【技术实现步骤摘要】
本专利技术属于网络空间安全,涉及深度学习、异常检测和规则提取,具体涉及一种面向封闭内部网络的可解释异常流量检测方法。
技术介绍
1、具有特殊用途的封闭内部网络,拓扑结构封闭性强,节点通信行为规律性强,容易遭受复杂多变的网络威胁。根据kill-chain理论,对封闭内部网络的攻击包含“侦察”、“渗透”、“载荷投递”等多个步骤,这样复杂的攻击流程往往会导致内部网络流量的异常波动,因此开展异常流量检测是发现网络威胁的必要前置措施。
2、在实践中,由于可能的攻击手法日新月异,防守方在网络攻防博弈中存在天然的滞后性,目前常用的黑名单式规则库、有监督学习模型只能发现已知类型的异常流量,不能有效识别未知新型异常流量。因此,基于良性流量分析的无监督异常流量检测技术越来越受到关注。
3、相对于异常流量,良性流量的特征相对稳定,变化较小。并且,由于实施网络行为的目的不同,无论多么新型的异常流量,其特征分布与良性流量之间仍存在差异。无监督学习模型可以拟合良性流量的深层分布模式,不符合该模式的输入被判定为异常,这种方法被证明能够有效识别...
【技术保护点】
1.一种面向封闭内部网络的可解释异常流量检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种面向封闭内部网络的可解释异常流量检测方法,其特征在于,良性流量样本经过重构扩展,划分类簇的过程具体为:
3.根据权利要求1所述的一种面向封闭内部网络的可解释异常流量检测方法,其特征在于,每个子分布边界规则的合并过程为:
4.根据权利要求3所述的一种面向封闭内部网络的可解释异常流量检测方法,其特征在于,去除冗余的操作具体为:若整体规则库中,存在某个子分布a的边界规则完全包含在另一个子分布b的边界规则内,则去除子分布b的边界规则,保...
【技术特征摘要】
1.一种面向封闭内部网络的可解释异常流量检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种面向封闭内部网络的可解释异常流量检测方法,其特征在于,良性流量样本经过重构扩展,划分类簇的过程具体为:
3.根据权利要求1所述的一种面向封闭内部网络的可解释异常流量检测方法,其特征在于,每个子分布边界规则的合并过程为:
4.根据权利要求3所述的...
【专利技术属性】
技术研发人员:陆月明,刘洋,姚琳元,吴昊,何涛,阎小涛,樊明睿,蔡昀,史玮东,左金鑫,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。