[发明专利]一种离群度检测方法

说明书

本发明提供一种离群度检测方法，包括：将所述IP特征参数集合W写入消息中心，记为原始数据；对所述消息中心的数据进行实时统计并将中间结果写回所述消息中心，所述中间结果包括对所述消息中心的原始数据或历史中间结果对应IP行为进行次数统计或累计；对所述消息中心的数据进行近实时统计并将计算结果写入所述消息中心，所述计算结果包括在给定时间内对所述消息中心的原始数据或历史计算结果对应IP行为进行次数统计或累计；获取所述计算结果并使用存在模型仓库里面的模型及参数信息库中的参数得到IP行为对应的离群度计算结果；基于离群度检测结果判断所述IP行为是否异常。本发明技术方案能够检测网络行为以全面解决网络的各种问题。

技术领域

本发明涉及计算机技术领域，特别涉及一种计算机事件的离群度检测方法。

背景技术

随着网络技术的飞速发展和网络时代的到来，网络所蕴含的广阔而丰富的资源，给人类社会带来了很多便利。然而，就在人们的生活越来越依赖网络的同时，由利益驱动而产生的网络安全事件却层出不穷，尤其在近几年，僵尸网络、域名放大分布式拒绝服务攻击、挂马等众多安全事件严重影响了网络的正常使用，也给社会各界带来了极大的危害，因此对这些事件的检测显得额外的重要。另外，使用一些网络域名，基于IP地址进行终端网站及应用的恶意注册、恶意申请也给网络服务商带来了极大的安全隐患。

除了上述网络问题外，僵尸网络也是一个影响网络安全的重要问题，但是僵尸网络由于多层级的特征导致其很难被追踪和溯源。

为了解决这个问题，目前常见的做法是进行蜜罐处理，将僵尸网络的信息提取后汇总然后在主干网上进行追踪。这类方法的主要问题是蜜罐只能被动地探测一些僵尸网络的信息。如果需要主动地获得僵尸网络的踪迹，需要利用僵尸网络进行活动的时候的行为特征进行追踪。现有技术还提供过一种分布式时空机理以处理僵尸网络，具体是指僵尸网络在进行DDoS攻击或者扫描时的IP聚类行为，结合其使用的DNS的Fast Flux行为特征，可以提取到僵尸网络节点的信息，从而为进一步追踪上层节点提供了可能。但是上述处理方式仍具有局限性，不能为网络端用户提供很好的解决策略。

发明内容

本发明技术方案解决的技术问题为，如何更好的检测网络行为以全面解决网络的各种问题。

为了解决上述技术问题，本发明技术方案提供了一种离群度检测方法，包括：

在联网进行IP行为时从服务器端收集IP特征参数集合W，并将所述IP特征参数集合W写入消息中心，记为原始数据；

对所述消息中心的数据进行实时统计并将中间结果写回所述消息中心，所述中间结果包括对所述消息中心的原始数据或历史中间结果对应IP行为进行次数统计或累计；

对所述消息中心的数据进行近实时统计并将计算结果写入所述消息中心，所述计算结果包括在给定时间内对所述消息中心的原始数据或历史计算结果对应IP行为进行次数统计或累计；

获取所述计算结果并使用存在模型仓库里面的模型及参数信息库中的参数得到IP行为对应的离群度计算结果；

基于离群度检测结果判断所述IP行为是否异常，所述离群度检测结果包括所述中间结果或所述离群度计算结果。

可选的，所述IP特征参数集合W包括：

至少一种网络信息，所述网络信息包括：IP地址信息、IP类型信息、TCP协议栈信息及通信网络类型信息；

至少一种设备信息，所述设备信息包括：设备类型信息、设备操作系统版本及型号信息、浏览器信息、设备品牌信息、设备机型信息及浏览器版本信息。

可选的，所述原始数据为所述IP特征参数集合W中参数对应IP行为的次数统计的初始化次数。

可选的，根据所述模型的数量，所述IP行为对应的离群度计算结果有多个。