于电子设备识别与异常检测,解析出设备在进行异常信息处理或传输过程中的行为状态和相关信息等。但单从网络流量侧和电子设备侧对网络异常进行检测,会有较多的不定因素影响检测的准确性。
技术实现思路
[0003]本专利技术的目的在于提供一种网络异常行为的检测方法、装置、设备及可读存储介质,以改善上述问题。为了实现上述目的,本专利技术采取的技术方案如下:第一方面,本申请提供了一种网络异常行为的检测方法,其特征在于,包括:获取网络流量数据包,将所述网络流量数据包分割为多个会话文件后提取每个会话文件的网络特征时间序列,由全部会话文件的网络特征时间序列构成第一数据集;建立第一双向长短期记忆模型,利用所述第一数据集对第一双向长短期记忆模型进行训练和测试,得到网络特征检测模型;获取电子设备的物理侧信道数据,提取全部物理侧信道数据中的物理特征序列,以构建第二数据集;建立第二双向长短期记忆模型,利用所述第二数据集对第二双向长短期记忆模型进行训练和测试,得到物理特征检测模型;利用所述网络特征检测模型检测网络中的异常流量,并根据所述异常流量定位至异常电子设备;利用所述物理特征检测模型检测异常电子设备的物理侧信道数据以确定异常电子设备的网络行为是否异常。
[0004]第二方面,本申请还提供了一种网络异常行为的检测装置,包括:第一获取模块:获取网络流量数据包,将所述网络流量数据包分割为多个会话文件后提取每个会话文件的网络特征时间序列,由全部会话文件的网络特征时间序列构成第一数据集;第一模型训练模块:建立第一双向长短期记忆模型,利用所述第一数据集对第一双向长短期记忆模型进行训练和测试,得到网络特征检测模型;第二获取模块:获取电子设备的物理侧信道数据,提取全部物理侧信道数据中的
物理特征序列,以构建第二数据集;第二模型训练模块:建立第二双向长短期记忆模型,利用所述第二数据集对第二双向长短期记忆模型进行训练和测试,得到物理特征检测模型;异常电子设备定位模块:第一利用所述网络特征检测模型检测网络中的异常流量,并根据所述异常流量定位至异常电子设备;异常电子设备检测模块:利用所述物理特征检测模型检测异常电子设备的物理侧信道数据以确定异常电子设备的网络行为是否异常。
[0005]第三方面,本申请还提供了一种网络异常行为的检测设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现所述网络异常行为的检测方法的步骤。
[0006]第四方面,本申请还提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述基于网络异常行为的检测方法的步骤。
[0007]本专利技术的有益效果为:本专利技术通过对流量分析得到流量网络特征序列变化,基于网络特征序列变化分析并监测设备对外交互的网络异常行为,从而定位到具体的异常电子设备。对于所述异常电子设备,采集其物理侧信道数据,并提取物理侧信道数据随时间变化的物理特征序列,再物理特征序列分析得到异常电子设备的异常网络行为,将两者结合起来可得到更加准确的设备异常行为识别结果,以及异常电子设备的网络行为与物理行为的耦合
‑
关系。
[0008]本专利技术的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术实施例了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
[0009]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0010]图1为本专利技术实施例中所述的网络异常行为的检测方法流程示意图;图2为本专利技术实施例中所述的网络异常行为的检测装置结构示意图;图3为本专利技术实施例中所述的网络异常行为的检测设备结构示意图。
[0011]图中标记:800、网络异常行为的检测设备;801、处理器;802、存储器;803、多媒体组件;804、I/O接口;805、通信组件。
具体实施方式
[0012]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本专利技术的实
施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0013]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本专利技术的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0014]实施例1:本实施例提供了一种网络异常行为的检测方法。
[0015]参见图1,图中示出了本方法包括:S1.获取网络流量数据包,将所述网络流量数据包分割为多个会话文件后提取每个会话文件的网络特征时间序列,由全部会话文件的网络特征时间序列构成第一数据集,优选的,通过网络流量探针监测并采集pcap原始流量数据包;具体的,所述步骤S1包括:S11.对所述网络流量数据包进行解析,提取五元组特征,所述五元组为:源IP、目的IP、源端口、目的端口、传输协议名称;S12.根据所述五元组特征将所述网络流量数据包分割为多个会话文件,其中,所述会话文件由双向流组成,所述流包括相同五元组的所有数据包,即每个会话文件中包含了根据相同五元组特征分割出的多个数据包的报文。
[0016]S13.提取会话文件的报头数据,对所述报头数据进行预处理,将预处理后的报头数据拼接为新会话文件,其中,一个新会话文件包括多个字节;具体的,所述步骤S13包括:S131.对会话文件进行解析,提取会话文件所包含的全部报文的报头数据,其中,报头数据包括:数据链路层(14字节),IP层(20字节),TCP(20字节)/ UDP(8字节);S132.去除数据链路层中的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络异常行为的检测方法,其特征在于,包括:获取网络流量数据包,将所述网络流量数据包分割为多个会话文件后提取每个会话文件的网络特征时间序列,由全部会话文件的网络特征时间序列构成第一数据集;建立第一双向长短期记忆模型,利用所述第一数据集对第一双向长短期记忆模型进行训练和测试,得到网络特征检测模型;获取电子设备的物理侧信道数据,提取全部物理侧信道数据中的物理特征序列,以构建第二数据集;建立第二双向长短期记忆模型,利用所述第二数据集对第二双向长短期记忆模型进行训练和测试,得到物理特征检测模型;利用所述网络特征检测模型检测网络中的异常流量,并根据所述异常流量定位至异常电子设备;利用所述物理特征检测模型检测异常电子设备的物理侧信道数据以确定异常电子设备的网络行为是否异常。2.根据权利要求1所述的网络异常行为的检测方法,其特征在于,将所述网络流量数据包分割为多个会话文件后提取每个会话文件的网络特征时间序列,包括:对所述网络流量数据包进行解析,提取五元组特征;根据所述五元组特征将所述网络流量数据包分割为多个会话文件;提取会话文件的报头数据,对所述报头数据进行预处理,将预处理后的报头数据拼接为新会话文件,其中,一个新会话文件包括多个字节;将新会话文件中每个字节映射为词向量,并提取词向量特征;由一个新会话文件中所有字节的词向量特征拼接成一组网络特征时间序列;对全部的网络特征时间序列进行正常和异常的标签标注;利用标注后的网络特征时间序列构建第一数据集;将第一数据集划分为第一训练集和第一测试集。3.根据权利要求2所述的网络异常行为的检测方法,其特征在于,利用所述第一数据集对第一双向长短期记忆模型进行训练和测试,得到网络特征检测模型,包括:将第一训练集集输入第一双向长短期记忆模型中,由第一双向长短期记忆模型提取第一训练集中每组网络特征时间序列的双向表征;第一双向长短期记忆模型对所述网络特征时间序列对应的双向表征和标签进行学习后,输出对每组网络特征时间序列的预测异常概率;计算预测的预测异常概率与真实标签之间的交叉熵损失以更新网络参数;当所述交叉熵损失达到预设阈值时,第一双向长短期记忆模型训练完成得到网络特征检测模型;利用所述第一测试集对网络特征检测模型进行测试,以检测网络特征检测模型的预测效果。4.根据权利要求1所述的网络异常行为的检测方法,其特征在于,利用所述网络特征检测模型检测网络中的异常流量,并根据所述异常流量定位至异常电子设备,包括:按照预设时间窗口获取网络中的网络流量数据,提取网络流量数据对应的网络特征时间序列;将所述网络流量数据对应的数据网络特征时间序列输入网络特征检测模型中预测出
网络流量数据的异常概率;根据所述异常概率判断所述网络流量数据是否为异常流量;若是,则根据所述异常流量定位至异常电子设备;否则,继续判断下一时间窗口的网络流量数据。5.一种网络异常行为的检测装置,其特征在于,包括:第一获取模块:获取网络流量数据包,将所述网络流量数据包分割为多个会话文件后提取每个会话文件的网络特征时间序列,由全部会话文件的网络特征时间序列构成第一数据集;第一模型训练模块:建立第一双...
【专利技术属性】
技术研发人员:王梦寒,周正春,刘文斌,胡财富,魏波,周淳,
申请(专利权)人:西南交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。