[go: up one dir, main page]

CN118827106B - 流量异常检测方法、装置、设备及可读存储介质 - Google Patents

流量异常检测方法、装置、设备及可读存储介质

Info

Publication number
CN118827106B
CN118827106B CN202311622633.1A CN202311622633A CN118827106B CN 118827106 B CN118827106 B CN 118827106B CN 202311622633 A CN202311622633 A CN 202311622633A CN 118827106 B CN118827106 B CN 118827106B
Authority
CN
China
Prior art keywords
flow
determining
data
internet
things equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311622633.1A
Other languages
English (en)
Other versions
CN118827106A (zh
Inventor
周憧
顾仁龙
钟善君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Mobile Information System Integration Co ltd
China Mobile Communications Group Co Ltd
China Mobile Group Zhejiang Co Ltd
China Mobile Zhejiang Innovation Research Institute Co Ltd
Original Assignee
Zhejiang Mobile Information System Integration Co ltd
China Mobile Communications Group Co Ltd
China Mobile Group Zhejiang Co Ltd
China Mobile Zhejiang Innovation Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Mobile Information System Integration Co ltd, China Mobile Communications Group Co Ltd, China Mobile Group Zhejiang Co Ltd, China Mobile Zhejiang Innovation Research Institute Co Ltd filed Critical Zhejiang Mobile Information System Integration Co ltd
Priority to CN202311622633.1A priority Critical patent/CN118827106B/zh
Publication of CN118827106A publication Critical patent/CN118827106A/zh
Application granted granted Critical
Publication of CN118827106B publication Critical patent/CN118827106B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及流量异常检测领域,提供一种流量异常检测方法、装置、设备及可读存储介质。流量异常检测方法包括:根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长;基于数据采集步长采集待检测物联网设备的各流量特征的数据;根据各流量特征的数据,确定各流量特征的差异度;基于差异度对待检测物联网设备进行流量异常检测。本申请通过物联网设备的历史流量信息和设备信息,确定数据采集步长,基于数据采集步长,采用滑动窗口机制进行流量数据采集,保证了数据采集质量。根据采集的流量特征数据计算各流量特征的差异度,基于差异度进行流量异常检测。通过差异度反映流量特征的异常情况,保证了流量异常检测的准确性。

Description

流量异常检测方法、装置、设备及可读存储介质
技术领域
本申请涉及流量异常检测领域,具体涉及一种流量异常检测方法、装置、设备及可读存储介质。
背景技术
基于物联网设备的动态性、复杂性及设备异构性,物联网设备暴露出了越来越多的安全问题,并且针对物联网设备的大部分入侵行为都是通过网络方式进行渗透的,因此需要对物联网设备的流量进行异常检测。然而,目前通常是通过防火墙等技术对流量进行检测。但由于物联网设备硬件资源有限,无法使用现有的防火墙技术检测物联网设备的流量是否异常。
发明内容
本申请实施例提供一种流量异常检测方法、装置、设备及可读存储介质,用以解决现有防火墙技术无法检测物联网设备的流量是否异常的技术问题。
第一方面,本申请实施例提供一种流量异常检测方法,包括:
根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长;
基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据;
根据各所述流量特征的数据,确定各所述流量特征的差异度;
基于所述差异度对所述待检测物联网设备进行流量异常检测。
在一个实施例中,所述根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长包括:
根据待检测物联网设备的设备信息,确定时长调整系数;
根据待检测物联网设备的历史流量数据,确定基础时长;
基于所述基础时长和所述时长调整系数,确定数据采集步长。
在一个实施例中,所述根据待检测物联网设备的设备信息,确定时长调整系数包括:
根据待检测物联网设备的设备信息,确定漏洞数量和最大漏洞影响系数;
基于所述漏洞数量和所述最大漏洞影响系数,确定时长调整系数。
在一个实施例中,所述根据待检测物联网设备的历史流量数据,确定基础时长包括:
根据待检测物联网设备的历史流量数据,确定流量均值、流量标准差以及流量极大值;
基于所述流量均值、所述流量标准差以及所述流量极大值,确定基础时长。
在一个实施例中,所述基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据包括:
从预设初始时刻开始,基于窗口长度和所述数据采集步长滑动所述窗口,采集窗口对应时间段内的各流量特征的数据,所述窗口长度为预设时长;
直至所述窗口到达预设终止时刻,或窗口滑动次数达到第一预设阈值,停止窗口滑动,得到各窗口对应时间段内各所述流量特征的数据。
在一个实施例中,所述根据各所述流量特征的数据,确定各所述流量特征的差异度包括:
在所述流量特征为源端口的情况下,基于所述源端口在各窗口对应时间段内出现的总量,各窗口对应时间段内不同源端口的数量,以及所有窗口对应时间段内不同源端口的数量,确定各窗口对应时间段内所述源端口的差异度。
在一个实施例中,所述基于所述差异度对所述待检测物联网设备进行流量异常检测包括:
在目标窗口对应时间段内各所述流量特征的差异度中存在大于第二预设阈值的差异度的情况下,确定所述待检测物联网设备流量异常;
在目标流量特征的差异度呈连续上升趋势的窗口数量属于预设区间的情况下,确定所述待检测物联网设备流量异常,所述预设区间基于窗口总数确定。
第二方面,本申请实施例提供一种流量异常检测装置,包括:
数据采集步长确定模块,用于根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长;
流量特征数据采集模块,用于基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据;
流量特征差异度确定模块,用于根据各所述流量特征的数据,确定各所述流量特征的差异度;
流量异常检测模块,用于基于所述差异度对所述待检测物联网设备进行流量异常检测。
第三方面,本申请实施例提供一种设备,包括处理器和存储有计算机程序的存储器,所述处理器执行所述计算机程序时实现第一方面所述的流量异常检测方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的流量异常检测方法。
本申请实施例提供的流量异常检测方法、装置、设备及可读存储介质,根据物联网设备的历史流量信息和设备信息,确定数据采集步长,基于各物联网设备的数据采集步长,采用滑动窗口机制进行流量数据采集,这样可以在少采集流量数据的基础上,保证了数据采集质量。根据采集的流量特征数据计算各流量特征的差异度,基于差异度进行流量异常检测。通过差异度反映流量特征的异常情况,保证了流量异常检测的准确性。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的流量异常检测方法的流程示意图之一;
图2是本申请实施例提供的流量异常检测方法的流程示意图之二;
图3是本申请实施例提供的流量异常检测方法中的流量图;
图4是本申请实施例提供的流量异常检测方法中的各段流量图的连续时长确定示意图;
图5是本申请实施例提供的流量异常检测装置的结构示意图;
图6是本申请实施例提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参照图1,图1是本申请实施例中流量异常检测方法的流程示意图之一。本申请实施例提供的流量异常检测方法,可以包括:
步骤100,根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长;
具体地,确定数据采集步长的过程包括如下三个步骤:
1、基于待检测物联网设备的历史流量数据,确定待检测物联网设备的基础时长;2、基于待检测物联网设备的设备信息,确定待检测物联网设备的时长调整系数;3、根据基础时长和时长调整系数确定数据采集步长。数据采集步长=基础时长×(1-时长调整系数)。上述步骤1和步骤2的详细内容将在下文详述。
步骤200,基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据;
具体地,本步骤采用滑动窗口机制,基于待检测物联网设备的数据采集步长采集流量数据,最终得到多个时间段内的流量特征数据。
步骤300,根据各所述流量特征的数据,确定各所述流量特征的差异度;
步骤400,基于所述差异度对所述待检测物联网设备进行流量异常检测。
具体地,根据采集到的多个时间段内各流量特征数据,可以计算各流量特征的差异度,最终基于各流量特征的差异度对待检测物联网设备进行流量异常检测。
本实施例通过物联网设备的历史流量信息和设备信息,确定数据采集步长,基于各物联网设备的数据采集步长,采用滑动窗口机制进行流量数据采集,这样可以在少采集流量数据的基础上,保证了数据采集质量。根据采集的流量特征数据计算各流量特征的差异度,基于差异度进行流量异常检测。通过差异度反映流量特征的异常情况,保证了流量异常检测的准确性。
参照图2,图2是本申请实施例中流量异常检测方法的流程示意图之二,在一个实施例中,本申请实施例提供的流量异常检测方法,还可以包括:
步骤110,根据待检测物联网设备的设备信息,确定时长调整系数;
步骤120,根据待检测物联网设备的历史流量数据,确定基础时长;
步骤130,基于所述基础时长和所述时长调整系数,确定数据采集步长。
本申请实施例提供的流量异常检测方法,还可以包括:
步骤111,根据待检测物联网设备的设备信息,确定漏洞数量和最大漏洞影响系数;
步骤112,基于所述漏洞数量和所述最大漏洞影响系数,确定时长调整系数。
本申请实施例提供的流量异常检测方法,还可以包括:
步骤121,根据待检测物联网设备的历史流量数据,确定流量均值、流量标准差以及流量极大值;
步骤122,基于所述流量均值、所述流量标准差以及所述流量极大值,确定基础时长。
具体地,根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长的具体步骤如下:
1、确定待检测物联网设备的基础时长;
1.1、获取待检测物联网设备的历史流量数据。
如图3所示,历史流量数据以流量图的形式表示,记录了单位时间内待检测物联网设备的流量值数据。是基于待检测物联网设备上存储的流量日志得到的。
1.2、根据历史流量数据确定流量的均值μ和标准差σ,以及各个流量极大值。
如图3所示,流量极大值包括极值1、极值2、极值3和极值4,均值和标准差的计算基于常规计算方法确定。
1.3、根据极大值将流量图分段。
如图3所示的流量图,可分为开始至极值1、极值1至极值2、极值2至极值3、极值3至极值4以及极值4至当前5段。
1.4、确定各段中数值位于[μjj,μjj]的连续时长。
其中,j为流量图的第j段,μj为第j段的流量均值,σj为第j段的流量标准差。如图4所示,若极值2和极值3之间的段为j,实水平线是μj,上下的虚水平线分别为μjj和μjj。那么图4中的点1和点2之间的时长即是该段中数值位于[μjj,μjj]的连续时长。
1.5、确定是否存在段均值位于[μ-σ,μ+σ]的段。
如果存在,则确定段均值位于[μ-σ,μ+σ]的段中的最短连续时长,将该时长作为待检测物联网设备的基础时长;如果不存在,将距离[μ-σ,μ+σ]最近的一个段的连续时长作为待检测物联网设备的基础时长,如果有多个段距离[μ-σ,μ+σ]都最近,则将多个段中的最短连续时长作为待检测物联网设备的基础时长。
2、确定待检测物联网设备的时长调整系数;
2.1、确定待检测物联网设备i的漏洞数量NBi和最大漏洞影响系数EBi
漏洞是物联网设备本身配置以及后续升级等的漏洞,如软件漏洞等。漏洞数量可以通过待检测物联网设备出厂参数与后续发布的漏洞信息得到。如果出厂配置后续被公示存在某一漏洞,那么认为该待检测物联网设备的漏洞数据加1。在公示存在的漏洞的时候,会对漏洞影响进行描述,同时会确定该漏洞的影响(以影响系数的形式表示)。
2.2、确定待检测物联网设备的时长调整系数。
其中,NB为所有物联网设备的最大漏洞数量,EB为所有物联网设备的最大漏洞影响。
在上述步骤1中确定了待检测物联网设备的基础时长,但是不同的物联网设备由于其自身配置的不同,其被攻击的难易程度不同,也会导致在实际应用中被攻击的可能性不同。虽然基础时长能够表征各待检测物联网设备的特征,基于基础时长采集到的数据可以进行异常检测,但是为了更加提升采集效率,对于容易被攻击的物联网设备,其实不用采集整个基础时长的数据,也可以得到准确的分析结果,针对此种情况,本实施例会基于物联网设备本身的漏洞情况反映物联网设备的易攻击程度,进而对实际采集的时长进行调整,采集最少得数据,得到最准确的检测结果。
3、根据基础时长和时长调整系数确定数据采集步长。
数据采集步长=基础时长×(1-时长调整系数)
本实施例通过待检测物联网设备的历史流量数据和设备信息,确定数据采集步长,为后续的流量数据采集奠定基础。
在一个实施例中,本申请实施例提供的流量异常检测方法,还可以包括:
步骤210,从预设初始时刻开始,基于窗口长度和所述数据采集步长滑动所述窗口,采集窗口对应时间段内的各流量特征的数据,所述窗口长度为预设时长;
步骤220,直至所述窗口到达预设终止时刻,或窗口滑动次数达到第一预设阈值,停止窗口滑动,得到各窗口对应时间段内各所述流量特征的数据。
具体地,本实施例采用滑动窗口机制进行采集。将预设时长作为一个窗口的长度,从预设初始时刻开始,在一个窗口长度对应的时间段内采集待检测物联网设备的流量数据。然后按照数据采集步长将窗口后移,再在一个窗口长度对应的时间段内采集待检测物联网设备的流量数据。重复按照数据采集步长后移窗口,直至窗口移到预设终止时刻,或者,窗口滑动次数达到第一预设阈值。
基于上述窗口滑动机制会采集到n个时间段内的流量特征数据,每个时间段的时长是相同的,每个时间段与前一时间段的偏移度也是相同的(均为数据采集步长)。采集的流量特征包括源IP,目的IP,源端口,目的端口以及协议类型等。
本实施例通过待检测物联网设备的数据采集步长,采用滑动窗口机制进行流量特征数据的采集。
在一个实施例中,本申请实施例提供的流量异常检测方法,还可以包括:
步骤310,在所述流量特征为源端口的情况下,基于所述源端口在各窗口对应时间段内出现的总量,各窗口对应时间段内不同源端口的数量,以及所有窗口对应时间段内不同源端口的数量,确定各窗口对应时间段内所述源端口的差异度。
具体地,以流量特征数据源端口为例进行说明。
针对每个窗口采集的流量特征数据,计算每个采集内容的差异度。
窗口w采集的源端口流量特征数据,源端口差异度Y如公式1所示,其中,c为源端口中任一源端口,为待检测物联网设备i的窗口w采集到的流量特征数据中源端口c出现的数据总量;niw(sourceD)为待检测物联网设备i的窗口w采集到的流量特征数据中不同源端口的数量;ni(sourceD)为待检测物联网设备i的所有窗口采集到的流量特征数据中不同源端口的数量。
同理,可以基于上述公式1计算源IP、目的IP、目的端口以及协议类型的差异度。
本实施例通过采集到的各流量特征的数据,计算各流量特征的差异度。
在一个实施例中,本申请实施例提供的流量异常检测方法,还可以包括:
步骤410,在目标窗口对应时间段内各所述流量特征的差异度中存在大于第二预设阈值的差异度的情况下,确定所述待检测物联网设备流量异常;
步骤420,在目标流量特征的差异度呈连续上升趋势的窗口数量属于预设区间的情况下,确定所述待检测物联网设备流量异常,所述预设区间基于窗口总数确定。
具体地,基于各窗口对应时间段内各流量特征的差异度,对待检测物联网设备进行流量异常检测。
如果存在大于预设阈值(即本实施例中的第二预设阈值)的流量特征差异度,则说明该处差异较大,可以确定待检测物联网设备流量异常。例如,窗口w中的源IP的差异度大于预设阈值,则说明在该窗口中出现大量的不同的源IP,此时待检测物联网设备可能被攻击。
如果存在连续m个窗口的流量特征差异度呈上升趋势,则说明存在流量特征差异度异常,对待检测物联网设备进行攻击检测。其中,m属于min(NW,5),NW为待检测物联网设备的数据采集总窗口数的三分之一,即如果连续5个窗口,或者总窗口数的三分之一的窗口的差异度呈上升趋势,那么可能存在流量异常。
本实施例通过各流量特征的差异度进行流量异常检测,通过差异度反映了流量特征的异常情况,保证了流量异常检测的准确性。
参考图5,图5是本申请实施例中流量异常检测装置的结构示意图,下面对本申请实施例提供的流量异常检测装置进行描述,下文描述的流量异常检测装置与上文描述的流量异常检测方法可相互对应参照。
数据采集步长确定模块501,用于根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长;
流量特征数据采集模块502,用于基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据;
流量特征差异度确定模块503,用于根据各所述流量特征的数据,确定各所述流量特征的差异度;
流量异常检测模块504,用于基于所述差异度对所述待检测物联网设备进行流量异常检测。
可选地,所述数据采集步长确定模块包括:
时长调整系数确定单元,用于根据待检测物联网设备的设备信息,确定时长调整系数;
基础时长确定单元,用于根据待检测物联网设备的历史流量数据,确定基础时长;
数据采集步长确定单元,用于基于所述基础时长和所述时长调整系数,确定数据采集步长。
可选地,所述时长调整系数确定单元包括:
漏洞数据确定单元,用于根据待检测物联网设备的设备信息,确定漏洞数量和最大漏洞影响系数;
第一确定单元,用于基于所述漏洞数量和所述最大漏洞影响系数,确定时长调整系数。
可选地,所述基础时长确定单元包括:
流量相关值确定单元,用于根据待检测物联网设备的历史流量数据,确定流量均值、流量标准差以及流量极大值;
第二确定单元,用于基于所述流量均值、所述流量标准差以及所述流量极大值,确定基础时长。
可选地,所述流量特征数据采集模块包括:
窗口滑动单元,用于从预设初始时刻开始,基于窗口长度和所述数据采集步长滑动所述窗口,采集窗口对应时间段内的各流量特征的数据,所述窗口长度为预设时长;
流量特征数据采集单元,用于直至所述窗口到达预设终止时刻,或窗口滑动次数达到第一预设阈值,停止窗口滑动,得到各窗口对应时间段内各所述流量特征的数据。
可选地,所述流量特征差异度确定模块包括:
流量特征差异度确定单元,用于在所述流量特征为源端口的情况下,基于所述源端口在各窗口对应时间段内出现的总量,各窗口对应时间段内不同源端口的数量,以及所有窗口对应时间段内不同源端口的数量,确定各窗口对应时间段内所述源端口的差异度。
可选地,所述流量异常检测模块包括:
第一流量异常检测单元,用于在目标窗口对应时间段内各所述流量特征的差异度中存在大于第二预设阈值的差异度的情况下,确定所述待检测物联网设备流量异常;
第二流量异常检测单元,用于在目标流量特征的差异度呈连续上升趋势的窗口数量属于预设区间的情况下,确定所述待检测物联网设备流量异常,所述预设区间基于窗口总数确定。
图6示例了一种设备的实体结构示意图,如图6所示,该设备可以包括:处理器(processor)610、通信接口(Communication Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的计算机程序,以执行流量异常检测方法的步骤。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,且所述计算机程序被处理器执行时,计算机能够执行上述各实施例所提供的流量异常检测方法的步骤。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的流量异常检测方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (8)

1.一种流量异常检测方法,其特征在于,包括:
根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长;
基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据;
根据各所述流量特征的数据,确定各所述流量特征的差异度;
基于所述差异度对所述待检测物联网设备进行流量异常检测;
所述根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长包括:
根据待检测物联网设备的设备信息,确定时长调整系数;
根据待检测物联网设备的历史流量数据,确定基础时长;
基于所述基础时长和所述时长调整系数,确定数据采集步长;
所述根据待检测物联网设备的设备信息,确定时长调整系数包括:
根据待检测物联网设备的设备信息,确定漏洞数量和最大漏洞影响系数;
基于所述漏洞数量和所述最大漏洞影响系数,确定时长调整系数。
2.根据权利要求1所述的流量异常检测方法,其特征在于,所述根据待检测物联网设备的历史流量数据,确定基础时长包括:
根据待检测物联网设备的历史流量数据,确定流量均值、流量标准差以及流量极大值;
基于所述流量均值、所述流量标准差以及所述流量极大值,确定基础时长。
3.根据权利要求1所述的流量异常检测方法,其特征在于,所述基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据包括:
从预设初始时刻开始,基于窗口长度和所述数据采集步长滑动所述窗口,采集窗口对应时间段内的各流量特征的数据,所述窗口长度为预设时长;
直至所述窗口到达预设终止时刻,或窗口滑动次数达到第一预设阈值,停止窗口滑动,得到各窗口对应时间段内各所述流量特征的数据。
4.根据权利要求3所述的流量异常检测方法,其特征在于,所述根据各所述流量特征的数据,确定各所述流量特征的差异度包括:
在所述流量特征为源端口的情况下,基于所述源端口在各窗口对应时间段内出现的总量,各窗口对应时间段内不同源端口的数量,以及所有窗口对应时间段内不同源端口的数量,确定各窗口对应时间段内所述源端口的差异度。
5.根据权利要求4所述的流量异常检测方法,其特征在于,所述基于所述差异度对所述待检测物联网设备进行流量异常检测包括:
在目标窗口对应时间段内各所述流量特征的差异度中存在大于第二预设阈值的差异度的情况下,确定所述待检测物联网设备流量异常;
在目标流量特征的差异度呈连续上升趋势的窗口数量属于预设区间的情况下,确定所述待检测物联网设备流量异常,所述预设区间基于窗口总数确定。
6.一种流量异常检测装置,其特征在于,包括:
数据采集步长确定模块,用于根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长;
流量特征数据采集模块,用于基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据;
流量特征差异度确定模块,用于根据各所述流量特征的数据,确定各所述流量特征的差异度;
流量异常检测模块,用于基于所述差异度对所述待检测物联网设备进行流量异常检测;
所述根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长包括:
根据待检测物联网设备的设备信息,确定时长调整系数;
根据待检测物联网设备的历史流量数据,确定基础时长;
基于所述基础时长和所述时长调整系数,确定数据采集步长;
所述根据待检测物联网设备的设备信息,确定时长调整系数包括:
根据待检测物联网设备的设备信息,确定漏洞数量和最大漏洞影响系数;
基于所述漏洞数量和所述最大漏洞影响系数,确定时长调整系数。
7.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一项所述的流量异常检测方法。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述流量异常检测方法。
CN202311622633.1A 2023-11-29 2023-11-29 流量异常检测方法、装置、设备及可读存储介质 Active CN118827106B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311622633.1A CN118827106B (zh) 2023-11-29 2023-11-29 流量异常检测方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311622633.1A CN118827106B (zh) 2023-11-29 2023-11-29 流量异常检测方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN118827106A CN118827106A (zh) 2024-10-22
CN118827106B true CN118827106B (zh) 2025-11-28

Family

ID=93075554

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311622633.1A Active CN118827106B (zh) 2023-11-29 2023-11-29 流量异常检测方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN118827106B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN120415909B (zh) * 2025-07-02 2025-11-04 远江盛邦安全科技集团股份有限公司 隐蔽扫描行为识别方法、装置、设备、介质及程序

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115023926A (zh) * 2020-04-15 2022-09-06 深圳市欢太科技有限公司 流量检测方法、装置、服务器以及存储介质
CN115150248A (zh) * 2021-03-16 2022-10-04 中国移动通信集团江苏有限公司 网络流量异常检测方法、装置、电子设备和存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI779245B (zh) * 2019-10-31 2022-10-01 安碁資訊股份有限公司 異常流量偵測方法與異常流量偵測裝置
CN113300905B (zh) * 2021-04-16 2022-08-23 广州技象科技有限公司 一种流量预测自适应调整方法、装置、设备及存储介质
CN115811487B (zh) * 2022-12-08 2025-04-29 东软集团股份有限公司 系统流量数据的异常检测方法、装置、介质和电子设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115023926A (zh) * 2020-04-15 2022-09-06 深圳市欢太科技有限公司 流量检测方法、装置、服务器以及存储介质
CN115150248A (zh) * 2021-03-16 2022-10-04 中国移动通信集团江苏有限公司 网络流量异常检测方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
CN118827106A (zh) 2024-10-22

Similar Documents

Publication Publication Date Title
US11140197B2 (en) Method and apparatus for DDoS attack detection
CN107154950B (zh) 一种日志流异常检测的方法及系统
CN117523299B (zh) 一种基于计算机网络图像识别方法、系统和存储介质
CN117439827B (zh) 一种网络流量大数据分析方法
EP3534232B1 (en) A safety monitoring method and apparatus for an industrial control system
CN118827106B (zh) 流量异常检测方法、装置、设备及可读存储介质
CN117834301B (zh) 一种基于物联网的网络安全通信控制方法及系统
CN109344610B (zh) 序列攻击的检测方法及装置
CN114338372B (zh) 网络信息安全监控方法及系统
CN112272176A (zh) 一种基于大数据平台的网络安全防护方法及系统
CN117527379A (zh) 网络攻击预警方法、装置、电子设备和和存储介质
CN117792671A (zh) 一种基于自然语言处理技术的交互式溯源分析方法及系统
CN111478921A (zh) 一种隐蔽信道通信检测方法、装置及设备
CN118233174A (zh) 一种网络安全异常信息监测方法及系统
CN110224852A (zh) 基于htm算法的网络安全监测方法及装置
CN118075017A (zh) 一种网络信息安全防护检测方法及系统
CN113645215A (zh) 异常网络流量数据的检测方法、装置、设备及存储介质
CN116448219B (zh) 油位异常检测方法、装置、设备及计算机可读存储介质
CN115454028B (zh) 一种基于双谱分析的工控虚假数据注入检测方法
CN115001954B (zh) 一种网络安全态势感知方法、装置及系统
CN113779564B (zh) 一种安全事件预测方法及装置
CN117375976A (zh) 一种现场总线网络静默型入侵设备检测方法及其相关设备
CN114389830A (zh) DDoS攻击检测方法、装置、设备和可读存储介质
RU2696296C1 (ru) Способ обнаружения аномалий в трафике магистральных сетей Интернет на основе мультифрактального эвристического анализа
CN114629723A (zh) 一种攻击检测方法、装置及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant