CN117768165A - 网络异常检测方法、装置、计算机设备及存储介质 - Google Patents

网络异常检测方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN117768165A
CN117768165A CN202311702884.0A CN202311702884A CN117768165A CN 117768165 A CN117768165 A CN 117768165A CN 202311702884 A CN202311702884 A CN 202311702884A CN 117768165 A CN117768165 A CN 117768165A
Authority
CN
China
Prior art keywords
node
data
current node
determining
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311702884.0A
Other languages
English (en)
Inventor
陈崇雨
郑德高
董乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dark Matter Beijing Intelligent Technology Co ltd
Original Assignee
Dark Matter Beijing Intelligent Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dark Matter Beijing Intelligent Technology Co ltd filed Critical Dark Matter Beijing Intelligent Technology Co ltd
Priority to CN202311702884.0A priority Critical patent/CN117768165A/zh
Publication of CN117768165A publication Critical patent/CN117768165A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种网络异常检测方法、装置、计算机设备及存储介质,其中,该方法包括获取待检测网络中各节点在目标时段内的网络行为数据;根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,并根据第一异常信息,确定各节点作为源节点时的异常检测结果;根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,并根据第二异常信息,确定各节点作为目标节点时的异常检测结果。能够从网络中的联合特征出发进行考量,对各节点作为源节点以及目标节点时的不同网络行为数据进行分别检测与识别,从而能够分别确定各节点作为源节点以及目标节点时的异常信息,同时,对算力资源的要求更低。

Description

网络异常检测方法、装置、计算机设备及存储介质
技术领域
本申请涉及网络检测技术领域,具体而言,涉及一种网络异常检测方法、装置、计算机设备及存储介质。
背景技术
基于异常的入侵检测***(Anomaly-Based Intrusion Detection System,简称ABIDS)通过分析***或网络的正常运行模式,然后与实际观察到的行为进行比较,以检测任何不符合预期模式的行为。在实现上,基于异常的入侵检测***需要通过分析***日志、网络流量和其他相关数据来检测异常行为。因此,可以使用网络流量异常检测方法来实现基于异常的入侵检测***的功能。
现有技术中,可以使用深度学习方法对网络流量进行异常检测,例如:多层感知机、卷积神经网络(CNN)、循环神经网络(RNN)和自动编码器。
但是,深度学习方法需要使用大量的训练数据和计算资源来训练,并且对深度学习模型的性能有较高的要求,因此,需要提供较大的算力资源。
发明内容
本申请的目的在于,针对上述现有技术中的不足,提供一种网络异常检测方法、装置、计算机设备及存储介质,以解决现有技术中对网络流量进行异常检测需要较大的算力资源的问题。
为实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请一实施例提供了一种网络异常检测方法,所述方法包括:
获取待检测网络中各节点在目标时段内的网络行为数据,所述网络行为数据至少包括:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数;
根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,并根据所述第一异常信息,确定各节点作为源节点时的异常检测结果,其中,所述第一异常信息用于表征各节点作为源节点时在端口使用、协议选取、协议数据量以及交互次数维度上的异常信息;
根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,并根据所述第二异常信息,确定各节点作为目标节点时的异常检测结果,其中,所述第二异常信息用于表征各节点作为目标节点时在本地服务以及对内访问维度上的异常信息。
作为一种可能的实现方式,所述根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,包括:
根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息。
作为一种可能的实现方式,所述根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,包括:
获取所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,根据所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,计算所述当前节点在各时刻的数据量概率分布信息,并根据所述当前节点在各时刻的数据量概率分布信息,确定协议数据量异常特征;
获取所述当前节点在所述目标时段内各时刻所使用的端口,根据所述当前节点在所述目标时段内各时刻所使用的端口,计算所述当前节点在各时刻的端口联合二维概率分布信息,并根据所述当前节点在各时刻的端口联合二维概率分布信息,确定端口使用异常特征;
获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的协议概率分布信息,并根据所述当前节点在各时刻的协议概率分布信息,确定协议选择异常特征;
根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,计算所述当前节点在各时刻的对外请求概率分布信息,并根据所述当前节点在各时刻的对外请求概率分布信息,确定对外请求异常特征。
作为一种可能的实现方式,所述根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息,包括:
根据所述协议数据量异常特征,确定所述当前节点作为源节点时的协议异常指标;
根据所述端口使用异常特征,确定所述当前节点作为源节点时的端口异常指标;
根据所述协议选择异常特征,确定所述当前节点作为源节点时的协议选择异常指标;
根据对外请求异常特征,确定所述当前节点作为源节点时的对外请求异常指标;
将所述协议异常指标、所述端口异常指标、所述协议选择异常指标以及所述对外请求异常指标作为所述第一异常信息。
作为一种可能的实现方式,所述根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,包括:
根据当前节点的网络行为数据,确定所述当前节点作为目标节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
根据所述当前节点作为目标节点时的特征数据,确定所述当前节点作为目标节点时的第二异常信息。
作为一种可能的实现方式,所述根据当前节点的网络行为数据,确定所述当前节点作为目标节点时的特征数据,包括:
获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的本地服务概率分布信息,并根据所述当前节点在各时刻的本地服务概率分布信息,确定本地服务异常特征;
根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,计算所述当前节点在各时刻的对内访问概率分布信息,并根据所述当前节点在各时刻的对内访问概率分布信息,确定对内访问异常特征。
作为一种可能的实现方式,所述根据所述当前节点作为目标节点时的特征数据,确定所述当前节点作为目标节点时的第二异常信息,包括:
根据所述本地服务异常特征,确定所述当前节点作为目标节点时的本地服务异常指标;
根据所述对内访问异常特征,确定所述当前节点作为目标节点时的对内访问异常指标;
将所述本地服务异常指标以及对内访问异常指标作为所述第二异常信息。
第二方面,本申请另一实施例提供了一种网络异常检测装置,所述装置包括:
获取模块,用于获取待检测网络中各节点在目标时段内的网络行为数据,所述网络行为数据至少包括:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数;
第一确定模块,用于根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,并根据所述第一异常信息,确定各节点作为源节点时的异常检测结果,其中,所述第一异常信息用于表征各节点作为源节点时在端口使用、协议选取、协议数据量以及交互次数维度上的异常信息;
第二确定模块,用于根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,并根据所述第二异常信息,确定各节点作为目标节点时的异常检测结果,其中,所述第二异常信息用于表征各节点作为目标节点时在本地服务以及对内访问维度上的异常信息。
作为一种可能的实现方式,所述第一确定模块,具体用于:
根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息。
作为一种可能的实现方式,所述第一确定模块,具体用于:
获取所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,根据所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,计算所述当前节点在各时刻的数据量概率分布信息,并根据所述当前节点在各时刻的数据量概率分布信息,确定协议数据量异常特征;
获取所述当前节点在所述目标时段内各时刻所使用的端口,根据所述当前节点在所述目标时段内各时刻所使用的端口,计算所述当前节点在各时刻的端口联合二维概率分布信息,并根据所述当前节点在各时刻的端口联合二维概率分布信息,确定端口使用异常特征;
获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的协议概率分布信息,并根据所述当前节点在各时刻的协议概率分布信息,确定协议选择异常特征;
根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,计算所述当前节点在各时刻的对外请求概率分布信息,并根据所述当前节点在各时刻的对外请求概率分布信息,确定对外请求异常特征。
作为一种可能的实现方式,所述第一确定模块,具体用于:
根据所述协议数据量异常特征,确定所述当前节点作为源节点时的协议异常指标;
根据所述端口使用异常特征,确定所述当前节点作为源节点时的端口异常指标;
根据所述协议选择异常特征,确定所述当前节点作为源节点时的协议选择异常指标;
根据对外请求异常特征,确定所述当前节点作为源节点时的对外请求异常指标;
将所述协议异常指标、所述端口异常指标、所述协议选择异常指标以及所述对外请求异常指标作为所述第一异常信息。
作为一种可能的实现方式,所述第二确定模块,具体用于:
根据当前节点的网络行为数据,确定所述当前节点作为目标节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
根据所述当前节点作为目标节点时的特征数据,确定所述当前节点作为目标节点时的第二异常信息。
作为一种可能的实现方式,所述第二确定模块,具体用于:
获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的本地服务概率分布信息,并根据所述当前节点在各时刻的本地服务概率分布信息,确定本地服务异常特征;
根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,计算所述当前节点在各时刻的对内访问概率分布信息,并根据所述当前节点在各时刻的对内访问概率分布信息,确定对内访问异常特征。
作为一种可能的实现方式,所述第二确定模块,具体用于:
根据所述本地服务异常特征,确定所述当前节点作为目标节点时的本地服务异常指标;
根据所述对内访问异常特征,确定所述当前节点作为目标节点时的对内访问异常指标;
将所述本地服务异常指标以及对内访问异常指标作为所述第二异常信息。
第三方面,本申请另一实施例提供了一种计算机设备,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如上述第一方面任一所述方法的步骤。
第四方面,本申请另一实施例提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如上述第一方面任一所述方法的步骤。
本申请的有益效果是:通过对网络中各节点的网络行为数据进行表达,以及按照各节点在数据传输中的不同角色分别进行概率建模以及计算,能够从网络中的联合特征出发进行考量,对各节点作为源节点以及目标节点时的不同网络行为数据进行分别检测与识别,从而能够分别确定各节点作为源节点以及目标节点时的异常信息,同时,由于只需要对各节点的网络行为数据进行检测与识别,因此,对算力资源的要求更低。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络异常检测方法的流程示意图;
图2为本申请实施例提供的一种有向图模型的逻辑示意图;
图3为本申请实施例提供的网络异常检测方法中确定各节点作为源节点时的第一异常信息时的流程示意图;
图4为本申请实施例提供的网络异常检测方法中确定当前节点作为源节点时的特征数据时的流程示意图;
图5为本申请实施例提供的网络异常检测方法中确定当前节点作为源节点时的第一异常信息时的流程示意图;
图6为本申请实施例提供的网络异常检测方法中确定各节点作为目标节点时的第二异常信息时的流程示意图;
图7为本申请实施例提供的网络异常检测方法中定当前节点作为目标节点时的特征数据时的流程示意图;
图8为本申请实施例提供的网络异常检测方法中确定当前节点作为目标节点时的第二异常信息时的流程示意图;
图9为本申请实施例提供的一种异常检测结果的示意图;
图10为本申请实施例提供的一种网络异常检测装置的示意图;
图11为本申请实施例提供的计算机设备结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。 应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。 此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例中将会用到术语“包括”,用于指出其后所声明的特征的存在,但并不排除增加其它的特征。
首先,对本申请涉及的相关背景进行说明。
基于异常的入侵检测***(Anomaly-Based Intrusion Detection System,简称ABIDS)通过分析***或网络的正常运行模式,然后与实际观察到的行为进行比较,以检测任何不符合预期模式的行为。在实现上,基于异常的入侵检测***需要通过分析***日志、网络流量和其他相关数据来检测异常行为。因此,可以使用网络流量异常检测方法来实现基于异常的入侵检测***的功能。
现有的网络流量异常检测方法中可以包括统计学习方法、传统机器学习方法以及深度学习方法等。其中,统计学习方法通常基于“正常行为和异常行为具有不同的统计属性”的这一假设,容易受到正常行为的变化和噪声的影响,导致误报率较高。传统的机器学习方法需要人工设计特征,存在特征信息丢失或更改导致性能达到瓶颈的问题。因此,通常使用深度学习方法对网络流量进行异常检测,例如:多层感知机、卷积神经网络(CNN)、循环神经网络(RNN)和自动编码器。
在一种可能的实现方式中,可以使用卷积神经网络提取网络流量的空间特征,同时,使用循环神经网络提取网络流量在时序上的特征。但是,对于卷积神经网络来说,其捕获像素之间远距离依赖关系方面的能力受到限制,同时,对于循环神经网络来说,现实网络流量中数据包到达的间隔不同,且数据包的到达间隔会根据攻击类型有明显的区别,这就导致循环神经网络只能提取数据包之间的序列特征,而没有考虑到时间特征。因此,由于异常数据比较稀缺,难以获取、采集以及标注,这种方法在实际应用中往往会出现过拟合或者性能差的问题。
在另一种可能的实现方式中,现有技术中可以通过结合长短期记忆网络和卷积神经网络对网络流量的异常数据进行检测,但这种方法在实现中难以考虑数据包之间的时间间隔,因此,会存在检测准确率不高的问题,同时,基于深度学习的方法通常需要收集并标记大量的网络流量数据,而这些数据的收集和标记过程复杂且耗时,并且异常数据往往比较稀缺,这就导致模型的训练成本较高。另外,这种深度学习方法的运行需要较高的计算资源,特别是在大规模网络环境下,处理所有的网络流量会导致计算量的急剧增加。
在另一种可能的实现方式中,现有技术中提供了一种通过建立BGP-LS采集通道和SNMP或Telemetry采集通道来监控链路状态变化和链路流量变化的网络流量异常检测方法。在对异常流量进行溯源分析时,利用大数据平台上训练好的时序预测模型,生成预测的流量变化基线。然后将当前采集到的实际流量与预测的流量变化基线进行对比计算,进一步分析异常流量。如果当前采集的实际流量与预测的流量变化基线的差异小于指定的百分比,则认为是正常拥塞,由流量调度***自行处理。否则,认为是未知原因拥塞,尝试关联网络异常的告警事件。但是,这种网络流量异常检测方法仅能分析网络流量异常,并未考虑到访问行为模式异常的情况,因此,在实际应用中存在一定的局限性。
在另一种可能的实现方式中,现有技术中提供了一种通过对网络连接表的分析和主机记录表的构建,对主机的网络行为进行统计和分析,通过计算特征值如源端口熵、目的端口熵以及最大占比等,判断主机的行为是否异常,并进一步对异常行为进行分类的网络异常检测方法。但是,这种方法在设计熵时,仅从单一特征出发进行考虑,导致熵的覆盖面不够广,因此,在实际应用中存在一定的局限性。
在另一种可能的实现方式中,现有技术中还提供了一种网络异常检测方法,通过分析网络访问数据集,提取每个特定域名下的网络访问数据,并计算网络访问数据中指定字段的统计特性参数,然后,根据这些统计特性参数,从不同维度检测网络访问数据的行为特性,并生成多维特征向量来表示每条网络访问数据,从而使用机器学习中的分类算法,基于训练数据集中的多维特征向量和实际类标,以及检测数据集中的多维特征向量,对检测数据集中的网络访问数据进行预测类标的计算。但是,这种方法仅能检测与域名访问相关的异常行为,并且需要分析参数名、参数值等字段,增加了数据获取成本与处理成本,因此,在实际应用中仍然存在一定的局限性。
本申请实施例基于上述问题,提出一种网络异常检测方法,通过对网络中各节点的网络行为数据进行表达,以及按照各节点的网络行为不同进行不同的概率计算,能够从网络中的联合特征出发进行考量,实现了各节点的不同网络行为的异常检测。同时,不需要使用深度学习方法进行建模,因此,不需要大量的网络流量数据,并且,对算力资源的要求更低。
以下结合多个实施例对本申请实施例的网络异常检测方法进行详细说明。
图1为本申请实施例提供的网络异常检测方法的流程示意图,该方法的执行主体可以为任一的具有处理能力的计算机设备,参照图1所示,该方法包括:
S101、获取待检测网络中各节点在目标时段内的网络行为数据,网络行为数据至少包括:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数。
应当理解,待检测网络是由许多节点组成的,各节点之间通过通信线路进行连接,形成一定的几何关系,构成计算机网络拓扑。其中,待检测网络中的节点可以是工作站、客户、网络用户或个人计算机、服务器、打印机以及其他网络连接的设备,例如路由器、交换机、网关以及防火墙等。每一个拥有自己唯一网络地址的设备都是计算机网络拓扑中的节点。各节点在网络拓扑中具有不同的行为和作用,例如路由器可以根据网络层的信息决定数据包的路由,从而实现数据的传输;交换机可以将计算机的信号传输到其他计算机上,实现数据的交换;网关可以将不同协议的数据包进行转换,从而实现不同协议的网络之间的通信;防火墙可以阻止未经授权的网络流量,从而保护网络的安全。
其中,网络拓扑中的各节点通过各种协议和标准来实现交互,各节点之间的交互构成了网络行为,网络行为使得网络中的各节点能够相互协作。相应的,网络行为数据中包括了各节点之间的交互数据,各节点之间的交互数据包括用户数据、控制数据、信令数据、同步数据以及管理数据等类型的数据,例如:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数、路由信息、拓扑结构、连接状态、时钟信息、各种协议消息、连接请求、错误报告、设备配置信息以及性能监测数据等。
可选的,计算机设备首先对待检测网络中各节点的网络行为数据进行获取,并对获取的各节点的网络行为数据进行预处理,其中预处理可以包括整合、清洗、整理、填补、去重、修正以及格式化等步骤。
可选的,网络行为数据中至少包括:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数、路由信息、拓扑结构、连接状态、时钟信息、各种协议消息、连接请求、错误报告、设备配置信息以及性能监测数据等。其中,端口使用数据用于标识数据传输的起点和终点,协议选取数据用于标识当前节点所使用的协议,预设协议上的数据量用于指示在当前协议下数据包的大小,节点在数据交互中出现的次数用于指示当前节点在数据传输中担任的角色的次数。
示例性的,计算机设备可以将各节点的网络行为数据定义为一个包含多个字段的结构体,参照表(1)所示:
表(1)各节点的结构体定义示例表
S102、根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,并根据第一异常信息,确定各节点作为源节点时的异常检测结果,其中,第一异常信息用于表征各节点作为源节点时在端口使用、协议选取、协议数据量以及交互次数维度上的异常信息。
应当理解,待检测网络中的节点可以按照在数据传输中担任的角色不同分为源节点和目标节点。其中,源节点是数据包的发送方节点,可以通过对源节点在端口使用、协议选取、协议数据量以及交互次数维度上的网络行为数据进行分析,以确定出各节点作为数据传输的发送方时,产生的第一异常信息。其中,目标节点是数据包的接收方节点,可以通过对目标节点在本地服务以及对内访问维度上的网络行为数据进行分析,以确定出各节点作为数据传输的接收方时,产生的第二异常信息。
可选的,计算机设备可以对历史的网络行为数据结合概率和语法进行建模,以对待测的网络行为数据中的各种数据进行分析,从而根据待测的各节点的在端口使用、协议选取、协议数据量以及交互次数维度上的网络行为数据,对各节点作为源节点时的第一异常信息进行识别,从而可以根据预先设定好的阈值确定出各节点作为源节点时的异常检测结果。其中,结合概率和语法进行建模可以通过模型来实现,例如贝叶斯网络以及有向图模型。
S103、根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,并根据第二异常信息,确定各节点作为目标节点时的异常检测结果,其中,第二异常信息用于表征各节点作为目标节点时在本地服务以及对内访问维度上的异常信息。
可选的,计算机设备可以对历史的网络行为数据结合概率和语法进行建模,以对待测的网络行为数据中的各种数据进行分析,从而根据待测的各节点的本地服务以及对内访问维度上的网络行为数据,对各节点作为目标节点时的第二异常信息进行识别,从而可以根据预先设定好的阈值确定出各节点作为目标节点时的异常检测结果。其中,结合概率和语法进行建模可以通过模型来实现,例如贝叶斯网络以及有向图模型。
示例性的,可以使用贝叶斯网络对网络行为数据进行建模,在贝叶斯网络拓扑中描述目标节点与源节点的条件独立关系和因果关系。其中,每个节点都可以代表一个网络行为,可以为源节点也可以为目标节点,节点之间用弧段进行连接,表示两个节点之间的连接关系。每一个节点均至少包括IP地址、MAC地址、端口号主机型号、操作***类型等信息,用于指示各节点的网络行为。
示例性的,图2为本申请实施例提供的一种有向图模型的逻辑示意图,计算机设备建立有向图模型,并结合历史网络行为数据进行概率计算。参照图2所示,有向图模型可以是一个三层结构的有向图,其中,第一层为根节点,代表要进行检测的网络范围,第二层节点由所有的目标节点构成,第三层节点由所有的源节点构成,示例性的,第二层节点与第三层节点之间的连接关系可以表示为<源节点、目标节点、协议类型>。每一个节点均至少包括IP地址、MAC地址、端口号主机型号、操作***类型等信息,用于指示各节点的网络行为。
示例性的,基于上述有向图模型,计算机设备可以对网络行为数据进行概率建模,具体包括:源节点的概率分布建模以及目标节点的概率分布建模。其中,源节点的概率分布建模包括:
预设协议上的数据量的条件概率分布,为源节点/>的一维概率分布,其中,/>代表第i个源头节点,/>代表数据量的大小,取值范围为0-1000字节;
源节点的端口使用数据的联合概率分布,为源节点/>的二维概率分布,其中,/>代表源节点的所有端口,/>代表目标节点的所有端口,取值范围在0-65535;
目标节点的端口使用数据的联合概率分布,为目标节点/>的二维概率分布,其中,/>代表源节点的所有端口,/>代表目标节点的所有端口,取值范围在0-65535;
源节点的协议选取数据的条件概率分布,为源节点/>的一维概率分布,其中,/>代表第i个源头节点,/>代表协议类型,取值范围为0-255;
源节点与目标节点的条件概率分布,为源节点的二维概率分布;
源节点出现的先验概率分布为:
其中,目标节点的概率分布建模包括:
目标节点的协议选取数据的条件概率分布,为目标节点/>的一维概率分布,其中,/>代表第i个目标节点,/>代表协议类型,取值范围为0-255;
目标节点与源头节点的条件概率分布,目标节点/>的二维概率分布;
目标节点出现的先验概率分布为:
在本实施例中,通过对网络中各节点的网络行为数据进行表达,以及按照各节点在数据传输中的不同角色分别进行概率建模以及计算,能够从网络中的联合特征出发进行考量,对各节点作为源节点以及目标节点时的不同网络行为数据进行分别检测与识别,从而能够分别确定各节点作为源节点以及目标节点时的异常信息,同时,由于只需要对各节点的网络行为数据进行检测与识别,因此,对算力资源的要求更低。
图3为本申请实施例提供的网络异常检测方法中确定各节点作为源节点时的第一异常信息时的流程示意图。
作为一种可能的实现方式,参照图3所示,上述步骤S102中根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息时,可以按照以下步骤执行,具体包括:
S301、根据当前节点的网络行为数据,确定当前节点作为源节点时的特征数据,其中,当前节点为待检测网络中的任一节点。
可选的,计算机设备依次对待测网络中的每一节点的特征数据进行确定,分别根据当前节点的在端口使用、协议选取、协议数据量以及交互次数维度上的网络行为数据,确定出当前节点作为源节点时的特征数据,其中,特征数据包括源节点的协议数据量异常特征、源节点的端口使用异常特征、源节点的协议选择异常特征以及源节点的对外请求异常特征。
S302、根据当前节点作为源节点时的特征数据,确定当前节点作为源节点时的第一异常信息。
可选的,计算机设备依次对待测网络中的每一节点的第一异常信息进行确定,根据上述步骤S301中的当前节点作为源节点时的特征数据,进行计算,确定出当前节点作为源节点时的第一异常信息。其中,第一异常信息分别与源节点的协议数据量异常特征、源节点的端口使用异常特征、源节点的协议选择异常特征以及源节点的对外请求异常特征相对应。
根据各节点的网络行为数据,对各节点作为源节点时的特征数据进行分别确定,能够通过各节点作为源节点时的特征数据确定出当前节点作为源节点时的第一异常信息,从而对各节点作为源节点时的网络异常进行检测。
图4为本申请实施例提供的网络异常检测方法中确定当前节点作为源节点时的特征数据时的流程示意图。
作为一种可能的实现方式,参照图4所示,上述步骤S301中根据当前节点的网络行为数据,确定当前节点作为源节点时的特征数据时,可以按照以下步骤执行,具体包括:
S401、获取当前节点在目标时段内各时刻的预设协议上的数据量,根据当前节点在目标时段内各时刻的预设协议上的数据量,计算当前节点在各时刻的数据量概率分布信息,并根据当前节点在各时刻的数据量概率分布信息,确定协议数据量异常特征。
可选的,源节点发送的协议数据量通常会遵循一定的规律和预期的大小范围。如果源节点发送的协议数据量大小异常,例如,远大于或小于预期的大小,或者大小变化异常等,那么这可能被视为异常特征。因此,可以获取当前节点在目标时段内各时刻的预设协议上的数据量,并计算得到当前节点在各时刻的数据量概率分布信息,并根据当前节点在个时刻的数据量概率分布信息,计算得到协议数据量异常特征,从而使用协议数据量异常特征判断某个节点在特定协议上的数据大小是否发生低概率事件。
示例性的,当预设协议上的数据量的条件概率分布时,可以分别获取当前节点在目标时段内各时刻的预设协议上的数据量分别为/>、/>、、、/>,那么,当前节点在各时刻的数据量概率分布信息可以表示为/>、/>、/>、、、,其中,t0、t1、t2、、、tn分别为不同的时刻,此时,协议数据量异常特征/>可以用以下公式(1)进行表示:
(1)
S402、获取当前节点在目标时段内各时刻所使用的端口,根据当前节点在目标时段内各时刻所使用的端口,计算当前节点在各时刻的端口联合二维概率分布信息,并根据当前节点在各时刻的端口联合二维概率分布信息,确定端口使用异常特征。
可选的,源节点在发送数据时通常会使用特定的端口号来进行通信。如果源节点使用的端口号与正常的通信模式不符,或者与预期的端口号存在较大的差异,那么这可能被视为异常特征。因此,可以获取当前节点在目标时段内各时刻所使用的端口数据,并计算得到当前节点在各时刻的端口联合二维概率分布信息,并根据当前节点在各时刻的端口联合二维概率分布信息,计算得到端口使用异常特征,从而使用端口使用异常特征判断某个节点的端口使用情况是否发生低概率事件。
示例性的,当端口使用数据的联合概率分布为时,可以分别获取当前节点在目标时段内各时刻的端口使用数据分别为/>,其中,t0、t1、、、tn分别为不同的时刻,此时,端口使用异常特征/>可以用以下公式(2)进行表示:
(2)
S403、获取当前节点在目标时段内各时刻所使用的协议类型,根据当前节点在目标时段内各时刻所使用的协议类型,计算当前节点在各时刻的协议概率分布信息,并根据当前节点在各时刻的协议概率分布信息,确定协议选择异常特征。
可选的,源节点在发送数据时通常会选择一种通信协议,如TCP、UDP等。如果源节点选择的通信协议与正常的协议选择模式不符,或者与预期的协议选择存在较大的差异,那么这可能被视为异常特征。因此,可以获取当前节点在目标时段内各时刻所使用的协议类型,并计算得到当前节点在各时刻的协议概率分布信息,并根据当前节点在各时刻的协议概率分布信息,计算得到协议选择异常特征,从而使用协议选择异常特征判断某个节点协议选取的模式是否发生低概率事件。
示例性的,当源节点的协议选取数据的条件概率分布为时,可以获取当前节点在目标时段内各时刻所使用的协议类型分别为/>、/>、/>、、、/>,其中,t0、t1、、、tn分别为不同的时刻,此时,协议选择异常特征/>可以用以下公式(3)进行表示:
(3)
S404、根据当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定当前节点在目标时段内各时刻作为源节点的数据交互次数,根据当前节点在目标时段内各时刻作为源节点的数据交互次数,计算当前节点在各时刻的对外请求概率分布信息,并根据当前节点在各时刻的对外请求概率分布信息,确定对外请求异常特征。
可选的,源节点通常会向外部发送请求,并按照预期的方式获取响应。如果源节点在发送请求时出现异常,例如请求URL异常、请求频率过高或请求内容异常等,那么这些特征可以被视为异常特征。因此,可以根据当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定出当前节点在目标时段内各时刻作为源节点的数据交互次数,然后根据当前节点在目标时段内各时刻作为源节点的数据交互次数,计算当前节点在各时刻的对外请求概率分布信息,并计算得到对外请求异常特征,从而使用对外请求异常特征判断某个节点的对外请求模式是否发生低概率事件。
示例性的,对外请求异常特征可以用以下公式(4)进行表示:
(4)
图5为本申请实施例提供的网络异常检测方法中确定当前节点作为源节点时的第一异常信息时的流程示意图。
作为一种可能的实现方式,参照图5所示,上述步骤S302中根据当前节点作为源节点时的特征数据,确定当前节点作为源节点时的第一异常信息时,可以按照以下步骤执行,具体包括:
S501、根据协议数据量异常特征,确定当前节点作为源节点时的协议异常指标。
可选的,计算机设备可以根据协议数据量异常特征,计算得到当前节点作为源节点时的协议异常指标。
示例性的,当前节点作为源节点时的协议异常指标可以用以下公式(5)进行表示:
(5)
示例性的,当前节点作为源节点时的协议异常指标可以用以下公式(6)进行表示:
(6)
S502、根据端口使用异常特征,确定当前节点作为源节点时的端口异常指标。
可选的,计算机设备可以根据端口使用异常特征,计算得到当前节点作为源节点时的端口异常指标。
示例性的,当前节点作为源节点时的协议异常指标可以用以下公式(7)进行表示:
(7)/>
示例性的,当前节点作为源节点时的协议异常指标可以用以下公式(8)进行表示:
(8)
S503、根据协议选择异常特征,确定当前节点作为源节点时的协议选择异常指标。
可选的,计算机设备可以根据协议选择异常特征,计算得到当前节点作为源节点时的协议选择异常指标。
示例性的,当前节点作为源节点时的协议选择异常指标可以用以下公式(9)进行表示:
(9)
示例性的,当前节点作为源节点时的协议选择异常指标可以用以下公式(10)进行表示:
(10)
S504、根据对外请求异常特征,确定当前节点作为源节点时的对外请求异常指标。
可选的,计算机设备可以根据对外请求异常特征,计算得到当前节点作为源节点时的对外请求异常指标。
示例性的,当前节点作为源节点时的对外请求异常指标可以用以下公式(11)进行表示:
(11)
示例性的,当前节点作为源节点时的对外请求异常指标可以用以下公式(12)进行表示:
(12)
S505、将协议异常指标、端口异常指标、协议选择异常指标以及对外请求异常指标作为第一异常信息。
可选的,计算机设备将上述协议异常指标、协议异常指标/>、协议选择异常指标/>以及对外请求异常指标/>作为第一异常信息。
图6为本申请实施例提供的网络异常检测方法中确定各节点作为目标节点时的第二异常信息时的流程示意图。
作为一种可能的实现方式,参照图6所示,上述步骤S103中根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息时,可以按照以下步骤执行,具体包括:
S601、根据当前节点的网络行为数据,确定当前节点作为目标节点时的特征数据,其中,当前节点为待检测网络中的任一节点。
可选的,计算机设备依次对待测网络中的每一节点的特征数据进行确定,分别根据当前节点的在本地服务以及对内访问维度上的网络行为数据,确定出当前节点作为目标节点时的特征数据,其中,特征数据包括目标节点的本地服务异常特征以及对内访问异常特征。
S602、根据当前节点作为目标节点时的特征数据,确定当前节点作为目标节点时的第二异常信息。
可选的,计算机设备依次对待测网络中的每一节点的第二异常信息进行确定,根据上述步骤S601中的当前节点作为目标节点时的特征数据,进行计算,确定出当前节点作为目标节点时的第二异常信息。其中,第二异常信息分别与目标节点的本地服务异常特征以及对内访问异常特征相对应。
根据各节点的网络行为数据,对各节点作为目标节点时的特征数据进行分别确定,能够通过各节点作为目标节点时的特征数据确定出当前节点作为目标节点时的第二异常信息,从而对各节点作为目标节点时的网络异常进行检测。
图7为本申请实施例提供的网络异常检测方法中定当前节点作为目标节点时的特征数据时的流程示意图。
作为一种可能的实现方式,参照图7所示,上述步骤S601中根据当前节点的网络行为数据,确定当前节点作为目标节点时的特征数据时,可以按照以下步骤执行,具体包括:
S701、获取当前节点在目标时段内各时刻所使用的协议类型,根据当前节点在目标时段内各时刻所使用的协议类型,计算当前节点在各时刻的本地服务概率分布信息,并根据当前节点在各时刻的本地服务概率分布信息,确定本地服务异常特征。
可选的,目标节点在提供本地服务时通常会响应来自源节点的请求,并按照预期的方式提供服务。如果目标节点在提供服务时出现异常,例如响应时间过长、服务崩溃或响应内容异常等,那么这些特征可以被视为异常特征。因此,可以获取当前节点在目标时段内各时刻所使用的协议类型,并计算得到当前节点在各时刻的本地服务概率分布信息,并根据当前节点在各时刻的本地服务概率分布信息,计算得到本地服务异常特征,从而使用本地服务异常特征判断某个节点对外提供的服务是否发生低概率事件。
示例性的,当目标节点的协议选取数据的条件概率分布为时,可以获取当前节点在目标时段内各时刻所使用的协议类型分别为/>、/>、/>、、、/>,其中,t0、t1、、、tn分别为不同的时刻,此时,本地服务异常特征/>可以用以下公式(13)进行表示:
(13)
S702、根据当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定当前节点在目标时段内各时刻作为目标节点的数据交互次数,根据当前节点在目标时段内各时刻作为目标节点的数据交互次数,计算当前节点在各时刻的对内访问概率分布信息,并根据当前节点在各时刻的对内访问概率分布信息,确定对内访问异常特征。
可选的,目标节点通常会接受来自外部的访问请求,并按照预期的方式进行处理。如果目标节点在接受访问时出现异常,例如外部IP地址异常、访问频率过高或访问内容异常等,那么这些特征可以被视为异常特征。因此,可以根据当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定当前节点在目标时段内各时刻作为目标节点的数据交互次数,然后根据当前节点在目标时段内各时刻作为目标节点的数据交互次数,计算当前节点在各时刻的对内访问概率分布信息,并计算得到对内访问异常特征,从而使用对内访问异常特征判断某个节点对内网的访问是否发生低概率事件。
示例性的,对内访问异常特征可以用以下公式(14)进行表示:
(14)
图8为本申请实施例提供的网络异常检测方法中确定当前节点作为目标节点时的第二异常信息时的流程示意图。
作为一种可能的实现方式,参照图8所示,上述步骤S602中根据当前节点作为目标节点时的特征数据,确定当前节点作为目标节点时的第二异常信息时,可以按照以下步骤执行,具体包括:
S801、根据本地服务异常特征,确定当前节点作为目标节点时的本地服务异常指标。
可选的,计算机设备可以根据本地服务异常特征,计算得到当前节点作为源节点时的本地服务异常指标。
示例性的,当前节点作为目标节点时的本地服务异常指标可以用以下公式(15)进行表示:
(15)
示例性的,当前节点作为目标节点时的本地服务异常指标可以用以下公式(16)进行表示:
(16)
S802、根据对内访问异常特征,确定当前节点作为目标节点时的对内访问异常指标。
可选的,计算机设备可以根据对内访问异常特征,计算得到当前节点作为源节点时的对内访问异常指标。
示例性的,当前节点作为目标节点时的对内访问异常指标可以用以下公式(17)进行表示:
(17)
示例性的,当前节点作为目标节点时的对内访问异常指标可以用以下公式(18)进行表示:
(18)
S803、将本地服务异常指标以及对内访问异常指标作为第二异常信息。
可选的,计算机设备将上述本地服务异常指标以及对内访问异常指标/>作为第一异常信息。
在一种可能的实现方式中,在上述步骤S102-S103执行之后,可以获得待检测网络中的第一异常信息以及第二异常信息,计算机设备可以根据预先设定好的阈值对第一异常信息以及第二异常信息分别进行判断,从而确定出待检测网络的异常检测结果。
示例性的,如果所需查询的节点一共有个,那么可以基于上述信息量之和/>是否大于阈值来判断/>个节点中是否有异常节点。
示例性的,阈值可以为“在训练数据集中对应维度的均值加上1倍方差”,例如的阈值设置为/>
图9为本申请实施例提供的一种异常检测结果的示意图。
例如,分别取时间窗口n=1s、2s、3s,进行异常检测,参照图9所示,通过执行本申请实施例提供的网络异常检测方法可以得到如下表(2)和图9所示的异常检测结果。
表(2)异常检测结果示例表
基于同一发明构思,本申请实施例中还提供了与网络异常检测方法对应的网络异常检测装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述网络异常检测方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参照图10所示,为本申请实施例提供的一种网络异常检测装置的示意图,所述装置包括:获取模块1001、第一确定模块1002、第二确定模块1003;其中,
获取模块1001,用于获取待检测网络中各节点在目标时段内的网络行为数据,所述网络行为数据至少包括:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数;
第一确定模块1002,用于根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,并根据所述第一异常信息,确定各节点作为源节点时的异常检测结果,其中,所述第一异常信息用于表征各节点作为源节点时在端口使用、协议选取、协议数据量以及交互次数维度上的异常信息;
第二确定模块1003,用于根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,并根据所述第二异常信息,确定各节点作为目标节点时的异常检测结果,其中,所述第二异常信息用于表征各节点作为目标节点时在本地服务以及对内访问维度上的异常信息。
作为一种可能的实现方式,所述第一确定模块1002,具体用于:
根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息。
作为一种可能的实现方式,所述第一确定模块1002,具体用于:
获取所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,根据所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,计算所述当前节点在各时刻的数据量概率分布信息,并根据所述当前节点在各时刻的数据量概率分布信息,确定协议数据量异常特征;
获取所述当前节点在所述目标时段内各时刻所使用的端口,根据所述当前节点在所述目标时段内各时刻所使用的端口,计算所述当前节点在各时刻的端口联合二维概率分布信息,并根据所述当前节点在各时刻的端口联合二维概率分布信息,确定端口使用异常特征;
获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的协议概率分布信息,并根据所述当前节点在各时刻的协议概率分布信息,确定协议选择异常特征;
根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,计算所述当前节点在各时刻的对外请求概率分布信息,并根据所述当前节点在各时刻的对外请求概率分布信息,确定对外请求异常特征。
作为一种可能的实现方式,所述第一确定模块1002,具体用于:
根据所述协议数据量异常特征,确定所述当前节点作为源节点时的协议异常指标;
根据所述端口使用异常特征,确定所述当前节点作为源节点时的端口异常指标;
根据所述协议选择异常特征,确定所述当前节点作为源节点时的协议选择异常指标;
根据对外请求异常特征,确定所述当前节点作为源节点时的对外请求异常指标;
将所述协议异常指标、所述端口异常指标、所述协议选择异常指标以及所述对外请求异常指标作为所述第一异常信息。
作为一种可能的实现方式,所述第二确定模块1003,具体用于:
根据当前节点的网络行为数据,确定所述当前节点作为目标节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
根据所述当前节点作为目标节点时的特征数据,确定所述当前节点作为目标节点时的第二异常信息。
作为一种可能的实现方式,所述第二确定模块1003,具体用于:
获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的本地服务概率分布信息,并根据所述当前节点在各时刻的本地服务概率分布信息,确定本地服务异常特征;
根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,计算所述当前节点在各时刻的对内访问概率分布信息,并根据所述当前节点在各时刻的对内访问概率分布信息,确定对内访问异常特征。
作为一种可能的实现方式,所述第二确定模块1003,具体用于:
根据所述本地服务异常特征,确定所述当前节点作为目标节点时的本地服务异常指标;
根据所述对内访问异常特征,确定所述当前节点作为目标节点时的对内访问异常指标;
将所述本地服务异常指标以及对内访问异常指标作为所述第二异常信息。
关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明,这里不再详述。
本申请实施例还提供了一种计算机设备1100,如图11所示,为本申请实施例提供的计算机设备结构示意图,包括:处理器1101、存储器1102,可选的,还可以包括总线1103。所述存储器1102存储有所述处理器1101可执行的机器可读指令(比如,图10中的装置中获取模块1001、第一确定模块1002以及第二确定模块1003对应的执行指令等),当计算机设备1100运行时,所述处理器1101与所述存储器1102之间通过总线1103通信,所述机器可读指令被所述处理器1101执行时执行上述网络异常检测方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述网络异常检测方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考方法实施例中的对应过程,本申请中不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个模块或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。

Claims (10)

1.一种网络异常检测方法,其特征在于,包括:
获取待检测网络中各节点在目标时段内的网络行为数据,所述网络行为数据至少包括:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数;
根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,并根据所述第一异常信息,确定各节点作为源节点时的异常检测结果,其中,所述第一异常信息用于表征各节点作为源节点时在端口使用、协议选取、协议数据量以及交互次数维度上的异常信息;
根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,并根据所述第二异常信息,确定各节点作为目标节点时的异常检测结果,其中,所述第二异常信息用于表征各节点作为目标节点时在本地服务以及对内访问维度上的异常信息。
2.根据权利要求1所述的网络异常检测方法,其特征在于,所述根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,包括:
根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息。
3.根据权利要求2所述的网络异常检测方法,其特征在于,所述根据当前节点的网络行为数据,确定所述当前节点作为源节点时的特征数据,包括:
获取所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,根据所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量,计算所述当前节点在各时刻的数据量概率分布信息,并根据所述当前节点在各时刻的数据量概率分布信息,确定协议数据量异常特征;
获取所述当前节点在所述目标时段内各时刻所使用的端口,根据所述当前节点在所述目标时段内各时刻所使用的端口,计算所述当前节点在各时刻的端口联合二维概率分布信息,并根据所述当前节点在各时刻的端口联合二维概率分布信息,确定端口使用异常特征;
获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的协议概率分布信息,并根据所述当前节点在各时刻的协议概率分布信息,确定协议选择异常特征;
根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数,计算所述当前节点在各时刻的对外请求概率分布信息,并根据所述当前节点在各时刻的对外请求概率分布信息,确定对外请求异常特征。
4.根据权利要求3所述的网络异常检测方法,其特征在于,所述根据所述当前节点作为源节点时的特征数据,确定所述当前节点作为源节点时的第一异常信息,包括:
根据所述协议数据量异常特征,确定所述当前节点作为源节点时的协议异常指标;
根据所述端口使用异常特征,确定所述当前节点作为源节点时的端口异常指标;
根据所述协议选择异常特征,确定所述当前节点作为源节点时的协议选择异常指标;
根据对外请求异常特征,确定所述当前节点作为源节点时的对外请求异常指标;
将所述协议异常指标、所述端口异常指标、所述协议选择异常指标以及所述对外请求异常指标作为所述第一异常信息。
5.根据权利要求1所述的网络异常检测方法,其特征在于,所述根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,包括:
根据当前节点的网络行为数据,确定所述当前节点作为目标节点时的特征数据,其中,所述当前节点为所述待检测网络中的任一节点;
根据所述当前节点作为目标节点时的特征数据,确定所述当前节点作为目标节点时的第二异常信息。
6.根据权利要求5所述的网络异常检测方法,其特征在于,所述根据当前节点的网络行为数据,确定所述当前节点作为目标节点时的特征数据,包括:
获取所述当前节点在所述目标时段内各时刻所使用的协议类型,根据所述当前节点在所述目标时段内各时刻所使用的协议类型,计算所述当前节点在各时刻的本地服务概率分布信息,并根据所述当前节点在各时刻的本地服务概率分布信息,确定本地服务异常特征;
根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色,确定所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,根据所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数,计算所述当前节点在各时刻的对内访问概率分布信息,并根据所述当前节点在各时刻的对内访问概率分布信息,确定对内访问异常特征。
7.根据权利要求6所述的网络异常检测方法,其特征在于,所述根据所述当前节点作为目标节点时的特征数据,确定所述当前节点作为目标节点时的第二异常信息,包括:
根据所述本地服务异常特征,确定所述当前节点作为目标节点时的本地服务异常指标;
根据所述对内访问异常特征,确定所述当前节点作为目标节点时的对内访问异常指标;
将所述本地服务异常指标以及对内访问异常指标作为所述第二异常信息。
8.一种网络异常检测装置,其特征在于,包括:
获取模块,用于获取待检测网络中各节点在目标时段内的网络行为数据,所述网络行为数据至少包括:端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数;
第一确定模块,用于根据各节点的网络行为数据,确定各节点作为源节点时的第一异常信息,并根据所述第一异常信息,确定各节点作为源节点时的异常检测结果,其中,所述第一异常信息用于表征各节点作为源节点时在端口使用、协议选取、协议数据量以及交互次数维度上的异常信息;
第二确定模块,用于根据各节点的网络行为数据,确定各节点作为目标节点时的第二异常信息,并根据所述第二异常信息,确定各节点作为目标节点时的异常检测结果,其中,所述第二异常信息用于表征各节点作为目标节点时在本地服务以及对内访问维度上的异常信息。
9.一种计算机设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器执行所述机器可读指令,以执行如权利要求1至7任一所述的网络异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一所述的网络异常检测方法的步骤。
CN202311702884.0A 2023-12-12 2023-12-12 网络异常检测方法、装置、计算机设备及存储介质 Pending CN117768165A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311702884.0A CN117768165A (zh) 2023-12-12 2023-12-12 网络异常检测方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311702884.0A CN117768165A (zh) 2023-12-12 2023-12-12 网络异常检测方法、装置、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN117768165A true CN117768165A (zh) 2024-03-26

Family

ID=90322976

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311702884.0A Pending CN117768165A (zh) 2023-12-12 2023-12-12 网络异常检测方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN117768165A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105024877A (zh) * 2015-06-01 2015-11-04 北京理工大学 一种基于网络行为分析的Hadoop恶意节点检测***
CN111935172A (zh) * 2020-08-25 2020-11-13 珠海市一知安全科技有限公司 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN114401145A (zh) * 2022-01-20 2022-04-26 北京邮电大学 一种网络流量检测***及方法
CN114443438A (zh) * 2022-01-29 2022-05-06 苏州浪潮智能科技有限公司 节点状态的检测方法、节点异常的处理方法及装置
CN115102758A (zh) * 2022-06-21 2022-09-23 新余学院 异常网络流量的检测方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105024877A (zh) * 2015-06-01 2015-11-04 北京理工大学 一种基于网络行为分析的Hadoop恶意节点检测***
CN111935172A (zh) * 2020-08-25 2020-11-13 珠海市一知安全科技有限公司 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN114401145A (zh) * 2022-01-20 2022-04-26 北京邮电大学 一种网络流量检测***及方法
CN114443438A (zh) * 2022-01-29 2022-05-06 苏州浪潮智能科技有限公司 节点状态的检测方法、节点异常的处理方法及装置
CN115102758A (zh) * 2022-06-21 2022-09-23 新余学院 异常网络流量的检测方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
JP5518872B2 (ja) ネットワーク異常流量分析装置及び方法
KR102298268B1 (ko) 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
JP5666685B2 (ja) 障害解析装置、そのシステム、およびその方法
CN108076019B (zh) 基于流量镜像的异常流量检测方法及装置
KR100424724B1 (ko) 네트워크 흐름 분석에 의한 침입 탐지 장치
CN109766695A (zh) 一种基于融合决策的网络安全态势感知方法和***
US11038900B2 (en) Structural command and control detection of polymorphic malware
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
KR102129375B1 (ko) 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법
WO2015160383A1 (en) A network gateway and method for inspecting frames in communication network
JP3868939B2 (ja) 通信ネットワークの障害を検出する装置
Qiu et al. Global Flow Table: A convincing mechanism for security operations in SDN
Malboubi et al. A learning-based measurement framework for traffic matrix inference in software defined networks
KR20220029142A (ko) Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법
Perdices et al. On the modeling of multi-point RTT passive measurements for network delay monitoring
Mahmood et al. Network traffic analysis and SCADA security
Alkenani et al. Network Monitoring Measurements for Quality of Service: A Review.
EP3596884B1 (en) Communications network performance
Pekar et al. Towards threshold‐agnostic heavy‐hitter classification
CN112055007A (zh) 一种基于可编程节点的软硬件结合威胁态势感知方法
CN117768165A (zh) 网络异常检测方法、装置、计算机设备及存储介质
CN114584356A (zh) 网络安全监控方法及网络安全监控***
CN114172881A (zh) 基于预测的网络安全验证方法、装置及***
US20230336470A1 (en) Methods and systems for predicting sudden changes in datacenter networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination