CN115622720A - 一种网络异常检测方法、装置及检测设备 - Google Patents

一种网络异常检测方法、装置及检测设备 Download PDF

Info

Publication number
CN115622720A
CN115622720A CN202110789429.3A CN202110789429A CN115622720A CN 115622720 A CN115622720 A CN 115622720A CN 202110789429 A CN202110789429 A CN 202110789429A CN 115622720 A CN115622720 A CN 115622720A
Authority
CN
China
Prior art keywords
network
abnormal
traffic data
characteristic parameters
anomaly detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110789429.3A
Other languages
English (en)
Other versions
CN115622720B (zh
Inventor
秦希
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile IoT Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile IoT Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile IoT Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202110789429.3A priority Critical patent/CN115622720B/zh
Priority claimed from CN202110789429.3A external-priority patent/CN115622720B/zh
Publication of CN115622720A publication Critical patent/CN115622720A/zh
Application granted granted Critical
Publication of CN115622720B publication Critical patent/CN115622720B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种网络异常检测方法、装置及检测设备,属于无线通信技术领域,其中,所述网络异常检测方法包括:对接入层的网络流量数据进行预处理,获取所述网络流量数据的特征参数;在所述接入层采用网络异常检测模型对所述特征参数进行检测,得到检测结果,所述检测结果为异常或正常;对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型。本发明实施例通过在接入层提取网络流量数据进行预处理,并采用网络异常检测模型自动识别异常,能够快速、准确地识别网络异常类型,检测效率与实时性得到有效提升。

Description

一种网络异常检测方法、装置及检测设备
技术领域
本发明涉及网络异常检测技术领域,尤其涉及一种网络异常检测方法、装置及检测设备。
背景技术
近年来,随着网络技术的发展,计算机网络己经成为人类社会最重要的基础设施之一,正在对人们的经济活动与社会活动产生广泛而深远的影响,逐渐成为人们日常生活不可或缺的一部分。但是,网络规模的日益增大使网络中出现故障的可能性大大增加,造成了越来越严重的安全问题和经济损失。因此对于网络中发生的异常进行准确、快速的检测,有着重要的现实意义。
发明内容
有鉴于此,本发明提供一种网络异常检测方法、装置及检测设备,用于解决目前网络中发生的异常无法及时、准确检测的问题。
为解决上述技术问题,第一方面,本发明提供一种网络异常检测方法,该方法包括:
对接入层的网络流量数据进行预处理,获取所述网络流量数据的特征参数;
在所述接入层采用网络异常检测模型对所述特征参数进行检测,得到检测结果,所述检测结果为异常或正常;
对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型。
可选的,所述网络异常检测模型基于K-means聚类分析算法构建。
可选的,所述采用网络异常检测模型对所述特征参数进行检测,得到检测结果之后,还包括:
在边缘层采用所述检测结果为正常的特征参数对所述网络异常检测模型进行更新,并将更新后的网络异常检测模型下发至所述接入层。
可选的,所述特征参数包括以下至少一项:源IP地址的信息熵、目的IP地址的信息熵、目的端口的信息熵、网络流持续时间的信息熵、数据包大小的信息熵以及syn包与ack包的数量比。
可选的,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型包括以下至少一项:
若所述源IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为分布式拒绝服务攻击;
若所述目的端口的信息熵增大,确定所述网络流量数据的网络异常类型为端口扫描;
若所述目的IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为蠕虫病毒。
可选的,所述网络异常检测模型基于K-means聚类分析算法构建,所述网络异常检测模型包括至少一个类簇,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型之前,还包括:
计算所述网络异常检测模型中每一类簇的目标参数,所述目标参数等于所述类簇中所有已归类特征参数的平均值加上三倍的所述类簇中所有已归类特征参数的标准差;
若所述检测结果为异常的特征参数大于对应类簇的目标参数,则确定所述检测结果为异常的特征参数增大。
可选的,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型之后,还包括:
对所述检测结果为异常的特征参数对应的网络流量数据进行下钻分析,得到下钻分析结果;
根据所述下钻分析结果,对确定的网络流量数据的网络异常类型进行验证,并获取异常的网络流量数据的异常信息。
第二方面,本发明还提供一种网络异常检测装置,该装置包括:
预处理模块,用于对接入层的网络流量数据进行预处理,获取所述网络流量数据的特征参数;
检测模块,用于在所述接入层采用网络异常检测模型对所述特征参数进行检测,得到检测结果,所述检测结果为异常或正常;
分析模块,用于对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型。
可选的,所述网络异常检测模型基于K-means聚类分析算法构建。
可选的,所述装置还包括:
更新模块,用于在边缘层采用所述检测结果为正常的特征参数对所述网络异常检测模型进行更新,并将更新后的网络异常检测模型下发至所述接入层。
可选的,所述特征参数包括以下至少一项:源IP地址的信息熵、目的IP地址的信息熵、目的端口的信息熵、网络流持续时间的信息熵、数据包大小的信息熵以及syn包与ack包的数量比。
可选的,所述分析模块包括以下至少一项:
第一分析单元,用于若所述源IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为分布式拒绝服务攻击;
第二分析单元,用于若所述目的端口的信息熵增大,确定所述网络流量数据的网络异常类型为端口扫描;
第三分析单元,用于若所述目的IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为蠕虫病毒。
可选的,所述网络异常检测模型基于K-means聚类分析算法构建,所述网络异常检测模型包括至少一个类簇,所述装置还包括:
计算模块,用于计算所述网络异常检测模型中每一类簇的目标参数,所述目标参数等于所述类簇中所有已归类特征参数的平均值加上三倍的所述类簇中所有已归类特征参数的标准差;
确定模块,用于若所述检测结果为异常的特征参数大于对应类簇的目标参数,则确定所述检测结果为异常的特征参数增大。
可选的,所述装置还包括:
下钻分析模块,用于对所述检测结果为异常的特征参数对应的网络流量数据进行下钻分析,得到下钻分析结果;
验证模块,用于根据所述下钻分析结果,对确定的网络流量数据的网络异常类型进行验证,并获取异常的网络流量数据的异常信息。
第三方面,本发明还提供一种检测设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述计算机程序时实现上述任一种网络异常检测方法。
第四方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任一种网络异常检测方法中的步骤。
本发明的上述技术方案的有益效果如下:
本发明实施例中,通过在接入层提取网络流量数据进行预处理,并采用网络异常检测模型自动识别异常,能够快速、准确地识别网络异常类型,检测效率与实时性得到有效提升。
附图说明
图1本发明实施例一提供的一种网络异常检测方法的流程示意图;
图2为本发明实施例一提供的异常判别流程的示意图;
图3为本发明实施例一提供的一种下钻分析的流程示意图;
图4为本发明实施例二提供的一种网络异常检测装置的结构示意图;
图5为本发明实施例三提供的一种检测设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1为本发明实施例一提供的一种网络异常检测方法的流程示意图,该方法包括以下步骤:
步骤11:对接入层的网络流量数据进行预处理,获取所述网络流量数据的特征参数。
本步骤中,直接在接入层进行网络流量数据的采集,具体可以在网络的重要链路或节点上进行采集。针对采集到的原始网络流量数据,可以基于NetFlow五元组(源姿势、目标地址、源端口、目标端口、传输层协议)将其聚合为Flow格式的数据结构,针对不同网络异常类型,可以从聚合得到的Flow格式的数据中选择对应的特征字段,计算不同特征的信息熵,以进行检测分析。对网络流量数据进行预处理后,可以得到所述网络流量数据的特征参数,所述特征参数反映了对应网络流量数据的不同特性。
其中,所谓接入层,即网络中直接面向用户连接或访问的部分。接入层利用光纤、双绞线、同轴电缆、无线接入技术等传输介质,实现与用户连接,并进行业务和带宽的分配,允许终端用户连接到网络。
步骤12:在所述接入层采用网络异常检测模型对所述特征参数进行检测,得到检测结果,所述检测结果为异常或正常。
在得到所述网络流量数据的特征参数之后,直接在接入层采用网络异常检测模型对所述特征参数进行检测,得到检测结果,所述检测结果分为两类,分别为异常或正常,若所述特征参数的检测结果为异常,即表明所述特征参数对应的网络流量数据异常,而若所述特征参数的检测结果为正常,即表明所述特征参数对应的网络流量数据正常。通过直接在接入层进行异常检测,也即直接在数据采集侧进行异常检测,相对于采用云计算架构在云平台检测方案,能够大大提升检测效率与实时性。
其中,所述网络异常检测模型可以预先建立并训练好,使其模型参数满足相应要求,能够对特征参数进行准确的检测。可选的,所述网络异常检测模型可以在边缘层构建,所述边缘层即采用移动边缘计算(Mobile Edge Computing,MEC)架构,在所述边缘层建立所述网络异常检测模型后下发至接入层的各数据采集点。
步骤13:对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型
在利用所述网络异常检测模型检测出异常的特征参数之后,此时只能判别出所述网络流量数据是异常还是正常,但却无法判断出异常情况下的具体网络异常类型。而由于不同的网络异常类型所引起的特征参数的变化情况不同,因此,可以对异常的特征参数进行进一步分析,以确定异常的网络流量数据的网络异常类型,从而得到更准确的异常信息,方便告知用户或采取相应的应对措施。
由此,本发明实施例中,通过在接入层提取网络流量数据进行预处理,并采用网络异常检测模型自动识别异常,能够快速、准确地识别网络异常类型,检测效率与实时性得到有效提升。
下面举例说明上述网络异常检测方法。
本发明的一些实施例中,所述特征参数包括以下至少一项:源IP地址的信息熵H(src_ip)、目的IP地址的信息熵H(dst_ip)、目的端口的信息熵H(dst_port)、网络流持续时间的信息熵H(duration)、数据包大小的信息熵H(pktsize)以及syn包与ack包的数量比n_syn/n_ack。
其中,H函数表示信息熵函数;所述网络流,即NetWork Flow;所述syn,即Synchronize Sequence Numbers,同步序列编号;所述ack,即Acknowledge character,确认字符。syn包与ack包的数量比可以描述网络或者链路中会话的半连接状态,大量的虚假源IP造成了大量的半连接会话,通过分析TCP协议(Transmission Control Protocol,传输控制协议)的三次握手机制,可以知道大量的半连接状态会导致TCP FLAG字段中syn包所占的比例增加,而数据传输过程所需要的ack包所占的比例减小。
可以知道,当所述特征参数包括源IP地址的信息熵H(src_ip)、目的IP地址的信息熵H(dst_ip)、目的端口的信息熵H(dst_port)、网络流持续时间的信息熵H(duration)、数据包大小的信息熵H(pktsize)以及syn包与ack包的数量比n_syn/n_ack中的项数越多,则后续网络异常检测模型对所述特征参数的异常检测结果也就越准确。示例性的,当发生异常时,网络流持续时间的信息熵H(duration)、数据包大小的信息熵H(pktsize)以及syn包与ack包的数量比n_syn/n_ack这三个特征参数的表现不同于正常流量,因此可以作为判别网络流量数据是否异常的依据;其中,当发生集中异常时,攻击包的持续时间普遍很短,H(duration)减小,当发生集中异常时,攻击包的大小普遍很小,H(pktsize)减小,当发生集中异常时,n_syn/n_ack增大(只针对DDoS)。
本发明实施例中,上述特征参数中,各信息熵可以采用以下公式进行计算:
Figure BDA0003160508120000071
其中,x表示特征,所述特征为源IP地址、目的IP地址、目的端口、网络流持续时间、数据包大小等,S是数据包的总数量,N为特征x出现过不同取值的数量,ni为特征x为某一个取值时出现的数量。
其中一种可选的具体实施方式中,所述网络异常检测模型基于K-means聚类分析算法构建;所谓K-means聚类分析算法,即k均值聚类算法(k-means clusteringalgorithm),是一种迭代求解的聚类分析算法。
本发明实施例中,可以在边缘层的MEC平台上基于聚类分析算法建立和优化网络异常检测模型,其中,用于训练所述网络异常检测模型的训练集可以采用接入层预处理后得到的特征参数,此时,原始的网络流量数据经预处理后,需实时上传到MEC平台,当然,所述训练集也可以采用诸如开源数据集等。
下面以采用接入层预处理后得到的特征参数作为训练集建立所述网络异常检测模型为例进行介绍。
假定训练集经过K-means聚类分析算法聚类后被分为k个簇,对于每个簇,记录如下参数,以用于异常检测判断:
(1)簇中心C:
Figure BDA0003160508120000072
(2)簇半径r:r为簇中心到该簇样本的最大距离;
(3)特征参数的平均值和标准差。
通过上述K-means聚类分析算法,对网络正常时的数据进行聚类划分,即可得到网络正常流量的网络异常检测模型(聚类模型)。而当网络的异常流量到达时,网络流量数据会发生一定变化,对于上述得到的网络正常流量的网络异常检测模型,任何不属于上述任意类簇的样本都将被认为异常,由此,得到的网络异常检测模型可以识别出网络流量数据是正常还是异常。
请参考图2,为本发明实施例一提供的异常判别流程的示意图。如图2所示,本发明的一些实施例中,在所述接入层采用网络异常检测模型对所述特征参数进行检测时,具体可以包括以下判别步骤:
步骤21:对于单位时间内的网络流量数据,通过前述预处理步骤获得其特征参数,构成待检测的特征表示样本X;
步骤22:计算样本X与每个簇类中心Ci的距离di,选择最小的距离dt=min{di},将该样本X归于该类;
步骤23:比较di与该簇的半径rt,若di>rt,则所述特征参数的检测结果为异常,即对应的网络流量数据为异常流量,后续进行进一步网络异常类型判别;若di≤rt,则所述特征参数的检测结果为正常,即对应的网络流量数据为正常流量,结束本次检测,同时上报特征参数和相应网络流量数据到MEC平台,当新的网络正常数据到达一定数量时,可以利用新的特征参数更新所述网络异常检测模型。
本发明的一些实施例中,所述采用网络异常检测模型对所述特征参数进行检测,得到检测结果之后,还包括:
在边缘层采用所述检测结果为正常的特征参数对所述网络异常检测模型进行更新,并将更新后的网络异常检测模型下发至所述接入层。
也就是说,若采用所述网络异常检测模型进行检测后得到的检测结果为正常,则可以将正常的特征参数上传至边缘层的MEC平台,MEC平台利用接收到的特征参数对所述网络异常检测模型进行更新,之后再将更新后的网络异常检测模型下发至所述接入层的各个节点,从而不断优化所述网络异常检测模型,提高其检测的准确性。其中,MEC平台利用接收到的特征参数对所述网络异常检测模型进行更新时,可以待接收到的特征参数达到一定数量之后再进行更新。
本发明的一些实施例中,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型包括以下至少一项:
若所述源IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为分布式拒绝服务攻击;
若所述目的端口的信息熵增大,确定所述网络流量数据的网络异常类型为端口扫描;
若所述目的IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为蠕虫病毒。
请参考下表1,表1为网络异常类型的主要表现特点。
Figure BDA0003160508120000091
由上表1内容可知,不同网络异常类型的主要表现特点不同,具体表现在目的IP地址、源IP地址、目的端口等特征的不同。
请参考下表2,表2为网络异常类型的判别原理。
DDoS 端口扫描 蠕虫病毒
H(src_ip)
H(dst_ip)
H(dst_port)
由上表2内容可知,仅有DDoS(Distributed denial of service attack,分布式拒绝服务攻击)使得源IP地址的信息熵H(src_ip)增大,仅有端口扫描使得目的端口的信息熵H(dst_port)增大,仅有蠕虫病毒使得目的IP地址的信息熵H(dst_ip)增大。
因此,在对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型时:若所述源IP地址的信息熵增大,则可以确定所述网络流量数据的网络异常类型为分布式拒绝服务攻击;若所述目的端口的信息熵增大,则可以确定所述网络流量数据的网络异常类型为端口扫描;若所述目的IP地址的信息熵增大,则可以确定所述网络流量数据的网络异常类型为蠕虫病毒。由此,本发明实施例通过对异常的特征参数进行进一步的分析,可以具体获知网络异常的具体类型,方便告知用户或采取相应应对措施。
本发明的一些实施例中,可选的,所述网络异常检测模型基于K-means聚类分析算法构建,所述网络异常检测模型包括至少一个类簇,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型之前,还包括:
计算所述网络异常检测模型中每一类簇的目标参数,所述目标参数等于所述类簇中所有已归类特征参数的平均值加上三倍的所述类簇中所有已归类特征参数的标准差;
若所述检测结果为异常的特征参数大于对应类簇的目标参数,则确定所述检测结果为异常的特征参数增大。
也就是说,前述所说的所述源IP地址的信息熵增大、所述目的端口的信息熵增大、所述目的IP地址的信息熵增大等,需要设定一个比较的基准,以方便判断上述异常的特征参数是增大还是减小。具体的,由于所述网络异常检测模型基于K-means聚类分析算法构建,因此,所述网络异常检测模型包括至少一个类簇,一个类簇对应于一类特征参数,通过计算所述网络异常检测模型中每一类簇的目标参数,将所述目标参数设置为比较的基准,即可确定出异常的特征参数是增大还是减小。其中,所述目标参数等于所述类簇中所有已归类特征参数的平均值加上三倍的所述类簇中所有已归类特征参数的标准差,以源IP地址的信息熵为例,源IP地址的信息熵对应的类簇的目标参数即等于源IP地址的信息熵对应的类簇中所有已归类特征参数的平均值加上三倍的源IP地址的信息熵对应的类簇中所有已归类特征参数的标准差。通过上述的判别方法,可以准确获知异常的特征参数是增大还是减小,从而为后续确定异常的特征参数所对应的网络流量数据的网络异常类型提供判断依据,有助于提高网络异常配型判断的准确度。
本发明的另一些实施例中,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型之后,还包括:
对所述检测结果为异常的特征参数对应的网络流量数据进行下钻分析,得到下钻分析结果;
根据所述下钻分析结果,对确定的网络流量数据的网络异常类型进行验证,并获取异常的网络流量数据的异常信息。
也就是说,在确定了异常的特征参数对应的网络流量数据的网络异常类型之后,还可以对异常的网络流量数据进行下钻分析(drill-down analysis),以获取下钻分析结果,从而利用下钻分析结果验证前述步骤中确定的网络异常类型是否正确,还可以进一步获取到异常的网络流量数据的具体异常信息,有助于对异常的网络流量数据的分析处理。
其中,所谓下钻分析,即数据仓库中的一种分析操作,沿着特定属性维度的层次下降,获取更详细的数据。
可选的,进行下钻分析的过程可以在云平台上进行。例如,边缘层的MEC平台可以将得到的异常的特征参数以及异常的特征参数对应的网络流量数据上传至云平台,云平台即基于离线的网络流量数据进行下钻分析。
请参考图3,为本发明实施例一提供的一种下钻分析的流程示意图。如图3所示,示例性的,对所述检测结果为异常的特征参数对应的网络流量数据进行下钻分析时,可以针对某一个已经检测出异常的时间段所对应的网络流量数据进行下钻分析,具体可以包括以下内容:
(1)协议分析:统计该段时间内的单位时间内应用层和传输层协议分布情况,作为后续分析的佐证。例如分析TCP协议占据全部Session(会话)的95%,则后面会印证TCP网络异常,如Tcp Flood等。
(2)TopN用户分析:从用户的角度,列出TopN发送用户和TopN接收用户,从而可以帮助分析疑似攻击IP或被攻击IP;
(3)选择特定用户,对各特征分布进行统计,例如:选一个dst_IP,则分析其Top10通信源IP有哪些、Top10目的端口有哪些,数据包/传输包大小分布情况,半连接状态的数值、Flow(网络流)持续时间分布等等,若源IP分散,目的端口集中,数据包/传输包普遍很小,半连接状态数据较大,网络流持续时间较短,则认为网络异常类型很可能是DDoS攻击。
由此,根据上述下钻分析结果,既可以对前述步骤中确定的异常的网络流量数据的网络异常类型进行验证,校验所述网络异常检测模型是否检测正确,还可以获取异常的网络流量数据的具体异常信息,例如针对TOP1的目的IP,分析出不同源IP均匀分布,目的端口也集中,数据包大小较小等,那么就可以根据这些下钻分析结果判断这是个DDoS攻击,并且该目的IP、目的端口就是被攻击的地址。
本发明实施例中,通过在接入层提取网络流量数据进行预处理,并采用网络异常检测模型自动识别异常,能够快速、准确地识别网络异常类型,检测效率与实时性得到有效提升。
请参阅图4,图4是本发明实施例二提供的一种网络异常检测装置的结构示意图,该装置40包括:
预处理模块41,用于对接入层的网络流量数据进行预处理,获取所述网络流量数据的特征参数;
检测模块42,用于在所述接入层采用网络异常检测模型对所述特征参数进行检测,得到检测结果,所述检测结果为异常或正常;
分析模块43,用于对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型。
可选的,所述网络异常检测模型基于K-means聚类分析算法构建。
可选的,所述装置还包括:
更新模块,用于在边缘层采用所述检测结果为正常的特征参数对所述网络异常检测模型进行更新,并将更新后的网络异常检测模型下发至所述接入层。
可选的,所述特征参数包括以下至少一项:源IP地址的信息熵、目的IP地址的信息熵、目的端口的信息熵、网络流持续时间的信息熵、数据包大小的信息熵以及syn包与ack包的数量比。
可选的,所述分析模块包括以下至少一项:
第一分析单元,用于若所述源IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为分布式拒绝服务攻击;
第二分析单元,用于若所述目的端口的信息熵增大,确定所述网络流量数据的网络异常类型为端口扫描;
第三分析单元,用于若所述目的IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为蠕虫病毒。
可选的,所述网络异常检测模型基于K-means聚类分析算法构建,所述网络异常检测模型包括至少一个类簇,所述装置还包括:
计算模块,用于计算所述网络异常检测模型中每一类簇的目标参数,所述目标参数等于所述类簇中所有已归类特征参数的平均值加上三倍的所述类簇中所有已归类特征参数的标准差;
确定模块,用于若所述检测结果为异常的特征参数大于对应类簇的目标参数,则确定所述检测结果为异常的特征参数增大。
可选的,所述装置还包括:
下钻分析模块,用于对所述检测结果为异常的特征参数对应的网络流量数据进行下钻分析,得到下钻分析结果;
验证模块,用于根据所述下钻分析结果,对确定的网络流量数据的网络异常类型进行验证,并获取异常的网络流量数据的异常信息。
本发明实施例是与上述方法实施例一对应的产品实施例,故在此不再赘述,详细请参阅上述实施例一。
请参阅图5,图5是本发明实施例三提供的一种检测设备的结构示意图,该检测设备50包括处理器51、存储器52及存储在所述存储器52上并可在所述处理器51上运行的计算机程序;所述处理器51执行所述计算机程序时实现如下步骤:
对接入层的网络流量数据进行预处理,获取所述网络流量数据的特征参数;
在所述接入层采用网络异常检测模型对所述特征参数进行检测,得到检测结果,所述检测结果为异常或正常;
对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型。
本发明实施例中,可选的,所述网络异常检测模型基于K-means聚类分析算法构建。
本发明实施例中,可选的,所述处理器51执行所述计算机程序时还可实现如下步骤:所述采用网络异常检测模型对所述特征参数进行检测,得到检测结果之后,还包括:
在边缘层采用所述检测结果为正常的特征参数对所述网络异常检测模型进行更新,并将更新后的网络异常检测模型下发至所述接入层。
可选的,所述特征参数包括以下至少一项:源IP地址的信息熵、目的IP地址的信息熵、目的端口的信息熵、网络流持续时间的信息熵、数据包大小的信息熵以及syn包与ack包的数量比。
可选的,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型包括以下至少一项:
若所述源IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为分布式拒绝服务攻击;
若所述目的端口的信息熵增大,确定所述网络流量数据的网络异常类型为端口扫描;
若所述目的IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为蠕虫病毒。
可选的,所述网络异常检测模型基于K-means聚类分析算法构建,所述网络异常检测模型包括至少一个类簇,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型之前,还包括:
计算所述网络异常检测模型中每一类簇的目标参数,所述目标参数等于所述类簇中所有已归类特征参数的平均值加上三倍的所述类簇中所有已归类特征参数的标准差;
若所述检测结果为异常的特征参数大于对应类簇的目标参数,则确定所述检测结果为异常的特征参数增大。
可选的,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型之后,还包括:
对所述检测结果为异常的特征参数对应的网络流量数据进行下钻分析,得到下钻分析结果;
根据所述下钻分析结果,对确定的网络流量数据的网络异常类型进行验证,并获取异常的网络流量数据的异常信息。
本发明实施例的具体工作过程与上述方法实施例一中的一致,故在此不再赘述,详细请参阅上述实施例一中方法步骤的说明。
本发明实施例四提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例一中任一种网络异常检测方法中的步骤。详细请参阅以上对应实施例中方法步骤的说明。
上述计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种网络异常检测方法,其特征在于,包括:
对接入层的网络流量数据进行预处理,获取所述网络流量数据的特征参数;
在所述接入层采用网络异常检测模型对所述特征参数进行检测,得到检测结果,所述检测结果为异常或正常;
对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型。
2.根据权利要求1所述的方法,其特征在于,所述网络异常检测模型基于K-means聚类分析算法构建。
3.根据权利要求2所述的方法,其特征在于,所述采用网络异常检测模型对所述特征参数进行检测,得到检测结果之后,还包括:
在边缘层采用所述检测结果为正常的特征参数对所述网络异常检测模型进行更新,并将更新后的网络异常检测模型下发至所述接入层。
4.根据权利要求1所述的方法,其特征在于,所述特征参数包括以下至少一项:源IP地址的信息熵、目的IP地址的信息熵、目的端口的信息熵、网络流持续时间的信息熵、数据包大小的信息熵以及syn包与ack包的数量比。
5.根据权利要求4所述的方法,其特征在于,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型包括以下至少一项:
若所述源IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为分布式拒绝服务攻击;
若所述目的端口的信息熵增大,确定所述网络流量数据的网络异常类型为端口扫描;
若所述目的IP地址的信息熵增大,确定所述网络流量数据的网络异常类型为蠕虫病毒。
6.根据权利要求5所述的方法,其特征在于,所述网络异常检测模型基于K-means聚类分析算法构建,所述网络异常检测模型包括至少一个类簇,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型之前,还包括:
计算所述网络异常检测模型中每一类簇的目标参数,所述目标参数等于所述类簇中所有已归类特征参数的平均值加上三倍的所述类簇中所有已归类特征参数的标准差;
若所述检测结果为异常的特征参数大于对应类簇的目标参数,则确定所述检测结果为异常的特征参数增大。
7.根据权利要求5所述的方法,其特征在于,所述对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型之后,还包括:
对所述检测结果为异常的特征参数对应的网络流量数据进行下钻分析,得到下钻分析结果;
根据所述下钻分析结果,对确定的网络流量数据的网络异常类型进行验证,并获取异常的网络流量数据的异常信息。
8.一种网络异常检测装置,其特征在于,包括:
预处理模块,用于对接入层的网络流量数据进行预处理,获取所述网络流量数据的特征参数;
检测模块,用于在所述接入层采用网络异常检测模型对所述特征参数进行检测,得到检测结果,所述检测结果为异常或正常;
分析模块,用于对所述检测结果为异常的特征参数进行分析,确定所述网络流量数据的网络异常类型。
9.一种检测设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的网络异常检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7中任一项所述的网络异常检测方法中的步骤。
CN202110789429.3A 2021-07-13 一种网络异常检测方法、装置及检测设备 Active CN115622720B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110789429.3A CN115622720B (zh) 2021-07-13 一种网络异常检测方法、装置及检测设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110789429.3A CN115622720B (zh) 2021-07-13 一种网络异常检测方法、装置及检测设备

Publications (2)

Publication Number Publication Date
CN115622720A true CN115622720A (zh) 2023-01-17
CN115622720B CN115622720B (zh) 2024-07-16

Family

ID=

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118157998A (zh) * 2024-05-11 2024-06-07 国网江苏省电力有限公司信息通信分公司 电力网络流量异常检测方法、装置、设备及介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101795215A (zh) * 2010-01-28 2010-08-04 哈尔滨工程大学 网络流量异常检测方法及检测装置
CN104202336A (zh) * 2014-09-22 2014-12-10 浪潮电子信息产业股份有限公司 一种基于信息熵的DDoS攻击检测方法
CN104660464A (zh) * 2015-01-22 2015-05-27 贵州电网公司信息通信分公司 一种基于非广延熵的网络异常检测方法
CN105553998A (zh) * 2015-12-23 2016-05-04 中国电子科技集团公司第三十研究所 一种网络攻击异常检测方法
US20180167404A1 (en) * 2016-12-08 2018-06-14 Cisco Technology, Inc. Filtering onion routing traffic from malicious domain generation algorithm (dga)-based traffic classification
WO2019184131A1 (zh) * 2018-03-29 2019-10-03 清华大学 综合熵方法和密度聚类方法的窃电检测方法及装置
CN111339297A (zh) * 2020-02-21 2020-06-26 广州天懋信息***股份有限公司 网络资产异常检测方法、***、介质和设备
CN112398779A (zh) * 2019-08-12 2021-02-23 中国科学院国家空间科学中心 一种网络流量数据分析方法及***

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101795215A (zh) * 2010-01-28 2010-08-04 哈尔滨工程大学 网络流量异常检测方法及检测装置
CN104202336A (zh) * 2014-09-22 2014-12-10 浪潮电子信息产业股份有限公司 一种基于信息熵的DDoS攻击检测方法
CN104660464A (zh) * 2015-01-22 2015-05-27 贵州电网公司信息通信分公司 一种基于非广延熵的网络异常检测方法
CN105553998A (zh) * 2015-12-23 2016-05-04 中国电子科技集团公司第三十研究所 一种网络攻击异常检测方法
US20180167404A1 (en) * 2016-12-08 2018-06-14 Cisco Technology, Inc. Filtering onion routing traffic from malicious domain generation algorithm (dga)-based traffic classification
WO2019184131A1 (zh) * 2018-03-29 2019-10-03 清华大学 综合熵方法和密度聚类方法的窃电检测方法及装置
CN112398779A (zh) * 2019-08-12 2021-02-23 中国科学院国家空间科学中心 一种网络流量数据分析方法及***
CN111339297A (zh) * 2020-02-21 2020-06-26 广州天懋信息***股份有限公司 网络资产异常检测方法、***、介质和设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
RODRIGO SIQUEIRA MARTINS: ""Automatic Detection of Computer Network Traffic Anomalies based on Eccentricity Analysis"", 《2018 IEEE INTERNATIONAL CONFERENCE ON FUZZY SYSTEMS (FUZZ-IEEE)》, 14 October 2018 (2018-10-14) *
庄芳仪: ""基于信息熵的异常流量分布式检测方法的研究"", 24 August 2011 (2011-08-24) *
董刚、余伟、玄光哲: ""高级持续性威胁中攻击特征的分析与检测"", 《吉林大学学报(理学版)》, vol. 57, no. 02, 26 March 2019 (2019-03-26), pages 339 - 344 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118157998A (zh) * 2024-05-11 2024-06-07 国网江苏省电力有限公司信息通信分公司 电力网络流量异常检测方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
US9386028B2 (en) System and method for malware detection using multidimensional feature clustering
US9769190B2 (en) Methods and apparatus to identify malicious activity in a network
US11316878B2 (en) System and method for malware detection
CN108667856B (zh) 一种网络异常检测方法、装置、设备及存储介质
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN108965347B (zh) 一种分布式拒绝服务攻击检测方法、装置及服务器
CN109450721B (zh) 一种基于深度神经网络的网络异常行为识别方法
CN107579986B (zh) 一种复杂网络中网络安全检测的方法
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
CN111835681B (zh) 一种大规模流量异常主机检测方法和装置
JP2018148350A (ja) 閾値決定装置、閾値決定方法及びプログラム
Amoli et al. A real time unsupervised NIDS for detecting unknown and encrypted network attacks in high speed network
CN110602109A (zh) 一种基于多特征熵的应用层DDoS攻击检测与防御方法
Patcha et al. Network anomaly detection with incomplete audit data
CN112291213A (zh) 一种基于智能终端的异常流量分析方法及装置
Mohan et al. Complex event processing based hybrid intrusion detection system
CN107231377B (zh) 基于突变平衡态理论的BGP-LDoS攻击检测方法
CN110912933B (zh) 一种基于被动测量的设备识别方法
CN115622720B (zh) 一种网络异常检测方法、装置及检测设备
CN115622720A (zh) 一种网络异常检测方法、装置及检测设备
Sheng et al. How to fingerprint attack traffic against industrial control system network
CN113055333B (zh) 可自适应动态调整密度网格的网络流量聚类方法和装置
CN107566187B (zh) 一种sla违例监测方法、装置和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant