異常流量檢測方法、裝置、電子設備及存儲介質與流程

本申請涉及通信，具體涉及一種異常流量檢測方法、裝置、電子設備及存儲介質。

背景技術：

1、云時代背景下業務紛紛上云，如果在上云時忽略安全隱患并沒有及時規避，則會帶來更大的安全隱患。云主機已成為攻擊重要目標：由于云主機便捷、可靠和低成本，越來越多攻擊者利用云主機作為跳板機或控制端發起網絡攻擊。云資源被用于發起ddos攻擊、植入網站后門等地址長期存活，且非常活躍。隨著云計算的到來，海量業務對數據中心的流量模型產生了巨大沖擊。云平臺內部不可視，用戶無法管控虛機上的流量和應用；虛機之間缺乏威脅隔離機制，網絡威脅一旦進入云平臺內部，可以肆意蔓延。

2、現有的針對云主機的安全防護技術為對云主機的流量進行檢測。現有的對云主機的流量檢測的缺陷有：(1)云主機的安全邊界模糊：隨著云計算興起，海量業務選擇上云，云主機的安全逐漸進入視野。云主機模糊了傳統的安全邊界，同時采用特征庫的現有安全防護技術占用大量系統資源，因此傳統安全產品不適用現有的流量檢測技術。(2)現有的安全防護技術在傳統it架構中起到關鍵作用。但隨著云計算發展及虛擬化技術的應用普及，傳統安全解決方案無法自適應新架構，無法接入虛擬化環境；獨立運作或用戶經常只部署單個防御點，各個防御點之間無法較好地聯動。

3、綜上可知，現有的云主機的流量檢測效率低。

技術實現思路

1、本申請實施例提供一種異常流量檢測方法、裝置、電子設備及存儲介質，用以解決云主機的流量檢測效率低的技術問題。

2、第一方面，本申請提供一種異常流量檢測方法，包括：

3、基于云主機流量的流量信息，獲取所述云主機流量的分布信息，所述分布信息表征所述云主機流量的分布狀態；

4、基于所述分布信息，確定所述云主機流量的至少一個流量特征，并確定所述流量特征的特征熵值；

5、將至少一個所述特征熵值輸入流量檢測模型，獲取所述流量檢測模型輸出的異常流量，所述流量檢測模型是在決策樹模型的基礎上，通過樣本特征熵值及所述樣本特征熵值的異常流量標簽訓練得到的。

6、在一個實施例中，所述流量特征包括云主機上網行為統計、云主機東西向和南北向流量分布、云主機流量中協議和端口分布、云主機惡意上傳文件統計、云主機非法外聯ip分布統計和云主機被非法ip訪問分布統計中的至少一個。

7、在一個實施例中，所述流量信息包括數值型信息和類別型信息，所述類別型信息至少包括源ip、目的ip、源端口、目的端口和協議，所述數值型信息至少包括數據包的數量和字節數；

8、所述基于云主機流量的流量信息，獲取所述云主機流量的分布信息，包括：

9、將每個所述類別型信息轉換為至少一個所述數值型信息；

10、或者，對所述類別型信息進行組合，得到組合類別型信息，將所述組合類別型信息轉換為至少一個所述數值型信息；

11、對所述數值型信息進行分類統計，以獲取所述分布信息，所述分布信息包括所述云主機流量的特征事件和每個所述特征事件的特征數量，所述特征事件表征云主機流量分布的特征，所述特征數量為所述特征事件發生的次數。

12、在一個實施例中，所述基于所述分布信息，確定所述云主機流量的至少一個流量特征，包括：

13、基于所述分布信息中每一所述特征事件的所述特征數量，確定所述云主機流量的分布特征；

14、基于同一類型的所述分布特征，確定所述流量特征。

15、在一個實施例中，基于所述分布信息，確定所述特征熵值，包括：

16、基于所述分布信息中所述特征事件的所述特征數量，確定所述特征事件的分布概率；

17、基于每個所述流量特征的分布概率集，確定所述特征熵值，所述分布概率集包括所述流量特征的多個所述分布概率。

18、在一個實施例中，所述流量檢測模型是基于以下步驟得到的：

19、獲取所述樣本特征熵值和所述樣本特征熵值對應的異常流量標簽，基于所述異常流量標簽對所述樣本特征熵值進行標識，得到攜帶標簽的樣本特征熵值；

20、根據預設比例，將所述攜帶標簽的樣本特征熵值劃分為訓練集和測試集；

21、基于所述訓練集對所述決策樹模型進行訓練，基于所述測試集對訓練后的所述決策樹模型進行測試，得到所述流量檢測模型。

22、在一個實施例中，所述獲取所述流量檢測模型輸出的異常流量之后，還包括：

23、基于所述異常流量，生成告警信息；

24、對所述告警信息進行聚合，基于聚合后的所述告警信息，生成云主機的安全事件。

25、第二方面，本申請提供一種異常流量檢測裝置，包括：

26、分布信息獲取模塊，用于基于云主機流量的流量信息，獲取所述云主機流量的分布信息，所述分布信息表征所述云主機流量的分布狀態；

27、特征熵值獲取模塊，用于基于所述分布信息，確定所述云主機流量的至少一個流量特征，并確定所述流量特征的特征熵值；

28、異常流量識別模塊，用于將至少一個所述特征熵值輸入流量檢測模型，獲取所述流量檢測模型輸出的異常流量，所述流量檢測模型是在決策樹模型的基礎上，通過樣本特征熵值及所述樣本特征熵值的異常流量標簽訓練得到的。

29、第三方面，本申請實施例提供一種電子設備，包括處理器和存儲有計算機程序的存儲器，所述處理器執行所述程序時實現第一方面所述的異常流量檢測方法。

30、第四方面，本申請實施例提供一種非暫態計算機可讀存儲介質，其上存儲有計算機程序，該計算機程序被處理器執行時實現第一方面所述的異常流量檢測方法。

31、本申請提供的異常流量檢測方法、裝置、電子設備及存儲介質，基于云主機流量的流量信息，獲取所述云主機流量的分布信息，所述分布信息表征所述云主機流量的分布狀態；基于所述分布信息，確定所述云主機流量的至少一個流量特征，并確定所述流量特征的特征熵值；將至少一個所述特征熵值輸入流量檢測模型，獲取所述流量檢測模型輸出的異常流量，所述流量檢測模型是在決策樹模型的基礎上，通過樣本特征熵值及所述樣本特征熵值的異常流量標簽訓練得到的。本申請實施例通過分布信息，獲取云主機的流量特征和特征熵值，準確提取了云主機流量的特征；根據特征熵值和流量檢測模型，識別異常流量，在提高識別異常流量效率的同時，提高了識別異常流量的準確性。

技術特征：

1.一種異常流量檢測方法，其特征在于，包括：

2.根據權利要求1所述的異常流量檢測方法，其特征在于，所述流量特征包括云主機上網行為統計、云主機東西向和南北向流量分布、云主機流量中協議和端口分布、云主機惡意上傳文件統計、云主機非法外聯ip分布統計和云主機被非法ip訪問分布統計中的至少一個。

3.根據權利要求1所述的異常流量檢測方法，其特征在于，所述流量信息包括數值型信息和類別型信息，所述類別型信息至少包括源ip、目的ip、源端口、目的端口和協議，所述數值型信息至少包括數據包的數量和字節數；

4.根據權利要求3所述的異常流量檢測方法，其特征在于，所述基于所述分布信息，確定所述云主機流量的至少一個流量特征，包括：

5.根據權利要求3所述的異常流量檢測方法，其特征在于，基于所述分布信息，確定所述特征熵值，包括：

6.根據權利要求1所述的異常流量檢測方法，其特征在于，所述流量檢測模型是基于以下步驟得到的：

7.根據權利要求1所述的異常流量檢測方法，其特征在于，所述獲取所述流量檢測模型輸出的異常流量之后，還包括：

8.一種異常流量檢測裝置，其特征在于，包括：

9.一種電子設備，包括處理器和存儲有計算機程序的存儲器，其特征在于，所述處理器執行所述計算機程序時實現權利要求1至7任一項所述的異常流量檢測方法。

10.一種非暫態計算機可讀存儲介質，其上存儲有計算機程序，其特征在于，所述計算機程序被處理器執行時實現權利要求1至7任一項所述的異常流量檢測方法。

技術總結
本申請涉及通信技術領域，提供一種異常流量檢測方法、裝置、電子設備及存儲介質。所述方法包括：基于云主機流量的流量信息，獲取云主機流量的分布信息；基于分布信息，確定云主機流量的至少一個流量特征，并確定流量特征的特征熵值；將至少一個特征熵值輸入流量檢測模型，獲取流量檢測模型輸出的異常流量。本申請通過分布信息，獲取云主機的流量特征和特征熵值，準確提取了云主機流量的特征；根據特征熵值和流量檢測模型，識別異常流量，在提高識別異常流量效率的同時，提高了識別異常流量的準確性。

技術研發人員：王晨光,李淙淙,許鑫伶
受保護的技術使用者：中移（杭州）信息技術有限公司
技術研發日：
技術公布日：2024/10/21