[發明專利]一種大規模流量異常主機檢測方法和裝置有效
| 申請號: | 201910316000.5 | 申請日: | 2019-04-19 |
| 公開(公告)號: | CN111835681B | 公開(公告)日: | 2023-08-04 |
| 發明(設計)人: | 趙志輝;洪敬風;程汝峰 | 申請(專利權)人: | 北京京東尚科信息技術有限公司;北京京東世紀貿易有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L61/2517;H04L41/14 |
| 代理公司: | 北京德琦知識產權代理有限公司 11018 | 代理人: | 杜志敏;宋志強 |
| 地址: | 100083 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 大規模 流量 異常 主機 檢測 方法 裝置 | ||
1.一種大規模流量異常主機檢測方法,其特征在于,所述方法包括:
針對第一預設時間內的流量數據構造原始項集;其中,所述原始項集包括:客戶端因特網協議IP地址、主機IP地址和端口號的映射關系;
對所述原始項集做關聯規則的挖掘,獲得被大于預設數目的客戶端訪問的主機IP地址和端口號;
將獲得的所述主機IP地址對應的主機的特征向量作為樣本,構建預設檢測模型;
獲得第二預設時間內待檢測主機的特征向量,通過構建的預設檢測模型確定該主機的流量是否異常;
其中,所述方法進一步包括:
獲取第三預設時間內待檢測的第二主機在各預設時刻的總字節數;
基于第三預設時間內第二主機在各預設時刻的總字節數,根據季節時間序列模型獲得第三預設時間的下一預設時刻的總字節數;其中,第三預設時間的下一預設時刻屬于第二預設時間;
若確定下一時刻的實際總字節數與預測的總字節數的差值大于預設字節數閾值,則確定該主機為流量異常的主機;并將第二預設時間內確定為流量異常的第二主機作為待檢測主機。
2.根據權利要求1所述的方法,其特征在于,所述對所述原始項集做關聯規則的挖掘時,通過頻繁項集算法進行挖掘。
3.根據權利要求1所述的方法,其特征在于,所述預設檢測模型為孤立森林模型。
4.根據權利要求1所述的方法,其特征在于,所述特征向量包括下述之一或任意組合特征:
連接數、端口數、發出的總包數、發出的總包數的最大值、發出的總包數最小值、發出的總包數均值、發出的總字節數、發出的總字節數最大值,發出的總字節數的最小值、發出的總字節數均值、接收的總包數、接收的總包數的最大值、接收的總包數最小值、接收的總包數均值、接收的總字節數、接收的總字節數最大值,接收的總字節數的最小值、接收的總字節數均值。
5.根據權利要求4所述的方法,其特征在于,所述特征向量還包括下述之一或任意組合特征:
協議類型,IP包、傳輸控制協議TCP包、用戶數據報協議UDP包、控制報文協議ICMP包的個數、字節數、包首部、包首部長度平均包長、獨立端口數。
6.根據權利要求1所述的方法,其特征在于,所述方法進一步包括:
檢測待檢測的第一主機的如下信息:flow流條數、開放端口數、流入的包數、字節數、流出的包數;
統計第二預設時間內待檢測的第一主機的下述之一或任意組合特征的值:
連接數、端口數、發出的總包數、發出的總包數的最大值、發出的總包數最小值、發出的總包數均值、發出的總字節數、發出的總字節數最大值,發出的總字節數的最小值、發出的總字節數均值、接收的總包數、接收的總包數的最大值、接收的總包數最小值、接收的總包數均值、接收的總字節數、接收的總字節數最大值,接收的總字節數的最小值、接收的總字節數均值;
當第一主機中的任一主機的任一特征的值大于該特征的預設特征閾值時,確定該第一主機為流量異常的主機,并將第二預設時間內確定為流量異常的第一主機作為待檢測的第二主機。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京京東尚科信息技術有限公司;北京京東世紀貿易有限公司,未經北京京東尚科信息技術有限公司;北京京東世紀貿易有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910316000.5/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種洗碗機奶嘴支架及應用其的洗碗機
- 下一篇:一種洗碗機擱架及應用其的洗碗機
