申请/专利权人：山东云天安全技术有限公司

申请日：2024-02-01

公开（公告）日：2024-04-26

公开（公告）号：CN117938533A

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.05.14#实质审查的生效;2024.04.26#公开

摘要：本发明涉及异常流量检测领域，特别是涉及一种基于单访问目的IP的异常流量识别方法、介质及设备。包括：对获取到的所有请求数据包的目的IP进行聚类处理，若IP族群为一个，则对多个连接会话流量进行第三特征编码处理，生成第三目标访问特征图；再通过第三胶囊神经网络得到对应的识别结果。本发明可以将短连接及长连接分别布置在不同的特征行并配置对应的连接标识，进而在第三目标访问特征图竖向空间上体现出访问服务类型变化的特征。且同一特征行反映同一服务的行为特征；不同特征行反映不同服务的行为特征。由此，将访问行为习惯转化为特征图的空间特征，以更加准确有效的对实施网络匿名和代理技术以访问全球互联网资源的访问流量进行识别预测。

主权项：1.一种基于单访问目的IP的异常流量识别方法，其特征在于，所述方法包括如下步骤：响应于目标终端对浏览器的开启指令，获取第二监控时段内的多个连接会话流量；所述连接会话流量包括多个长连接会话流量及多个短连接会话流量；每一长连接会话流量包括多个会话组，每一短连接会话流量包括一个会话组，所述会话组包括一个请求数据包及一个对应的响应数据包；对获取到的所有请求数据包的目的IP进行聚类处理，生成至少一个IP族群；每一IP族群唯一对应一种目的IP；若IP族群为一个，则对所述第二监控时段内的多个连接会话流量进行第三特征编码处理，生成第三目标访问特征图；将所述第三目标访问特征图输入训练好的第三胶囊神经网络中，得到所述第三目标访问特征图对应的识别结果；所述第三特征编码处理包括：根据每一会话组中请求数据包及响应数据包的大小及生成时间，生成每一会话组对应的会话特征向量；其中，Aab为第a个连接会话流量中的第b个会话组对应的会话特征向量，Aab＝Qab，Xab，Tab；Qab为Aab中请求数据包的大小；Xab为Aab中响应数据包的大小；Tab为Aab中请求数据包与响应数据包中的时间间隔；按照每一连接会话流量中请求数据包的最早请求时间，由早到晚对每一个连接会话流量进行排序，生成连接序列；按照每一长连接会话流量中会话组的建立时间，由早到晚进行排序，生成每一长连接会话流量中的会话序列；按照连接序列及会话序列，依次将每一会话组对应的会话特征向量填入第三初始访问特征图对应顺序的像素单元中；其中，所述第三初始访问特征图中包括多行竖向依次排列的特征行，每一特征行中包括多个横向依次排列的像素单元；以及设置于多个所述特征行前端的连接类型标识列，所述连接类型标识列中包括与特征行数量相同的多个类型标识单元；若当前的会话特征向量所属的会话连接类型与上一相邻的会话特征向量所属的会话连接类型不同，则将当前的会话特征向量填入新特征行的像素单元中；根据每一特征行中会话特征向量所属的会话连接类型，为对应的类型标识单元配置对应的连接标识，以生成第三目标访问特征图。

全文数据：

权利要求：

百度查询： 山东云天安全技术有限公司 一种基于单访问目的IP的异常流量识别方法、介质及设备

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD