CN110138745B - 基于数据流序列的异常主机检测方法、装置、设备及介质 - Google Patents
基于数据流序列的异常主机检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN110138745B CN110138745B CN201910326907.XA CN201910326907A CN110138745B CN 110138745 B CN110138745 B CN 110138745B CN 201910326907 A CN201910326907 A CN 201910326907A CN 110138745 B CN110138745 B CN 110138745B
- Authority
- CN
- China
- Prior art keywords
- host
- feature vector
- data
- sequence
- vector set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 93
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 29
- 239000013598 vector Substances 0.000 claims abstract description 90
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000012549 training Methods 0.000 claims abstract description 19
- 238000005215 recombination Methods 0.000 claims abstract description 8
- 230000006798 recombination Effects 0.000 claims abstract description 8
- 238000003066 decision tree Methods 0.000 claims description 30
- 238000007637 random forest analysis Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 16
- 238000005070 sampling Methods 0.000 claims description 12
- 238000010276 construction Methods 0.000 claims description 6
- 238000012937 correction Methods 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012512 characterization method Methods 0.000 claims 1
- 230000006399 behavior Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000011156 evaluation Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例提供一种基于数据流序列的异常主机检测方法、装置、设备及介质,方法包括:针对每台所述主机采集多个时间片的各类数据流量,进行流重组,建立数据流序列;提取各所述数据流序列的自有特征以及各所述数据流序列之间的关联特征;形成每台所述主机的特征向量集;将每台所述主机的所述特征向量集作为正样本,将其他N‑1台所述主机的特征向量集作为负样本集合,进行训练,形成每台所述主机的检测模型;通过所述检测模型进行检测,对于差异性较大的特征向量集,报警为异常特征向量集;对于未报警的特征向量,进行再次训练与修正,形成最终检测模型,采用所述最终检测模型对异常主机进行检测。
Description
技术领域
本公开涉及流量数据检测技术领域,具体为一种基于数据流序列的异常主机检测方法、装置、电子设备及存储介质。
背景技术
网络通信是当前几乎所有企业和个人都会涉及的信息应用。随着企业以及个人用户对于信息安全的重视程度越来越高,当前网络通信中加密技术的使用场景越来越多。即通过加密方法让通信内容无法被网络上除通信双方之外的其他用户识别。这就造成了正常加密流量与恶意加密流量无法区分的问题。为网络安全检测带来了很大的挑战。
现有方案除了有效解密加密流量之外,当前对于加密恶意流量的检测主要采用机器学习等人工智能的方法。目前所采用的方法主要是检测一条数据流是否为恶意流量,主要的方法可以分为两类:
(1)有监督的学习方法:利用已知的恶意流量进行检测模型训练,然后将该模型用于检测;
(2)无监督的学习方法:定义一组聚类规则,对流量进行聚类分析,然后筛选出其中的恶意流量簇
现有方案存在的问题
(1)有监督模型训练依赖大量的黑样本,样本数量不足很可能导致训练得到的检测模型不准确;
(2)无监督聚类分析无法确切区分哪些流量为恶意流量,仅能通过不同簇之间的数量比例等进行推测,准确率较低;
(3)对于单个数据流作为分析对象,对于一些恶意行为则丢失了数据流之间的关联关系,从而降低了检测的准确率;
(4)容易被攻击者根据特征集合绕过,即一旦攻击者发现检测所用的特征集,则可以通过一定技术手段规避这些特征。
发明内容
本公开的目的在于提供一种基于数据流序列的异常主机检测方法、装置、电子设备及存储介质,能够快速地检测流量信息中的恶意加密流量。
第一方面,本公开提供一种基于数据流序列的异常主机检测方法,包括如下步骤:
步骤S101:选取N台抽样主机,针对每台所述主机采集多个时间片的各类数据流量,进行流重组,建立数据流序列,其中N为大于3的自然数;
步骤S102:提取各所述数据流序列的自有特征以及各所述数据流序列之间的关联特征;将所述自有特征和关联特征向量化处理,形成每台所述主机的特征向量集;
步骤S103:将每台所述主机的所述特征向量集作为正样本,将其他N-1台所述主机的特征向量集作为负样本集合,进行训练,形成每台所述主机的检测模型;
步骤S104:通过所述检测模型进行检测,对于差异性较大的特征向量集,报警为异常特征向量集;
步骤S105:对于未报警的特征向量,加入到对应主机的特征向量集中,在一定时间内对所述检测模型利用新的特征向量集进行再次训练与修正,形成最终检测模型,采用所述最终检测模型对异常主机进行检测。
可选的,所述自有特征包括:
流目的端口、流目的IP、流目的域名、DNS查询域名、流长度或数字证书。
可选的,所述关联特征包括:
访问端口序列、访问IP序列、访问域名序列、IP访问广度、被访问IP广度、访问域名集合、数据上下行数量、上下行流数量、数字证书集合、开放服务端口集合或连接发起频率。
可选的,所述检测模型为随机森林模型,具体训练方法包括:
步骤S1031:定义检测主机A的特征向量集合为X,其他主机的特征向量集合为Y,在选定决策树数量m后,随机从特征向量集合X和特征向量集合Y抽样组合,构造一个数据集T:
T={(x1,y1),(x2,y2),(x3,y3)…(xm,ym)};
步骤S1032:基于所述数据集T,建立对应的决策树:
其中,H(T)表示任一颗决策树的投票结果,Pi表示任一数据向量通过(xi,yi)检测的概率;
步骤S1033:由多个所述决策树组合投票构建所述随机森林模型的最终结果:
其中m是决策树的数量,wi是树的权重,zi是树的投票结果,RF是随机森林的投票结果。
第二方面,本公开提供一种基于数据流序列的异常主机检测装置,包括:
序列构建单元:用于选取N台抽样主机,针对每台所述主机采集多个时间片的各类数据流量,进行流重组,建立数据流序列,其中N为大于3的自然数;
向量提取单元:提取各所述数据流序列的自有特征以及各所述数据流序列之间的关联特征;将所述自有特征和关联特征向量化处理,形成每台所述主机的特征向量集;
模型构建单元:将每台所述主机的所述特征向量集作为正样本,将其他N-1台所述主机的特征向量集作为负样本集合,进行训练,形成每台所述主机的检测模型;
模型检测单元:通过所述检测模型进行检测,对于差异性较大的特征向量集,报警为异常特征向量集;
结果输出单元:对于未报警的特征向量,加入到对应主机的特征向量集中,在一定时间内对所述检测模型利用新的特征向量集进行再次训练与修正,形成最终检测模型,采用所述最终检测模型对异常主机进行检测。
可选的,所述自有特征包括:
流目的端口、流目的IP、流目的域名、DNS查询域名、流长度或数字证书。
可选的,所述关联特征包括:
访问端口序列、访问IP序列、访问域名序列、IP访问广度、被访问IP广度、访问域名集合、数据上下行数量、上下行流数量、数字证书集合、开放服务端口集合或连接发起频率。
可选的,所述检测模型为随机森林模型,具体包括:
定义单元:定义检测主机A的特征向量集合为X,其他主机的特征向量集合为Y,在选定决策树数量m后,随机从特征向量集合X和特征向量集合Y抽样组合,构造一个数据集T:
T={(x1,y1),(x2,y2),(x3,y3)…(xm,ym)};
建立单元:基于所述数据集T,建立对应的决策树:
其中,H(T)表示任一颗决策树的投票结果,Pi表示任一数据向量通过(xi,yi)检测的概率;
结果单元:由多个所述决策树组合投票构建所述随机森林模型的最终结果:
其中m是决策树的数量,wi是树的权重,zi是树的投票结果,RF是随机森林的投票结果。
第三方面,本公开提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机程序指令,所述处理器执行所述计算机程序指令时,实现第一方面任一所述的方法步骤。
第四方面,本公开提供一种计算机可读存储介质,存储有计算机程序指令,所述计算机程序指令在被处理器调用和执行时实现第一方面任一所述的方法步骤。
与现有技术相比,本公开实施例的有益效果是:
本公开利用基于行为序列的检测模型,可以更加全面的利用主机网络行为信息发现其中的异常行为,而且可以利用后期发现的正常样本进行检测模型的修正,从而降低检测模型的衰减速度,以适应不同检测场景,提高模型的稳定性。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的基于数据流序列的异常主机检测方法流程示意图;
图2为本公开实施例提供的基于数据流序列的异常主机检测装置示意图;
图3为本公开实施例提供的训练模型结构示意图;
图4为本公开实施例提供的电子设备的结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
在本公开实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种,但是不排除包含至少一种的情况。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应当理解,尽管在本公开实施例中可能采用术语第一、第二、第三等来描述技术名称,但这些技术名称不应限于这些术语。这些术语仅用来将技术名称区分开。例如,在不脱离本公开实施例范围的情况下,第一校验签名也可以被称为第二校验签名,类似地,第二校验签名也可以被称为第一校验签名。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者***中还存在另外的相同要素。
另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
本方案提出基于行为序列(数据流序列)的机器学习方法来检测受攻击的主机(包括客户端或服务器)。即首先基于当前网络中被检测主机的一般网络行为序列状态为每个主机进行正常状态画像,然后不断对比后期的行为序列特征与画像的差异性来判定该主机是否遭受攻击或者已经失陷。
它的优势在于:
(1)基于上下文多流行为特征集合,攻击很难绕过检测策略;
(2)不依赖专家知识提取特征,而是基于当前主机状态自动建立主机特征模型;
(3)能够随着被检测网络的特征进行实时学习更新,准确率的衰减周期更长。
实施例1
请参阅图1,第一方面,本公开提供一种基于数据流序列的异常主机检测方法,包括如下步骤:
步骤S101:选取N台抽样主机,针对每台所述主机采集多个时间片的各类数据流量,进行流重组,建立数据流序列,其中N为大于3的自然数。
以采集多个典型时间片段的流量,包括但不限于白天、夜间、工作日、节假日、业务高峰期等等,每个时间片段可根据被检测网络的主机一般行为周期进行定义,即一系列关联行为一般能够完成的时间,如10分钟。采集的各类数据进行流重组,形成数据流;对于无连接的UDP数据,也根据应答关系进行数据归并。
步骤S102:提取各所述数据流序列的自有特征以及各所述数据流序列之间的关联特征;将所述自有特征和关联特征向量化处理,形成每台所述主机的特征向量集。
所谓特征序列,即对一个时间片内一个主机的所有数据流进行特征提取,需要包括两类主要特征,一是数据流本身属性特征;二是数据流关联特征,具体如下表所示。
步骤S103:将每台所述主机的所述特征向量集作为正样本,将其他N-1台所述主机的特征向量集作为负样本集合,进行训练,形成每台所述主机的检测模型;
步骤S104:通过所述检测模型进行检测,对于差异性较大的特征向量集,报警为异常特征向量集;
所谓特征向量集,是将多个时间段采集形成的特征向量进行合并,并且进行归一化处理,以便于后期进行训练时使用特征数据。
步骤S105:对于未报警的特征向量,加入到对应主机的特征向量集中,在一定时间内对所述检测模型利用新的特征向量集进行再次训练与修正,形成最终检测模型,采用所述最终检测模型对异常主机进行检测。
可选的,所述检测模型为随机森林模型,具体训练方法包括:
步骤S1031:定义检测主机A的特征向量集合为X,其他主机的特征向量集合为Y,在选定决策树数量m后,随机从特征向量集合X和特征向量集合Y抽样组合,构造一个数据集T:
T={(x1,y1),(x2,y2),(x3,y3)…(xm,ym)};
步骤S1032:基于所述数据集T,建立对应的决策树:
其中,H(T)表示任一颗决策树的检测结果,Pi表示任一数据向量通过(xi,yi)检测的概率;
步骤S1033:由多个所述决策树组合投票构建所述随机森林模型的最终结果:
其中m是决策树的数量,wi是树的权重,zi是树的投票结果,RF是随机森林的投票结果。
利用上述方法,分别为每一个主机的模型进行训练,即假设有N个主机,利用N-1个主机的特征集作为负样本,本主机特征集作为正样本进行训练。在训练中,可以基于先验知识(如主机属性规划、网络规划等),将属性差异较大的主机放在一起进行对比训练,可加快训练速度。
本公开利用基于行为序列的检测模型,可以更加全面的利用主机网络行为信息发现其中的异常行为,而且可以利用后期发现的正常样本进行检测模型的修正,从而降低检测模型的衰减速度,以适应不同检测场景,提高模型的稳定性。
实施例2
如图2所示,第二方面,本公开提供一种基于数据流序列的异常主机检测装置,包括:
序列构建单元202:用于选取N台抽样主机,针对每台所述主机采集多个时间片的各类数据流量,进行流重组,建立数据流序列,其中N为大于3的自然数;
向量提取单元204:提取各所述数据流序列的自有特征以及各所述数据流序列之间的关联特征;将所述自有特征和关联特征向量化处理,形成每台所述主机的特征向量集;
模型构建单元206:将每台所述主机的所述特征向量集作为正样本,将其他N-1台所述主机的特征向量集作为负样本集合,进行训练,形成每台所述主机的检测模型;
模型检测单元208:通过所述检测模型进行检测,对于差异性较大的特征向量集,报警为异常特征向量集;
结果输出单元210:对于未报警的特征向量,加入到对应主机的特征向量集中,在一定时间内对所述检测模型利用新的特征向量集进行再次训练与修正,形成最终检测模型,采用所述最终检测模型对异常主机进行检测。
可选的,所述自有特征包括:
流目的端口、流目的IP、流目的域名、DNS查询域名、流长度或数字证书。
可选的,所述关联特征包括:
访问端口序列、访问IP序列、访问域名序列、IP访问广度、被访问IP广度、访问域名集合、数据上下行数量、上下行流数量、数字证书集合、开放服务端口集合或连接发起频率。
如图3所示,所述检测模型为随机森林模型,具体包括:
定义单元302:定义检测主机A的特征向量集合为X,其他主机的特征向量集合为Y,在选定决策树数量m后,随机从特征向量集合X和特征向量集合Y抽样组合,构造一个数据集T:
T={(x1,y1),(x2,y2),(x3,y3)…(xm,ym)};
建立单元304:基于所述数据集T,建立对应的决策树:
其中,H(T)表示任一颗决策树的检测结果,Pi表示任一数据向量通过(xi,yi)检测的概率;
结果单元306:由多个所述决策树组合投票构建所述随机森林模型的最终结果:
其中m是决策树的数量,wi是树的权重,zi是树的投票结果,RF是随机森林的投票结果。
本公开利用基于行为序列的检测模型,可以更加全面的利用主机网络行为信息发现其中的异常行为,而且可以利用后期发现的正常样本进行检测模型的修正,从而降低检测模型的衰减速度,以适应不同检测场景,提高模型的稳定性。
实施例3
本公开提供一种计算机可读存储介质,存储有计算机程序指令,所述计算机程序指令在被处理器调用和执行时实现第一方面任一所述的方法步骤。
本公开利用基于图的无监督学习模型,可以在没有先验知识和标注样本集的情况下直接进行加密流量检测,通过对图进行二分获得不同类型的族,将大族转化为小族,再分别通过流量的特征进行检验识别出恶意流量,方法简单易操作,能够高效的检测出加密的恶意流量。
实施例4
如图4所示,本公开提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机程序指令,所述处理器执行所述计算机程序指令时,实现第一方面任一所述的方法步骤。
下面参考图4,其示出了适于用来实现本公开实施例的电子设备400的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图4示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图4所示,电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储装置408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有电子设备400操作所需的各种程序和数据。处理装置401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
通常,以下装置可以连接至I/O接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从ROM 402被安装。在该计算机程序被处理装置401执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取至少两个网际协议地址;向节点评价设备发送包括所述至少两个网际协议地址的节点评价请求,其中,所述节点评价设备从所述至少两个网际协议地址中,选取网际协议地址并返回;接收所述节点评价设备返回的网际协议地址;其中,所获取的网际协议地址指示内容分发网络中的边缘节点。
或者,上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:接收包括至少两个网际协议地址的节点评价请求;从所述至少两个网际协议地址中,选取网际协议地址;返回选取出的网际协议地址;其中,接收到的网际协议地址指示内容分发网络中的边缘节点。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定,例如,第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。
Claims (8)
1.一种基于数据流序列的异常主机检测方法,其特征在于,包括如下步骤:
步骤S101:选取N台抽样主机,针对每台所述主机采集多个时间片的各类数据流量,进行流重组,建立数据流序列,其中N为大于3的自然数;
步骤S102:提取各所述数据流序列的自有特征以及各所述数据流序列之间的关联特征;将所述自有特征和关联特征向量化处理,形成每台所述主机的特征向量集;所述关联特征包括:访问端口序列、访问IP序列、访问域名序列、IP访问广度、被访问IP广度、访问域名集合、数据上下行数量、上下行流数量、数字证书集合、开放服务端口集合或连接发起频率;
步骤S103:将每台所述主机的所述特征向量集作为正样本,将其他N-1台所述主机的特征向量集作为负样本集合,进行训练,形成每台所述主机的检测模型;
步骤S104:通过所述检测模型进行检测,对于差异性较大的特征向量集,报警为异常特征向量集;
步骤S105:对于未报警的特征向量,加入到对应主机的特征向量集中,在一定时间内对所述检测模型利用新的特征向量集进行再次训练与修正,形成最终检测模型,采用所述最终检测模型对异常主机进行检测。
2.根据权利要求1所述的方法,其特征在于,所述自有特征包括:
流目的端口、流目的IP、流目的域名、DNS查询域名、流长度或数字证书。
3.根据权利要求2所述的方法,其特征在于,所述检测模型为随机森林模型,具体训练方法包括:
步骤S1031:定义检测主机A的特征向量集合为X,其他主机的特征向量集合为Y,在选定决策树数量m后,随机从特征向量集合X和特征向量集合Y抽样组合,构造一个数据集T:
T={(x1,y1),(x2,y2),(x3,y3)…(xm,ym)};
步骤S1032:基于所述数据集T,建立对应的决策树:
其中,H(T)表示任一颗决策树的投票结果,Pi表示任一数据向量通过(xi,yi)检测的概率;
步骤S1033:由多个所述决策树组合投票构建所述随机森林模型的最终结果:
其中m是决策树的数量,wi是树的权重,zi是树的投票结果,RF是随机森林的投票结果。
4.一种基于数据流序列的异常主机检测装置,其特征在于,包括:
序列构建单元:用于选取N台抽样主机,针对每台所述主机采集多个时间片的各类数据流量,进行流重组,建立数据流序列,其中N为大于3的自然数;
向量提取单元:提取各所述数据流序列的自有特征以及各所述数据流序列之间的关联特征;将所述自有特征和关联特征向量化处理,形成每台所述主机的特征向量集;所述关联特征包括:访问端口序列、访问IP序列、访问域名序列、IP访问广度、被访问IP广度、访问域名集合、数据上下行数量、上下行流数量、数字证书集合、开放服务端口集合或连接发起频率;
模型构建单元:将每台所述主机的所述特征向量集作为正样本,将其他N-1台所述主机的特征向量集作为负样本集合,进行训练,形成每台所述主机的检测模型;
模型检测单元:通过所述检测模型进行检测,对于差异性较大的特征向量集,报警为异常特征向量集;
结果输出单元:对于未报警的特征向量,加入到对应主机的特征向量集中,在一定时间内对所述检测模型利用新的特征向量集进行再次训练与修正,形成最终检测模型,采用所述最终检测模型对异常主机进行检测。
5.根据权利要求4所述的装置,其特征在于,所述自有特征包括:
流目的端口、流目的IP、流目的域名、DNS查询域名、流长度或数字证书。
6.根据权利要求5所述的装置,其特征在于,所述检测模型为随机森林模型,具体包括:
定义单元:定义检测主机A的特征向量集合为X,其他主机的特征向量集合为Y,在选定决策树数量m后,随机从特征向量集合X和特征向量集合Y抽样组合,构造一个数据集T:
T={(x1,y1),(x2,y2),(x3,y3)…(xm,ym)};
建立单元:基于所述数据集T,建立对应的决策树:
其中,H(T)表示任一颗决策树的投票结果,Pi表示任一数据向量通过(xi,yi)检测的概率;
结果单元:由多个所述决策树组合投票构建所述随机森林模型的最终结果:
其中m是决策树的数量,wi是树的权重,zi是树的投票结果,RF是随机森林的投票结果。
7.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机程序指令,所述处理器执行所述计算机程序指令时,实现权利要求1-3任一所述的方法步骤。
8.一种计算机可读存储介质,其特征在于,存储有计算机程序指令,所述计算机程序指令在被处理器调用和执行时实现权利要求1-3任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910326907.XA CN110138745B (zh) | 2019-04-23 | 2019-04-23 | 基于数据流序列的异常主机检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910326907.XA CN110138745B (zh) | 2019-04-23 | 2019-04-23 | 基于数据流序列的异常主机检测方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110138745A CN110138745A (zh) | 2019-08-16 |
| CN110138745B true CN110138745B (zh) | 2021-08-24 |
Family
ID=67570749
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910326907.XA Expired - Fee Related CN110138745B (zh) | 2019-04-23 | 2019-04-23 | 基于数据流序列的异常主机检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110138745B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830328B (zh) * | 2019-11-27 | 2021-08-03 | 厦门网宿有限公司 | 一种网络链路的异常检测方法及装置 |
| CN113746780B (zh) * | 2020-05-27 | 2023-06-20 | 极客信安(北京)科技有限公司 | 基于主机画像的异常主机检测方法、装置、介质和设备 |
| CN113839912B (zh) * | 2020-06-24 | 2023-08-22 | 极客信安(北京)科技有限公司 | 主被动结合进行异常主机分析的方法、装置、介质和设备 |
| CN114205095B (zh) * | 2020-08-27 | 2023-08-18 | 极客信安(北京)科技有限公司 | 一种加密恶意流量的检测方法和装置 |
| CN112671551B (zh) * | 2020-11-23 | 2022-11-18 | 中国船舶重工集团公司第七0九研究所 | 一种基于事件关联的网络流量预测方法及*** |
| CN112822167B (zh) * | 2020-12-31 | 2023-04-07 | 杭州中电安科现代科技有限公司 | 异常tls加密流量检测方法与*** |
| CN112905671A (zh) * | 2021-03-24 | 2021-06-04 | 北京必示科技有限公司 | 时间序列异常处理方法、装置、电子设备及存储介质 |
| CN113271292B (zh) * | 2021-04-07 | 2022-05-10 | 中国科学院信息工程研究所 | 一种基于词向量的恶意域名集群检测方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856370A (zh) * | 2014-02-25 | 2014-06-11 | 中国科学院计算技术研究所 | 一种应用流量识别方法及其*** |
| CN107153789A (zh) * | 2017-04-24 | 2017-09-12 | 西安电子科技大学 | 利用随机森林分类器实时检测安卓恶意软件的方法 |
| CN107992746A (zh) * | 2017-12-14 | 2018-05-04 | 华中师范大学 | 恶意行为挖掘方法及装置 |
| CN109379377A (zh) * | 2018-11-30 | 2019-02-22 | 极客信安(北京)科技有限公司 | 加密恶意流量检测方法、装置、电子设备及存储介质 |
| CN109495513A (zh) * | 2018-12-29 | 2019-03-19 | 极客信安(北京)科技有限公司 | 无监督的加密恶意流量检测方法、装置、设备及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994016B (zh) * | 2014-01-14 | 2020-10-23 | 马维尔亚洲私人有限公司 | 用于分组分类的方法和装置 |
-
2019
- 2019-04-23 CN CN201910326907.XA patent/CN110138745B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856370A (zh) * | 2014-02-25 | 2014-06-11 | 中国科学院计算技术研究所 | 一种应用流量识别方法及其*** |
| CN107153789A (zh) * | 2017-04-24 | 2017-09-12 | 西安电子科技大学 | 利用随机森林分类器实时检测安卓恶意软件的方法 |
| CN107992746A (zh) * | 2017-12-14 | 2018-05-04 | 华中师范大学 | 恶意行为挖掘方法及装置 |
| CN109379377A (zh) * | 2018-11-30 | 2019-02-22 | 极客信安(北京)科技有限公司 | 加密恶意流量检测方法、装置、电子设备及存储介质 |
| CN109495513A (zh) * | 2018-12-29 | 2019-03-19 | 极客信安(北京)科技有限公司 | 无监督的加密恶意流量检测方法、装置、设备及介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于行为相似性的网络用户识别***设计与实现;曾思源;《中国优秀硕士学位论文全文数据库》;20181015;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110138745A (zh) | 2019-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110138745B (zh) | 基于数据流序列的异常主机检测方法、装置、设备及介质 | |
| CN109379377B (zh) | 加密恶意流量检测方法、装置、电子设备及存储介质 | |
| CN109495513B (zh) | 无监督的加密恶意流量检测方法、装置、设备及介质 | |
| US20190065738A1 (en) | Detecting anomalous entities | |
| JP7120350B2 (ja) | セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム | |
| CN106982230B (zh) | 一种流量检测方法及*** | |
| US20180248879A1 (en) | Method and apparatus for setting access privilege, server and storage medium | |
| US9491186B2 (en) | Method and apparatus for providing hierarchical pattern recognition of communication network data | |
| CN113746780B (zh) | 基于主机画像的异常主机检测方法、装置、介质和设备 | |
| CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
| US11165779B2 (en) | Generating a custom blacklist for a listening device based on usage | |
| CN114726823A (zh) | 一种基于生成对抗网络的域名生成方法、装置和设备 | |
| US11158315B2 (en) | Secure speech recognition | |
| CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、***、设备及介质 | |
| CN115514558A (zh) | 一种入侵检测方法、装置、设备及介质 | |
| CN113452810B (zh) | 一种流量分类方法、装置、设备和介质 | |
| CN115470489A (zh) | 检测模型训练方法、检测方法、设备以及计算机可读介质 | |
| CN114840634A (zh) | 信息存储方法、装置、电子设备和计算机可读介质 | |
| CN111432080A (zh) | 话单数据处理方法、电子设备及计算机可读存储介质 | |
| CN114205095B (zh) | 一种加密恶意流量的检测方法和装置 | |
| CN116821898B (zh) | 容器环境的入侵检测方法、设备及存储介质 | |
| CN113572768B (zh) | 一种僵尸网络家族传播源数量变化异常的分析方法 | |
| US20230289227A1 (en) | Multi-Computer System for Forecasting Data Surges | |
| CN117424764B (zh) | ***资源访问请求信息处理方法、装置、电子设备和介质 | |
| US20210343039A1 (en) | Dynamic sampling for object recognition |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211208 Address after: 610000 No. 1, floor 1, No. 109, hongdoushu street, Jinjiang District, Chengdu, Sichuan Patentee after: Geek Xin'an (Chengdu) Technology Co.,Ltd. Address before: 100080 room 61306, 3 / F, Beijing Friendship Hotel, 1 Zhongguancun South Street, Haidian District, Beijing Patentee before: JIKE XIN'AN (BEIJING) TECHNOLOGY Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210824 |