[发明专利]基于画像技术的网络异常检测方法、装置、设备及介质有效
| 申请号: | 201810036841.6 | 申请日: | 2018-01-15 |
| 公开(公告)号: | CN108270620B | 公开(公告)日: | 2020-07-31 |
| 发明(设计)人: | 涂大志;王志;王新成 | 申请(专利权)人: | 深圳市联软科技股份有限公司 |
| 主分类号: | H04L12/24 | 分类号: | H04L12/24;H04L29/06 |
| 代理公司: | 北京酷爱智慧知识产权代理有限公司 11514 | 代理人: | 王莹 |
| 地址: | 518000 广东省深圳市南山区高新中*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 画像 技术 网络 异常 检测 方法 装置 设备 介质 | ||
本发明提供一种基于画像技术的网络异常检测方法、装置、设备及介质,方法包括:获取网络中的设备的相关数据信息;根据相关数据信息构造设备向量;计算设备向量与设备对应的设备画像间的设备偏差;计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差;在设备偏差和/或类型偏差超过设定阈值时,发出告警,以实现网络异常检测。本发明提供的基于画像技术的网络异常检测方法、装置、设备及介质,采用机器学习的方式对历史网络流量特征进行刻画,从而对网络中的设备进行聚类,同时根据历史流量特征为每一台设备、每一类设备进行画像,发现流量异常的设备,以实现及时准确地发现网络安全攻击行为。
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于画像技术的网络异常检测方法、装置、设备及介质。
背景技术
现有的网络安全技术,只能解决基于规则已知的网络安全攻击的发现(例如,基于签名的IDS/IPS等),对于未知的网络安全攻击行为(例如,APT攻击)难以发现或者发现结果不准确。
发明内容
本发明要解决的技术问题是提供一种基于画像技术的网络异常检测方法、装置、设备及介质,采用机器学习的方式对历史网络流量特征进行刻画,从而对网络中的设备进行聚类,同时根据历史流量特征为每一台设备、每一类设备进行画像,发现流量异常的设备,以实现及时准确地发现网络安全攻击行为。
为解决上述技术问题,本发明提供的技术发方案是:
第一方面,本发明实施例提供了一种基于画像技术的网络异常检测方法,方法包括:
获取网络中的设备的相关数据信息;
根据相关数据信息构造设备向量;
计算设备向量与设备对应的设备画像间的设备偏差;
计算设备向量与设备所属的设备类型对应的设备类型画像间的类型偏差;
在设备偏差和/或类型偏差超过设定阈值时,发出告警,以实现网络异常检测。
进一步地,设备画像的构建,包括:
采集设备在第一时间长度内的历史相关数据信息;
根据历史相关数据信息,获取每个第二时间长度内,设备的基本信息;
计算设备在第一时间长度内的,所有第二时间长度对应的基本信息的统计信息;
根据统计信息确定设备画像信息,构建设备画像。
进一步地,基本信息包括:在线时长,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接IP数量,连接端口数量,设备的最大流量对应的端口,与设备连接的其他设备的设备类型;
统计信息包括:在线时长的均值和标准差,TCP数据包数量的均值和标准差,TCP数据包长度的均值和标准差,UDP数据包数量的均值和标准差,UDP数据包长度的均值和标准差,连接设备数量的均值和标准差,连接端口数量的均值和标准差;
设备画像信息包括:在线率,设备类型,设备分组,TCP数据包数量,TCP数据包长度,UDP数据包数量,UDP数据包长度,连接设备数量,连接端口数量,接入位置。
进一步地,设备类型画像的构建,包括:
获取与设备属于同一类型的所有设备对应的设备画像信息的集合;
根据设备画像信息的集合,确定设备类型画像。
进一步地,对网络中的所有设备进行分类以确定每个设备对应的设备类型,包括:
获取每个设备的设备画像信息;
根据设备画像信息构建与设备对应的设备向量;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深圳市联软科技股份有限公司,未经深圳市联软科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810036841.6/2.html,转载请声明来源钻瓜专利网。
