CN100505648C - 用于检测和阻止越权访问的方法和装置 - Google Patents
用于检测和阻止越权访问的方法和装置 Download PDFInfo
- Publication number
- CN100505648C CN100505648C CNB2006100739201A CN200610073920A CN100505648C CN 100505648 C CN100505648 C CN 100505648C CN B2006100739201 A CNB2006100739201 A CN B2006100739201A CN 200610073920 A CN200610073920 A CN 200610073920A CN 100505648 C CN100505648 C CN 100505648C
- Authority
- CN
- China
- Prior art keywords
- business
- behavior
- desired value
- commission
- professional
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于检测通过网络的越权或违法业务的方法,包括步骤:预先存储每种业务的行为的期望值;当通过网络执行通信时分离个别的业务;测量个别已分离业务的行为;将测量到的行为与行为的期望值比较;以及根据比较结果,确定越权或违法业务。
Description
技术领域
本发明涉及一种用于检测并阻止通过网络的越权访问的方法和设备,以及更特别地,涉及一种通过针对每种特征对流经网络的的数据业务进行分类来检测和阻止越权业务的方法和设备。
背景技术
近年来,随着网络环境例如因特网的普及,通过网络的越权访问十分普遍,用于检测和阻止例如越权访问的方法就显得尤为重要。在因特网上,TCP(传输控制协议),IP(因特网协议),以及UDP(用户数据报协议)被用作通信协议,以基于这些协议的分组形式传输数据。分组的报头内存储有源IP地址,源端口号,目的IP地址,目的端口号,等等。通过基于IP协议的IP地址将分组传输到目的地。通过TCP和UDP定义的端口号指定数据分组是哪一个应用的数据。
为了检测和阻止与越权访问有关的业务,传统的越权访问检测设备或越权访问阻止设备,确定包括预先登记的、与端口号、IP地址等有关的位模式的业务,作为越权或违法信息流,以及执行这样的越权信息流的检测和阻止处理。
日本专利未审公开申请No.2004-38557(JP,P2004-38557A)公开了一种越权访问阻止系统,其中将从外部网络接收的通信数据与预先设定的特征信息比较,仅将满足所有特征信息的通信数据确定为正常的,并传输给服务器。
日本专利未审公开申请No.2004-140618(JP,P2004-140628)公开了一种用于通过分组过滤器来阻止越权访问的设备。在该设备中,将通信分组与检测模式进行比较以找出符合的和不符合的数目,以及将该数目与标准值比较以确定状态变换,同时基于该状态变换,确定传输或者丢弃分组。
日本专利未审公开申请No.2003-218949(JP,P2003-140618)提出了一种检测越权访问的方法,记录将要被传输和接收的分组的源IP地址、源端口号、目的IP地址和目的端口号,分析从外部到内部网络的访问模式,以及比较该分析的模式是否与预先记录的越权访问模式的多种类型中的任何一个匹配。但是,该方法没有定义访问模式本身。
日本专利未审公开申请No.2004-356915(JP,P2004-356915)公开了一种检测越权访问以及确定已检测的越权访问的类型的方法,通过针对每种越权访问类型,存储由越权访问产生的业务量或数据分组的时间变化模式,并将实际业务的时间变化模式与存储的模式进行比较。但是,该方法难于检测新类型的越权访问。
根据上述的用于检测越权访问的传统方法,存在基于假定的TCP或者UDP端口号的越权访问不能被检测到的问题。近年来,业务的加密或封装技术(例如Any over HTTP和移动IP)已经被用于提高安全性。但是,为了检测加密业务或者已封装业务中的越权访问,需要单独地指定潜在的越权业务的位模式或者访问模式,并引起了要预先指定或存储的模式的数目增加的问题。
此外,由于JP,P2004-140618A;JP,P2003-218949A;以及JP,P2004-356915A中公开的是基于过去的越权访问模式和现在的模式之间的比较的技术,这些技术不能检测计算机病毒和由恶意用户传输的新恶意业务。此外,由于在JP,P2004-38557A中公开的技术需要预先准备正常通信数据的特征信息,存在该技术甚至阻止了新的但合法的业务的问题。
无论如何,根据以上描述的传统技术,由于维护人员必须预先指定位模式或者访问模式以检测越权访问,维护变得复杂,并且需要花费大量人力和时间来应对新业务的出现。
发明内容
本发明的一个目的是提供一种用于越权业务检测的方法和设备,其中可以检测基于假定端口号的越权业务,也可以检测来自加密或封装业务的越权业务,以及也可以检测由于计算机病毒等引起的新的恶意业务。
本发明的另一个目的是提供一种用于越权业务检测的方法和设备,其可以减轻维护人员的操作负荷,也可以灵活应对新的业务。
本发明的另一个目的是提供一种用于阻止或中断越权业务的方法和设备,其能够检测基于假定端口号的越权业务,以及能够检测来自于加密或封装业务的越权业务,以及也能够检测由计算机病毒等引起的新的恶意业务。
本发明的另一个目的是提供一种用于阻止或中断越权业务的方法和设备,其能够减少维护人员的操作负荷,也能够灵活应对新的业务。
根据本发明的第一方面,提供了一种用于检测通过网络的越权业务的方法。所述方法包括步骤:存储每种业务的行为的期望值;当通过网络执行通信时分离个别的业务;测量个别已分离业务的行为;比较测量到的行为与行为期望值,以及根据比较结果,确定越权业务。
根据本发明的第二方面,提供了一种用于检测通过网络的越权业务的设备。所述设备包括:接收装置,用于从所述网络接收业务;测量装置,用于测量个别接收到的业务的行为;识别装置,用于根据所述测量装置的测量结果,识别个别业务是否是越权业务。
根据本发明的第三方面,提供了一种用于检测通过网络的越权业务的设备。所述设备包括:存储装置,用于预先存储每种业务的行为的期望值;接收装置,用于通过所述网络接收业务,以及将接收到的业务分成个别业务;测量装置,用于测量个别分离业务的行为;比较装置,用于比较测量到的行为与存储在所述存储装置中的期望值,以及根据比较结果,确定越权业务。
在本发明中,业务典型地由来自TCP/IP的数据分组构成。所述分组被认为显示了业务的行为,根据使用所述分组的应用(或程序),所述业务的行为由以下内容定义:分组长度或其分布、分组到达时间间隔或其分布等。此外,在TCP或UDP的情况下,端口号被用作应用的标识符,以及端口号与应用相关联。
因此,在本发明中,基于业务产生于哪一种应用来考虑业务的类型,以及针对每种业务(即每种应用),将该业务将要显示的行为预先存储在数据库中。作为行为,例如,使用构成业务的数据分组的分组长度的平均值、分组长度的离散值(dispersion value)、分组到达时间间隔的平均值、以及分组到达时间间隔的离散值。通过以这种方式使用分组长度的平均值和离散值以及分组到达时间间隔的平均值和离散值,可以检测通过单独监测通信数量和分组数量不能检测到的越权业务。
在上述的说明中,作为业务的行为,指定使用构成该业务的数据分组的分组到达时间间隔的平均值或离散值,不仅是平均值和离散值,也可以使用其他的基本统计值参数,如标准偏差等。此外,除了上述参数,构成业务的分组数据的分组长度的类型数也可以用作业务的行为。如果数据分组的TCP报头没有加密,其中在TCP标记中置位了PUSH位(也就是,强制传输位)的PUSH分组的出现比例(appearance ratio)可以用作业务的行为。通过将连续传输的多个数据分组定义为脉冲串,如脉冲串长度和脉冲串到达时间间隔的平均值、离散值等基本统计值参数可以用作业务的行为。
根据本发明,例如,在存在具有假定的TCP或UDP端口号的越权业务的情况下,由于基于假定端口号的业务的行为不同于基于原始应用的业务的行为,利用假定端口号检索数据库而获取的行为的期望值与实际业务的行为不匹配,因而可以将其确定为越权业务。同样对于加密或封装业务,如果预先存储了行为的期望值,类似于上述情况,越权业务可以被检测。甚至在由于计算机病毒,出现新的恶意业务的情况下,由于这样的业务不具有已登记的行为的期望值,可以将其确定为越权业务。
在本发明中,还提供了:装置,针对存储装置,登记或擦除每种业务的行为的期望值,以及可以从与网络相连的终端等登记或擦除业务的行为的期望值,从而可以减轻维护人员的操作负荷,并且可以灵活应对新的业务。
在通过检测业务的行为执行越权业务检测处理之前,可以测量个别业务中每单位时间接收到的分组数,以及将每单位时间接收到的分组数超过阈值的业务看作可疑的潜在越权业务,从而针对所提取出的可疑业务,执行越权业务检测处理。通过执行可疑业务的越权业务检测处理,可以有效执行越权业务检测处理。
在本发明中,可以预先登记涉及端口号、IP地址等的位模式,以及个别分离的业务可以被分成加密业务以及非加密业务,以及对于加密业务,可以执行上述加密处理,以及对于非加密业务,取决于是否从非加密业务中检测到已登记的位模式,执行越权业务检测。这样做,即使对于不能通过传统方法应对的加密业务,也可以执行越权检测处理。
此外,在本发明中,还可以提供:装置,在检测到新业务的情况下,通过总计业务的行为的检测结果,生成新业务的期望值。通过提供这样的装置,可以减轻维护人员登记行为期望值的操作负荷。
通过以下参照附图的描述,本发明的上述及其他的目的、特征和优点将变得更加明显,附图说明了本发明的示例。
附图说明
图1是说明根据本发明第一实施例的越权访问阻止设备的结构的方框图;
图2是说明如图1所示的越权访问阻止设备的处理的流程图;
图3是说明根据本发明第二实施例的越权访问阻止设备的结构的方框图;
图4是说明根据本发明第三实施例的越权访问阻止设备的结构的方框图;
图5是说明根据本发明第四实施例的越权访问阻止设备的结构的方框图;
图6是说明根据本发明第五实施例的越权访问阻止设备的结构的方框图;
图7是说明如图6所示的越权访问阻止设备的处理的流程图;
图8是说明根据本发明另一个实施例的越权访问阻止设备的结构的方框图;
图9是说明如图8所示的越权访问阻止设备的处理的流程图;以及
图10是说明根据本发明另一个实施例的越权访问阻止设备的结构的方框图。
具体实施方式
如图1所示,根据本发明第一实施例的越权访问阻止设备2检测来自网络3的、对服务器4的越权访问,以及阻止或中断这样的越权访问使其不能到达服务器4。越权访问阻止设备2被安装在网络3和服务器4之间。例如,网络3是因特网,以及网络3还连接到终端1。尽管图1中只示出了一组终端,勿庸置疑,网络3还连接到多个终端、服务器、以及其他的设备,以及这些终端、服务器、以及其他设备可能可访问服务器4,以及这些访问有时可能包括越权访问。这里,越权访问阻止设备2将被描述为检测和阻止越权访问的设备,勿庸置疑,如果只将注意力集中在越权访问的检测功能上,允许将越权访问阻止设备2用作越权访问检测设备。
越权访问阻止设备2包括用于从网络3中接收业务的接收单元26;用于将接收到的业务传输给服务器4的传输单元27;分组长度平均值计算单元21;分组长度离散值计算单元22;分组到达时间间隔平均值计算单元23;分组到达时间间隔离散值计算单元24;端口号检测单元25;信息流比较单元28;信息流特征列表存储单元29;分组长度类型数计算单元30;PUSH分组出现比例计算单元31;脉冲串长度平均值计算单元32;脉冲串长度离散值计算单元33;脉冲串到达时间间隔平均值计算单元34;以及脉冲串到达时间间隔离散值计算单元35。在下文中,将详细描述越权访问阻止设备2的结构。
接收单元26从网络3接收寻址到服务器4的业务,针对包含在组成该业务的数据分组的报头中的每一个端口号,分离该业务,将业务的副本传输给以下单元:分组长度平均值计算单元21、分组长度离散值计算单元22、分组到达时间间隔平均值计算单元23、分组到达时间间隔离散值计算单元24、端口号检测单元25、分组长度类型数计算单元30、PUSH分组出现比例计算单元31、脉冲串长度平均值计算单元32、脉冲串长度离散值计算单元33、脉冲串到达时间间隔平均值计算单元34、以及脉冲串到达时间间隔离散值计算单元35,与此同时,将业务传输给传输单元27。例如,该业务是从终端1传输过来的。
分组长度平均值计算单元21接收来自接收单元26的传输业务,计算构成该传输业务的数据分组的分组长度的平均值,然后,将计算值通知给信息流比较单元28。类似地,分组长度离散值计算单元22接收传输业务,计算构成该传输业务的数据分组的分组长度的离散值,以及将计算值通知给信息流比较单元28。分组到达时间间隔平均值计算单元23接收传输业务,计算构成该传输业务的数据分组的到达时间间隔平均值,并将计算值通知给信息流比较单元28。分组到达时间间隔离散值计算单元24接收传输业务,计算构成该传输业务的数据分组的到达时间间隔的离散值,并将计算值通知给信息流比较单元28。端口号检测单元25接收传输业务,检测构成该传输业务的数据分组的端口号,然后,将检测值通知给信息流比较单元28。在上述说明中,尽管计算了与分组长度和分组到达时间间隔相关的平均值或离散值,替代该平均值或离散值,也可以计算如标准偏差和中值等基本统计值参数。
分组长度类型数计算单元30接收传输业务,计算构成该传输业务的数据分组的分组长度的类型数,并将计算值通知给信息流比较单元28。PUSH分组出现比例计算单元31接收传输业务,计算构成传输业务的数据分组中PUSH分组的数目,计算PUSH分组数与所有接收到的分组数之间的比率作为PUSH分组出现比例,并将计算值通知给信息流比较单元28。该PUSH分组是在TCP报头字段中作为TCP标记的代码位区域中置位了push位(即强制传输位)的分组。
脉冲串长度平均值计算单元32将从传输业务中连续接收的数据分组群作为脉冲串,计算脉冲串的脉冲串长度的平均值,并将计算值通知给信息流比较单元28。脉冲串长度离散值计算单元33计算脉冲串的脉冲串长度的离散值,并将计算值通知给信息流比较单元28。脉冲串到达时间间隔平均值计算单元34计算脉冲串的脉冲串到达时间间隔的平均值,并将计算值通知给信息流比较单元28。脉冲串到达时间间隔离散值计算单元35计算脉冲串的到达时间间隔的离散值,并将计算值通知给信息流比较单元28。在上述的说明中,尽管计算了与脉冲串长度和脉冲串到达时间间隔相关的平均值或者离散值,替代该平均值和离散值,也可以计算如标准偏差和中值等基本统计值参数。
信息流特征列表存储单元29针对每一个端口号,保持由以下内容定义的行为的期望值的列表:端口号、分组长度平均值的期望值、分组长度离散值的期望值、分组到达时间间隔平均值的期望值、分组到达时间间隔离散值的期望值、分组长度类型数的期望值、PUSH分组出现比例的期望值、脉冲串长度平均值的期望值、脉冲串长度离散值的期望值、脉冲串到达时间间隔平均值的期望值以及脉冲串到达时间间隔离散值的期望值。在以上的说明中,分组长度平均值、分组长度离散值、分组到达时间间隔平均值、分组到达时间间隔离散值、分组长度类型数、PUSH分组出现比例、脉冲串长度平均值、脉冲串长度离散值、脉冲串到达时间间隔平均值、以及脉冲串到达时间间隔离散值被放在一起并称为业务的“行为(behavior)”。
信息流比较单元28将通知的分组长度平均值、分组长度离散值、分组到达时间间隔平均值、分组到达时间间隔离散值、端口号、分组长度类型数、PUSH分组出现比例、脉冲串长度平均值、脉冲串长度离散值、脉冲串到达时间间隔平均值、以及脉冲串到达时间间隔离散值与保持在信息流特征存储单元29中的行为的期望值的列表进行比较,并将业务的传输指令或取消(丢弃)指令发送给传输单元27。而后将描述,在通知内容落在列表中的期望值的范围中的情况下,它们被确定为合法的业务,因此,信息流比较单元28指示传输业务,否则,指示取消业务。基于取消指令,信息流比较单元28将指令的内容通知给维护人员。
传输单元27根据信息流比较单元28的指令,执行从接收单元26到服务器4传输的业务的传输或取消。
接下来,将参照图2描述此越权访问阻止设备的操作。
在步骤A1,当接收单元26接收业务时,接收单元26传送构成接收到的业务的每一个分组的副本给以下单元:分组长度平均值计算单元21、分组长度离散值计算单元22、分组到达时间间隔平均值计算单元23、分组到达时间间隔离散值计算单元24、端口号检测单元25、分组长度类型数计算单元30、PUSH分组出现比例计算单元31、脉冲串长度平均值计算单元32、脉冲串长度离散值计算单元33、脉冲串到达时间间隔平均值计算单元34、以及脉冲串到达时间间隔离散值计算单元35。结果,在步骤A2,分组长度平均值计算单元21计算分组长度平均值,分组长度离散值计算单元22计算分组长度离散值,分组到达时间间隔平均值计算单元23计算分组到达时间间隔平均值,分组到达时间间隔离散值计算单元24计算分组到达时间间隔离散值,分组长度类型数计算单元30计算分组长度类型数,PUSH分组出现比例计算单元31计算PUSH分组出现比例,脉冲串长度平均值计算单元32计算脉冲串长度平均值,脉冲串长度离散值计算单元33计算脉冲串长度离散值,脉冲串到达时间间隔平均值计算单元34计算脉冲串到达时间间隔平均值,以及脉冲串到达时间间隔离散值计算单元35计算脉冲串到达时间间隔离散值。此外,端口号检测单元25从接收到的业务的数据分组中检测端口号。将端口号以及在计算单元21到24以及31到35中的每一个计算出的各个数值通知给信息流比较单元28。
信息流比较单元28,在步骤A3,利用存储在信息流特征存储单元29中的行为的期望值比较已通知的分组长度平均值、分组长度离散值、分组到达时间间隔平均值、分组到达时间间隔离散值、分组长度类型数、PUSH分组出现比例、脉冲串长度平均值、脉冲串长度离散值、脉冲串到达时间间隔平均值、脉冲串到达时间间隔离散值、以及端口号,并确定端口号是否是已知的,以及与端口号有关的每一个通知值是否都落在期望值的范围之内。
如果端口号已知,以及行为落在期望值的范围之内,信息流比较单元28发出传输指令给传送单元27,以及在步骤A4,传输单元27传输分组给服务器4。同时,在步骤A3,如果不是“端口号已知,以及行为落在期望值的范围之内”的情况,信息流比较单元28,在步骤A5,确定是否“端口号已知但行为超出期望值的范围”。如果端口号已知,但是行为超出针对该端口号的期望值的范围,信息流比较单元28将该业务视为越权业务,并且发出取消指令给传输单元27,以及传输单元27在步骤A6取消或者丢弃分组。
在步骤A5,如果不是“端口号已知但行为超出期望值的范围”的情况,尽管可以将其看作端口号未知,在那种情况下,信息流比较单元28,在步骤A7,确定是否“端口号未知,以及行为落在任何登记在列表中的期望值的范围之内”。这里,如果端口号未知,但是行为本身落在与任何端口号相关地登记的期望值的范围之内,可能该业务没有越权而是合法的以及这样的端口号是一种没有登记在列表中的号码。因此,在“端口号未知,以及行为落在登记在列表中的任意期望值的范围之内”的情况下,信息流比较单元28,在步骤A8,促使维护人员执行端口号的登记以及与该端口号相对应的行为的期望值,并且向传输单元27发出业务取消指令,以及在步骤A9传输单元27取消或者丢弃分组。
在任何上述条件没有满足的情况下,也就是说,在端口号未知以及行为不对应于任何期望值的情况下,确定该业务是越权的,信息流比较单元28发出业务取消指令给传输单元27,以及在步骤A10,传输单元27取消或者丢弃该业务。
接下来,将描述本发明的优点。
在本发明中,基于端口号和由端口号定义的业务的行为,检测越权访问。因此,也可能检测基于假定端口号的越权访问。此外,对于加密或封装业务,也可能在业务不同于期望行为的情况下检测它为越权访问。
在上述的说明中,尽管已经针对端口号、在业务信息流特征列表中定义了业务的行为,也可以通过使用源IP地址、目的IP地址等,针对每一个传输终端和接收终端,定义业务的行为。也可以针对示出了终端组(例如VLAN(虚拟局域网))以及子网的标识符,定义业务的行为。也可以针对将业务分组时所使用的标识符(例如存在于IP报头中的ToS(服务类型)字段的值),定义该行为。
接着,将要描述根据本发明的第二实施例的越权访问阻止设备。图3所示的根据本发明第二实施例的越权访问阻止设备40与图1所示的越权访问阻止设备2相似,但是与图1所示的越权访问阻止设备2的不同之处在于:设备40具有信息流申请接受单元41,用于根据来自终端1的申请,在信息流特征列表中额外登记行为的期望值。
信息流申请接受单元41提供了从终端1接受业务的行为期望值的申请的功能。在接受业务的行为期望值的申请时,信息流申请接受单元41在信息流特征列表存储单元29中登记期望值。信息流申请接受单元41可以提供根据来自信息流特征列表的特定端口号擦除期望值的功能。
在越权访问阻止设备40中,由于除了信息流申请接受单元41之外的操作与第一实施例的越权访问阻止设备2的操作相同,其中多余的描述在此不再重复。
在本实施例的越权访问阻止设备40中,终端1可以申请行为期望值,以及基于该申请,将行为期望值登记在信息流特征列表存储单元29中,因此,可以登记新的业务,而无需维护人员的干预。当以这种方式登记新的业务之后,将新业务处理为合法业务,不取消该业务的分组,并将其从传输单元27传输到服务器4。根据本实施例,通过允许从终端登记或擦除行为期望值,可以减轻维护人员与新业务登记有关的操作。
接下来,描述根据本发明第三实施例的越权访问阻止设备。图4所示的第三实施例的越权访问阻止设备50与图1所示的越权访问阻止设备2相似,但是对其进行如下配置:在通过测量业务的行为执行越权访问检测处理之前,测量个别业务中每单位时间接收到的分组数,以及提取每单位时间接收到的分组数超过阈值的业务,作为潜在越权业务。在以下说明中,将潜在越权业务称为可疑业务。因此,第三实施例的越权访问阻止设备50与图1所示的越权访问阻止设备2的不同之处在于:设备50包括:可疑业务提取单元51,用于将可疑业务传送给越权业务检测处理;以及可疑业务条件存储单元52,用于存储可疑业务条件。可疑业务条件是用于在可疑业务提取单元51中提取可疑业务的条件。
可疑业务提取单元51提供了以下功能:从接收到的业务中仅提取潜在越权的可疑业务,并基于存储在可疑业务条件存储单元52中的可疑业务条件,将已提取的可疑业务的副本传输给计算单元21到24以及30到35中的每一个和端口号检测单元25,以便后续处理。例如,可疑业务提取单元51针对从接收单元26传输的业务,计算个别业务每单位时间接收到的分组数,以及将每单位时间接收到的分组数超过保持在可疑业务条件存储单元52中的阈值的业务视为可疑业务,以及提取这样的可疑业务。这里,尽管将保持在可疑业务条件存储单元52中的可疑业务条件采用每单位时间接收到的分组数,也可以设定其他的可疑业务条件。
在越权访问阻止设备50中,由于除了可疑业务提取单元51之外的操作与第一实施例的越权访问阻止设备2的操作相同,其中多余的描述在此不再重复。在第三实施例的越权访问阻止设备50中,可以针对作为潜在越权业务的、从所有接收到的业务中提取出的可疑业务,执行测量业务行为的越权业务检测处理,因此,可以有效地执行越权业务检测处理。
接着,将要描述根据本发明第四实施例的越权访问阻止设备。图5所示的第四实施例的越权访问阻止设备60与图1所示的越权访问阻止设备2相似,但是与图1所示的越权访问阻止设备2的不同之处在于:设备60包括:位模式存储单元61,用于存储与端口号和IP地址等相关地预先登记的位模式;位模式检测单元62,用于从接收单元26传输的数据分组中检测登记在位模式存储单元61中的位模式;以及加密业务分离单元63,用于将个别分离业务分成加密业务和非加密业务。
这里,与端口号或IP地址等相关的位模式与传统已知的用于分组过滤的方法中使用的位模式相同,因此,位模式存储单元61和模式检测单元62分别与在传统的分组过滤装置中用来存储位模式的功能块和用来检测位模式的功能块相同。换句话说,位模式检测单元62(从构成个别业务的数据分组的数据部分中指定越权业务)具有检测提取自数据分组的数据部分的位模式是否对应于预先存储在位模式检测单元61中的位模式的功能。
加密业务分离单元63提供以下功能:将从接收单元26接收的业务传输给传输单元27,以及将加密业务的副本传输给计算单元21到24以及30到35的每一个以及端口号检测单元25以测量加密业务的业务行为,以及将业务的副本传输给针对非加密业务的位模式检测单元62。位模式检测单元62通过检测从加密业务分离单元63传输过来的非加密业务的位模式,执行越权业务检测处理。
在越权访问阻止设备60中,由于除了位模式检测单元62和加密业务分离单元63之外的操作与第一实施例的越权访问阻止设备2的操作相同,其中多余的描述在此不再重复。在第四实施例的越权访问阻止设备60中,将接收到的业务分成加密业务和非加密业务,以及对于非加密业务,执行通过作为传统技术的位模式检测的越权业务检测处理,以及对于加密业务,执行通过测量业务的行为的越权业务检测处理。以这样的方式,越权访问阻止设备60可以执行传统技术不能完成的针对加密业务的越权业务检测处理。
接着,将要描述根据本发明的第五实施例的越权访问阻止设备。图6所示的越权访问阻止设备70与图1所示的越权访问阻止设备2相似,但是与图1所示的越权访问阻止设备2的不同之处在于:设备70包括期望值学习单元71,用于在检测到新业务的情况下,根据业务行为的检测结果生成新业务的行为的期望值。信息流比较单元28具有以下功能:比较测量的行为与存储在信息流特征列表存储单元29中的期望值,以便确定越权业务,以及与此同时,在检测到新业务的情况下,将与新业务相关的行为的测量结果传送给期望值学习单元71。
更具体地,在业务是新的业务的情况下(作为通过测量业务的行为执行越权访问检测处理的结果,“端口号是未知的,以及行为与任何期望值都不匹配”),信息流比较单元28通知期望值学习单元71检测到新业务,以及将从计算单元21到24以及30到35的每一个以及端口号测量单元25传送过来的业务的行为测量结果传送给期望值学习单元71。期望值学习单元71具有以下功能:基于来自信息流比较单元28的新业务检测通知,总计(totalize)在计算单元21到24以及30到35的每一个以及端口号测量单元25中计算的新业务的行为测量结果,生成新业务的行为期望值,以及在信息流特征列表存储单元29中存储生成的行为期望值。
由于越权访问阻止设备70中除了检测到新业务时信息流比较单元28的操作以及期望值学习单元71的操作之外的操作等同于第一实施例中的越权访问阻止设备2的操作,其中多余的描述在此不再重复。下文中,将参照图7所示的流程图,描述越权访问阻止设备的操作。
从步骤A1到步骤A10的每一个处理与在第一实施例的越权访问阻止设备2中的处理(参见图2)相同。当在步骤A7确定是一个新的业务时(其中“端口号未知,以及行为与任意期望值都不匹配”),信息流比较单元28通知期望值学习单元71检测到新业务,以及开始将从计算单元21到24以及30到35以及端口号检测单元25接收到的业务行为测量结果传送给期望值学习单元71。期望值学习单元71,在步骤A11,当从信息流比较单元28通知了新业务检测时,总计从信息流比较单元28传输过来的业务行为测量结果,并且生成新业务的行为期望值。在生成新业务的行为期望值以后,期望值学习单元71,在步骤A12,执行对维护人员的通知以促使他或她登记端口号和与端口号相关的行为期望值。当维护人员执行端口号的登记和行为期望值的登记时,期望值学习单元71将行为期望值与端口号关联,并将其登记在信息流特征存储单元29中。
在本实施例的越权访问阻止设备70中,通过自动生成新业务的行为期望值,可以减轻维护人员与行为期望值的登记有关的操作负荷。
在上述的每一个实施例中,作为业务的行为,使用端口号、分组长度平均值的期望值、分组长度离散值的期望值、分组到达时间间隔平均值的期望值、分组到达时间间隔离散值的期望值、分组长度类型数的期望值、PUSH分组出现比例的期望值、脉冲串长度平均值的期望值、脉冲串长度离散值的期望值、脉冲串到达时间间隔平均值的期望值、和脉冲串到达时间间隔离散值的期望值。但是,在本发明中,作为业务的行为,也可以使用其他数值。此外,根据情况需要,可以使用从包括以下数值的组中选择的一个或多个期望值,作为业务的行为:端口号、分组长度平均值的期望值、分组长度离散值的期望值、分组到达时间间隔平均值的期望值、分组到达时间间隔离散值的期望值、分组长度类型数的期望值、PUSH分组出现比例的期望值、脉冲串长度平均值的期望值、脉冲串长度离散值的期望值、脉冲串到达时间间隔平均值的期望值、以及脉冲串到达时间间隔离散值的期望值。
图8示出了根据本发明的另一个实施例的越权访问阻止设备。图8所示的越权访问阻止设备80与第一实施例的越权访问阻止设备2相似,但是与图1所示的越权访问阻止设备2的不同之处在于:仅将端口号、分组长度平均值的期望值、分组长度离散值的期望值、到达时间间隔平均值的期望值、以及到达时间间隔离散值的期望值用作业务的行为。因此,越权访问阻止设备80不具有以下单元:分组长度类型数计算单元、PUSH分组出现比例计算单元、脉冲串长度平均值计算单元、脉冲串长度离散值计算单元、脉冲串到达时间间隔平均值计算单元、脉冲串到达时间间隔离散值计算单元。换句话说,越权访问阻止设备80具有接收单元26、传输单元27、分组长度平均值计算单元21、分组长度离散值计算单元22、分组到达时间间隔平均值计算单元23、分组到达时间间隔离散值计算单元24、端口号检测单元25、信息流比较单元28、以及信息流特征列表存储单元29。
在该越权访问阻止设备80中,接收单元26从网络3接收寻址到服务器4的业务,以及针对包含在组成该业务的数据分组的报头中的每一个端口号,分离该业务,将业务的副本传输给分组长度平均值计算单元21、分组长度离散值计算单元22、分组到达时间间隔平均值计算单元23、分组到达时间间隔离散值计算单元24、以及端口号检测单元25,并将该业务传输给传输单元27。分组长度平均值计算单元21、分组长度离散值计算单元22、分组到达时间间隔平均值计算单元23、分组到达时间间隔离散值计算单元24、以及端口号检测单元25如同第一实施例的越权访问阻止设备2的情况一样分别执行相同的处理。
信息流特征存储列表29针对每一个端口号,保持由以下内容定义的行为的列表:端口号、分组长度平均值的期望值、分组长度离散值的期望值、分组长度到达时间间隔平均值的期望值、以及分组到达时间间隔离散值的期望值。如上所述,在该越权访问阻止设备80中,分组长度平均值、分组长度离散值、到达时间间隔平均值、以及到达时间间隔离散值被合在一起并被称作业务的“行为”。
信息流比较单元28将通知的分组长度平均值、分组长度离散值、分组到达时间间隔平均值、分组到达时间间隔离散值以及端口号与保持在信息流特征列表存储单元29中的行为期望值列表进行比较,以及将业务的传输或取消指令发送给传输单元27。类似于第一实施例的情况,如果通知内容落在列表中的期望值的范围之内,则将其确定为合法业务,因此,信息流比较单元28指示传输业务,否则,指示取消业务。基于取消指令,信息流比较单元28将指令的内容通知给维护人员。
传输单元27遵从信息流比较单元28的指令,并执行从接收单元26到服务器4传输的业务的传输或取消。
图9是说明该越权访问阻止设备80的流程图。在步骤A1a,当接收单元26接收业务时,接收单元26将组成接收到的业务的每一个分组的副本传输给以下单元:分组长度平均值计算单元21、分组长度离散值计算单元22、分组到达时间间隔平均值计算单元23、分组到达时间间隔离散值计算单元24、以及端口号检测单元25。结果,在步骤A2a,分组长度平均值计算单元21计算分组长度平均值,分组长度离散值计算单元22计算分组长度离散值,分组到达时间间隔平均值计算单元23计算分组到达时间间隔平均值,以及分组到达时间间隔离散值计算单元24计算分组到达时间间隔离散值。端口号检测单元25从接收到的业务的数据分组中检测端口号。将检测到的端口号以及每个计算出的平均值和离散值通知给信息流比较单元28。
信息流比较单元28,在步骤A3a,将通知的分组长度平均值、分组长度离散值、分组到达时间间隔平均值、分组到达时间间隔离散值以及端口号与存储在信息流特征列表存储单元29中的行为期望值进行比较,并确定端口号是否已知,以及平均值或离散值是否落在与该端口号对应的期望值的范围之内。在执行步骤A3a之后的处理,也就是,与步骤A4到A10有关的处理与第一实施例的情况相同,因此,其中的描述被省略。
同样,在图8所示的越权访问阻止设备80中,基于端口号和由端口号定义的业务行为,检测越权业务。因此,也可以检测基于假定端口号的越权业务。此外,同样,对于加密或者封装业务,如果不同于期望行为,将其检测为越权业务。
图10所示的越权访问阻止设备90与图8所示的越权访问阻止设备80相似,但是与图8所示的越权访问阻止设备80的不同之处在于:设备90包括:信息流申请接受单元41,通过来自终端1的申请,在信息流特征列表中额外登记行为期望值。
信息流申请接受单元41提供了从终端1接受业务行为期望值的申请的功能。在接受业务的行为期望值的申请时,信息流申请接受单元41在信息流特征列表存储单元29中登记期望值。信息流申请接受单元41可以提供根据来自信息流特征列表的特定端口号擦除期望值的功能。
在该越权访问阻止设备90中,由于除了信息流申请接受单元41以外的操作与越权访问阻止设备80的操作相同,其中冗余的描述被省略。根据越权访问阻止设备90,由于终端1可以申请期望值,无需维护人员的干预也能登记新的业务。
以上描述的越权访问阻止设备中的每一个可以通过将用于实现其的计算机程序读入计算机(例如服务器计算机等)以及执行这些计算机程序来实现。如上所述,执行越权访问的检测和阻止的程序通过记录介质(例如CD-ROM)或通过网络被读入计算机。
这样的计算机通常包括CPU(中央处理单元)、用于存储程序和数据的硬盘驱动器、主存储器、输入装置(如键盘和鼠标)、显示设备(如液晶显示器)、用于读取记录介质(如CD-ROM)的读取设备、以及用于连接到网络的通信接口。通过将存储有用于执行越权访问的检测和阻止的程序的记录介质安装在读取设备中,并从记录介质中读取程序,从而将其存储在硬盘驱动器中,使CPU执行存储在硬盘驱动器中的程序,或者通过网络将这种程序存储到硬盘驱动器中,使CPU执行该程序,计算机可以起到上述越权访问阻止设备的作用。
尽管已经使用特定的术语描述了本发明的优选实施例,这样的描述只是为了说明的目的,可以理解的是,在不脱离所附权利要求的精神或范围的前提下,可以进行改变和变更。
Claims (25)
1、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述测量步骤包括步骤:测量与构成业务的数据分组中的分组长度以及分组到达时间间隔有关的基本统计值参数。
2、根据权利要求1所述的方法,其中所述基本统计值参数包括分组长度的平均值,分组长度的离散值,分组到达时间间隔的平均值,以及分组到达时间间隔的离散值。
3、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述测量步骤包括步骤:测量构成业务的数据分组的分组长度的类型数。
4、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述测量步骤包括步骤:测量在TCP标记中置位了PUSH位的分组的出现比例。
5、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述测量步骤包括步骤:观测作为脉冲串连续传输的多个数据分组群,以及测量与观测到的脉冲串的脉冲串长度以及脉冲串到达时间间隔相关的基本统计值参数。
6、根据权利要求5所述的方法,其中所述基本统计值参数包括脉冲串长度的平均值,脉冲串长度的离散值,脉冲串到达时间间隔的平均值,以及脉冲串到达时间间隔的离散值。
7、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述分离步骤包括步骤:使用包含在构成业务的数据分组中的应用的标识符分离所述业务;
所述应用的标识符是端口号。
8、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述分离步骤包括步骤:使用包含在构成业务的数据分组中的传输终端以及接收终端的标识符分离所述业务。
9、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述分离步骤包括步骤:使用业务组或终端组的标识符分离所述业务,所述标识符包含在构成业务的数据分组中。
10、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述方法还包括步骤:在接受业务的行为期望值的申请时,从外部终端执行每种业务的行为的期望值的登记和擦除中的至少一种。
11、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中测量个别业务中每单位时间接收到的分组数,以及将每单位时间接收到的分组数超过阈值的业务看作可疑的潜在越权业务,以及对于该可疑业务,执行所述测量步骤、所述比较步骤和所述确定步骤。
12、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述方法还包括步骤:
将所述个别已分离业务分成加密业务和非加密业务;
对所述加密业务执行所述测量步骤、所述比较步骤和所述确定步骤;以及
通过从非加密业务中检测预先登记的位模式,执行越权访问检测。
13、一种用于检测通过网络的越权业务的方法,包括步骤:
存储每种业务的行为的期望值;
当通过网络执行通信时,根据构成各个业务的数据分组中包括的标识符来分离个别的业务;
测量个别已分离业务的行为;
比较测量到的行为与行为期望值;以及
根据比较结果,确定越权业务;
其中所述方法还包括步骤:在检测到新业务的情况下,通过总计其行为的测量结果,生成新业务的行为的期望值。
14、一种用于检测通过网络的越权业务的设备,包括:
存储装置,用于预先存储每种业务的行为的期望值;
接收装置,用于通过所述网络接收业务,以及根据构成各个业务的数据分组中包括的标识符将接收到的业务分成个别业务;
测量装置,用于测量个别分离业务的行为;
比较装置,用于比较测量到的行为与存储在所述存储装置中的期望值,以及
根据比较结果,确定越权业务;
其中所述测量装置测量与构成个别业务的数据分组中的分组长度和分组到达时间间隔有关的基本统计值参数。
15、根据权利要求14所述的设备,其中所述基本统计值参数包括分组长度的平均值,分组长度的离散值,分组到达时间间隔的平均值,以及分组到达时间间隔的离散值。
16、根据权利要求15所述的设备,还包括:
位模式检测装置,用于检测预先登记的位模式;
装置,用于将所述个别分离业务分成加密业务和非加密业务,将所述加密业务传送给所述测量装置,以及将所述非加密业务传送给所述位模式检测装置。
17、一种用于检测通过网络的越权业务的设备,包括:
存储装置,用于预先存储每种业务的行为的期望值;
接收装置,用于通过所述网络接收业务,以及根据构成各个业务的数据分组中包括的标识符将接收到的业务分成个别业务;
测量装置,用于测量个别分离业务的行为;
比较装置,用于比较测量到的行为与存储在所述存储装置中的期望值,以及
根据比较结果,确定越权业务;
其中所述测量装置测量构成个别业务的数据分组的分组长度类型数。
18、一种用于检测通过网络的越权业务的设备,包括:
存储装置,用于预先存储每种业务的行为的期望值;
接收装置,用于通过所述网络接收业务,以及根据构成各个业务的数据分组中包括的标识符将接收到的业务分成个别业务;
测量装置,用于测量个别分离业务的行为;
比较装置,用于比较测量到的行为与存储在所述存储装置中的期望值,以及
根据比较结果,确定越权业务;
其中所述测量装置测量构成个别业务的数据分组中、在TCP标记中置位了PUSH位的分组的出现比例。
19、一种用于检测通过网络的越权业务的设备,包括:
存储装置,用于预先存储每种业务的行为的期望值;
接收装置,用于通过所述网络接收业务,以及根据构成各个业务的数据分组中包括的标识符将接收到的业务分成个别业务;
测量装置,用于测量个别分离业务的行为;
比较装置,用于比较测量到的行为与存储在所述存储装置中的期望值,以及
根据比较结果,确定越权业务;
其中所述测量装置观测作为脉冲串连续传输的多个数据分组群,以及测量与观测到的脉冲串的分组长度以及分组到达时间间隔相关的基本统计值参数。
20、根据权利要求19所述的设备,其中所述基本统计值参数包括脉冲串长度的平均值,脉冲串长度的离散值,脉冲串到达时间间隔的平均值,以及脉冲串到达时间间隔的离散值。
21、一种用于检测通过网络的越权业务的设备,包括:
存储装置,用于预先存储每种业务的行为的期望值;
接收装置,用于通过所述网络接收业务,以及根据构成各个业务的数据分组中包括的标识符将接收到的业务分成个别业务;
测量装置,用于测量个别分离业务的行为;
比较装置,用于比较测量到的行为与存储在所述存储装置中的期望值,以及
根据比较结果,确定越权业务;
其中所述接收装置使用包含在构成业务的数据分组中的应用的标识符分离业务,
所述应用的标识符是端口号。
22、一种用于检测通过网络的越权业务的设备,包括:
存储装置,用于预先存储每种业务的行为的期望值;
接收装置,用于通过所述网络接收业务,以及根据构成各个业务的数据分组中包括的标识符将接收到的业务分成个别业务;
测量装置,用于测量个别分离业务的行为;
比较装置,用于比较测量到的行为与存储在所述存储装置中的期望值,以及
根据比较结果,确定越权业务;
其中所述设备还包括:装置,在接受业务的行为期望值的申请时,针对所述存储装置,执行每种业务的行为的期望值的登记和擦除中的至少一种。
23、一种用于检测通过网络的越权业务的设备,包括:
存储装置,用于预先存储每种业务的行为的期望值;
接收装置,用于通过所述网络接收业务,以及根据构成各个业务的数据分组中包括的标识符将接收到的业务分成个别业务;
测量装置,用于测量个别分离业务的行为;
比较装置,用于比较测量到的行为与存储在所述存储装置中的期望值,以及
根据比较结果,确定越权业务;
其中测量个别业务中每单位时间接收到的分组数,以及将每单位时间接收到的分组数超过阈值的业务看作可疑的潜在越权业务,以及所述设备还包括用于将可疑业务传输给所述的测量装置的装置。
24、一种用于检测通过网络的越权业务的设备,包括:
存储装置,用于预先存储每种业务的行为的期望值;
接收装置,用于通过所述网络接收业务,以及根据构成各个业务的数据分组中包括的标识符将接收到的业务分成个别业务;
测量装置,用于测量个别分离业务的行为;
比较装置,用于比较测量到的行为与存储在所述存储装置中的期望值,以及
根据比较结果,确定越权业务;
其中所述设备还包括:装置,在检测到新业务的情况下,通过总计其行为的测量结果,生成新业务的行为的期望值。
25、一种用于阻止通过网络的越权访问的方法,包括步骤:
通过执行根据权利要求1所述的越权访问检测方法,确定个别业务是否越权;以及
阻止被确定为越权的业务。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005056221 | 2005-03-01 | ||
| JP2005056221 | 2005-03-01 | ||
| JP2006026872 | 2006-02-03 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1829172A CN1829172A (zh) | 2006-09-06 |
| CN100505648C true CN100505648C (zh) | 2009-06-24 |
Family
ID=36947310
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100739201A Expired - Fee Related CN100505648C (zh) | 2005-03-01 | 2006-03-01 | 用于检测和阻止越权访问的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100505648C (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103501304B (zh) * | 2013-10-12 | 2017-01-25 | 深信服网络科技(深圳)有限公司 | 控制web系统越权访问的方法及装置 |
-
2006
- 2006-03-01 CN CNB2006100739201A patent/CN100505648C/zh not_active Expired - Fee Related
Non-Patent Citations (4)
| Title |
|---|
| 入侵检测技术的研究. 李鸿培,王新梅.通信保密,第3期. 1999 |
| 入侵检测技术的研究. 李鸿培,王新梅.通信保密,第3期. 1999 * |
| 附网存储设备用户行为的一种层次化免疫策略. 孙照焱,董永贵,贾惠波,冯冠平.计算机应用研究,第1期. 2005 |
| 附网存储设备用户行为的一种层次化免疫策略. 孙照焱,董永贵,贾惠波,冯冠平.计算机应用研究,第1期. 2005 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1829172A (zh) | 2006-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
| CN104937886B (zh) | 日志分析装置、信息处理方法 | |
| US10164839B2 (en) | Log analysis system | |
| JP3957712B2 (ja) | 通信監視システム | |
| CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
| US10104108B2 (en) | Log analysis system | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN103155487A (zh) | 用于使用业务样本来检测可疑数据泄漏的方法和系统 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| CN108600003A (zh) | 一种面向视频监控网络的入侵检测方法、装置及系统 | |
| CN107733834B (zh) | 一种数据泄露防护方法及装置 | |
| CN108712433A (zh) | 一种网络安全检测方法和系统 | |
| CN106471778A (zh) | 攻击检测装置、攻击检测方法以及攻击检测程序 | |
| CN105743880A (zh) | 一种数据分析系统 | |
| CN101741628A (zh) | 基于应用层业务分析的网络流量分析方法 | |
| CN117395076B (zh) | 基于大数据的网络感知异常检测系统与方法 | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| CN107209834A (zh) | 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序 | |
| WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| CN100505648C (zh) | 用于检测和阻止越权访问的方法和装置 | |
| CN110912933B (zh) | 一种基于被动测量的设备识别方法 | |
| CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
| CN111782908A (zh) | 一种基于数据挖掘聚类分析的web违规操作行为检测方法 | |
| US20210234871A1 (en) | Infection-spreading attack detection system and method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CI02 | Correction of invention patent application |
Correction item: Priority Correct: 2006.02.03 JP 2006-026872 False: Lack of priority second Number: 36 Page: The title page Volume: 22 |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: PRIORITY; FROM: MISSING THE SECOND ARTICLE OF PRIORITY TO: 2006.2.3 JP 2006-026872 |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090624 Termination date: 20190301 |