技術(shù)特征：

1.一種橫向移動流量檢測方法，用于檢測目標容器化集群中產(chǎn)生的待檢測流量序列中是否存在橫向移動流量，其中，待檢測流量序列中包括時序連續(xù)的多個網(wǎng)絡流量，橫向移動流量為目標容器化集群遭受攻擊時產(chǎn)生的流量數(shù)據(jù)，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法包括按照如下方式對良性流量序列進行特征提取以獲取包含多個目標特征的目標特征集合：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述預設的評估方式為：

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述預設個數(shù)為57。

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述目標特征包括：連續(xù)空閑時長標準差、前向批量數(shù)據(jù)包傳輸字節(jié)數(shù)平均值、前向數(shù)據(jù)包長度最小值、前向批量數(shù)據(jù)包速率平均值、前向rst標志、前向主動數(shù)據(jù)包數(shù)量、后向幀間到達時間最小值、后向psh標志、前行報文段大小最小值、后向窗口初始值、tcp流總時間、psh標志計數(shù)、ack標志計數(shù)、前向幀間到達時間平均值、fin標志計數(shù)、后向首部長度、流間到達時間最小值、前向幀間到達時間最小值、前向數(shù)據(jù)包數(shù)量、數(shù)據(jù)包到達時間間隔平均值、后向數(shù)據(jù)包總長度、syn標志計數(shù)、數(shù)據(jù)包長度最大值、后向幀間到達時間平均值、后向與前向數(shù)據(jù)包比例、后向數(shù)據(jù)包數(shù)量、前向首部長度、流持續(xù)毫秒數(shù)、前向數(shù)據(jù)包到達時間間隔總和、后向數(shù)據(jù)包到達時間間隔總和、前向數(shù)據(jù)包長度平均值、前向報文段大小平均值、前向psh標志、數(shù)據(jù)包到達時間間隔標準差、前向數(shù)據(jù)包到達時間間隔標準差、后向子流字節(jié)數(shù)、前向窗口初始值、后向數(shù)據(jù)包長度標準差、數(shù)據(jù)包長度平均值、后向數(shù)據(jù)包長度平均值、數(shù)據(jù)包長度變化、后向數(shù)據(jù)包到達時間間隔標準差、數(shù)據(jù)包到達時間間隔最大值、后向報文段大小平均值、后向數(shù)據(jù)包到達時間間隔最大值、前向數(shù)據(jù)包到達時間間隔最大值、數(shù)據(jù)包長度標準差、數(shù)據(jù)包長度平均值、前向流速、前向數(shù)據(jù)包總長度、前向數(shù)據(jù)包長度標準差、前向子流字節(jié)數(shù)、后向數(shù)據(jù)包總長度、數(shù)據(jù)包流速、字節(jié)流速、后向數(shù)據(jù)包流速和前向數(shù)據(jù)包長度最大值。

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述方法包括按照如下方式基于良性流量序列進行拓撲提取以獲取目標容器化集群的拓撲結(jié)構(gòu)：

7.根據(jù)權(quán)利要求6所述的方法，其特征在于，所述方法包括按照如下方式分析待檢測流量序列中每一個網(wǎng)絡流量的傳輸過程是否滿足目標容器化集群的拓撲結(jié)構(gòu)：

8.根據(jù)權(quán)利要求7所述的方法，其特征在于，預訓練的橫向移動檢測模型被配置為按照如下方式對待檢測流量序列進行流量檢測：

9.根據(jù)權(quán)利要求8所述的方法，其特征在于，預訓練的橫向移動檢測模型為按照如下方式訓練獲得的模型：

10.根據(jù)權(quán)利要求9所述的方法，其特征在于，所述預訓練的橫向移動檢測模型包括transformer模型和判斷模塊，其中：

11.根據(jù)權(quán)利要求9所述的方法，其特征在于，所述預訓練的橫向移動檢測模型包括空間特征嵌入模塊、時間特征嵌入模塊、編解碼模塊、序列輸出模塊和判斷模塊；其中：

12.根據(jù)權(quán)利要求11所述的方法，其特征在于，所述空間特征嵌入模塊為圖卷積網(wǎng)絡、所述時間特征嵌入模塊為長短時記憶網(wǎng)絡。

13.一種計算機可讀存儲介質(zhì)，其特征在于，其上存儲有計算機程序，所述計算機程序可被處理器執(zhí)行以實現(xiàn)權(quán)利要求1-12任一所述方法的步驟。

14.一種電子設備，其特征在于，包括：

技術(shù)總結(jié)
本發(fā)明提供了一種橫向移動流量檢測方法，用于檢測目標容器化集群中產(chǎn)生的待檢測流量序列中是否存在橫向移動流量，所述方法包括預處理階段、第一檢測階段、第二檢測階段和檢測結(jié)果輸出階段；其中，預處理階段用于獲取目標特征對應的取值范圍和目標容器化集群的拓撲結(jié)構(gòu)；第一檢測階段用于進行最值檢測和拓撲檢測；第二檢測階段用于采用預訓練的橫向移動檢測模型對待檢測流量序列進行流量檢測；檢測結(jié)果輸出階段用于做去重處理以獲取待檢測流量序列的最終檢測結(jié)果。本發(fā)明的技術(shù)方案通過設置兩階段檢測來篩選橫向移動流量，在提高檢測率的同時降低了誤報率。

技術(shù)研發(fā)人員：姜海洋,吳國璋,韓簫同,刁祖龍,張廣興
受保護的技術(shù)使用者：中國科學院計算技術(shù)研究所
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/15