本發明提供了一種基于網絡流結構特征融合的異常流量檢測方法及裝置，包括：將待檢測的網絡流輸入至預設的預判器，得到對應的判斷結果；若判斷結果為待檢測的網絡流能夠僅依靠網絡流結構特征進行檢測，則將待檢測的網絡流輸入至預設的網絡流結構特征檢測器進行檢測；若判斷結果為待檢測的網絡流不能夠僅依靠網絡流結構特征進行檢測，則將待檢測的網絡流輸入至預設的全特征檢測器進行檢測。本發明針對網絡流結構信息進行表示，并提取網絡流結構特征，解決了缺乏網絡流結構信息的問題，然后通過預判式特征融合實現網絡流特征與網絡流結構特征融合，從而提高檢測率、降低誤報率。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于網絡流結構特征融合的異常流量檢測方法及裝置。

背景技術

網絡入侵行為與網絡正常行為產生的流量具有差異性。通過分析網絡流量，可檢測到網絡異常行為。因此，網絡異常流量檢測是網絡入侵檢測研究重點。

目前的檢測方法主要分為基于網絡流的檢測方法和基于網絡圖的檢測方法兩類；其中，基于網絡流的檢測方法主要依據數據分組的頭部信息計算網絡流的統計特征，結合統計方法、機器學習或深度學習等技術實現異常流量檢測；基于網絡圖的檢測方法主要通過挖掘網絡通信圖中通信模式的潛在關系，發現異常行為。

然而，當前網絡異常流量檢測的工作存在以下兩點不足：1、缺乏網絡流結構信息，在現有的的網絡異常流量檢測方法中，根據提取的網絡流內容特征檢測，忽略了網絡流之間的結構關系信息，導致特征不全面，影響檢測效果；2、單一類型特征檢測能力不足：現有的檢測方法主要依靠單一類型的特征進行檢測，容易被攻擊者偽裝從而繞過檢測，導致檢測效果不佳。

發明內容

針對現有技術中存在的問題，本發明實施例提供一種基于網絡流結構特征融合的異常流量檢測方法及裝置。

第一方面，本發明實施例提供一種基于網絡流結構特征融合的異常流量檢測方法，包括：

獲取待檢測的網絡流；

將所述待檢測的網絡流輸入至預設的預判器，得到與所述待檢測的網絡流對應的判斷結果；

若與所述待檢測的網絡流對應的判斷結果為所述待檢測的網絡流能夠僅依靠網絡流結構特征進行檢測，則將所述待檢測的網絡流輸入至預設的網絡流結構特征檢測器進行所述待檢測的網絡流的檢測，并確定異常網絡流量檢測結果；

若與所述待檢測的網絡流對應的判斷結果為所述待檢測的網絡流不能夠僅依靠網絡流結構特征進行檢測，則將所述待檢測的網絡流輸入至預設的全特征檢測器進行所述待檢測的網絡流的檢測，并確定異常網絡流量檢測結果；所述預設的全特征檢測器為基于網絡流特征和網絡流結構特征構建的檢測器。

進一步地，所述預設的網絡流結構特征檢測器，包括：

獲取數據集的網絡流特征；所述網絡流特征包括網絡流的標識特征和統計特征；

基于所述網絡流的標識特征提取網絡流的結構特征；

基于所述網絡流的結構特征采用KNN分類算法構建預設的網絡流結構特征檢測器。

進一步地，所述預設的全特征檢測器，包括：

獲取數據集的網絡流特征；所述網絡流特征包括網絡流的標識特征和統計特征；

基于所述網絡流的標識特征提取網絡流的結構特征；

基于所述網絡流的結構特征和所述網絡流特征組成全特征向量；

基于所述全特征向量采用KNN分類算法構建預設的全特征檢測器。

進一步地，所述網絡流的標識特征包括源節點的IP地址、目的節點的IP地址、時間戳、源端口和目的端口。

進一步地，所述預設的預判器，包括：