申请/专利权人：山东云天安全技术有限公司

申请日：2024-02-01

公开（公告）日：2024-06-18

公开（公告）号：CN118214582A

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：在审-公开

法律状态：2024.06.18#公开

摘要：本发明涉及异常流量检测领域，特别是涉及一种基于多访问目的IP的异常流量识别方法、介质及设备。包括：获取多个连接会话流量；对获取到的所有请求数据包的目的IP进行聚类处理，若IP族群为多个，则对第二监控时段内的多个连接会话流量进行第四特征编码处理，生成第四目标访问特征图；通过第四胶囊神经网络得到识别结果。本发明为每一IP族群配置两个特征行。以在竖向空间上体现出访问服务类型出现变化的特征。然后，将同一IP族群对应的会话特征向量分别填入。在竖向空间体现访问服务类型变化的特征。由此，将访问行为习惯转化为特征图的空间特征，以更加准确有效的对实施网络匿名和代理技术以访问全球互联网资源的行为流量进行识别预测。

主权项：1.一种基于多访问目的IP的异常流量识别方法，其特征在于，所述方法包括如下步骤：响应于目标终端对浏览器的开启指令，获取第二监控时段内的多个连接会话流量；所述连接会话流量包括多个长连接会话流量及多个短连接会话流量；每一长连接会话流量包括多个会话组，每一短连接会话流量包括一个会话组，所述会话组包括一个请求数据包及一个对应的响应数据包；对获取到的所有请求数据包的目的IP进行聚类处理，生成至少一个IP族群；每一IP族群唯一对应一种目的IP；若IP族群为多个，则对所述第二监控时段内的多个连接会话流量进行第四特征编码处理，生成第四目标访问特征图；将所述第四目标访问特征图输入训练好的第四胶囊神经网络中，得到所述第四目标访问特征图对应的识别结果；所述第四特征编码处理包括：根据每一会话组中请求数据包及响应数据包的大小及生成时间，生成每一会话组对应的会话特征向量；其中，Aab为第a个连接会话流量中的第b个会话组对应的会话特征向量，Aab＝Qab，Xab，Tab；Qab为Aab中请求数据包的大小；Xab为Aab中响应数据包的大小；Tab为Aab中请求数据包与响应数据包中的时间间隔；按照每一IP族群包含的请求数据包的最早请求时间，由早到晚对每一IP族群进行排序，生成族群序列；按照族群序列，依次为每一IP族群配置第四初始访问特征图中的两个特征行；其中，所述第四初始访问特征图中包括多行竖向依次排列的特征行，每一特征行中包括多个横向依次排列的像素单元；将每一IP族群中对应数量的短连接会话流量对应的会话特征向量，按照请求时间由早到晚的顺序，填入每一IP族群对应的两个特征行中的第一行；将每一IP族群中长连接会话流量对应的会话特征向量，按照时间由早到晚的顺序，填入每一IP族群对应的两个特征行中的第二行，以生成第四目标访问特征图。

全文数据：

权利要求：

百度查询： 山东云天安全技术有限公司 一种基于多访问目的IP的异常流量识别方法、介质及设备

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD