首页 利索能及专利检索 电话:15618600796
登录 / 免费注册 利索能及授权登录
利索能及
我要发布
专利交易 专利求购
收藏
一种网络异常会话检测方法及系统
¥12000
专利号: 202510144478X
申请人: 广州市聚简网络通讯科技有限公司
专利类型:发明专利
专利状态:授权未缴费
更新日期:2025-10-10
缴费截止日期: 暂无
联系人

摘要:

权利要求书:

1.一种网络异常会话检测方法,其特征在于,所述方法包括以下步骤:

获取当前独立窗口存在时间内的网络会话,若所述会话开始时刻在当前独立窗口之前,则将会话标识为已存在会话,否则,将会话标识为新会话;

获取已存在会话的特征,并和当前独立窗口所属的联合窗口中其他独立窗口中同一个会话的特征比较,若特征没有发生变化且会话在联合窗口中其他独立窗口中非异常和候选异常会话,将已存在会话从当前独立窗口中删除;根据会话局部异常分数确定当前独立窗口的异常会话和候选异常会话;

将联合窗口作为一个独立窗口,计算联合窗口的候选异常会话;获取联合窗口中所有独立窗口候选异常会话的并集,若并集中的一个会话在联合窗口的多个独立窗口中为候选异常会话或者为联合窗口的候选异常会话,将会话标记为异常会话。

2.如权利要求1所述的方法,其特征在于,所述会话局部异常分数的计算过程是:根据会话特征将独立窗口的会话映射到数据空间的网格,计算每个网格的核心点和每个会话的局部密度,根据网格内会话的局部密度计算独立窗口对应的网格密度;基于会话的局部密度和所述网格密度得到会话局部异常分数。

3.如权利要求1所述的方法,其特征在于,所述根据会话局部异常分数确定当前独立窗口的异常会话和候选异常会话,具体为:获取联合窗口中每个独立窗口中会话局部异常分数的最大值,计算所述最大值的平均值,若当前独立窗口中会话的局部异常分数大于所述平均值,则将所述会话作为当前独立窗口的异常会话;

根据当前独立窗口中剩余会话所在网格密度和剩余会话的局部异常分数计算得到剩余会话的得分,按照所述得分从大到小的顺序对剩余会话排序,将排序后前k个会话作为候选异常会话。

4.如权利要求1所述的方法,其特征在于,所述根据会话局部异常分数确定当前独立窗口的异常会话和候选异常会话,具体为:获取联合窗口中每个独立窗口中会话局部异常分数的最大值,计算所述最大值的平均值,若当前独立窗口中会话的局部异常分数大于所述平均值,则将所述会话作为当前独立窗口的异常会话;

根据当前独立窗口中会话所在网格密度和会话的局部异常分数计算得到会话的得分,获取当前独立窗口异常会话的得分的最小值;

若非异常会话的得分大于所述最小值,则将非异常会话作为候选异常会话。

5.如权利要求3或4所述的方法,其特征在于,所述得分的计算过程是:

计算网格密度的负指数函数值,对所述负指数函数值和所述局部异常分数进行加权求和得到所述得分。

6.一种网络异常会话检测系统,其特征在于,所述系统包括以下模块:

数据采集模块,用于获取当前独立窗口存在时间内的网络会话,若所述会话开始时刻在当前独立窗口之前,则将会话标识为已存在会话,否则,将会话标识为新会话;

初步识别模块,用于获取已存在会话的特征,并和当前独立窗口所属的联合窗口中其他独立窗口中同一个会话的特征比较,若特征没有发生变化且会话在联合窗口中其他独立窗口中非异常和候选异常会话,将已存在会话从当前独立窗口中删除;根据会话局部异常分数确定当前独立窗口的异常会话和候选异常会话;

候选异常识别模块,用于将联合窗口作为一个独立窗口,计算联合窗口的候选异常会话;获取联合窗口中所有独立窗口候选异常会话的并集,若并集中的一个会话在联合窗口的多个独立窗口中为候选异常会话或者为联合窗口的候选异常会话,将会话标记为异常会话。

7.如权利要求6所述的系统,其特征在于,所述会话局部异常分数的计算过程是:根据会话特征将独立窗口的会话映射到数据空间的网格,计算每个网格的核心点和每个会话的局部密度,根据网格内会话的局部密度计算独立窗口对应的网格密度;基于会话的局部密度和所述网格密度得到会话局部异常分数。

8.如权利要求6所述的系统,其特征在于,所述根据会话局部异常分数确定当前独立窗口的异常会话和候选异常会话,具体为:获取联合窗口中每个独立窗口中会话局部异常分数的最大值,计算所述最大值的平均值,若当前独立窗口中会话的局部异常分数大于所述平均值,则将所述会话作为当前独立窗口的异常会话;

根据当前独立窗口中剩余会话所在网格密度和剩余会话的局部异常分数计算得到剩余会话的得分,按照所述得分从大到小的顺序对剩余会话排序,将排序后前k个会话作为候选异常会话。

9.如权利要求6所述的系统,其特征在于,所述根据会话局部异常分数确定当前独立窗口的异常会话和候选异常会话,具体为:获取联合窗口中每个独立窗口中会话局部异常分数的最大值,计算所述最大值的平均值,若当前独立窗口中会话的局部异常分数大于所述平均值,则将所述会话作为当前独立窗口的异常会话;

根据当前独立窗口中会话所在网格密度和会话的局部异常分数计算得到会话的得分,获取当前独立窗口异常会话的得分的最小值;

若非异常会话的得分大于所述最小值,则将非异常会话作为候选异常会话。

10.如权利要求8或9所述的系统,其特征在于,所述得分的计算过程是:计算网格密度的负指数函数值,对所述负指数函数值和所述局部异常分数进行加权求和得到所述得分。

推荐专利
基于大数据的网络异常行为检测系统
发明专利
¥18000
一种网络异常的检测定位方法及系统
发明专利
¥21000
一种上网功能检查并排查网络异常的测试方法及系统
发明专利
¥8500
一种电力异常检测系统
发明专利
¥28000
我要求购
您有专利需要变现?
我要出售
智能匹配需求,快速出售