CN107370766A - 一种网络流量异常检测方法及*** - Google Patents
一种网络流量异常检测方法及*** Download PDFInfo
- Publication number
- CN107370766A CN107370766A CN201710803213.1A CN201710803213A CN107370766A CN 107370766 A CN107370766 A CN 107370766A CN 201710803213 A CN201710803213 A CN 201710803213A CN 107370766 A CN107370766 A CN 107370766A
- Authority
- CN
- China
- Prior art keywords
- index
- traffic
- moon
- time
- period
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供的一种网络流量异常检测方法及***,属于网络安全信息技术领域。该方法包括获取月流量异常指数;获取日流量异常指数;获取预设时段流量异常指数;获取实时流量异常指数;基于月流量异常指数、日流量异常指数、时段流量异常指数和实时流量异常指数,获取综合异常指数;基于综合异常指数,获取预设网络攻击场景所对应的流量异常态势。通过获取月流量异常指数、日流量异常指数、预设时段流量异常指数和实时流量异常指数,从而获取综合异常指数,进而实现对月、日、时段、实时流量异常全面、精准、有效的检测。再通过综合异常指数,获取预设网络攻击场景所对应的流量异常态势,进一步对不同网络攻击场景的异常流量精准检测与感知。
Description
技术领域
本发明涉及网络安全信息技术领域,具体而言,涉及一种网络流量异常检测方法及***。
背景技术
网络行为特征短期内具有随机性和突发性,难以用一些固定的模型算法去检测和判断,但是网络行为中长期具有规律性和稳定性,基于短期和中长期结合的时间序列检测具有重要的研究价值。
现有网络流量的异常检测技术主要有固定的阈值检测法,基于统计检测法,小波分析,自相似检测法,然而这些方法都没有考虑历史同期、近期的时间规律性,并且对历史数据分析的样本量小。
此外,不同安全场景下的流量特征也不尽相同,如DDoS(Distributed Denial ofService)攻击时,流量呈现瞬间(短时间)增长模式,再结合DDoS的ip相似性为等维度进行DDoS检测。而潜伏型应用攻击时,实时(半小时)的流量具有隐藏性,一般不会越过流量阈值线,但是异常日流量总量同正常日的流量比较,增长趋势会比较明显。从而,现有技术中存在对告警的流量数据检测误报率较高以及对不同攻击场景的异常流量的检测误报率较高。
发明内容
本发明提供一种网络流量异常检测方法及***,旨在改善上述技术问题。
本发明提供的一种网络流量异常检测方法,包括:获取月流量异常指数;获取日流量异常指数;获取预设时段流量异常指数;获取实时流量异常指数;基于所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取综合异常指数;基于所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势。
优选地,所述的获取月流量异常指数,包括:获取当前时间节点前N年的每个月的月总流量;基于指数平滑法和同期加权平均法获取月流量预测值;基于3西格玛标准差法获取预测月流量区间;基于所述月流量预测值和所述月流量区间获取月流量异常指数。
优选地,所述的获取日流量异常指数,包括:获取当前时间节点前B个月内的每个月的日流量数据;获取所述B个月内每周中的每一天的日总流量所占该周的周总流量的周占比系数;基于箱线图法过滤异常周占比,再求均值获取所述周占比系数的周因子系数;获取所述B个月内每月中的每一天的日总流量所占该月的月总流量的月占比系数;基于箱线图法过滤异常月占比,再求均值获取所述月占比系数的月因子系数;基于所述周因子系数和所述月因子系数获取预测日流量;基于3西格玛标准差法获取预测日流量区间;基于所述预测日流量与所述预测日流量区间获取日流量异常指数。
优选地,所述的获取预设时段流量异常指数,包括:获取当前时间节点前N日内的流量数据;获取每日预设时间段内的多个时段流量数据;基于每个所述时段流量数据生成时段流量向量;基于高斯分布函数获取每个所述时段流量数据所对应的均值与标准差;基于3西格玛标准差法获取预测时段流量区间;基于所述均值、所述标准差和所述预测时段流量区间,获取预设时段流量异常指数。
优选地,所述的获取实时流量异常指数,包括:获取当前时间节点前N日内的流量数据;基于所述流量数据,获取N日内每分钟的实时流量数据;基于所述实时流量数据获取实时流量异常指数。
优选地,所述的基于所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取综合异常指数,包括:获取每个预设网络攻击场景中所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数所对应的权重;基于所述权重、所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取每个所述预设网络攻击场景所对应的综合异常指数。
优选地,所述的基于所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势,包括:获取预设网络攻击场景所对应的所述综合异常指数;基于所述综合异常指数的数值,获取所述预设网络攻击场景所对应的流量异常态势。
本发明提供的一种网络流量异常检测装置,包括:第一获取单元,用于获取月流量异常指数;第二获取单元,用于获取日流量异常指数;第三获取单元,用于获取预设时段流量异常指数;第四获取单元,用于获取实时流量异常指数;第五获取单元,用于基于所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取综合异常指数;第六获取单元,用于基于所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势。
优选地,所述第五获取单元具体用于:获取每个预设网络攻击场景中所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数所对应的权重;基于所述权重、所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取每个所述预设网络攻击场景所对应的综合异常指数。
优选地,所述第六获取单元包括:第一数据获取子单元,用于获取预设网络攻击场景所对应的所述综合异常指数;第二数据获取子单元,用于基于所述综合异常指数的数值,获取所述预设网络攻击场景所对应的流量异常态势。
上述本发明提供的一种网络流量异常检测方法及***,该方法通过获取月流量异常指数、日流量异常指数、预设时段流量异常指数和实时流量异常指数,从而获取综合异常指数,进而实现对月、日、时段、实时流量异常全面、精准、有效的检测。再通过所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势,进一步对不同网络攻击场景的异常流量精准检测与感知。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种电子设备的结构框图;
图2为本发明第一实施例提供的一种网络流量异常检测方法的流程图;
图3为本发明第二实施例提供的一种网络流量异常检测***的功能模块示意图;
图4为本发明第三实施例提供的一种网络流量异常检测***的功能模块示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例提供的一种电子设备的结构框图。所述电子设备300包括网络流量异常检测***、存储器302、存储控制器303、处理器304及外设接口305。
所述存储器302、存储控制器303、处理器304及外设接口305各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述网络流量异常检测***包括至少一个可以软件或固件(firmware)的形式存储于所述存储器302中或固化在所述电子设备300的操作***(operating system,OS)中的软件功能模块。所述处理器304用于执行存储器302中存储的可执行模块,例如所述网络流量异常检测***包括的软件功能模块或计算机程序。
其中,存储器302可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器302用于存储程序,所述处理器304在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的服务器100所执行的方法可以应用于处理器304中,或者由处理器304实现。
处理器304可能是一种集成电路芯片,具有信号的处理能力。上述的处理器304可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述外设接口305将各种输入/输入装置耦合至处理器304以及存储器302。在一些实施例中,外设接口305、处理器304以及存储控制器303可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
请参阅图2,是本发明第一实施例提供的一种网络流量异常检测方法的流程图。下面将对图2所示的具体流程进行详细阐述。
步骤S101,获取月流量异常指数。
作为一种实施方式,先获取当前时间节点前N年的每个月的月总流量;再基于指数平滑法和同期加权平均法获取月流量预测值;接着再基于3西格玛标准差法获取预测月流量区间;最后基于所述月流量预测值和所述月流量区间获取月流量异常指数。
其中,N为整数,且大于或等于1。所述当前时间节点前N年是指当前月份往前递推N*12个月。
其中,所述月流量预测值满足:
其中α1为当前实际流量对预测值影响因子系数,α2为当前预测流量对预测值影响因子系数,βi为历年同期流量对预测值影响因子系数。Yt表示第t个月真实流量数据,y’表示流量预测值。所述指数平滑法是指通过计算指数平滑值,配合一定的时间序列预测模型对现象的未来进行预测。其中,所述同期加权平均法是指利用过去若干个按照同期时间顺序排列起来的同一变量的观测值并以时间顺序数为权数,计算出观测值的加权算术平均数,以这一数字作为预测未来期间该变量预测值的一种趋势预测法。其中,βi和n越大,表示历史同期参考价值越高,优选地,所述n小于或等于5。其中,所述n表示当前时间节点前N年。
在本实施例中,所述基于3西格玛标准差法获取预测月流量区间,是指以所获取的当前时间节点前N年的每个月的月总流量作为样本,利用3西格玛标准差法对预测月流量区间进行估计:
[y′t+1-3σ,y′t+1+3σ]
其中,所述σ为样本标准差。
在本实施例中,若t+1个月真实流量数据为:yt+1∈(y′t+1+3σ,+∞)∪(-∞,y′t+1-3σ),则认为所述真实流量数据是异常流量。
在本实施例中,所述月流量异常指数满足:
HM=min(|yt+1-y′t+1+3σ|,|yt+1-y′t+1-3σ|)/6σ;
其中,yt+1∈(y′t+1+3σ,+∞)∪(-∞,y′t+1-3σ)。
步骤S102,获取日流量异常指数。
作为一种实施方式,获取当前时间节点前B个月内的每个月的日流量数据;获取所述B个月内每周中的每一天的日总流量所占该周的周总流量的周占比系数;基于箱线图法过滤异常周占比,再求均值获取所述周占比系数的周因子系数;获取所述B个月内每月中的每一天的日总流量所占该月的月总流量的月占比系数;基于箱线图法过滤异常月占比,再求均值获取所述月占比系数的月因子系数;基于所述周因子系数和所述月因子系数获取预测日流量;基于3西格玛标准差法获取预测日流量区间;基于所述预测日流量与所述预测日流量区间获取日流量异常指数。
在本实施例中,获取当前时间节点前B个月内的每个月的日流量数据是指获取当前时间节点前b个月、当前时间节点的去年和前年同期月度日流量,并标记周属性(周一至周日)和月属性(1日至31日)。
所述周占比系数满足:
其中,k为整数,其取值范围为1至b+2个月的周数;
其中,是第k周中周i日总流量。是第k周的周总流量,是第K周中周i的周占比系数。
在本实施例中,所述周因子系数满足:
在本实施例中,所述月占比系数满足:
其中,所述m为整数,其取值范围为1至b+2;是第m月中第i日总流量,是第m月的月总流量。
在本实施例中,所述月因子系数满足:
基于所述周因子系数和所述月因子系数获取预测日流量是指以当前时间节点前一个月的日流量均值以为基准,分别用周因子系数和所述月因子系数进行修正。所述预测日流量满足:
在本实施例中,基于3西格玛标准差法获取预测日流量区间是指以当前时间节点前B个月内的每个月的日流量数据为样本,从而基于3西格玛标准差法计算标准差σ,得到正常的日流量数据正常区间。所述预测日流量区间满足:[xi,j′-3σ,xi,j′+3σ]。则若当日流量数据xi,j∈(xi,j′+3σ,+∞)∪(-∞,xi,j′-3σ),则认为是异常流量。
在本实施例中,所述日流量异常指数满足:
HD=min(|xi,j-xi,j′+3σ|,|xi,j-xi,j′-3σ|)/6σ;
其中,xi,j∈(xi,j′+3σ,+∞)∪(-∞,xi,j′-3σ)。
步骤S103,获取预设时段流量异常指数。
作为一种实施方式,获取当前时间节点前N日内的流量数据;获取每日预设时间段内的多个时段流量数据;基于每个所述时段流量数据生成时段流量向量;基于高斯分布函数获取每个所述时段流量数据所对应的均值与标准差;基于3西格玛标准差法获取预测时段流量区间;基于所述均值、所述标准差和所述预测时段流量区间,获取预设时段流量异常指数。
其中,所述N为整数,且大于或等于1。所述每日预设时间段是指将每日分割成多个固定时间段。例如,所述预设时间段可以是半小时,即将每日分成48个半小时。所述预设时间段也可以是一小时,即将每日分成24个小时。在本实施例中,优选地,所述预设时间段为半小时。
在本实施例中,所述的基于每个所述时段流量数据生成时段流量向量是指:按照每个半小时生成一个时段流量向量。其中,每个半小时的时段流量向量满足:
第1个半小时流量向量:
第2个半小时流量向量:
第3个半小时流量向量:
…
第48个半小时流量向量:
在本实施例中,所述的基于高斯分布函数获取每个所述时段流量数据所对应的均值与标准差是指:将每个半小时流量向量构建成高斯分布概率密度函数。其中,所述高斯分布概率密度函数如下:
第1个半小时流量,高斯分布函数f1,并计算均值u1和标准差σ1;
第2个半小时流量,高斯分布函数f2,并计算均值u2和标准差σ2;
第3个半小时流量,高斯分布函数f3,并计算均值σ3和标准差σ3;
…
第48个半小时流量,高斯分布函数f48,并计算均值σ48和标准差σ48。在本实施例中,所述预测时段流量区间包括以同时段的3西格玛标准法作为时段流量第一正常区间、以相邻上一时段的高斯分布的3西格玛上线基线作为第二正常区间和以相邻下一时段的高斯分布的3西格玛上线基线作为第三正常区间。所述预测时段流量区间满足:(ui-1-3σi-1,ui-1+3σi-1)∪(ui-3σi,ui+3σi)∪(ui+1-3σi+1,ui+1+3σi+1),其中,i∈{1,2,3,...,48}。则,若当日当前时段流量数据x0落在估值区间:(ui-1-3σi-1,ui-1+3σi-1)∪(ui-3σi,ui+3σi)∪(ui+1-3σi+1,ui+1+3σi+1)外,则认为当前时段流量数据x0是异常流量。
在本实施例中,所述预设时段流量异常指数包括当前时间节点所对应的当前时段异常系数、与所述当前时段相邻的下一时段异常系数和与所述当前时段相邻的上一时段异常系数。其中,所述当前时段异常系数满足:
其中,为当前时段流量均值,σ0为当前时段流量标准差。所述相邻下一时段异常系数满足:
其中,为相邻下一时段流量均值,σ1为当前时段流量标准差。所述相邻上一时段异常系数满足:
其中,为相邻上一时段流量均值,σ-1为当前时段流量标准差。所述预设时段流量异常指数满足:Hi=β0*H0+β1*H1+β-1*H-1,其中,i∈{1,2,3,…,48},βi为参数。其中βi可根据实时环境进行调整。
步骤S104,获取实时流量异常指数。
作为一种实施方式,获取当前时间节点前N日内的流量数据;基于所述流量数据,获取N日内每分钟的实时流量数据;基于所述实时流量数据获取实时流量异常指数。
在本实施例中,优选地,将N日内每分钟的实时流量数据进行从大到小排序,获取所有的实时流量数据中预设个数的数据作为时段异常样本。优选地,对N*24*60顺序的序列数据取最大的0.1%数据作为时段异常样本,计算对应的异常分钟阈值线φ=min,当每分钟流量数据大于或等于φ,则判定为异常流量。
在本实施例中,所述实时流量异常指数满足:其中,Z为当前分钟流量。
步骤S105,基于所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取综合异常指数。
作为一种实施方式,获取每个预设网络攻击场景中所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数所对应的权重;基于所述权重、所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取每个所述预设网络攻击场景所对应的综合异常指数。
其中,所述网络攻击场景包括CC(ChallengeCollapsar)攻击、扫描行为攻击、潜伏型应用攻击和僵尸网络等,在此,不作具体限定。
所述综合异常指数满足:H=ω1*HM+ω2*HD+ω3*HH+ω4*Hs。其中,所述ω1表示所述月流量异常指数所对应的权重、ω2表示所述日流量异常指数所对应的权重,ω3表示所述时段流量异常指数所对应的权重,ω4表示所述实时流量异常指数所对应的权重。然后根据不同的预设网络攻击场景设置所述综合异常指数中的权重,即根据不同的预设网络攻击场景设置ω1、ω2、ω3和/或ω4的数值。例如,若所述预设网络攻击场景为潜伏型应用攻击场景是,可将ω1和ω2根据实际需要进行设置。若所述预设网络攻击场景为僵尸网络木马攻击场景时,可将ω2和ω3根据实际需要进行设置。若所述预设网络攻击场景为扫描行为攻击场景时,可将ω2和ω3根据实际需要进行设置。若所述预设网络攻击场景为CC(ChallengeCollapsar)攻击场景时,可将ω3和ω4根据实际需要进行设置。
在本实施例中,还设有报警机制。具体地,当所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数中任意一个出现异常时,发出报警信息。具体地,基于实时流量报警处理,当实时流量出现报警时,进一步补齐当前半小时每分钟的流量数据(用上一个半小时同分钟属性数据补齐),计算判断当前半小时的流量数据是否存在异常现象,若是,则时段也告警,并计算告警系数。基于时段流量报警处理,当实时流量未出现报警,但时段出现流量异常告警时,获取日流量异常指数和月流量异常指数,从而进行报警。基于日流量报警处理,当实时流量、时段流量未出现报警,当日总流量出现报警,则补齐计算当月流量数据异常指数。
步骤S106,基于所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势。
作为一种实施方式,获取预设网络攻击场景所对应的所述综合异常指数;基于所述综合异常指数的数值,获取所述预设网络攻击场景所对应的流量异常态势。
其中,所述流量异常态势是指当前网络攻击场景下,流量波动形式。
请参阅图3,是本发明第三实施例提供的一种网络流量异常检测***的功能模块示意图。所述网络流量异常检测***400包括:第一获取单元410、第二获取单元420、第三获取单元430、第四获取单元440、第五获取单元450和第六获取单元460。
第一获取单元410,用于获取月流量异常指数。
其中,所述第一获取单元410具体用于:获取当前时间节点前N年的每个月的月总流量;基于指数平滑法和同期加权平均法获取月流量预测值;基于3西格玛标准差法获取预测月流量区间;基于所述月流量预测值和所述月流量区间获取月流量异常指数。
第二获取单元420,用于获取日流量异常指数。
其中,所述第二获取单元420具体用于:获取当前时间节点前B个月内的每个月的日流量数据;获取所述B个月内每周中的每一天的日总流量所占该周的周总流量的周占比系数;基于箱线图法过滤异常周占比,再求均值获取所述周占比系数的周因子系数;获取所述B个月内每月中的每一天的日总流量所占该月的月总流量的月占比系数;基于箱线图法过滤异常月占比,再求均值获取所述月占比系数的月因子系数;基于所述周因子系数和所述月因子系数获取预测日流量;基于3西格玛标准差法获取预测日流量区间;基于所述预测日流量与所述预测日流量区间获取日流量异常指数。
第三获取单元430,用于获取预设时段流量异常指数。
其中,所述第三获取单元430具体用于:获取当前时间节点前N日内的流量数据;获取每日预设时间段内的多个时段流量数据;基于每个所述时段流量数据生成时段流量向量;基于高斯分布函数获取每个所述时段流量数据所对应的均值与标准差;基于3西格玛标准差法获取预测时段流量区间;基于所述均值、所述标准差和所述预测时段流量区间,获取预设时段流量异常指数。
第四获取单元440,用于获取实时流量异常指数。
其中,所述第四获取单元440具体用于:获取当前时间节点前N日内的流量数据;基于所述流量数据,获取N日内每分钟的实时流量数据;基于所述实时流量数据获取实时流量异常指数。
第五获取单元450,用于基于所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取综合异常指数。
其中,所述第五获取单元450具体用于获取每个预设网络攻击场景中所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数所对应的权重;基于所述权重、所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取每个所述预设网络攻击场景所对应的综合异常指数。
第六获取单元460,用于基于所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势。
请参阅图4,是本发明第三实施例提供的一种网络流量异常检测***的功能模块示意图。所述网络流量异常检测***500包括:第一获取单元510、第二获取单元520、第三获取单元530、第四获取单元540、第五获取单元550和第六获取单元560。
第一获取单元510,用于获取月流量异常指数。
其中,所述第一获取单元510具体用于:获取当前时间节点前N年的每个月的月总流量;基于指数平滑法和同期加权平均法获取月流量预测值;基于3西格玛标准差法获取预测月流量区间;基于所述月流量预测值和所述月流量区间获取月流量异常指数。
第二获取单元520,用于获取日流量异常指数。
其中,所述第二获取单元520具体用于:获取当前时间节点前B个月内的每个月的日流量数据;获取所述B个月内每周中的每一天的日总流量所占该周的周总流量的周占比系数;基于箱线图法过滤异常周占比,再求均值获取所述周占比系数的周因子系数;获取所述B个月内每月中的每一天的日总流量所占该月的月总流量的月占比系数;基于箱线图法过滤异常月占比,再求均值获取所述月占比系数的月因子系数;基于所述周因子系数和所述月因子系数获取预测日流量;基于3西格玛标准差法获取预测日流量区间;基于所述预测日流量与所述预测日流量区间获取日流量异常指数。
第三获取单元530,用于获取预设时段流量异常指数。
其中,所述第三获取单元530具体用于:获取当前时间节点前N日内的流量数据;获取每日预设时间段内的多个时段流量数据;基于每个所述时段流量数据生成时段流量向量;基于高斯分布函数获取每个所述时段流量数据所对应的均值与标准差;基于3西格玛标准差法获取预测时段流量区间;基于所述均值、所述标准差和所述预测时段流量区间,获取预设时段流量异常指数。
第四获取单元540,用于获取实时流量异常指数。
其中,所述第四获取单元540具体用于:获取当前时间节点前N日内的流量数据;基于所述流量数据,获取N日内每分钟的实时流量数据;基于所述实时流量数据获取实时流量异常指数。
第五获取单元550,用于基于所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取综合异常指数。
其中,所述第五获取单元550具体用于获取每个预设网络攻击场景中所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数所对应的权重;基于所述权重、所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取每个所述预设网络攻击场景所对应的综合异常指数。
第六获取单元560,用于基于所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势。
其中,所述第六获取单元560还包括:第一数据获取子单元561和第二数据获取子单元562。
所述第一数据获取子单元561,用于获取预设网络攻击场景所对应的所述综合异常指数。
所述第二数据获取子单元562,用于基于所述综合异常指数的数值,获取所述预设网络攻击场景所对应的流量异常态势。
综上所述,本发明提供的一种网络流量异常检测方法及***,该方法通过获取月流量异常指数、日流量异常指数、预设时段流量异常指数和实时流量异常指数,从而获取综合异常指数,进而实现对月、日、时段、实时流量异常全面、精准、有效的检测。再通过所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势,进一步对不同网络攻击场景的异常流量精准检测与感知。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
Claims (10)
1.一种网络流量异常检测方法,其特征在于,包括:
获取月流量异常指数;
获取日流量异常指数;
获取预设时段流量异常指数;
获取实时流量异常指数;
基于所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取综合异常指数;
基于所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势。
2.根据权利要求1所述的方法,其特征在于,所述的获取月流量异常指数,包括:
获取当前时间节点前N年的每个月的月总流量;
基于指数平滑法和同期加权平均法获取月流量预测值;
基于3西格玛标准差法获取预测月流量区间;
基于所述月流量预测值和所述月流量区间获取月流量异常指数。
3.根据权利要求1所述的方法,其特征在于,所述的获取日流量异常指数,包括:
获取当前时间节点前B个月内的每个月的日流量数据;
获取所述B个月内每周中的每一天的日总流量所占该周的周总流量的周占比系数;
基于箱线图法过滤异常周占比,再求均值获取所述周占比系数的周因子系数;
获取所述B个月内每月中的每一天的日总流量所占该月的月总流量的月占比系数;
基于箱线图法过滤异常月占比,再求均值获取所述月占比系数的月因子系数;
基于所述周因子系数和所述月因子系数获取预测日流量;
基于3西格玛标准差法获取预测日流量区间;
基于所述预测日流量与所述预测日流量区间获取日流量异常指数。
4.根据权利要求1所述的方法,其特征在于,所述的获取预设时段流量异常指数,包括:
获取当前时间节点前N日内的流量数据;
获取每日预设时间段内的多个时段流量数据;
基于每个所述时段流量数据生成时段流量向量;
基于高斯分布函数获取每个所述时段流量数据所对应的均值与标准差;
基于3西格玛标准差法获取预测时段流量区间;
基于所述均值、所述标准差和所述预测时段流量区间,获取预设时段流量异常指数。
5.根据权利要求1所述的方法,其特征在于,所述的获取实时流量异常指数,包括:
获取当前时间节点前N日内的流量数据;
基于所述流量数据,获取N日内每分钟的实时流量数据;
基于所述实时流量数据获取实时流量异常指数。
6.根据权利要求1所述的方法,其特征在于,所述的基于所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取综合异常指数,包括:
获取每个预设网络攻击场景中所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数所对应的权重;
基于所述权重、所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取每个所述预设网络攻击场景所对应的综合异常指数。
7.根据权利要求1所述的方法,其特征在于,所述的基于所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势,包括:
获取预设网络攻击场景所对应的所述综合异常指数;
基于所述综合异常指数的数值,获取所述预设网络攻击场景所对应的流量异常态势。
8.一种网络流量异常检测***,其特征在于,包括:
第一获取单元,用于获取月流量异常指数;
第二获取单元,用于获取日流量异常指数;
第三获取单元,用于获取预设时段流量异常指数;
第四获取单元,用于获取实时流量异常指数;
第五获取单元,用于基于所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取综合异常指数;
第六获取单元,用于基于所述综合异常指数,获取预设网络攻击场景所对应的流量异常态势。
9.根据权利要求8所述的***,其特征在于,所述第五获取单元具体用于:
获取每个预设网络攻击场景中所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数所对应的权重;
基于所述权重、所述月流量异常指数、所述日流量异常指数、所述时段流量异常指数和所述实时流量异常指数,获取每个所述预设网络攻击场景所对应的综合异常指数。
10.根据权利要求8所述的***,其特征在于,所述第六获取单元包括:
第一数据获取子单元,用于获取预设网络攻击场景所对应的所述综合异常指数;
第二数据获取子单元,用于基于所述综合异常指数的数值,获取所述预设网络攻击场景所对应的流量异常态势。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710803213.1A CN107370766B (zh) | 2017-09-07 | 2017-09-07 | 一种网络流量异常检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710803213.1A CN107370766B (zh) | 2017-09-07 | 2017-09-07 | 一种网络流量异常检测方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107370766A true CN107370766A (zh) | 2017-11-21 |
| CN107370766B CN107370766B (zh) | 2020-09-11 |
Family
ID=60312560
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710803213.1A Active CN107370766B (zh) | 2017-09-07 | 2017-09-07 | 一种网络流量异常检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107370766B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109768995A (zh) * | 2019-03-06 | 2019-05-17 | 国网甘肃省电力公司电力科学研究院 | 一种基于循环预测和学习的网络流量异常检测方法 |
| CN110769454A (zh) * | 2018-07-25 | 2020-02-07 | ***通信集团浙江有限公司 | 流量预测方法及装置 |
| CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
| CN111209562A (zh) * | 2019-12-24 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 一种基于潜伏行为分析的网络安全检测方法 |
| CN111556037A (zh) * | 2020-04-21 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 网站***安全指数评估的方法和装置 |
| WO2021073114A1 (zh) * | 2019-10-18 | 2021-04-22 | 平安科技(深圳)有限公司 | 基于统计的异常流量监测方法、装置、设备及存储介质 |
| CN113329037A (zh) * | 2021-08-02 | 2021-08-31 | 平安科技(深圳)有限公司 | 基于高维模式的异常访问数据预警方法及相关设备 |
| CN113364602A (zh) * | 2020-03-03 | 2021-09-07 | 阿里巴巴集团控股有限公司 | 一种触发页面故障报警的方法、装置和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110085649A1 (en) * | 2009-10-12 | 2011-04-14 | Linkage Technology Group Co., Ltd. | Fluctuation Monitoring Method that Based on the Mid-Layer Data |
| CN102882895A (zh) * | 2012-10-31 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别报文攻击的方法及装置 |
| CN104753733A (zh) * | 2013-12-31 | 2015-07-01 | 中兴通讯股份有限公司 | 网络流量异常数据的检测方法及装置 |
| CN104796301A (zh) * | 2015-03-31 | 2015-07-22 | 北京奇艺世纪科技有限公司 | 网络流量异常判断方法和装置 |
-
2017
- 2017-09-07 CN CN201710803213.1A patent/CN107370766B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110085649A1 (en) * | 2009-10-12 | 2011-04-14 | Linkage Technology Group Co., Ltd. | Fluctuation Monitoring Method that Based on the Mid-Layer Data |
| CN102882895A (zh) * | 2012-10-31 | 2013-01-16 | 杭州迪普科技有限公司 | 一种识别报文攻击的方法及装置 |
| CN104753733A (zh) * | 2013-12-31 | 2015-07-01 | 中兴通讯股份有限公司 | 网络流量异常数据的检测方法及装置 |
| CN104796301A (zh) * | 2015-03-31 | 2015-07-22 | 北京奇艺世纪科技有限公司 | 网络流量异常判断方法和装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110769454A (zh) * | 2018-07-25 | 2020-02-07 | ***通信集团浙江有限公司 | 流量预测方法及装置 |
| CN109768995A (zh) * | 2019-03-06 | 2019-05-17 | 国网甘肃省电力公司电力科学研究院 | 一种基于循环预测和学习的网络流量异常检测方法 |
| CN109768995B (zh) * | 2019-03-06 | 2021-08-13 | 国网甘肃省电力公司电力科学研究院 | 一种基于循环预测和学习的网络流量异常检测方法 |
| WO2021073114A1 (zh) * | 2019-10-18 | 2021-04-22 | 平安科技(深圳)有限公司 | 基于统计的异常流量监测方法、装置、设备及存储介质 |
| CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
| CN111209562A (zh) * | 2019-12-24 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 一种基于潜伏行为分析的网络安全检测方法 |
| CN111209562B (zh) * | 2019-12-24 | 2022-04-19 | 杭州安恒信息技术股份有限公司 | 一种基于潜伏行为分析的网络安全检测方法 |
| CN113364602A (zh) * | 2020-03-03 | 2021-09-07 | 阿里巴巴集团控股有限公司 | 一种触发页面故障报警的方法、装置和存储介质 |
| CN111556037A (zh) * | 2020-04-21 | 2020-08-18 | 杭州安恒信息技术股份有限公司 | 网站***安全指数评估的方法和装置 |
| CN113329037A (zh) * | 2021-08-02 | 2021-08-31 | 平安科技(深圳)有限公司 | 基于高维模式的异常访问数据预警方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107370766B (zh) | 2020-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107370766A (zh) | 一种网络流量异常检测方法及*** | |
| WO2021109314A1 (zh) | 一种异常数据的检测方法、***及设备 | |
| EP3343422B1 (en) | Systems and methods for detecting resources responsible for events | |
| CN109981328B (zh) | 一种故障预警方法及装置 | |
| US10528533B2 (en) | Anomaly detection at coarser granularity of data | |
| Liu et al. | A fuzzy logic based reputation model against unfair ratings | |
| CN107528722A (zh) | 一种时间序列中异常点检测方法及装置 | |
| JP4541364B2 (ja) | 意味のある変動を明らかにする自動監視及び動的プロセスメトリクスの統計分析 | |
| CN110471821B (zh) | 异常变更检测方法、服务器及计算机可读存储介质 | |
| CN109711155A (zh) | 一种预警确定方法和装置 | |
| CN108965055A (zh) | 一种基于历史时间取点法的网络流量异常检测方法 | |
| CN112734559A (zh) | 企业信用风险评价方法、装置及电子设备 | |
| US11334878B2 (en) | Combining explicit and implicit feedback in self-learning fraud detection systems | |
| CN111144941A (zh) | 商户评分的生成方法、装置、设备及可读存储介质 | |
| CN106254137A (zh) | 监管***的告警根源分析***及方法 | |
| CN107464185A (zh) | 风险监控方法、装置、存储介质以及计算机设备 | |
| CN111931707A (zh) | 基于对抗补丁的人脸图像预测方法、装置、设备和介质 | |
| CN116668039A (zh) | 基于人工智能的计算机远程登录识别***及方法 | |
| CN104486353B (zh) | 一种基于流量的安全事件检测方法及装置 | |
| CN109887253B (zh) | 石油化工装置报警的关联分析方法 | |
| Eshghi et al. | Introducing a method for combining supervised and semi-supervised methods in fraud detection | |
| CN111209562B (zh) | 一种基于潜伏行为分析的网络安全检测方法 | |
| CN112488843A (zh) | 基于社交网络的企业风险预警方法、装置、设备和介质 | |
| CN107194944A (zh) | 林火图像分割方法及装置 | |
| Suhaimi et al. | Network intrusion detection system using immune-genetic algorithm (IGA) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310000 No. 188 Lianhui Street, Xixing Street, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Applicant before: DBAPPSECURITY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |