【技術實現步驟摘要】
本專利技術涉及網絡流量異常檢測,具體而言,涉及一種基于機器學習的網絡流量異常檢測方法。
技術介紹
1、隨著網絡技術的快速發展,網絡流量數據量呈爆炸性增長,如何有效地檢測出異常流量成為網絡安全領域的重要問題,傳統的異常檢測方法主要基于固定的規則或模型,對于復雜多變的網絡流量往往難以準確檢測,因此,急需一種能夠自適應學習并準確檢測網絡流量異常的方法。
2、現有的網絡流量異常檢測方法中還存在以下幾個方面的問題:1、當前網絡流量異常檢測中可以識別出異常終端設備ip,但未結合在線時長、消耗流量和流量傳輸速度對異常終端設備ip的流量異常預警情況進行深度分析,一些惡意行為或異常流量模式可能隱藏在更深層次的網絡流中,僅通過ip地址分析可能無法發現這些異常,無法更準確地檢測和預警潛在的流量異常,同時缺乏全面的流量異常分析可能導致應對策略的局限性。
3、2、當前可以檢測出流量異常的終端設備,但對各異常終端設備的流量異常類型未進行深度分析,即未對異常運行app或者異常訪問網頁網址的確認進行深度分析,不知道異常流量的具體類型,就無法制定針對性的措施來處理或緩解問題,沒有深度分析,檢測和預防流量異常的效率可能會降低,可能需要更多的時間和資源來定位和解決問題,從而增加了運營成本和風險,同時異常的app或網頁訪問可能導致網絡延遲、數據泄露或其他不良的用戶體驗問題。
技術實現思路
1、鑒于此,為解決上述
技術介紹
中所提出的問題,現提出一種基于機器學習的網絡流量異常檢測方法。
2、
3、s2、嚴重異常終端設備ip反饋:提取各異常終端設備ip在當前監測周期內的各次連接對應的在線時長、消耗流量和流量傳輸速度,分析各異常終端設備ip的流量異常預警系數,確認當前監測周期內的各嚴重異常終端設備ip,并將各嚴重異常終端設備ip反饋至網絡管理員。
4、s3、異常終端設備確認:提取目標公司的各終端設備在歷史各監測日的各監測時間段對應的消耗流量,并采集各終端設備在當前監測日的各監測時間段對應的消耗流量,確認目標公司在當前監測日的各監測時間段對應的各異常終端設備。
5、s4、流量異常類型反饋:提取目標公司的各終端設備的歷史使用記錄,得到各終端設備的歷史使用信息,并提取目標公司在當前監測日的各監測時間段對應的各異常終端設備的ip、后臺運行各app名稱和訪問的各網頁網址,確認當前監測日的各監測時間段對應的各異常終端設備的流量異常類型,并將各異常終端設備的流量異常類型反饋至網絡管理員。
6、具體地,所述確認當前監測周期內的各異常終端設備ip的方式為:將目標公司的無限局域網在當前監測周期內所連接的終端設備ip與目標公司的終端設備ip庫內的終端設備ip進行匹配對比,若當前監測周期內所連接的某終端設備ip不位于終端設備ip庫內,則將該終端設備ip記為異常終端設備ip,由此得到當前監測周期內的各異常終端設備ip。
7、具體地,所述分析各異常終端設備ip的流量異常預警系數,具體分析過程為:a1、基于各異常終端設備ip在當前監測周期內的各次連接對應的在線時長、消耗流量和流量傳輸速度,計算各異常終端設備ip在當前監測周期內的各次連接對應的流量異常行為指數χij,其中,i表示異常終端設備ip的編號,i=1,2,...,n,j表示各次連接的編號,j=1,2,...,m。
8、a2、將各異常終端設備ip在當前監測周期內的各次連接對應的流量異常行為指數與設定參照的流量異常行為指數進行對比,若某次連接對應的流量異常行為指數大于或者等于設定參照的流量異常行為指數,則將該次連接記為嚴重異常連接,統計各異常終端設備ip在當前監測周期內的嚴重異常連接次數,記為βi。
9、a3、計算各異常終端設備ip的流量異常預警系數δi,其中,χ′和k1分別表示設定參照的流量異常行為指數和嚴重異常連接次數占比,a1和a2分別表示設定的流量異常行為指數和嚴重異常連接次數占比對應流量異常預警占比權重,m表示連接次數。
10、具體地,所述計算各異常終端設備ip在當前監測周期內的各次連接對應的流量異常行為指數,具體計算過程為:b1、將各異常終端設備ip在當前監測周期內的各次連接對應的在線時長、消耗流量和流量傳輸速度分別記為tij、εij和vij。
11、b2、計算各異常終端設備ip在當前監測周期內的各次連接對應的流量異常行為指數χij,其中,t′、ε′和v′分別表示設定參照的在線時長、消耗流量和流量傳輸速度,a3、a4和a5分別表示設定的在線時長、消耗流量和流量傳輸速度對應流量異常行為評估占比權重。
12、具體地,所述確認當前監測周期內的各嚴重異常終端設備ip的方式為:將各異常終端設備ip的流量異常預警系數與設定參照的流量異常預警系數進行對比,并將流量異常預警系數大于或者等于設定參照的流量異常預警系數的異常終端設備ip記為嚴重異常終端設備ip,由此得到當前監測周期內的各嚴重異常終端設備ip。
13、具體地,所述確認目標公司在當前監測日的各監測時間段對應的各異常終端設備,具體確認方式為:c1、將目標公司的各終端設備在歷史各監測日的各監測時間段對應的消耗流量進行均值計算,得到各終端設備在歷史監測日的各監測時間段對應的消耗流量。
14、c2、以監測時間段為橫坐標,以消耗流量為縱坐標,根據各終端設備在歷史監測日的各監測時間段對應的消耗流量,建立各終端設備在歷史監測日的消耗流量波動圖,并將消耗流量波動圖上的各點記為各參照點。
15、c3、將各終端設備在當前監測日的各監測時間段對應的消耗流量標注在對應消耗流量波動圖中,并將各標注點記為各目標標注點,若某監測時間段對應的目標標注點位于對應監測時間段的參照點上方,則提取該監測時間段對應的目標標注點與參照點之間的距離,并將其記為該監測時間段的消耗流量偏差,由此得到各終端設備在各監測時間段的消耗流量偏差。
16、c4、將各終端設備在各監測時間段的消耗流量偏差與設定參照的消耗流量偏差進行對比,若某終端設備在某監測時間段的消耗流量偏差大于設定參照的消耗流量偏差,則將該終端設備在該監測時間段記為異常終端設備,由此得到目標公司在當前監測日的各監測時間段對應的各異常終端設備。
17、具體地,所述歷史使用信息包括歷史運行的各app名稱和歷史訪問的各網頁網址。
18、具體地,所述確認當前監測日的各監測時間段對應的各異常終端設備的流量異常類型,具體確認方式為:d1、從各終端設備的歷史使用信息中提取歷史運行的各app名稱和歷史訪問的各網頁網址,構建各終端設備的歷史運行app名稱本文檔來自技高網...
【技術保護點】
1.一種基于機器學習的網絡流量異常檢測方法,其特征在于,包括如下步驟:
2.根據權利要求1所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述確認當前監測周期內的各異常終端設備IP的方式為:將目標公司的無限局域網在當前監測周期內所連接的終端設備IP與目標公司的終端設備IP庫內的終端設備IP進行匹配對比,若當前監測周期內所連接的某終端設備IP不位于終端設備IP庫內,則將該終端設備IP記為異常終端設備IP,由此得到當前監測周期內的各異常終端設備IP。
3.根據權利要求1所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述分析各異常終端設備IP的流量異常預警系數,具體分析過程為:
4.根據權利要求3所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述計算各異常終端設備IP在當前監測周期內的各次連接對應的流量異常行為指數,具體計算過程為:
5.根據權利要求1所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述確認當前監測周期內的各嚴重異常終端設備IP的方式為:將各異常終端設備IP的流量異常預警系數與設
6.根據權利要求1所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述確認目標公司在當前監測日的各監測時間段對應的各異常終端設備,具體確認方式為:
7.根據權利要求1所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述歷史使用信息包括歷史運行的各app名稱和歷史訪問的各網頁網址。
8.根據權利要求7所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述確認當前監測日的各監測時間段對應的各異常終端設備的流量異常類型,具體確認方式為:
...【技術特征摘要】
1.一種基于機器學習的網絡流量異常檢測方法,其特征在于,包括如下步驟:
2.根據權利要求1所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述確認當前監測周期內的各異常終端設備ip的方式為:將目標公司的無限局域網在當前監測周期內所連接的終端設備ip與目標公司的終端設備ip庫內的終端設備ip進行匹配對比,若當前監測周期內所連接的某終端設備ip不位于終端設備ip庫內,則將該終端設備ip記為異常終端設備ip,由此得到當前監測周期內的各異常終端設備ip。
3.根據權利要求1所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述分析各異常終端設備ip的流量異常預警系數,具體分析過程為:
4.根據權利要求3所述的一種基于機器學習的網絡流量異常檢測方法,其特征在于:所述計算各異常終端設備ip在當前監測周期內的各次連接對應的流量異常行為指數,具體計算過程為:
5.根據權利要求1所...
【專利技術屬性】
技術研發人員:張燕平,靳黎忠,宋雪嬌,彭超,王發發,李中文,雷祥,楊人眾,
申請(專利權)人:太原清眾鑫科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。