一种异常流量检测方法及装置与流程
- 国知局
- 2024-08-08 16:57:27
本发明属于异常流量检测,尤其涉及一种异常流量检测方法及装置。
背景技术:
1、随着网络流量的急剧增加,异常流量的特性也发生了更加复杂的变化。现有的基于特征进行流量识别的算法,依赖每个特征,其相互独立,无法利用其相关性,导致丢失一部分特征之间的变化趋势等特性。
技术实现思路
1、鉴于以上现有技术的不足,发明的目的在于提供一种异常流量检测方法、装置、电子设备和存储介质,能够充分利用特征之间的相关性信息,不仅降低了异常流量的误判率,而且提高了流量异常检测率。
2、本发明的第一方面,提出了一种异常流量检测方法,包括:
3、获取待检测的流量;
4、提取待检测的流量的冲击熵特征;
5、将冲击熵特征输入预先训练的模型中检测待检测的流量是否是异常流量。
6、进一步地,上述一种异常流量检测方法中,预先训练的模型的训练步骤,包括:
7、采集网关设备的流量;
8、提取网关设备的流量的冲击熵特征;
9、将冲击熵特征输入至模型中进行训练得到预先训练的模型。
10、进一步地,上述一种异常流量检测方法中,提取待检测的流量的冲击熵特征,包括:
11、将待检测的流量按照时间维度划分成多个流量段;
12、根据五元组将多个流量段中的每个流量段划分为多条流,提取所述多条流中每条流的特征;
13、根据每条流的特征对所述每个流量段进行两特性选择得到两个相关特征;
14、将两个相关特征输入冲击熵计算模块得到冲击熵;
15、冲击熵组合在一起得到待检测的流量的冲击熵特征;
16、其中,每条流的特征至少包括:数据包数目、协议类型、间隔时间和上下行报文数量。
17、进一步地,上述一种异常流量检测方法中,提取网关设备的流量的冲击熵特征,包括:
18、将网关设备的流量按照时间维度划分成多个流量段;
19、根据五元组将所述多个流量段中的每个流量段划分为多条流,提取所述多条流中每条流的特征;
20、根据每条流的特征对所述每个流量段进行两特性选择得到两个相关特征;
21、将两个相关特征输入冲击熵计算模块得到冲击熵;
22、冲击熵组合在一起得到网关设备的流量的冲击熵特征;
23、每条流的特征至少包括:数据包数目、协议类型、间隔时间和上下行报文数量。
24、进一步地,上述一种异常流量检测方法中,模型是机器学习分类器。
25、进一步地,上述一种异常流量检测方法中,将两个相关特征输入冲击熵计算模块得到冲击熵,包括:
26、对两个相关特征进行二值化处理;
27、设置片段长度m、偏移参数s;
28、根据片段长度m、偏移参数s将二值化处理后的值进行匹配得到片段内的匹配数;
29、根据片段内的匹配数、所述片段长度m计算不同片段的冲击熵;
30、根据不同片段的冲击熵计算得到冲击熵。
31、进一步地,上述一种异常流量检测方法中,根据不同片段的冲击熵计算得到冲击熵,包括:
32、根据所述不同片段的冲击熵计算不同偏移时的冲击熵差得到冲击熵。
33、本发明的第二方面,还提出了一种异常流量检测装置,包括:
34、获取模块:用于获取待检测的流量;
35、提取模块:用于提取待检测的流量的冲击熵特征;
36、检测模块:用于将冲击熵特征输入预先训练的模型中检测待检测的流量是否是异常流量。
37、本发明的第三方面,还提出了一种电子设备,包括:处理器和存储器;
38、所述处理器通过调用所述存储器存储的程序或指令,用于执行如上所述任一项所述一种异常流量检测方法。
39、本发明的第四方面,还提出了一种计算机可读存储介质,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如上所述任一项所述一种异常流量检测方法。
40、本发明的有益效果如下:本发明通过获取待检测的流量;提取待检测的流量的冲击熵特征;将冲击熵特征输入预先训练的模型中检测待检测的流量是否是异常流量。本发明在提取待检测的流量的冲击熵特征时将流量内相关联的两个特征利用冲击熵的方法,提取特征之间的隐藏信息,并基于不同流量长度和偏移参数来覆盖不同异常流量的特性,能够充分利用特征之间的相关性信息,从新的角度刻画异常流量的特性,不仅降低了异常流量的误判率,而且提高了流量异常检测率。
技术特征:1.一种异常流量检测方法,其特征在于,包括:
2.根据权利要求1所述的一种异常流量检测方法,其特征在于,所述预先训练的模型的训练步骤,包括:
3.根据权利要求1所述的一种异常流量检测方法,其特征在于,所述提取所述待检测的流量的冲击熵特征,包括:
4.根据权利要求2所述的一种异常流量检测方法,其特征在于,所述提取所述网关设备的流量的冲击熵特征,包括:
5.根据权利要求2所述的一种异常流量检测方法,其特征在于,所述模型是机器学习分类器。
6.根据权利要求3所述的一种异常流量检测方法,其特征在于,所述将所述两个相关特征输入冲击熵计算模块得到冲击熵,包括:
7.根据权利要求6所述的一种异常流量检测方法,其特征在于,所述根据所述不同片段的冲击熵计算得到冲击熵,包括:
8.一种异常流量检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括:处理器和存储器;
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至7任一项所述一种异常流量检测方法。
技术总结本发明涉及一种异常流量检测方法及装置,属于异常流量检测技术领域,该方法包括:获取待检测的流量;提取待检测的流量的冲击熵特征;将冲击熵特征输入预先训练的模型中检测待检测的流量是否是异常流量。本发明提供的一种异常流量检测方法及装置,在提取待检测的流量的冲击熵特征时将流量内相关联的两个特征利用冲击熵的方法,提取特征之间的隐藏信息,并基于不同流量长度和偏移参数来覆盖不同异常流量的特性,能够充分利用特征之间的相关性信息,从新的角度刻画异常流量的特性,不仅降低了异常流量的误判率,而且提高了流量异常检测率。技术研发人员:李甜梦,李梅茵,沈奇卉,朱荞荞,张洪钏,傅旭明,张欣,王勃栋受保护的技术使用者:天翼云科技有限公司技术研发日:技术公布日:2024/8/5本文地址:https://www.jishuxx.com/zhuanli/20240808/271450.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 YYfuon@163.com 举报,一经查实,本站将立刻删除。
下一篇
返回列表