[发明专利]异常流量的检测方法、装置、计算机设备和存储介质有效
| 申请号: | 201811207593.3 | 申请日: | 2018-10-17 |
| 公开(公告)号: | CN109040141B | 公开(公告)日: | 2019-11-12 |
| 发明(设计)人: | 于洋;关塞;陈洁远;曾凡;李家昌;聂利权;阮华;万志颖;王伟 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京励诚知识产权代理有限公司 11647 | 代理人: | 贾玉姣 |
| 地址: | 518057 广东省深圳*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 抽象特征 检测 网络数据包 异常流量 计算机设备 网络应用层 存储介质 负载信息 会话信息 人工构造 样本生成 时间成本 分类 样本 标签 申请 | ||
1.一种异常流量的检测方法,其特征在于,包括:
获取网络数据包,并提取所述网络数据包之中的会话信息和网络应用层负载信息,所述网络应用层负载信息为网络应用层负载数据中预设字节长度的部分;
根据所述会话信息和所述网络应用层负载信息生成检测样本;
根据所述检测样本生成抽象特征;以及
根据所述抽象特征进行分类以检测异常流量。
2.如权利要求1所述的异常流量的检测方法,其特征在于,在所述根据所述会话信息和所述网络应用层负载信息生成检测样本之后,还包括:
对所述检测样本进行归一化处理。
3.如权利要求1或2所述的异常流量的检测方法,其特征在于,所述会话信息包括协议类型、端口特征值、网络消息控制协议ICMP类型值、ICMP代码值、传输控制协议TCP标志位、一个会话中数据包时间间隔的平均值、一个会话中数据包时间间隔的方差值。
4.如权利要求3所述的异常流量的检测方法,其特征在于,所述会话信息通过以下步骤进行归一化处理,包括:
保持协议类型不变;
端口特征值除以第一预设值;
ICMP类型值和ICMP代码值除以第二预设值。
5.如权利要求4所述的异常流量的检测方法,其特征在于,还包括:
获取TCP标志位、一个会话中数据包时间间隔的平均值或一个会话中数据包时间间隔的方差值中的最大值和最小值;
用最大最小规范化算法将所述TCP标志位、一个会话中数据包时间间隔的平均值或一个会话中数据包时间间隔的方差值归一化到0-1之间。
6.一种异常流量的检测装置,其特征在于,包括:
获取模块,用于获取网络数据包,并提取所述网络数据包之中的会话信息和网络应用层负载信息,所述网络应用层负载信息为网络应用层负载数据中预设字节长度的部分;
第一生成模块,用于根据所述会话信息和所述网络应用层负载信息生成检测样本;
第二生成模块,用于根据所述检测样本生成抽象特征;以及
分类模块,用于根据所述抽象特征进行分类以检测异常流量。
7.如权利要求6所述的异常流量的检测装置,其特征在于,还包括:
处理模块,用于在所述根据所述会话信息和所述网络应用层负载信息生成检测样本之后,对所述检测样本进行归一化处理。
8.一种计算机设备,其特征在于,包括处理器和存储器;
其中,所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于实现如权利要求1-5中任一所述的异常流量的检测方法。
9.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一所述的异常流量的检测方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811207593.3/1.html,转载请声明来源钻瓜专利网。
