CN103795709B - 一种网络安全检测方法和系统 - Google Patents

一种网络安全检测方法和系统 Download PDF

Info

Publication number
CN103795709B
CN103795709B CN201310742812.9A CN201310742812A CN103795709B CN 103795709 B CN103795709 B CN 103795709B CN 201310742812 A CN201310742812 A CN 201310742812A CN 103795709 B CN103795709 B CN 103795709B
Authority
CN
China
Prior art keywords
flow object
packet
parsing
detection
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310742812.9A
Other languages
English (en)
Other versions
CN103795709A (zh
Inventor
张凤羽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Information and Telecommunication Branch of State Grid Qinghai Electric Power Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN201310742812.9A priority Critical patent/CN103795709B/zh
Publication of CN103795709A publication Critical patent/CN103795709A/zh
Application granted granted Critical
Publication of CN103795709B publication Critical patent/CN103795709B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明提供了一种网络安全检测方法和系统,解析所抓取的数据包的前四层协议获得五元组信息;利用入侵检测规则给数据包进行入侵检测;根据所述五元组信息给所抓取的数据包添加标识;根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录;对解析获得的数据信息进行病毒库匹配检测,将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中,只需要一个接口即可实现对网络访问的多种检测。

Description

一种网络安全检测方法和系统
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络安全检测方法和系统。
背景技术
随着互联网技术的发展,为了防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露,保证网络系统安全可靠的运行,需要对网络访问进行安全检测。目前常用的网络安全检测技术有入侵检测技术、网络行为审计技术、异常流量分析计算以及病毒检测技术等。
入侵检测技术,收集非正常网络访问的行为特征,建立行为特征库,当监测到与行为特征库中匹配的网络访问时,就将此次网络访问定义为入侵访问。入侵检测方法可以准确的检测到行为特征库中已知的非正常网络访问,对于行为特征库中未知的非正常网络访问检测效果低,漏报率高,而且,行为特征库必须不断更新以满足检测不断变化的恶意网络访问的需求,对于用户网络行为无法记录与审计。
网络行为审计技术,对抓取的数据包进行2到7层协议解析,记录网络中用户的上网行为,如访问的网页、聊天消息、邮件内容等。网络行为审计可以实现用户行为记录和取证,对于数据防泄密有一定的效果,但不能分析与识别网络攻击与入侵行为。
异常流量分析技术,采集网络设备和节点的流量信息,对流量信息和网络行为进行持续性统计和对比分析,通过流量和连接数的异常变化检测网络行为中的异常访问操作和攻击操作,追踪异常网络行为。异常流量分析只能分析大范围的异常流量攻击如DDos(分布式拒绝服务DDoS:Distributed Denial of Service),Syn Flood(一种阻断服务攻击)等,对于XSS(又叫CSS(Cross-Site Script),跨站脚本攻击),SQL注入等攻击无法检测,对于用户网络行为无法记录与审计。
病毒检测技术,病毒检测安全产品通常以单机或代理网关的形式接入网络中,对于文件进行扫描,检测发现病毒并告警。病毒检测不能解决网络攻击、网络行为审计问题。
对于大部分的网络设备,如交换机、路由器等,只给网络安全监测配置一个数据监听接口,只能采用上述一种方法对网络访问进行安全检测,上述几种对网络访问进行安全检测的技术各有利弊,单纯依靠一种网络安全检测技术无法识别所有种类的网络攻击和入侵,无法同时实现网络安全状态的分析、用户行为的记录、攻击监测以及未知恶意代码识别的功能。
发明内容
有鉴于此,本发明提供了一种网络安全检测方法和系统,只需要一个监听接口即可实现多种网络安全检测,提高网络访问的安全、可靠性。
本发明提供如下技术方案:
一种网络安全检测方法,包括:
解析所抓取的数据包的前四层协议获得五元组信息;
利用入侵检测规则给数据包进行入侵检测;
根据所述五元组信息给所抓取的数据包添加标识,所述标识为数据包所属的流对象唯一对应的标识;
根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;
根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录;
对解析获得的数据信息进行病毒库匹配检测。
本发明还提供一种网络安全检测系统,包括:
解析模块,用于解析所抓取的数据包的前四层协议获得五元组信息;
入侵检测模块,用于利用入侵检测规则给数据包进行入侵检测;
跟踪模块,用于根据所述五元组信息给所抓取的数据包添加标识,所述标识为数据包所属的流对象唯一对应的标识;
流量分析模块,用于根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;
协议解析模块,用于根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录;
病毒检测,用于对解析获得的数据信息进行病毒库匹配检测。
由上述内容可知,本发明有如下有益效果:
本发明提供了一种网络安全检测方法和系统,所述方法包括:解析所抓取的数据包的前四层协议获得五元组信息;利用入侵检测规则给数据包进行入侵检测;根据所述五元组信息给所抓取的数据包添加标识,所述标识为数据包所属的流对象唯一对应的标识;根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录;对解析获得的数据信息进行病毒库匹配检测,将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中,只需要一个接口即可实现对网络访问的多种检测,提高了网络访问的安全、可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种网络安全检测方法实施例一流程图;
图2为本发明一种网络安全检测系统实施例一的结构示意图。
具体实施方式
本发明公开了一种网络安全检测方法和系统,只需要一个监听接口即可实现多种网络安全检测,提高网络访问的安全、可靠性。
下面结合附图对本发明具体实施例进行详细说明。
图1为本发明一种网络安全检测方法实施例一的流程图,所述方法包括:
步骤101:解析所抓取的数据包的前四层协议获得五元组信息。
本发明所提供的网络安全检测系统通过一个数据监听接口与交换机、路由器等网络设备相连,网络安全检测系统中的数据采集模块从网络设备中的网卡中抓取数据包,可以采用pcap技术或采集网卡实现。
通过数据解析算法解析从网卡中抓取的原始数据包的前四层协议,数据解析算法可以对以太网、点对点协议等多种二层协议以及Ipv4和Ipv6等三层协议进行准确解析。
对原始数据包的前四层协议进行解析后,可获得数据包的源IP地址、目的IP地址、源端口、目的端口以及传输协议这五元组信息。
步骤102:利用入侵检测规则给数据包进行入侵检测。
对解析前四层协议后的数据包采用入侵检测规则进行入侵检测,主要检测恶意代码、攻击行为以及蠕虫等网络异常事件的监测。可以将数据包与入侵检测的特征库中的行为特征进行匹配,当数据包与特征库中的特征匹配时,则认为这个数据包是网络入侵行为的数据包;当数据包与特征库中的特征不匹配时,则数据包时正常网络访问行为的数据包。
这里需要说明的是,步骤102在步骤101之后执行即可,也可以在步骤103至步骤106任意一个步骤之后执行,这里不进行具体限定。
步骤103:根据所述五元组信息给所抓取的数据包添加标识,所述标识为数据包所属的流对象唯一对应的标识。
数据采集模块从网络设备中抓取很多个数据包,对数据包的前四层协议进行解析后得到五元组信息,五元组信息中包括数据包的源IP地址、目的IP地址、源端口、目的端口以及传输协议。根据五元组信息可以识别数据包所属的流对象,给数据包添加其所属的流对象唯一对应的标识。
源客户端向目的服务器发送网络访问请求时,建立一个连接,这个连接即为一个流对象,一个流对象都有一个唯一对应的标识。属于一个流对象的所有的数据包都添加这个流对象唯一对应的标识,以便进行流对象的流量数据的跟踪统计。
根据五元组信息给抓取的数据包添加标识具体包括:
根据所述五元组信息判断所抓取的数据包是否属于已建立的流对象,如果是,给所述数据包添加与所属已建立的流对象对应的标识;如果否,建立一个新的流对象以及与新的流对象对应的标识,给所述数据包添加与新的流对象对应的标识。
对数据包添加标识时,当数据包属于已建立的流对象时,给数据包添加其所属的已建立的流对象对应的标识,此时,数据包所属的已建立的流对象增加一个此数据包的统计数。当数据包不属于已建立的流对象时,建立一个新的流对象及其所对应的标识,此时,建立一个新的流对象的记录项。
步骤104:根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析。
所述根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型包括:
当目的端口为固定协议端口时,根据目的端口从主连接列表中查找流对象的应用协议类型;
当目的端口为动态协议端口时,根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
先在主连接列表中查找是否有流对象的目的端口对应的应用协议类型,当主连接列表中有流对象的目的端口对应的应用协议类型时,流对象的目的端口为固定协议端口,根据流对象的目的协议端口确定流对象的应用协议类型。
当主连接列表中没有流对象的目的端口对应的应用协议类型时,流对象的目的端口为动态协议端口,在期盼连接列表中查找流对象的目的端口对应的应用协议类型,若在期盼连接列表中查找到流对象的目的端口对应的应用协议类型时,流对象的目的端口为动态协议端口,根据流对象的目的端口确定流对象的应用协议类型;若在期盼列表中未查找到流对象的目的端口对应的应用协议类型时,解析流对象的数据包中的内容获取流对象的应用协议类型,并将此流对象的目的端口以及解析得到的应用协议类型更新到期盼连接列表中。
给数据包添加标识后,当流对象对应的连接关闭或到达连接最大连接时间时,可以根据标识的数据包统计用相同应用协议类型的流对象的收发数据包数、收发字节数以及连接时长等流量数据。实际上,每个数据包在添加标识的同时,会给数据包所属的流对象的流量数据进行累加,如收发数据包个数累加1,收发字节数类累加此数据包的字节数,连接时长累加等,也就是说,边通过流对象接收数据包边累加统计,当流对象对应的连接关闭或到达连接最大连接时间时,获取最终的数据流量统计结果即可。
当流对象的目的端口为固定协议端口时,统计采用相同应用协议类型的流量数据为:统计此应用协议类型对应的固定协议端口的流对象收发数据包数、收发字节数以及连接时长作为此应用协议类型的流量数据;
当流对象的目的端口为动态端口时,统计采用相同应用协议类型的流量数据为统计所有采用此应用协议类型的动态协议端口的流对象的收发数据包数、收发字节数以及连接时长作为流对象的流量数据。
获得采用相同应用协议类型的流对象的数据流量统计结果后,可以根据所配置的各种流量阈值或者自动学习的流量基线进行流量分析,进行异常流量检测。检测异常流量的攻击类型包括:SYN flood、ICMP flood、UDP flood、DNS Flood,DHCP flood、Winnuke、TcpScan以及CC等几十种DOS/DDOS攻击行为。
步骤105:根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录。
确定了流对象的应用协议类型后,调用应用协议类型中的解析插件对流对象中的数据包进行解析获得数据信息。每个协议类型有三种插件,连接建立插件对数据连接建立流对象进行处理;内容解析插件对内容解析的流对象进行处理;连接关闭插件对连接关闭进行处理。
部分解析插件还可以对多种应用协议类型的数据信息进行深度攻击检测,目前支持深度攻击检测的应用协议类型包括:HTTP、SMTP、POP3、FTP、TELNET、SMB、NFS、SQLSERVER、Oracle、MYSQL、PostgreSQL、达梦数据库、人大金仓等20种。
步骤106:对解析获得的数据信息进行病毒库匹配检测。
将数据包解析得到的数据信息进行病毒库匹配,查看所传输的文件内容是否携带有病毒。
由上述内容可知,本发明有如下有益效果:
本发明提供了一种网络安全检测方法和系统,所述方法包括:解析所抓取的数据包的前四层协议获得五元组信息;利用入侵检测规则给数据包进行入侵检测;根据所述五元组信息给所抓取的数据包添加标识,所述标识为数据包所属的流对象唯一对应的标识;根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录;对解析获得的数据信息进行病毒库匹配检测,将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中,只需要一个接口即可实现对网络访问的多种检测,提高了网络访问的安全、可靠性。
优选的,在实施例1的基础上,本发明还提供另一优选实施例,除了实施例1中的步骤之外,进一步还可以包括以下步骤:
步骤107:对解析获得的数据信息进行文本提取和关键字判断进行泄密检测。
对数据包解析出来的数据信息进行文本提取和关键字判断主要是用于检测所传输的文件内容是否泄密。
步骤108:将解析获得的数据信息与深度检测规则基于正则表达式进行深度入侵检测。
将数据信息中的URL地址或SQL语句与深度检测规则基于正则表达式进行深度入侵检测,主要根据SQL语句或HTTP传输参数监测SQL注入攻击行为或者网站跨站攻击行为。
实施例二
图2为本发明一种网络安全检测系统实施例一的结构示意图,是与实施例一所述的方法所对应的系统,所述系统包括:
解析模块201,用于解析所抓取的数据包的前四层协议获得五元组信息。
入侵检测模块202,用于利用入侵检测规则给数据包进行入侵检测。
跟踪模块203,用于根据所述五元组信息给所抓取的数据包添加标识,所述标识为数据包所属的流对象唯一对应的标识。
所述跟踪模块203包括:
判断单元,用于根据所述五元组信息判断所抓取的数据包是否属于已建立的流对象,如果是,进入第一标识单元;如果否,进入第二标识单元;
第一标识单元,用于给所述数据包添加与所属已建立的流对象对应的标识;
第二标识单元,用于建立一个新的流对象以及与新的流对象对应的标识,给所述数据包添加与新的流对象对应的标识。
流量分析模块204,用于根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析。
所述流量分析模块204包括:
第一协议确定单元,用于当目的端口为固定协议端口时,根据目的端口从主连接列表中查找流对象的应用协议类型;
第二协议确定单元,用于当目的端口为动态协议端口时,根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
协议解析模块205,用于根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录。
病毒检测模块206,用于对解析获得的数据信息进行病毒库匹配检测。
此外,本发明还可以包括:
泄密检测模块207,用于对解析获得的数据信息进行文本提取和关键字判断进行泄密检测。
深度入侵检测模块208,用于将解析获得的数据信息与深度检测规则基于正则表达式进行深度入侵检测。
此处与实施例一类似,参考实施例一的描述,这里不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络安全检测方法,其特征在于,所述方法包括:
解析所抓取的数据包的前四层协议获得五元组信息;
利用入侵检测规则给数据包进行入侵检测;
根据所述五元组信息给所抓取的数据包添加标识,所述标识为数据包所属的流对象唯一对应的标识;
根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;
根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录;
对解析获得的数据信息进行病毒库匹配检测。
2.根据权利要求1所述的方法,其特征在于,所述根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息后还包括:
对解析获得的数据信息进行文本提取和关键字判断进行泄密检测。
3.根据权利要求1所述的方法,其特征在于,所述根据所述五元组信息给所抓取的数据包添加标识包括:
根据所述五元组信息判断所抓取的数据包是否属于已建立的流对象,如果是,给所述数据包添加与所属已建立的流对象对应的标识;如果否,建立一个新的流对象以及与新的流对象对应的标识,给所述数据包添加与新的流对象对应的标识。
4.根据权利要求1所述的方法,其特征在于,所述根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息后还包括:
将解析获得的数据信息与深度检测规则基于正则表达式进行深度入侵检测。
5.根据权利要求1所述的方法,其特征在于,所述根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型包括:
当目的端口为固定协议端口时,根据目的端口从主连接列表中查找流对象的应用协议类型;
当目的端口为动态协议端口时,根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
6.一种网络安全检测系统,其特征在于,所述系统包括:
解析模块,用于解析所抓取的数据包的前四层协议获得五元组信息;
入侵检测模块,用于利用入侵检测规则给数据包进行入侵检测;
跟踪模块,用于根据所述五元组信息给所抓取的数据包添加标识,所述标识为数据包所属的流对象唯一对应的标识;
流量分析模块,用于根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型,根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析;
协议解析模块,用于根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息,根据数据信息进行用户网络行为记录;
病毒检测模块,用于对解析获得的数据信息进行病毒库匹配检测。
7.根据权利要求6所述的系统,其特征在于,所述系统还包括:
泄密检测模块,用于对解析获得的数据信息进行文本提取和关键字判断进行泄密检测。
8.根据权利要求6所述的系统,其特征在于,所述跟踪模块包括:
判断单元,用于根据所述五元组信息判断所抓取的数据包是否属于已建立的流对象,如果是,进入第一标识单元;如果否,进入第二标识单元;
第一标识单元,用于给所述数据包添加与所属已建立的流对象对应的标识;
第二标识单元,用于建立一个新的流对象以及与新的流对象对应的标识,给所述数据包添加与新的流对象对应的标识。
9.根据权利要求6所述的系统,其特征在于,所述系统还包括:
深度入侵检测模块,用于将解析获得的数据信息与深度检测规则基于正则表达式进行深度入侵检测。
10.根据权利要求6-9任意一项所述的系统,其特征在于,所述流量分析模块包括:
第一协议确定单元,用于当目的端口为固定协议端口时,根据目的端口从主连接列表中查找流对象的应用协议类型;
第二协议确定单元,用于当目的端口为动态协议端口时,根据流对象的源IP地址、目的IP地址以及从数据包内容中解析出的目的端口从期盼连接列表中查找流对象的应用协议类型。
CN201310742812.9A 2013-12-27 2013-12-27 一种网络安全检测方法和系统 Active CN103795709B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310742812.9A CN103795709B (zh) 2013-12-27 2013-12-27 一种网络安全检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310742812.9A CN103795709B (zh) 2013-12-27 2013-12-27 一种网络安全检测方法和系统

Publications (2)

Publication Number Publication Date
CN103795709A CN103795709A (zh) 2014-05-14
CN103795709B true CN103795709B (zh) 2017-01-18

Family

ID=50670995

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310742812.9A Active CN103795709B (zh) 2013-12-27 2013-12-27 一种网络安全检测方法和系统

Country Status (1)

Country Link
CN (1) CN103795709B (zh)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106664247B (zh) * 2014-08-19 2020-06-02 日本电气株式会社 通信装置、通信系统和通信方法
CN105939305A (zh) * 2015-06-24 2016-09-14 杭州迪普科技有限公司 访问控制方法和装置
CN106294530B (zh) * 2015-06-29 2019-09-13 阿里巴巴集团控股有限公司 规则匹配的方法和系统
CN105187393B (zh) * 2015-08-10 2018-05-22 济南大学 一种移动终端恶意软件网络行为重构方法及其系统
CN105162626B (zh) * 2015-08-20 2018-07-06 西安工程大学 基于众核处理器的网络流量深度识别系统及识别方法
CN105939314A (zh) * 2015-09-21 2016-09-14 杭州迪普科技有限公司 网络防护方法和装置
CN105491018B (zh) * 2015-11-24 2019-02-12 北京中电普华信息技术有限公司 一种基于dpi技术的网络数据安全性分析方法
CN106209506B (zh) * 2016-06-30 2019-10-25 瑞斯康达科技发展股份有限公司 一种虚拟化深度包检测流量分析方法及系统
CN106657087B (zh) * 2016-12-28 2019-12-10 青岛海天炜业过程控制技术股份有限公司 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法
CN106878340B (zh) * 2017-04-01 2023-09-01 中国人民解放军61660部队 一种基于网络流量的综合安全监测分析系统
CN108632286A (zh) * 2018-05-14 2018-10-09 国家计算机网络与信息安全管理中心 一种多应用混合数据的解析方法
CN110798427A (zh) * 2018-08-01 2020-02-14 深信服科技股份有限公司 一种网络安全防御中的异常检测方法、装置及设备
CN109167767A (zh) * 2018-08-17 2019-01-08 苏州亮磊知识产权运营有限公司 一种对于DHCP架构的DDoS攻击防御系统的工作方法
JP7312769B2 (ja) * 2018-12-28 2023-07-21 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 統計情報生成装置、統計情報生成方法、および、プログラム
CN109495521B (zh) * 2019-01-18 2021-06-04 新华三信息安全技术有限公司 一种异常流量检测方法及装置
CN110995678B (zh) * 2019-11-22 2021-07-23 北京航空航天大学 一种面向工控网络的高效入侵检测系统
CN110943884A (zh) * 2019-11-22 2020-03-31 深圳前海微众银行股份有限公司 一种数据处理方法及装置
CN111245723B (zh) * 2020-03-10 2022-06-24 苏州盛科通信股份有限公司 一种分段路由ipfix的芯片实现方法及装置
CN111614614B (zh) * 2020-04-14 2022-08-05 瑞数信息技术(上海)有限公司 应用于物联网的安全监测方法和装置
CN111565196B (zh) * 2020-05-21 2022-02-01 杭州安恒信息技术股份有限公司 一种KNXnet/IP协议入侵检测方法、装置、设备及介质
CN112272123B (zh) * 2020-10-16 2022-04-15 北京锐安科技有限公司 网络流量分析方法、系统、装置、电子设备和存储介质
CN112422567B (zh) * 2020-11-18 2022-11-15 清创网御(合肥)科技有限公司 一种面向大流量的网络入侵检测方法
CN113608741B (zh) * 2021-07-07 2023-08-29 中国电子科技集团公司第三十研究所 一种网络安全服务整合方法及装置
CN113783880A (zh) * 2021-09-14 2021-12-10 南方电网数字电网研究院有限公司 网络安全检测系统及其网络安全检测方法
CN114050926A (zh) * 2021-11-09 2022-02-15 南方电网科学研究院有限责任公司 一种数据报文深度检测方法和装置
CN114338439B (zh) * 2021-12-27 2023-08-08 上海观安信息技术股份有限公司 一种通用的网络流量解析装置和方法
CN117354057B (zh) * 2023-12-01 2024-03-05 杭州海康威视数字技术股份有限公司 恶意流量检测方法、装置及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1909488A (zh) * 2006-08-30 2007-02-07 北京启明星辰信息技术有限公司 一种结合病毒检测与入侵检测的方法及系统
CN101582883A (zh) * 2009-06-26 2009-11-18 西安电子科技大学 通用网络安全管理系统及其管理方法
CN101605066A (zh) * 2009-04-22 2009-12-16 网经科技(苏州)有限公司 基于多层数据拦截的远程网络行为实时监控方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1909488A (zh) * 2006-08-30 2007-02-07 北京启明星辰信息技术有限公司 一种结合病毒检测与入侵检测的方法及系统
CN101605066A (zh) * 2009-04-22 2009-12-16 网经科技(苏州)有限公司 基于多层数据拦截的远程网络行为实时监控方法
CN101582883A (zh) * 2009-06-26 2009-11-18 西安电子科技大学 通用网络安全管理系统及其管理方法

Also Published As

Publication number Publication date
CN103795709A (zh) 2014-05-14

Similar Documents

Publication Publication Date Title
CN103795709B (zh) 一种网络安全检测方法和系统
CN102487339B (zh) 一种网络设备攻击防范方法及装置
US9860278B2 (en) Log analyzing device, information processing method, and program
CN105141604B (zh) 一种基于可信业务流的网络安全威胁检测方法及系统
Yegneswaran et al. On the design and use of internet sinks for network abuse monitoring
US7917950B2 (en) Protocol-generic eavesdropping network device
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
Gao et al. A dos resilient flow-level intrusion detection approach for high-speed networks
CN101631026A (zh) 一种防御拒绝服务攻击的方法及装置
CN101286896A (zh) 基于流的IPSec VPN协议深度检测方法
Li et al. HiFIND: A high-speed flow-level intrusion detection approach with DoS resiliency
Ponnusamy et al. IoT wireless intrusion detection and network Traffic Analysis.
CN110166480A (zh) 一种数据包的分析方法及装置
CN113783880A (zh) 网络安全检测系统及其网络安全检测方法
Kaushik et al. Network forensic system for ICMP attacks
Zhang et al. Onis: Inferring tcp/ip-based trust relationships completely off-path
Burghouwt et al. Detection of covert botnet command and control channels by causal analysis of traffic flows
CN107864110B (zh) 僵尸网络主控端检测方法和装置
WO2005111805A1 (en) Method of network traffic signature detection
Čermák et al. Detection of DNS traffic anomalies in large networks
Abt et al. Towards Efficient and Privacy-Preserving Network-Based Botnet Detection Using Netflow Data.
Münz et al. Signature detection in sampled packets
Ersson et al. Botnet detection with event-driven analysis
Muraleedharan Analysis of TCP flow data for traffic anomaly and scan detection
Resul et al. Analysis of different types of network attacks on the GNS3 platform

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd.

C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

CB02 Change of applicant information

Address after: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: Beijing heaven melts letter Science Technologies Co., Ltd.

COR Change of bibliographic data
C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20160301

Address after: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant after: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant after: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Applicant after: Information & Telecommunication Company of State Grid Qinghai Electric Power Company

Address before: 100085, room 306, north 3, building seven, 3 East Road, Haidian District, Beijing

Applicant before: BEIJING TOPSEC SOFTWARE CO., LTD.

Applicant before: Beijing Topsec Network Safety Technology Co., Ltd.

Applicant before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 100085 Beijing East Road, No. 1, building No. 306, building on the north side of the floor, room 3, room 3

Patentee after: BEIJING TOPSEC SOFTWARE CO., LTD.

Patentee after: Beijing Topsec Network Safety Technology Co., Ltd.

Patentee after: Beijing heaven melts letter Science Technologies Co., Ltd.

Patentee after: Information & Telecommunication Company of State Grid Qinghai Electric Power Company

Address before: 100085 Beijing East Road, No. 1, building No. 306, building on the north side of the floor, room 3, room 3

Patentee before: BEIJING TOPSEC SOFTWARE CO., LTD.

Patentee before: Beijing Topsec Network Safety Technology Co., Ltd.

Patentee before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Patentee before: Information & Telecommunication Company of State Grid Qinghai Electric Power Company