【技术实现步骤摘要】
本申请涉及网络安全,特别涉及一种基于流交互图的压缩和异常检测方法及装置。
技术介绍
1、网络异常检测是网络安全系统(如企业网络网关、云数据中心中的入侵检测系统、广域网路由器及其他网络安全中间设备)的关键组成部分,以确保通过网络进行的所有业务的安全性、功能性和性能。传统的网络异常检测方法主要依赖于预定义的签名或规则(如防火墙和深度包检测)并被广泛部署。然而,随着加密网络流量的普及,攻击者可以通过加密恶意流量、添加噪音并将其伪装为正常流量来规避上述传统方法。
2、流交互图的异常流量检测方法因其适用于加密网络流量,已变得越来越有吸引力,该方法不依赖流量的有效载荷,只依赖不可加密的流量源ip、目的ip、流量包个数、字节数等基础信息,通过这些信息构建出流的基础交互信息,从而判断异常流量,对加密流量的抵抗性极佳,用户隐私保护较好。
3、基于流交互图的异常流量检测流程通常为:网络的包经过网卡解析)后,采用软件提取特征;然后构建流量交互图,具体来说,是以源ip、目的ip作为图的顶点,构建出有向图或者二部图,提取的特征则作为图的边...
【技术保护点】
1.一种基于流交互图的压缩和异常检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述根据所述流量数据、预设的布隆过滤器和CM-Sketch汇总原始流量交互图中每个IP节点的总入度和总出度,包括:
3.根据权利要求2所述的方法,其特征在于,所述使得目标软件对所述每个IP节点的总入度和总出度进行分类,并得到分类结果,且根据所述分类结果对所述每个IP节点进行基于并查集的合并或删除操作,以生成所述原始流量交互图对应的压缩流交互图,包括:
4.根据权利要求1所述的方法,其特征在于,所述根据所述点特征和所述边特征...
【技术特征摘要】
1.一种基于流交互图的压缩和异常检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的方法,其特征在于,所述根据所述流量数据、预设的布隆过滤器和cm-sketch汇总原始流量交互图中每个ip节点的总入度和总出度,包括:
3.根据权利要求2所述的方法,其特征在于,所述使得目标软件对所述每个ip节点的总入度和总出度进行分类,并得到分类结果,且根据所述分类结果对所述每个ip节点进行基于并查集的合并或删除操作,以生成所述原始流量交互图对应的压缩流交互图,包括:
4.根据权利要求1所述的方法,其特征在于,所述根据所述点特征和所述边特征得到所述压缩流交互图的图特征,并基于所述图特征和预设的无监督异常检测模型,生成所述压缩流交互图对应的异常检测结果...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。