[發明專利]用于異常檢測的網絡行為數據收集和分析有效
| 申請號: | 201680032330.6 | 申請日: | 2016-05-16 |
| 公開(公告)號: | CN107683597B | 公開(公告)日: | 2021-08-13 |
| 發明(設計)人: | 納溫德拉·亞達夫;艾倫·沙伊布;拉奇塔·阿卡斯迪 | 申請(專利權)人: | 思科技術公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/24 |
| 代理公司: | 北京東方億思知識產權代理有限責任公司 11258 | 代理人: | 宗曉斌 |
| 地址: | 美國加利*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 用于 異常 檢測 網絡 行為 數據 收集 分析 | ||
1.一種用于異常檢測的方法,包括:
在運行在網絡設備處的分析模塊處接收從分布在整個網絡中并安裝在網絡組件中的多個傳感器收集的網絡流量數據,以從發送到所述網絡組件和從所述網絡組件發送的分組中獲得所述網絡流量數據,并且從所述網絡中的多個角度監視所述網絡內的網絡流;
在所述分析模塊處處理所述網絡流量數據,所述網絡流量數據包括進程信息、用戶信息和主機信息;
使用所述網絡流量數據對網絡行為進行動態建模,以持續更新正常網絡行為的模型;以及
基于所述對網絡行為的動態建模,在所述分析模塊處標識所述網絡流量數據內的異常,包括:
為每個分箱特征組合計算密度以提供時間序列分箱特征密度估計;
對于每個特征組合,基于在具有相等或更小密度的特征組合中獲得特征的累積概率來為該特征組合計算稀有度;并且
將具有歷史上少見的特征組合的新觀察標記為異常。
2.如權利要求1所述的方法,其中,處理所述網絡流量數據包括:將所述網絡行為從所述網絡中的多個角度進行關聯。
3.如權利要求1所述的方法,其中,所述網絡設備包括用于檢查大數據的處理器,該大數據包括具有不同類型數據的大的數據的集合。
4.如權利要求1所述的方法,其中,所述網絡流量數據包括來自經過所述多個傳感器中的一個傳感器的每個分組的元數據。
5.如權利要求1所述的方法,其中,標識所述異常包括:在包括多個特征的多維數據中標識所述異常。
6.如權利要求1所述的方法,其中,基于網絡行為的動態模型來標識所述異常包括:利用機器學習算法來檢測可疑活動。
7.如權利要求6所述的方法,還包括從蜜罐接收數據以供在機器學習中的使用。
8.如權利要求1所述的方法,還包括生成應用依賴性映射用于標識所述異常。
9.如權利要求1所述的方法,其中,標識所述異常包括:計算非參數多變量密度估計。
10.一種用于異常檢測的裝置,包括:
接口,用于接收從分布在整個網絡中并安裝在網絡組件中的多個傳感器收集的網絡流量數據,以從發送到所述網絡組件和從所述網絡組件發送的分組獲得所述網絡流量數據,并且從網絡中的多個角度監視所述網絡內的網絡流;以及
處理器,用于處理所述網絡流量數據,所述網絡流量數據包括進程信息、用戶信息和主機信息,使用所述網絡流量數據對網絡行為進行動態建模,以持續更新正常網絡行為的模型,并且基于所述對網絡行為的動態建模在所述網絡設備處標識在所述網絡流量數據內的異常,包括:
為每個分箱特征組合計算密度以提供時間序列分箱特征密度估計;
對于每個特征組合,基于在具有相等或更小密度的特征組合中獲得特征的累積概率來為該特征組合計算稀有度;并且
將具有歷史上少見的特征組合的新觀察標記為異常。
11.如權利要求10所述的裝置,其中,處理所述網絡流量數據包括:將所述網絡行為從所述網絡中的多個角度進行關聯。
12.如權利要求10所述的裝置,其中,所述處理器可操作來檢查大數據,該大數據包括具有不同類型數據的大的數據的集合。
13.如權利要求10所述的裝置,其中,所述網絡流量數據包括來自經過所述多個傳感器中的一個傳感器的每個分組的元數據。
14.如權利要求10所述的裝置,還包括分布式拒絕服務檢測器。
15.如權利要求10所述的裝置,其中,基于對所述網絡行為的動態模型來標識所述異常包括:利用機器學習算法來檢測可疑活動。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于思科技術公司,未經思科技術公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201680032330.6/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:多芯電纜斷接器
- 下一篇:一種傳輸數據的方法及設備
