一种网络流量异常检测方法及装置
申请人信息
- 申请人:金数信息科技(苏州)有限公司
- 申请人地址:215000 江苏省苏州市中国(江苏)自由贸易试验区苏州片区苏州工业园区月亮湾路15号中新大厦30楼01室
- 发明人: 金数信息科技(苏州)有限公司
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 一种网络流量异常检测方法及装置 |
| 专利类型 | 发明申请 |
| 申请号 | CN202410191390.9 |
| 申请日 | 2024/2/21 |
| 公告号 | CN117749535A |
| 公开日 | 2024/3/22 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 金数信息科技(苏州)有限公司 |
| 发明人 | 周洪海; 金志浩; 谢丽萍; 赵玉薇 |
| 地址 | 江苏省苏州市中国(江苏)自由贸易试验区苏州片区苏州工业园区月亮湾路15号中新大厦30楼01室 |
摘要文本
本发明公开了一种网络流量异常检测方法及装置,以提升网络安全威胁的识别效率和准确性。其中,该方法收集企业或组织的网络流量数据,这些数据包括IP地址、端口号、数据包大小和TCP标志,并进行预处理。随后,定义时间窗口,以提取特定时间段内的数据点,并计算窗口内异常类型与总数据点的比例,以确定异常等级标签。该方法进一步将数据点转化为故事元素,包括将IP地址转换为故事角色、端口号和TCP标志转换为行动、数据包大小转换为事件情境。利用大语言模型,基于故事元素生成故事线索。这些线索与异常等级标签融合,形成新的数据集。最后,对该数据集进行分析,以识别网络流量异常。
专利主权项内容
1.一种网络流量异常检测方法,其特征在于,包括:收集企业或组织的网络流量数据,所述网络流量数据包括IP地址、端口号、数据包大小及TCP标志,并对所述数据进行预处理,其中,所述预处理包括使用网络模型或人工经验对所述网络流量数据进行初步异常流量标记,获得包括时间戳、源IP地址、目的IP地址、端口号、数据包大小、TCP标志和初步网络流量异常标签的多维数据集;利用预先定义的时间窗口,遍历预处理后的网络流量数据,获得一系列时间戳在和/>之间的数据点;其中,/>是时间窗口/>的起始时间,/>是时间窗口/>的终止时间,/>是时间窗口的序数;计算时间窗口内的异常类型总数和时间窗口/>内的数据点总数的比例,根据所述比例,确定多个异常等级标签/>;将时间窗口内的数据点转换为故事元素/>,包括将源IP和目的IP转换为故事中的角色、将端口号和TCP标志转换为行动、将数据包大小转换为事件的情境,以及将初步网络流量异常标签转换为特定事件;利用大语言模型,基于所述故事元素创建故事线索/>;并将所述故事线索/>与确定的多个异常等级标签/>进行融合,生成新的数据集:
;对于所述新的数据集进行分析,获得网络流量异常检测结果。