一种异常连接的检测方法及装置

本申请提供一种异常连接的检测方法及装置，涉及网络安全技术领域。本申请能够分析目标数据包与目标数据流的特征信息之间特征的关联性，有效识别出目标数据包中异常连接，提高异常连接检测的准确性。该方法包括：基于协议解码数据从网络镜像流量中获取数据包以及对应的特征信息，获取目标数据包与其所属数据流排序之前的历史数据包的特征信息；根据目标数据包与历史数据包的特征信息确定目标数据流的特征信息；根据目标数据流中两两数据包间的特征信息异常关联度，计算第一检测评分；根据目标数据包与目标数据流的特征信息异常关联度计算第二检测评分；根据第一检测评分与第二检测评分的差值，确定所述目标数据包是否存在异常连接。