技术特征:
1.一种异常会话检测方法,其特征在于,包括:提取数据流中的会话以及与会话对应的设备互连信息;根据所述设备互连信息判断相应会话是否存在于预设白名单中;将不存在于预设白名单中的会话按照会话内容进行逐级分类,得到会话树;根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度;将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单;将不存在于最新白名单中的会话判断为异常会话。2.根据权利要求1所述的异常会话检测方法,其特征在于,所述根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度,包括:提取并统计所述设备互连信息中的多维特征信息;根据每个维度的特征信息与数据类型特征的符合度,确定每个维度的特征信息对应的会话初始置信度;综合多个所述会话初始置信度得到所述数据类型置信度。3.根据权利要求2所述的异常会话检测方法,其特征在于,所述设备互连信息中的多维特征信息,至少包括以下的两种:源地址的收敛情况信息;目的地址的收敛情况信息;目的段口的收敛情况信息;单一源地址访问会话频次特征信息;单一源地址会话周期性变化规律特征信息。4.根据权利要求1所述的异常会话检测方法,其特征在于,所述根据所述设备互连信息判断相应会话是否存在于预设白名单中之后,包括:获取存在于所述预设白名单中的会话的数据量;将所述数据量与预设标准数据量进行对比;将大于所述预设标准数据量的数据量所对应的会话确定为异常会话。5.根据权利要求1所述的异常会话检测方法,其特征在于,所述将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单之后,包括:将所述最新白名单补充入所述预设白名单。6.一种异常会话检测装置,其特征在于,包括:提取模块,用于提取数据流中的会话以及与会话对应的设备互连信息;判断模块,用于根据所述设备互连信息判断相应会话是否存在于预设白名单中;会话树生成模块,用于将不存在于预设白名单中的会话按照会话内容进行逐级分类,得到会话树;置信度计算模块,用于根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度;最新白名单确定模块,用于将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单;第一异常会话判断模块,用于将不存在于最新白名单中的会话判断为异常会话。
7.根据权利要求6所述的异常会话检测装置,其特征在于,所述置信度计算模块包括:多维特征信息提取子模块,用于提取并统计所述设备互连信息中的多维特征信息;初始置信度确定子模块,用于根据每个维度的特征信息与数据类型特征的符合度,确定每个维度的特征信息对应的会话初始置信度;数据类型置信度确定子模块,用于综合多个所述会话初始置信度得到所述数据类型置信度。8.根据权利要求6所述的异常会话检测装置,其特征在于,还包括:数据量确定模块,用于获取存在于所述预设白名单中的会话的数据量;对比模块,用于将所述数据量与预设标准数据量进行对比;第二异常会话判断模块,用于将大于所述预设标准数据量的数据量所对应的会话确定为异常会话。9.根据权利要求6所述的异常会话检测装置,其特征在于,还包括:补充模块,用于将所述最新白名单补充入所述预设白名单。10.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1
‑
5中任一项所述的异常会话检测方法。
技术总结
本发明实施例公开了一种异常会话检测方法,包括:提取数据流中的会话以及与会话对应的设备互连信息;根据所述设备互连信息判断相应会话是否存在于预设白名单中;将不存在于预设白名单中的会话按照会话内容进行逐级分类,得到会话树;根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度;将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单;将不存在于最新白名单中的会话判断为异常会话,提高了异常会话检测的准确度。常会话检测的准确度。常会话检测的准确度。
技术研发人员:范海斌 王文君
受保护的技术使用者:上海观安信息技术股份有限公司
技术研发日:2021.08.31
技术公布日:2021/11/16
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
