网络异常检测方法、装置、计算机设备及存储介质与流程

本技术涉及网络检测，具体而言，涉及一种网络异常检测方法、装置、计算机设备及存储介质。

背景技术：

1、基于异常的入侵检测系统（anomaly-based intrusion detection system，简称abids）通过分析系统或网络的正常运行模式，然后与实际观察到的行为进行比较，以检测任何不符合预期模式的行为。在实现上，基于异常的入侵检测系统需要通过分析系统日志、网络流量和其他相关数据来检测异常行为。因此，可以使用网络流量异常检测方法来实现基于异常的入侵检测系统的功能。

2、现有技术中，可以使用深度学习方法对网络流量进行异常检测，例如：多层感知机、卷积神经网络（cnn）、循环神经网络（rnn）和自动编码器。

3、但是，深度学习方法需要使用大量的训练数据和计算资源来训练，并且对深度学习模型的性能有较高的要求，因此，需要提供较大的算力资源。

技术实现思路

1、本技术的目的在于，针对上述现有技术中的不足，提供一种网络异常检测方法、装置、计算机设备及存储介质，以解决现有技术中对网络流量进行异常检测需要较大的算力资源的问题。

2、为实现上述目的，本技术实施例采用的技术方案如下：

3、第一方面，本技术一实施例提供了一种网络异常检测方法，所述方法包括：

4、获取待检测网络中各节点在目标时段内的网络行为数据，所述网络行为数据至少包括：端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数；

5、根据各节点的网络行为数据，确定各节点作为源节点时的第一异常信息，并根据所述第一异常信息，确定各节点作为源节点时的异常检测结果，其中，所述第一异常信息用于表征各节点作为源节点时在端口使用、协议选取、协议数据量以及交互次数维度上的异常信息；

6、根据各节点的网络行为数据，确定各节点作为目标节点时的第二异常信息，并根据所述第二异常信息，确定各节点作为目标节点时的异常检测结果，其中，所述第二异常信息用于表征各节点作为目标节点时在本地服务以及对内访问维度上的异常信息。

7、作为一种可能的实现方式，所述根据各节点的网络行为数据，确定各节点作为源节点时的第一异常信息，包括：

8、根据当前节点的网络行为数据，确定所述当前节点作为源节点时的特征数据，其中，所述当前节点为所述待检测网络中的任一节点；

9、根据所述当前节点作为源节点时的特征数据，确定所述当前节点作为源节点时的第一异常信息。

10、作为一种可能的实现方式，所述根据当前节点的网络行为数据，确定所述当前节点作为源节点时的特征数据，包括：

11、获取所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量，根据所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量，计算所述当前节点在各时刻的数据量概率分布信息，并根据所述当前节点在各时刻的数据量概率分布信息，确定协议数据量异常特征；

12、获取所述当前节点在所述目标时段内各时刻所使用的端口，根据所述当前节点在所述目标时段内各时刻所使用的端口，计算所述当前节点在各时刻的端口联合二维概率分布信息，并根据所述当前节点在各时刻的端口联合二维概率分布信息，确定端口使用异常特征；

13、获取所述当前节点在所述目标时段内各时刻所使用的协议类型，根据所述当前节点在所述目标时段内各时刻所使用的协议类型，计算所述当前节点在各时刻的协议概率分布信息，并根据所述当前节点在各时刻的协议概率分布信息，确定协议选择异常特征；

14、根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色，确定所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数，根据所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数，计算所述当前节点在各时刻的对外请求概率分布信息，并根据所述当前节点在各时刻的对外请求概率分布信息，确定对外请求异常特征。

15、作为一种可能的实现方式，所述根据所述当前节点作为源节点时的特征数据，确定所述当前节点作为源节点时的第一异常信息，包括：

16、根据所述协议数据量异常特征，确定所述当前节点作为源节点时的协议异常指标；

17、根据所述端口使用异常特征，确定所述当前节点作为源节点时的端口异常指标；

18、根据所述协议选择异常特征，确定所述当前节点作为源节点时的协议选择异常指标；

19、根据对外请求异常特征，确定所述当前节点作为源节点时的对外请求异常指标；

20、将所述协议异常指标、所述端口异常指标、所述协议选择异常指标以及所述对外请求异常指标作为所述第一异常信息。

21、作为一种可能的实现方式，所述根据各节点的网络行为数据，确定各节点作为目标节点时的第二异常信息，包括：

22、根据当前节点的网络行为数据，确定所述当前节点作为目标节点时的特征数据，其中，所述当前节点为所述待检测网络中的任一节点；

23、根据所述当前节点作为目标节点时的特征数据，确定所述当前节点作为目标节点时的第二异常信息。

24、作为一种可能的实现方式，所述根据当前节点的网络行为数据，确定所述当前节点作为目标节点时的特征数据，包括：

25、获取所述当前节点在所述目标时段内各时刻所使用的协议类型，根据所述当前节点在所述目标时段内各时刻所使用的协议类型，计算所述当前节点在各时刻的本地服务概率分布信息，并根据所述当前节点在各时刻的本地服务概率分布信息，确定本地服务异常特征；

26、根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色，确定所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数，根据所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数，计算所述当前节点在各时刻的对内访问概率分布信息，并根据所述当前节点在各时刻的对内访问概率分布信息，确定对内访问异常特征。

27、作为一种可能的实现方式，所述根据所述当前节点作为目标节点时的特征数据，确定所述当前节点作为目标节点时的第二异常信息，包括：

28、根据所述本地服务异常特征，确定所述当前节点作为目标节点时的本地服务异常指标；

29、根据所述对内访问异常特征，确定所述当前节点作为目标节点时的对内访问异常指标；

30、将所述本地服务异常指标以及对内访问异常指标作为所述第二异常信息。

31、第二方面，本技术另一实施例提供了一种网络异常检测装置，所述装置包括：

32、获取模块，用于获取待检测网络中各节点在目标时段内的网络行为数据，所述网络行为数据至少包括：端口使用数据、协议选取数据、预设协议上的数据量、节点在数据交互中出现的次数；

33、第一确定模块，用于根据各节点的网络行为数据，确定各节点作为源节点时的第一异常信息，并根据所述第一异常信息，确定各节点作为源节点时的异常检测结果，其中，所述第一异常信息用于表征各节点作为源节点时在端口使用、协议选取、协议数据量以及交互次数维度上的异常信息；

34、第二确定模块，用于根据各节点的网络行为数据，确定各节点作为目标节点时的第二异常信息，并根据所述第二异常信息，确定各节点作为目标节点时的异常检测结果，其中，所述第二异常信息用于表征各节点作为目标节点时在本地服务以及对内访问维度上的异常信息。

35、作为一种可能的实现方式，所述第一确定模块，具体用于：

36、根据当前节点的网络行为数据，确定所述当前节点作为源节点时的特征数据，其中，所述当前节点为所述待检测网络中的任一节点；

37、根据所述当前节点作为源节点时的特征数据，确定所述当前节点作为源节点时的第一异常信息。

38、作为一种可能的实现方式，所述第一确定模块，具体用于：

39、获取所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量，根据所述当前节点在所述目标时段内各时刻的所述预设协议上的数据量，计算所述当前节点在各时刻的数据量概率分布信息，并根据所述当前节点在各时刻的数据量概率分布信息，确定协议数据量异常特征；

40、获取所述当前节点在所述目标时段内各时刻所使用的端口，根据所述当前节点在所述目标时段内各时刻所使用的端口，计算所述当前节点在各时刻的端口联合二维概率分布信息，并根据所述当前节点在各时刻的端口联合二维概率分布信息，确定端口使用异常特征；

41、获取所述当前节点在所述目标时段内各时刻所使用的协议类型，根据所述当前节点在所述目标时段内各时刻所使用的协议类型，计算所述当前节点在各时刻的协议概率分布信息，并根据所述当前节点在各时刻的协议概率分布信息，确定协议选择异常特征；

42、根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色，确定所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数，根据所述当前节点在所述目标时段内各时刻作为源节点的数据交互次数，计算所述当前节点在各时刻的对外请求概率分布信息，并根据所述当前节点在各时刻的对外请求概率分布信息，确定对外请求异常特征。

43、作为一种可能的实现方式，所述第一确定模块，具体用于：

44、根据所述协议数据量异常特征，确定所述当前节点作为源节点时的协议异常指标；

45、根据所述端口使用异常特征，确定所述当前节点作为源节点时的端口异常指标；

46、根据所述协议选择异常特征，确定所述当前节点作为源节点时的协议选择异常指标；

47、根据对外请求异常特征，确定所述当前节点作为源节点时的对外请求异常指标；

48、将所述协议异常指标、所述端口异常指标、所述协议选择异常指标以及所述对外请求异常指标作为所述第一异常信息。

49、作为一种可能的实现方式，所述第二确定模块，具体用于：

50、根据当前节点的网络行为数据，确定所述当前节点作为目标节点时的特征数据，其中，所述当前节点为所述待检测网络中的任一节点；

51、根据所述当前节点作为目标节点时的特征数据，确定所述当前节点作为目标节点时的第二异常信息。

52、作为一种可能的实现方式，所述第二确定模块，具体用于：

53、获取所述当前节点在所述目标时段内各时刻所使用的协议类型，根据所述当前节点在所述目标时段内各时刻所使用的协议类型，计算所述当前节点在各时刻的本地服务概率分布信息，并根据所述当前节点在各时刻的本地服务概率分布信息，确定本地服务异常特征；

54、根据所述当前节点在数据交互中出现的次数以及每次数据交互时的角色，确定所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数，根据所述当前节点在所述目标时段内各时刻作为目标节点的数据交互次数，计算所述当前节点在各时刻的对内访问概率分布信息，并根据所述当前节点在各时刻的对内访问概率分布信息，确定对内访问异常特征。

55、作为一种可能的实现方式，所述第二确定模块，具体用于：

56、根据所述本地服务异常特征，确定所述当前节点作为目标节点时的本地服务异常指标；

57、根据所述对内访问异常特征，确定所述当前节点作为目标节点时的对内访问异常指标；

58、将所述本地服务异常指标以及对内访问异常指标作为所述第二异常信息。

59、第三方面，本技术另一实施例提供了一种计算机设备，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当计算机设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行如上述第一方面任一所述方法的步骤。

60、第四方面，本技术另一实施例提供了一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如上述第一方面任一所述方法的步骤。

61、本技术的有益效果是：通过对网络中各节点的网络行为数据进行表达，以及按照各节点在数据传输中的不同角色分别进行概率建模以及计算，能够从网络中的联合特征出发进行考量，对各节点作为源节点以及目标节点时的不同网络行为数据进行分别检测与识别，从而能够分别确定各节点作为源节点以及目标节点时的异常信息，同时，由于只需要对各节点的网络行为数据进行检测与识别，因此，对算力资源的要求更低。