【技術實現步驟摘要】
本申請涉及網絡協議異常檢測,具體而言,涉及一種網絡協議異常檢測方法、裝置及電子設備。
技術介紹
1、網絡協議是計算機網絡中進行數據交換而建立的規則、標準或約定的集合,其規定了通信實體之間交換的消息的格式、含義、序列以及響應機制,從而確保數據交換的精確性與傳輸的可靠性。然而,隨著網絡技術的快速發展,網絡協議在提升數據傳輸效率的同時,也暴露出了一些安全隱患,如arp欺騙、dns劫持等基于協議漏洞的攻擊手段,嚴重威脅著網絡的穩定性與用戶數據的安全性。
技術實現思路
1、為了至少克服現有技術中的上述不足,本申請的目的在于提供一種網絡協議異常檢測方法、裝置及電子設備。
2、第一方面,本申請實施例提供一種網絡協議異常檢測方法,所述網絡協議異常檢測方法包括:
3、采集待測網絡協議數據;
4、對所述待測網絡協議數據進行特征提取,得到待測數據集;
5、通過空間聚類算法確定所述待測數據集中的異常點及所述異常點對應的異常程度值,并通過局部異常檢測方法確定所述待測數據集中的各數據點分別對應的局部離群因子;
6、根據所述異常程度值和所述局部離群因子確定所述待測數據集中的各數據點分別對應的目標異常值;
7、根據所述目標異常值對所述目標異常值對應的網絡協議進行報警。
8、在一種可能的實現方式中,所述通過空間聚類算法確定所述待測數據集中的異常點及所述異常點對應的異常程度值的步驟,包括:
9、根據預設鄰域半徑閾值和預設鄰
10、根據所述預設鄰域半徑閾值確定各所述核心點分別對應的鄰域,并根據各所述核心點分別對應的鄰域判斷所述待測數據集中的數據點是否為異常點;
11、若是,則計算所述異常點對應的異常程度值。
12、在一種可能的實現方式中,所述異常程度值通過以下方式計算得到:
13、
14、其中,d(p,m)表示異常點與距離異常點最近的屬于同一聚類簇的預設數量的數據點的歐氏距離平均值,m表示距離異常點最近的屬于同一聚類簇的預設數量的數據點中的一個數據點,r表示預設鄰域半徑閾值。
15、在一種可能的實現方式中,所述通過局部異常檢測方法確定所述待測數據集中的各數據點分別對應的局部離群因子的步驟,包括:
16、根據預設近鄰數確定所述待測數據集中的各數據點對應的k-鄰近距離;
17、根據所述k-鄰近距離確定所述待測數據集中的各數據點對應的影響域和局部密度;
18、根據所述影響域和所述局部密度確定所述待測數據集中的各數據點對應的局部離群因子。
19、在一種可能的實現方式中,所述根據預設近鄰數確定所述待測數據集中的各數據點對應的k-鄰近距離的步驟,包括:
20、從所述待測數據集中選取第一待測數據點;
21、根據預設近鄰數確定第二待測數據點;
22、根據歐氏距離計算方法確定所述第一待測數據點和所述第二待測數據點之間的距離,從而得到k-鄰近距離;
23、所述第一待測數據點對應的k-鄰近距離通過以下方式計算得到:
24、
25、其中,p表示第一待測數據點,o表示第二待測數據點,k表示預設近鄰數,n表示數據點所屬的n維空間。
26、在一種可能的實現方式中,所述局部離群因子通過以下方式計算得到:
27、
28、其中,denavg(isk(p))表示第一待測數據點對應的影響域內各數據點的平均局部密度,den(p)表示第一待測數據點對應的局部密度,isk(p)表示第一待測數據點對應的影響域。
29、在一種可能的實現方式中,所述通過空間聚類算法確定所述待測數據集中的異常點的步驟,包括:
30、通過空間聚類算法確定所述待測數據集中的異常點,得到異常點數量;
31、所述根據所述異常程度值和所述局部離群因子確定目標異常值的步驟,包括:
32、對所述異常程度值和所述局部離群因子進行標準化,分別得到所述異常程度值對應的第一標準值和所述局部離群因子對應的第二標準值;
33、根據所述異常點數量確定權重參數;
34、根據所述權重參數、所述第一標準值和所述第二標準值計算目標異常值。
35、在一種可能的實現方式中,所述第一標準值通過以下方式計算得到:
36、
37、其中,dbscan(p)表示異常程度值,μ1表示通過空間聚類算法得到的各異常程度值的平均值,δ1表示通過空間聚類算法得到的各異常程度值的標準差;
38、所述第二標準值通過以下方式計算得到:
39、
40、其中,inflok(a)表示局部離群因子,μ2表示通過局部異常檢測方法得到的各局部離群因子的平均值,δ2表示通過局部異常檢測方法得到的各局部離群因子的標準差;
41、所述權重參數通過以下方式計算得到:
42、
43、其中,y表示待測數據集中各數據點的總數,x表示通過空間聚類算法得到的異常點數量,θ表示常數;
44、所述目標異常值通過以下方式計算得到:
45、score(a)=β×zs_dbscan(a)+(1-β)×zs_inflo(a)
46、其中,β表示權重參數;zs_dbscan(a)表示第一標準值,zs_inflo(a)表示第二標準值。
47、第二方面,本申請實施例還提供一種網絡協議異常檢測裝置,所述網絡協議異常檢測裝置包括:
48、采集模塊,用于采集待測網絡協議數據;
49、特征提取模塊,用于對所述待測網絡協議數據進行特征提取,得到待測數據集;
50、第一確定模塊,用于通過空間聚類算法確定所述待測數據集中的異常點及所述異常點對應的異常程度值,并通過局部異常檢測方法確定所述待測數據集中的各數據點分別對應的局部離群因子;
51、第二確定模塊,用于根據所述異常程度值和所述局部離群因子確定所述待測數據集中的各數據點分別對應的目標異常值;
52、報警模塊,用于根據所述目標異常值對所述目標異常值對應的網絡協議進行報警。
53、第三方面,本申請實施例還提供一種電子設備,所述電子設備包括處理器及機器可讀存儲介質,所述機器可讀存儲介質存儲有機器可執行指令,所述機器可執行指令在被所述處理器執行時,實現上述任意方面所述的方法。
54、基于上述任意一個方面,本申請實施例提供的網絡協議異常檢測方法、裝置及電子設備,通過改進的空間聚類算法和局部異常檢測方法分別得到異常程度值和局部離群因子,并根據異常程度值和局部離群因子得到目標異常值,如此,從密度聚類和局部異常角度兩個角度對網絡協議進行檢測,可以更準確地判別網絡異常協議,提升異常協議檢測的準確性。
本文檔來自技高網...【技術保護點】
1.一種網絡協議異常檢測方法,其特征在于,所述方法包括:
2.根據權利要求1所述的網絡協議異常檢測方法,其特征在于,所述通過空間聚類算法確定所述待測數據集中的異常點及所述異常點對應的異常程度值的步驟,包括:
3.根據權利要求2所述的網絡協議異常檢測方法,其特征在于,所述異常程度值通過以下方式計算得到:
4.根據權利要求1所述的網絡協議異常檢測方法,其特征在于,所述通過局部異常檢測方法確定所述待測數據集中的各數據點分別對應的局部離群因子的步驟,包括:
5.根據權利要求4所述的網絡協議異常檢測方法,其特征在于,所述根據預設近鄰數確定所述待測數據集中的各數據點對應的k-鄰近距離的步驟,包括:
6.根據權利要求5所述的網絡協議異常檢測方法,其特征在于,所述局部離群因子通過以下方式計算得到:
7.根據權利要求1所述的網絡協議異常檢測方法,其特征在于,所述通過空間聚類算法確定所述待測數據集中的異常點的步驟,包括:
8.根據權利要求7所述的網絡協議異常檢測方法,其特征在于,所述第一標準值通過以下方式計算得到:<...
【技術特征摘要】
1.一種網絡協議異常檢測方法,其特征在于,所述方法包括:
2.根據權利要求1所述的網絡協議異常檢測方法,其特征在于,所述通過空間聚類算法確定所述待測數據集中的異常點及所述異常點對應的異常程度值的步驟,包括:
3.根據權利要求2所述的網絡協議異常檢測方法,其特征在于,所述異常程度值通過以下方式計算得到:
4.根據權利要求1所述的網絡協議異常檢測方法,其特征在于,所述通過局部異常檢測方法確定所述待測數據集中的各數據點分別對應的局部離群因子的步驟,包括:
5.根據權利要求4所述的網絡協議異常檢測方法,其特征在于,所述根據預設近鄰數確定所述待測數據集中的各數據點對應的k-鄰近距離的步驟...
【專利技術屬性】
技術研發人員:劉欣雨,朱永強,鄭童瀚,
申請(專利權)人:成都網安科技發展有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。