[发明专利]基于网络流结构特征融合的异常流量检测方法及装置

说明书

本发明提供了一种基于网络流结构特征融合的异常流量检测方法及装置，包括：将待检测的网络流输入至预设的预判器，得到对应的判断结果；若判断结果为待检测的网络流能够仅依靠网络流结构特征进行检测，则将待检测的网络流输入至预设的网络流结构特征检测器进行检测；若判断结果为待检测的网络流不能够仅依靠网络流结构特征进行检测，则将待检测的网络流输入至预设的全特征检测器进行检测。本发明针对网络流结构信息进行表示，并提取网络流结构特征，解决了缺乏网络流结构信息的问题，然后通过预判式特征融合实现网络流特征与网络流结构特征融合，从而提高检测率、降低误报率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于网络流结构特征融合的异常流量检测方法及装置。

背景技术

网络入侵行为与网络正常行为产生的流量具有差异性。通过分析网络流量，可检测到网络异常行为。因此，网络异常流量检测是网络入侵检测研究重点。

目前的检测方法主要分为基于网络流的检测方法和基于网络图的检测方法两类；其中，基于网络流的检测方法主要依据数据分组的头部信息计算网络流的统计特征，结合统计方法、机器学习或深度学习等技术实现异常流量检测；基于网络图的检测方法主要通过挖掘网络通信图中通信模式的潜在关系，发现异常行为。

然而，当前网络异常流量检测的工作存在以下两点不足：1、缺乏网络流结构信息，在现有的的网络异常流量检测方法中，根据提取的网络流内容特征检测，忽略了网络流之间的结构关系信息，导致特征不全面，影响检测效果；2、单一类型特征检测能力不足：现有的检测方法主要依靠单一类型的特征进行检测，容易被攻击者伪装从而绕过检测，导致检测效果不佳。

发明内容

针对现有技术中存在的问题，本发明实施例提供一种基于网络流结构特征融合的异常流量检测方法及装置。

第一方面，本发明实施例提供一种基于网络流结构特征融合的异常流量检测方法，包括：

获取待检测的网络流；

将所述待检测的网络流输入至预设的预判器，得到与所述待检测的网络流对应的判断结果；

若与所述待检测的网络流对应的判断结果为所述待检测的网络流能够仅依靠网络流结构特征进行检测，则将所述待检测的网络流输入至预设的网络流结构特征检测器进行所述待检测的网络流的检测，并确定异常网络流量检测结果；

若与所述待检测的网络流对应的判断结果为所述待检测的网络流不能够仅依靠网络流结构特征进行检测，则将所述待检测的网络流输入至预设的全特征检测器进行所述待检测的网络流的检测，并确定异常网络流量检测结果；所述预设的全特征检测器为基于网络流特征和网络流结构特征构建的检测器。

进一步地，所述预设的网络流结构特征检测器，包括：

获取数据集的网络流特征；所述网络流特征包括网络流的标识特征和统计特征；

基于所述网络流的标识特征提取网络流的结构特征；

基于所述网络流的结构特征采用KNN分类算法构建预设的网络流结构特征检测器。

进一步地，所述预设的全特征检测器，包括：

获取数据集的网络流特征；所述网络流特征包括网络流的标识特征和统计特征；

基于所述网络流的标识特征提取网络流的结构特征；

基于所述网络流的结构特征和所述网络流特征组成全特征向量；

基于所述全特征向量采用KNN分类算法构建预设的全特征检测器。

进一步地，所述网络流的标识特征包括源节点的IP地址、目的节点的IP地址、时间戳、源端口和目的端口。

进一步地，所述预设的预判器，包括：