网络异常检测方法、装置、设备及存储介质与流程

本申请涉及网络安全监测，尤其涉及网络异常检测方法、装置、设备及存储介质。

背景技术：

1、随着网络技术的快速发展，ipv4(internet protocol version 4，网际协议版本4)地址资源已经基本耗尽，但是ipv6(网际协议版本6)仍在逐步推广和完善中，为了使网络技术从ipv4平滑过渡到ipv6，通常采用双栈网络架构，以同时支持ipv4与ipv6的协议。

2、但是，双栈网络环境的实施增加了复杂性、监控难度以及安全风险，目前常用的网络异常检测方法依赖于固定的规则或单一的数据流分析，且主要集中在ipv4上，忽视了ipv6的存在与特征，因此，在双栈网络环境中无法全面对网络安全进行监控和评估，导致了对网络安全的检测效果不佳。

3、上述内容仅用于辅助理解本申请的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

1、本申请的主要目的在于提供一种网络异常检测方法，旨在解决在双栈网络环境中无法全面对网络安全进行监控和评估，导致了对网络安全的检测效果不佳的技术问题。

2、为实现上述目的，本申请提出一种网络异常检测方法，所述的方法包括：

3、判断捕获流经交换机的实时网络数据是否存在异常；

4、若确定所述实时网络数据存在异常，则将所述实时网络数据输入至预设检测模型，确定所述实时网络数据的异常类型与异常点，所述预设检测模型是利用ipv6与ipv4的历史网络数据训练隔离森林模型获得的；

5、基于所述异常类型与所述异常点识别所述实时网络数据中存在的攻击模式。

6、在一实施例中，所述判断捕获流经交换机的实时网络数据是否存在异常的步骤包括：

7、捕获流经交换机的实时网络数据；

8、对所述实时网络数据进行tcp分类，将所述实时网络数据划分为ipv4数据和/或ipv6数据；

9、基于预设基线模型对比所述ipv4数据和/或所述ipv6数据，判断所述ipv4数据和/或所述ipv6数据中是否存在异常，所述预设基线模型是基于流经所述交换机的历史ipv4数据与历史ipv6数据训练聚类模型获得的。

10、在一实施例中，所述基于预设基线模型对比所述ipv4数据和/或所述ipv6数据，判断所述ipv4数据和/或所述ipv6数据中是否存在异常的步骤包括：

11、若所述实时网络数据中存在所述ipv4数据与所述ipv6数据，则基于预设基线模型从所述ipv4数据与所述ipv6数据提取基础特征，并从所述ipv6数据中提取扩展头特征；

12、基于所述预设基线模型中的正常特征分别与所述基础特征以及所述扩展头特征进行对比，判所述ipv4数据和/或所述ipv6数据中是否存在异常。

13、在一实施例中，所述基于预设基线模型对比所述ipv4数据和/或所述ipv6数据，判断所述ipv4数据和/或所述ipv6数据中是否存在异常的步骤包括：

14、若所述实时网络数据中存在所述ipv4数据与所述ipv6数据，则基于预设基线模型从所述ipv4数据与所述ipv6数据提取基础特征，并从所述ipv6数据中提取扩展头特征；

15、基于所述预设基线模型中的正常特征分别与所述基础特征以及所述扩展头特征进行对比，判所述ipv4数据和/或所述ipv6数据中是否存在异常。

16、在一实施例中，所述基于所述异常类型与所述异常点识别所述实时网络数据中存在的攻击模式包括：

17、基于预设dpi对所述异常点对应的异常数据进行内容分析与行为分析，确定所述ipv4数据与所述ipv6数据的流量模式；

18、将所述流量模式与预设基线模式进行比较，识别所述实时网络数据的攻击模式。

19、在一实施例中，所述判断捕获流经交换机的实时网络数据是否存在异常的步骤之前还包括：

20、获取流经所述交换机的历史网络数据；

21、从所述历史网络数据中提取历史ipv6数据与历史ipv4数据的基础特征与ipv6数据的特有特征；

22、从所述特有特征中识别所述历史ipv6数据的特有异常属性；

23、基于所述特有异常属性与所述基础特征训练隔离森林模型，获得预设检测模型。

24、在一实施例中，所述从所述特有特征中识别所述历史ipv6数据的特有异常属性的步骤包括：

25、从所述特有特征中识别所述历史ipv6数据的扩展头部类型、扩展头部顺序、地址构成和分配模式；

26、从所述扩展头部类型中识别异常类型、从所述扩展头部顺序中识别异常顺序、从地址构成中识别异常地址，并从分配模式中识别异常模式；

27、基于所述异常类型、所述异常顺序、所述异常地址以及所述异常模式，获得所述历史ipv6的特有异常属性。

28、此外，为实现上述目的，本申请还提出一种网络异常检测装置，所述网络异常检测装置包括：

29、判断模块，用于判断捕获流经交换机的实时网络数据是否存在异常；

30、检测模块，用于若确定所述实时网络数据存在异常，则将所述实时网络数据输入至预设检测模型，确定所述实时网络数据的异常类型与异常点，所述预设检测模型是利用ipv6与ipv4的历史网络数据训练隔离森林模型获得的；

31、识别模块，用于基于所述异常类型与所述异常点识别所述实时网络数据中存在的攻击模式。

32、此外，为实现上述目的，本申请还提出一种网络异常检测设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序配置为实现如上文所述的网络异常检测方法的步骤。

33、此外，为实现上述目的，本申请还提出一种存储介质，所述存储介质为计算机可读存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上文所述的网络异常检测方法的步骤。

34、此外，为实现上述目的，本申请还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现如上文所述的网络异常检测方法的步骤。

35、本申请提出的一个或多个技术方案，至少具有以下技术效果：

36、本申请通过捕获流经的实时网络数据，以对实时网络数据进行异常检测，判断实时网络数据是否存在异常，在实时网络数据存在异常时说明实时网络数据存在安全威胁，为了能够并行处理ipv4数据与ipv6数据，因此使用根据ipv4与ipv6的历史网络数据训练隔离森林模型获得的预设检测模型对实时网络数据进行检测，以通过一次检测即可识别ipv4网络环境中的异常点和/或ipv6网络环境中的异常点，避免了对网络的异常检测集中在ipv4网络环境中，进而避免忽视ipv6的存在与特征，再通过异常类型与异常点进一步识别实时网络数据存在的攻击模式，实现对网络安全进行全面监控和评估，进而提高了对网络安全的检测效果。

1.一种网络异常检测方法，其特征在于，所述的方法包括：

2.如权利要求1所述的方法，其特征在于，所述判断捕获流经交换机的实时网络数据是否存在异常的步骤包括：

3.如权利要求2所述的方法，其特征在于，所述基于预设基线模型对比所述ipv4数据和/或所述ipv6数据，判断所述ipv4数据和/或所述ipv6数据中是否存在异常的步骤包括：

4.如权利要求1至3中任一项所述的方法，其特征在于，所述基于所述异常类型与所述异常点识别所述实时网络数据中存在的攻击模式的步骤包括：

5.如权利要求1至3中任一项所述的方法，其特征在于，所述判断捕获流经交换机的实时网络数据是否存在异常的步骤之前还包括：

6.如权利要求5所述的方法，其特征在于，所述从所述特有特征中识别所述历史ipv6数据的特有异常属性的步骤包括：

7.一种网络异常检测装置，其特征在于，所述装置包括：

8.一种网络异常检测设备，其特征在于，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序配置为实现如权利要求1至6中任一项所述的网络异常检测方法的步骤。

9.一种存储介质，其特征在于，所述存储介质为计算机可读存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的网络异常检测方法的步骤。

10.一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的网络异常检测方法的步骤。