[发明专利]一种网络流量的异常检测方法及装置

说明书

本说明书提供一种网络流量的异常检测方法及装置，所述方法包括：按照预设周期对网络中的网络设备对应的监控对象的流量数据进行监控；根据训练好的流量关系模型对监控对象的流量数据进行流量正常或异常的检测，流量关系模型是根据内部网络中网络设备的监控对象在预设周期内接收和发送的流量构建的；当确定所述流量为异常流量时，根据所述监控对象进行溯源，本公开对特定监控对象对应的流量数据进行监控和分析，从而可以将异常检测和异常流量的溯源统一起来，例如可以根据物理端口或者用户的网络账号进行溯源，将大幅减少异常流量溯源的时间。

技术领域

本说明书涉及网络安全技术领域，尤其涉及一种网络流量的异常检测方法及装置。

背景技术

网络空间是数字化世界，数字世界中的各种表象都是通过数据产生、流动和呈现来表达的。网络空间数据检测和分析是网络空间安全检测、分析、告警和呈现的最基本途径。网络数据的流动是网络攻击产生和扩散的来源。因此，对流动的网络数据进行检测和分析是网络安全检测和分析的关键所在。网络异常流量检测分析一直是网络安全领域检测分析重点之一。

网络异常流量检测分析通过在网络中的一些核心节点部署流量探针采集网络流量，如在组织内外部网络边界节点采集内外部网络流量等，在对网络流量的成分进行精细化特征分析：

例如按照流量的方向进行流量特征分析：上行流量、下行流量；

例如按照流量协议类型进行流量特征分析：传输控制协议TCP(TransmissionControl Protocol)流量、用户数据报协议UDP(User Datagram Protocol)流量、Internet控制报文协议ICMP(Internet Control Message Protocol)流量等；

例如对流量的一些内涵特征分析：新建连接数、断开连接数等；

最后将流量所有特征构建为一个特征描述向量，标识流量数据集，再通过回归分析、机器学习、深度学习等方法构建流量检测分析模型，进行参数回归或训练，最终实现网络异常流量检测分析。

现有的方案主要采集网络核心节点处的流量作为分析对象，如将内网和外网边界的流量作为分析对象，此处流量已经混合很多用户网络流量，实现流量异常检测后，还需要进行异常流量的溯源，检测与溯源是分开进行，这样会比较浪费时间。

发明内容

为克服相关技术中存在的问题，本说明书提供了一种网络流量的异常检测方法及装置。

根据本说明书实施例的第一方面，提供一种网络流量的异常检测方法，所述方法包括：

按照预设周期对网络中的网络设备对应的监控对象的流量数据进行监控；

根据训练好的流量关系模型对监控对象的流量数据进行流量正常或异常的检测，其中，所述流量关系模型是根据内部网络中网络设备的监控对象在预设周期内接收和发送的流量构建的；

当确定所述流量为异常流量时，根据所述监控对象进行溯源；

其中，所述监控对象为网络设备的物理端口或者使用网络设备的用户的网络账号。

可选的，当所述监控对象为物理端口时，所述根据训练好的流量关系模型对监控对象的流量数据进行流量正常或异常的检测，包括：

根据获取到的流入各物理端口的流量数据构建入口流量向量、根据获取到的从各物理端口流出的流量构建出口流量向量；

根据入口流量向量和出口流量向量生成流量矩阵；

将所述流量矩阵输入至训练好的流量关系模型对各物理端口的流量数据进行流量正常或异常的检测。

可选的，当所述监控对象为物理端口时，所述根据训练好的流量关系模型对监控对象的流量数据进行流量正常或异常的检测，包括：