[发明专利]异常网络流量的检测方法、装置、设备及存储介质

说明书

本发明实施例涉及计算机技术领域，特别涉及一种异常网络流量的检测方法、装置、设备及存储介质。该方法包括：对待检测网络进行流量采集，并对采集到的网络流量进行特征提取，得到待检测流量特征；将待检测流量特征与预先设置好的正常流量特征进行比较；基于比较结果，从采集到的网络流量中确定出异常网络流量，并将异常网络流量放行至预先设置好的多个沙箱空间中；基于沙箱空间的网络交互数据，构建网络结构图；对网络结构图进行社区发现处理，得到异常沙箱空间集合。上述方案可以更加准确地对异常网络流量进行检测。

技术领域

本发明实施例涉及计算机技术领域，特别涉及一种异常网络流量的检测方法、装置、设备及存储介质。

背景技术

异常网络流量的来源包括计算机病毒、黑客入侵、网络蠕虫、拒绝网络服务、使用非法软件、网络设备故障、非法占用网络带宽等，异常网络流量的检测是目前入侵检测系统研究的一个重要分支。

相关技术中，异常网络流量的检测方法主要包括基于网络流的检测方法和基于网络图的检测方法。其中，基于网络流的检测方法主要依据数据分组的头部信息计算网络流的统计特征，结合统计方法、机器学习或深度学习等技术实现异常流量检测；基于网络图的检测方法主要通过挖掘网络通信图中通信模式的潜在关系，发现异常行为。

然而，上述检测方法均较为单一，难以准确对异常网络流量进行检测。

发明内容

为了更加准确地对异常网络流量进行检测，本发明实施例提供了一种异常网络流量的检测方法、装置、设备及存储介质。

第一方面，本发明实施例提供了一种异常网络流量的检测方法，包括：

对待检测网络进行流量采集，并对采集到的网络流量进行特征提取，得到待检测流量特征；

将所述待检测流量特征与预先设置好的正常流量特征进行比较；其中，所述正常流量特征是利用深度学习算法对历史时间段内的流量特征进行分析得到的；

基于比较结果，从采集到的网络流量中确定出异常网络流量，并将所述异常网络流量放行至预先设置好的多个沙箱空间中；其中，每个所述沙箱空间均至少与一个其它沙箱空间具有通信链路；

基于所述沙箱空间的网络交互数据，构建网络结构图；其中，所述网络交互数据包括通信链路和网络入侵行为的类型，所述网络结构图包括第一节点和第二节点，所述第一节点为所有所述沙箱空间中最快产生网络入侵行为的沙箱空间，所述第二节点为与所述第一节点存在相关性的沙箱空间，所述第一节点和所述第二节点之间以及所述第二节点和所述第二节点之间的边关系为通信链路；

对所述网络结构图进行社区发现处理，得到异常沙箱空间集合。

在一种可能的设计中，所述将所述待检测流量特征与预先设置好的正常流量特征进行比较，包括：

基于采集到的网络流量的采集时间，确定该网络流量的所属时间段；

将所述待检测流量特征与预先设置好的该网络流量的所属时间段对应的正常流量特征进行比较。

在一种可能的设计中，所述基于所述沙箱空间的网络交互数据，构建网络结构图，包括：

获取第一沙箱空间的网络交互数据；其中，所述第一沙箱空间为所述第一节点；

将与所述第一沙箱空间具有通信链路的沙箱空间确定为第二沙箱空间；

将与所述第一沙箱空间具有相同的网络入侵行为的类型且与所述第二沙箱空间具有通信链路的沙箱空间确定为第三沙箱空间；其中，所述第二节点包括所述第二沙箱空间和所述第三沙箱空间。

在一种可能的设计中，在所述构建网络结构图之后和在所述对所述网络结构图进行社区发现处理之前，还包括：