【技术实现步骤摘要】
本申请涉及网络检测,具体而言,涉及一种网络异常检测方法、装置、计算机设备及存储介质。
技术介绍
1、基于异常的入侵检测系统(anomaly-based intrusion detection system,简称abids)通过分析系统或网络的正常运行模式,然后与实际观察到的行为进行比较,以检测任何不符合预期模式的行为。在实现上,基于异常的入侵检测系统需要通过分析系统日志、网络流量和其他相关数据来检测异常行为。因此,可以使用网络流量异常检测方法来实现基于异常的入侵检测系统的功能。
2、现有技术中,可以使用深度学习方法对网络流量进行异常检测,例如:多层感知机、卷积神经网络(cnn)、循环神经网络(rnn)和自动编码器。
3、但是,深度学习方法需要使用大量的训练数据和计算资源来训练,并且对深度学习模型的性能有较高的要求,因此,需要提供较大的算力资源。
技术实现思路
1、本申请的目的在于,针对上述现有技术中的不足,提供一种网络异常检测方法、装置、计算机设备及存储介质,以解决现有技术中对网络流量进行异常检测需要较大的算力资源的问题。
2、为实现上述目的,本申请实施例采用的技术方案如下:
3、第一方面,本申请一实施例提供了一种网络异常检测方法,所述方法包括:
4、获取待检测网络中各节点在目标时段内的网络行为数据,所述网络行为数据至少包括:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数;
5、根据
6、根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,并根据所述第二异常信息,确定各节点作为目标节点时的异常检测结果,其中,所述第二异常信息用于表征各节点作为目标节点时在本地服务以及对内访问维度上的异常信息。
7、作为一种可能的实现方式,所述根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,包括:
8、根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
9、根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息。
10、作为一种可能的实现方式,所述根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,包括:
11、获取所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,根据所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,计算所述当前节点在各时刻的数据量概率分布信息,并根据所述当前节点在各时刻的数据量概率分布信息,确定协议数据量异常特征;
12、获取所述当前节点在所述目标时段内各时刻所使用的端口,根据所述当前节点在所述目标时段内各时刻所使用的端口,计算所述当前节点在各时刻的端口联合二维概率分布信息,并根据所述当前节点在各时刻的端口联合二维概率分布信息,确定端口使用异常特征;
13、获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的协议概率分布信息,并根据所述当前节点在各时刻的协议概率分布信息,确定协议选择异常特征;
14、根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,计算所述当前节点在各时刻的对外请求概率分布信息,并根据所述当前节点在各时刻的对外请求概率分布信息,确定对外请求异常特征。
15、作为一种可能的实现方式,所述根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息,包括:
16、根据所述协议数据量异常特征,确定所述当前节点作为源节点时的协议异常指标;
17、根据所述端口使用异常特征,确定所述当前节点作为源节点时的端口异常指标;
18、根据所述协议选择异常特征,确定所述当前节点作为源节点时的协议选择异常指标;
19、根据对外请求异常特征,确定所述当前节点作为源节点时的对外请求异常指标;
20、将所述协议异常指标、所述端口异常指标、所述协议选择异常指标以及所述对外请求异常指标作为所述第一异常信息。
21、作为一种可能的实现方式,所述根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,包括:
22、根据当前节点的网络行为数据,确定所述当前节点作为目标节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
23、根据所述当前节点作为目标节点时的特征数据,确定所述当前节点作为目标节点时的第二异常信息。
24、作为一种可能的实现方式,所述根据当前节点的网络行为数据,确定所述当前节点作为目标节点时的特征数据,包括:
25、获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的本地服务概率分布信息,并根据所述当前节点在各时刻的本地服务概率分布信息,确定本地服务异常特征;
26、根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,计算所述当前节点在各时刻的对内访问概率分布信息,并根据所述当前节点在各时刻的对内访问概率分布信息,确定对内访问异常特征。
27、作为一种可能的实现方式,所述根据所述当前节点作为目标节点时的特征数据,确定所述当前节点作为目标节点时的第二异常信息,包括:
28、根据所述本地服务异常特征,确定所述当前节点作为目标节点时的本地服务异常指标;
29、根据所述对内访问异常特征,确定所述当前节点作为目标节点时的对内访问异常指标;
30、将所述本地服务异常指标以及对内访问异常指标作为所述第二异常信息。
31、第二方面,本申请另一实施例提供了一种网络异常检测装置,所述装置包括:
32、获取模块,用于获取待检测网络中各节点在目标时段内的网络行为数据,所述网络行为数据至少包括:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数;
33、第一确定模块,用于根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,并根据所述第一异常信息,确定各节点作为源节点时的异常检测结果,其中,所述第一异常本文档来自技高网...
【技术保护点】
1.一种网络异常检测方法,其特征在于,包括:
2.根据权利要求1所述的网络异常检测方法,其特征在于,所述根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,包括:
3.根据权利要求2所述的网络异常检测方法,其特征在于,所述根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,包括:
4.根据权利要求3所述的网络异常检测方法,其特征在于,所述根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息,包括:
5.根据权利要求1所述的网络异常检测方法,其特征在于,所述根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,包括:
6.根据权利要求5所述的网络异常检测方法,其特征在于,所述根据当前节点的网络行为数据,确定所述当前节点作为目标节点时的特征数据,包括:
7.根据权利要求6所述的网络异常检测方法,其特征在于,所述根据所述当前节点作为目标节点时的特征数据,确定所述当前节点作为目标节点时的第二异常信息,包括:
8.一种网络异常检测装置,其
9.一种计算机设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器执行所述机器可读指令,以执行如权利要求1至7任一所述的网络异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一所述的网络异常检测方法的步骤。
...【技术特征摘要】
1.一种网络异常检测方法,其特征在于,包括:
2.根据权利要求1所述的网络异常检测方法,其特征在于,所述根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,包括:
3.根据权利要求2所述的网络异常检测方法,其特征在于,所述根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,包括:
4.根据权利要求3所述的网络异常检测方法,其特征在于,所述根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息,包括:
5.根据权利要求1所述的网络异常检测方法,其特征在于,所述根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,包括:
6.根据权利要求5所述的网络异常检测方法,其特征在于,...
【专利技术属性】
技术研发人员:陈崇雨,郑德高,董乐,
申请(专利权)人:暗物质北京智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。