(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111667761.9 (22)申请日 2021.12.31 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融街31号 (72)发明人 戴诗嘉　陈晨　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 卢志娟 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于图模型的主机流量异常检测方法 及装置 (57)摘要 本申请提供一种基于图模型的主机流量异 常检测方法及装置， 其中该方法可根据采集到的 目标主机相关的流量记录， 生成第一流量图模 型， 利用第一流量图模型中外部主机与目标主机 之间的会话特征相似性， 建立外部主机之间的连 接关系， 实现对第一流量图模型的重构。 然后， 基 于改进的派系过滤算法， 对重构后的第二流量图 模型中具有相似会话行为模式的外部主机进行 聚类分组， 找出游离于正常外部主机分组的异常 外部主机。 本申请的方案对流量中的异常外部主 机具有良好的发现能力， 能够 有效提高流量异常 检测的准确性。 权利要求书4页 说明书25页 附图7页 CN 114726570 A 2022.07.08 CN 114726570 A 1.一种基于图模型的主机流 量异常检测方法， 其特 征在于， 所述方法包括： 根据采集到的设定时间段内目标主机相关的流量记录， 生成第一流量图模型， 所述第 一流量图模型中包括所述目标主机的信息、 多个外部主机的信息和所述外部主机与所述目 标主机间的第一类型连接关系， 所述第一类型连接 关系用于指示所述外部主机与所述目标 主机之间的会话特 征； 根据所述第一流量图模型中不同所述外部主机与所述目标主机之间会话特征的相似 性， 对所述第一流量图模型进 行重构， 生成第二流量图模型， 所述第二流量图模 型中包括所 述外部主机间的第二类型连接 关系， 所述第二类型连接 关系用于指示两个所述外部主机的 会话行为模式相似； 根据所述第 二流量图模型中不同所述外部节点的会话行为模式的相似性， 对所述多个 外部节点进行聚类分组， 得到一个或多个外部主机分组， 每个所述外部主机分组包括多个 外部主机； 将不属于任一所述外部主机分组的所述外部主机， 确定为与 所述目标主机通信的异常 外部主机。 2.根据权利要求1所述的方法， 其特征在于， 每条所述流量记录中包括所述流量记录所 关联会话的五元组信息， 所述五元组信息包括源IP地址、 源端口号、 目的IP地址、 目的端口 号和连接时间， 且每条所述流量记录中的所述源IP地址或所述目的IP地址为所述目标主机 的IP地址； 所述根据采集到的设定时间段内目标主机相关的流量记录， 建立第一流量图模型， 包 括： 聚合所述目标主机相关的流量记录中具有相同四元组信 息的流量记录， 确定每个所述 四元组信息对应的总 连接次数和连接时间序列， 所述四元组信息包括所述源IP地址、 所述 源端口号、 所述目的IP地址、 所述目的端口号； 根据各个所述 四元组信 息对应的所述总连接次数和所述连接时间序列， 生成所述第 一 流量图模型。 3.根据权利要求2所述的方法， 其特征在于， 所述目标主机的信 息包括所述目标主机的 IP地址， 所述外 部主机的信息包括所述外 部主机的IP地址； 所述第一类型连接关系包括所述外部主机与所述目标主机之间的一组所述四元组信 息对应的所述总连接次数和所述连接时间序列。 4.根据权利要求3所述的方法， 其特征在于， 所述根据所述第 一流量图模型中不同所述 外部主机与所述目标主机之间会话特征 的相似性， 对所述第一流量图模型进行重构， 生成 第二流量图模型， 包括： 根据每个所述外部主机与 所述目标主机间的所述第 一类型连接关系， 确定所述多个外 部主机两两之 间的会话相似距离， 所述会话相似距离用于指示两个所述外部主机的会话行 为模式的相似程度； 若两个所述外部主机之间的会话相似距离大于平均会话相似距离与 预设阈值的乘积， 则建立所述两个外 部主机之间的所述第二类型 连接关系。 5.根据权利要求4所述的方法， 其特征在于， 每个所述外部主机与所述目标主机间存在 一条或多条 所述第一类型 连接关系；权　利　要　求　书 1/4 页 2 CN 114726570 A 2所述确定 两个外部主机之间的会话相似距离， 包括： 针对由第一外部主机与所述目标主机间的一条第一类型映射关系与第二外部主机与 所述目标主机间的一条第一类型映射关系组成的每个满足设定条件的第一类型映射关系 对， 确定所述第一类型映射关系对的会话特 征相似度； 根据所述第一外部主机与所述第二外部主机之间所有满足所述设定条件的所述第一 类型映射关系对的会话特征相似度， 确定所述第一外部主机与所述第二外部主机之 间的会 话相似距离 。 6.根据权利要求5所述的方法， 其特征在于， 所述满足所述设定条件的所述第 一类型映 射关系对是指： 所述第一类型映射关系对中包括的两条第一类型映射关系对应的四元组信息的源IP 地址相同且 源端口号相同， 或者， 目的IP地址相同且目的端口号相同。 7.根据权利要求5所述的方法， 其特征在于， 所述第 一类型映射关系对的会话特征相似 度为： 所述第一类型映射关系对中包括的两条所述第一类型映射关系分别对应的四元组信 息中的连接时间序列之间的相似度。 8.根据权利要求7所述的方法， 其特征在于， 所述第 一类型映射关系对中包括所述第 一 外部主机与所述目标主机间的第i条第一类型映射关系和所述第二外部主机与所述目标主 机间的第 j条第一类型映射关系， 且所述第i条第一类型映射关系对应的四元 组信息中的连 接时间序列为第一连接时间序列， 所述第j条第一类型映射关系对应的四元组信息中的连 接时间序列为第二连接时间序列， 所述i和j为整数； 每个所述连接时间序列包括一个或多 个时间戳time以及每 个时间戳对应的连接次数num； 所述确定所述第一类型映射关系对的会话特 征相似度， 包括： 若所述第一连接时间序列的长度大于所述第 二连接时间序列的长度， 且小于或等于第 二连接时间序列的长度的两倍， 则将所述第一连接时间序列和所述第二连接时间序列进 行 长度匹配； 通过如下公式确定长度匹配后的所述第一连接时间序列与所述第二连接时间序列之 间的相似度： 其中， 所述x为长度匹配后的所述第一连接时间序列， y为长度匹配后的所述第二连接 时间序列， 所述similarity(x， y)为所述第一连接时间序列与所述第二连接时间序列之间 的相似度， 所述xi.time为长度匹配后的所述第一连接时间序列中的第i个时间戳， 所述 xi.num为长度匹配后的所述第一连接时间序列中的第i个时间戳对应的连接次数， 所述 yi.time为长度匹配后的所述第二连接时间序列中的第i个时间戳， 所述yi.num为长度匹配 后的所述第二连接时间序列中的第i个时间戳对应的连接次数， n为长度匹配后所述第二连 接时间序列和所述第二连接时间序列中时间戳的个数。 9.根据权利要求8所述的方法， 其特征在于， 所述确定所述第 一类型映射关系 对的会话权　利　要　求　书 2/4 页 3 CN 114726570 A 3