[发明专利]一种自适应的网络流量异常检测方法有效
| 申请号: | 201910167605.2 | 申请日: | 2019-03-06 |
| 公开(公告)号: | CN109831450B | 公开(公告)日: | 2021-05-07 |
| 发明(设计)人: | 段军红;闫晓斌;张小敏;张华峰;张驯;袁晖;赵博;张小东;赵金雄;杨波;李方军;宋曦;李志茹;党倩;卫祥;尚闻博;魏峰;杨凡;高丽娜 | 申请(专利权)人: | 国网甘肃省电力公司电力科学研究院;国网甘肃省电力公司;国网甘肃省电力公司信息通信公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 成都智言知识产权代理有限公司 51282 | 代理人: | 李龙 |
| 地址: | 730070 甘肃*** | 国省代码: | 甘肃;62 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种自适应的网络流量异常检测方法,属于网络安全领域,解决现有检测方法,自适性差、开销大和时效性差等问题。本发明包括第一阶段和第二阶段;若为初始学习则执行第一阶段,否则执行第二阶段;第一阶段为初始学习阶段,将最大值学习值作为该网络流量指标的预警阈值触发告警、突跳比例学习值和突跳值学习值作为共同预警阈值触发告警、突跳比例学习值和陡降比例学习值作为共同预警阈值触发告警;第二阶段将更新后的最大值学习值作为该网络流量指标的预警阈值触发告警、突跳比例学习值和突跳值学习值作为共同预警阈值触发告警、突跳比例学习值和陡降比例学习值作为共同预警阈值触发告警。本发明用于自适应学习对网络流量异常检测。 | ||
| 搜索关键词: | 一种 自适应 网络流量 异常 检测 方法 | ||
【主权项】:
1.一种自适应的网络流量异常检测方法,其特征在于,包括第一阶段和第二阶段;若为初始学习则执行第一阶段,否则执行第二阶段;第一阶段为初始学习阶段,包括如下步骤:S1、基于n个时间周期,获取每个时间周期内一个或多个网络流量指标的采样值,采样值表示该网络流量指标在该时间周期内的数值,某一个网络流量指标在n个时间周期得到n个采样值;S2、基于每个网络流量指标得到的n个采样值,得到最终最大学习值X_MAX_learn,并将X_MAX_learn*3作为该网络流量指标的预警阈值触发告警;S3、基于小于等于最终最大学习值X_MAX_1earn的该网络流量指标的所有采样值,得到突跳比例学习值X_INC_RATIO_learn和突跳值学习值X_CHANGE_learn作为共同预警阈值触发告警;S4、针对每个网络流量指标的所有采样值,获得陡降比例学习值X_DEC_RATIO_learn,将突跳值学习值X_CHANGE_learn和陡降比例学习值X_DEC_RATIO_learn作为该网络流量指标的共同预警阈值触发告警;S5、将步骤S2‑S4得到的某网络流量指标的结果,对步骤S1获取的对应网络流量指标的n个采样值进行检测,若满足任意一结果,则触发告警,否则不触发告警。第二阶段为持续学习与告警阶段,包括如下步骤:步骤1、基于m个时间周期,再次获取每个时间周期内某网络流量指标的采样值;步骤2、基于新获取的某网络流量指标的m个采样值对上一次得到的最终的最大值学习值X_MAX_learn、突跳值学习值X_CHANGE_learn、突跳比例学习值X_INC_RATIO_learn和陡降比例学习值X_DEC_RATIO_learn进行更新;步骤3、基于更新后的某网络流量指标的结果,再对步骤1中新获取的对应的网络流量指标的n个采样值进行检测,若满足任意一结果,则触发告警,否则不触发告警。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国网甘肃省电力公司电力科学研究院;国网甘肃省电力公司;国网甘肃省电力公司信息通信公司,未经国网甘肃省电力公司电力科学研究院;国网甘肃省电力公司;国网甘肃省电力公司信息通信公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910167605.2/,转载请声明来源钻瓜专利网。
- 上一篇:一种基于角色的物联网系统参观方法
- 下一篇:基于防火墙的防挂马方法
