CN104836702A - 一种大流量环境下主机网络异常行为检测及分类方法 - Google Patents
一种大流量环境下主机网络异常行为检测及分类方法 Download PDFInfo
- Publication number
- CN104836702A CN104836702A CN201510227895.7A CN201510227895A CN104836702A CN 104836702 A CN104836702 A CN 104836702A CN 201510227895 A CN201510227895 A CN 201510227895A CN 104836702 A CN104836702 A CN 104836702A
- Authority
- CN
- China
- Prior art keywords
- network
- source
- network connection
- entropy
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种大流量环境下主机网络异常行为检测及分类方法,属于互联网技术领域。本发明包括以下步骤:步骤1、网络连接表生成与维护;步骤2、创建连接记录表;步骤3、遍历网络连接表副本;步骤4、计算主机源/目的端口熵和最大占比;步骤5、主机异常网络行为识别。本发明以源节点的源/目的端口熵值及最大占比等几个因素来判断该节点行为是否异常,并进一步对异常行为进行分类。本发明提供一种实用的,能适应大流量环境,算法简单易于在各类网络设备中实现,具有一定实时性,同时又满足准确性要求,能识别出各种网络扫描和DoS/DDoS攻击流量,提供详细信息,辅助进一步精确拦截完成的异常检测方法。
Description
技术领域
本发明属于互联网技术领域,更具体地,涉及一种大流量环境下主机网络异常行为检测及分类方法。
背景技术
随着互联网飞速向前发展,网络新技术不断出现,网络带宽不断提高,网络安全问题也日益多样化。网络攻击新技术的攻击行为更加隐蔽,并且对安全的危害性也越来越大。同时,网络带宽的提高导致网络上承载的业务种类日趋多样化,从而增加了网络出现故障和性能问题的概率。网络用户也更加注重网络服务质量。这就要求出现网络异常的时候,能够尽快的检测到异常并对其分析处理后完成对异常的排除,从而保证网络可以正常的提供服务。
由于互联网开放的特点,各种网络协议和应用软件设计上层出不穷的漏洞以及用户水平的参差不齐,造成目前网络的安全性无法得到保证。各种漏洞给黑客入侵和网络病毒传播造成了许多可乘之机,使得互联网中充斥着各种扫描和攻击流量,会使网络性能出现异常,影响网络的正常服务和用户使用,严重时可能造成网络瘫痪。
常见的会引起网络通讯异常的用户行为主要有以下几种:
1、网络扫描:
网络扫描作为一种常见的网络异常数据流,是黑客在为下一步的网络入侵进行踩点准备,收集各种攻击目标的信息,包括在线主机ip地址和其开放的监听端口等。网络扫描在一般情况下对目标网络中所有的地址进行扫描,来确定目标网络中的活跃主机,以及活跃主机所开启的端口。这种行为具有明显的特征:短时间内同一个源IP访问同一个目标IP的不同端口或者大量不同的目标IP,并且一般情况下目标IP地址还具有连续的特征。由于在找到合适的入侵目标前,扫描时一项必须且漫长的过程,所以互联网内往往充斥了这些流量,不仅影响网络通讯质量,更是一种严重的安全威胁。
2、DoS/DDoS攻击:
DoS(Denial of Service)攻击是指通过尽可能的消耗攻击目标资源的方法,使目标计算机或网络无法提供正常服务,甚至彻底崩溃的一种攻击方法。这种攻击并不会对网络设备和主机造成入侵,仅仅是消耗这些设备或主机的服务资源,包括CPU处理性能、网络带宽、内存等。理论上无论目标计算机的内存容量多大、处理速度多快、网络带宽速度多高都无法避免这种攻击。
DDoS(Distributed Denial Of Service)攻击又把DoS攻击向前发展了一大步。黑客首先在己经成功被其入侵和控制的高带宽主机上安装DoS攻击程序。这些被控制的主机被称为傀儡机,数目可能是成百上千,也有可能上万台。傀儡机上的DoS攻击程序受到中央控制中心的命令的控制,当中央攻击控制中心向傀儡机发送启动DoS程序进行攻击时,所有傀儡机向特定的目标主机发送尽可能多的网络访问请求,从而形成一股DoS洪流对目标系统造成冲击。而被攻击的目标系统由于资源的耗尽,无法及时处理正常的访问,甚至会出现系统崩溃瘫痪的情况。
3、蠕虫传播:
网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,无须计算机使用者干预即可运行的攻击程序或代码,其会扫描和攻击网络上存在系统漏洞的主机,通过网络从一台主机传播到另外一台主机。蠕虫病毒主要的破坏方式是大量的复制自身,然后在网络中传播,严重的占用有限的网络资源,最终引起整个网络的瘫痪,使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失,因此其危害性是十分巨大的。
网络用户异常行为是网络面临的一大威胁。所谓异常行为,顾名思义,是指与正常行为相对应,由网络用户实施的对网络正常运行造成影响的行为,例如传播蠕虫、DDoS攻击等。这些行为会造成网络服务质量急剧下降,网络负载加重甚至瘫痪等后果。随着网络快速发展,网络用户异常行为的新变种以及新行为层出不穷,其威胁也日益严重。因此无论是加强对用户行为的管控,还是保障网络的正常运行,都要求能够对网络用户的异常行为实施快速、准确的检测。用户网络异常行为检测技术可以作为合适的手段解决这个问题。尤其是针对蠕虫传播早期阶段的检测,可以及时发现网络中感染了蠕虫的机器,并采取相应处理,避免造成无法控制的危害。
目前的网络异常检测技术和研究基本可分为以下几类:
1、针对整体网络流量发现异常的研究和技术
目前的网络异常检测研究几乎都属于此类,特点是以目标网络中某时刻的所有流量整体做为检测目标,而检测结果一般为判定该时刻该网络是否发生了异常(DoS攻击或网络扫描)等。而这样的检测方法的局限性在于:
(1)由于检测目标过大,只有在发生足够大规模的攻击时才可能做出异常的判定;
(2)由于检测目标过于复杂,常常使用复杂的数据挖掘和机器学习等算法来进行分析,运算量大,在实时的网络环境和网络设备中难以实现;
(3)检测结果不够精细,无法给出异常的详细细节,例如:具体是哪些流量异常?源目的IP地址、端口和协议是什么等?如果不能给出具体细节,就无法做出有效的拦截。
2、基于阈值的简单检测技术
这是目前各类网络和安全设备中使用最多的一类检测技术,特点是以单个IP(网络用户)为分析对象,统计其在一段较短时间(通常为1秒)内发送的数据包数或者新建的连接数是否超过预先设定的检测阈值来判断该IP是否出现了异常网络行为。这种检测方法简单易于实现,可以识别一些典型的DoS攻击和网络扫描行为,但会对一些涉及高速下载或上传的网络应用(例如P2P和网络视频)造成误判,而对经过伪装的DDoS攻击和扫描行为又会形成漏判。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供一种大流量环境下主机网络异常行为检测及分类方法,兼具准确性和实用性,使得可在各类网络设备中真正实现有效的异常网络流量抑制功能,从而保证互联网的安全和有序。
本发明提供一种大流量环境下主机网络异常行为检测及分类方法,包括以下步骤:
步骤1生成与维护网络连接表,所述网络连接表中的每个网络连接由源IP地址、目的IP地址、源端口、目的端口、协议及时间信息唯一标识;
步骤2实时以netflow数据格式将所述网络连接表发送到系统,所述系统获取一定时间间隔的netflow数据后,解析所述netflow数据并建立当前的网络连接表副本,然后开启新的线程遍历所述网络连接表,进行统计分析;
步骤3在获得所述一定时间间隔的网络连接表副本后,采用哈希算法对所述网络连接表副本进行处理,构建主机记录表存储主机信息;
步骤4遍历所述主机记录表,读取其中网络连接总数的值,判断是否超过检测阈值,如果未超过所述检测阈值则读取下一个主机记录,否则对该主机记录所有内容进行遍历,统计目的IP总数和所有源端口及目的端口的分布,遍历完毕后,计算出该主机的源端口熵、目的端口熵、源最大占比和目的最大占比;
步骤5根据所述步骤4的计算结果判断该主机的异常行为类型。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,具有以下有益效果:
1、本发明利用计算机节点在进行网络扫描和DoS攻击行为时,并发连接数高,且源或目的端口集中等特性,提出以源节点的源/目的端口熵值及最大占比等几个因素来描述这一特性,以此判断该节点行为是否异常,并进一步对异常行为进行分类;
2、本发明为一种实用的,能适应大流量环境,算法简单易于在各类网络设备中实现,具有一定实时性,同时又满足准确性要求,能识别出各种网络扫描和DoS/DDoS攻击流量,提供详细信息,辅助进一步精确拦截完成的异常检测方法。
附图说明
图1为本发明系统整体框架图;
图2为本发明的方法流程图;
图3本发明数据源示意图;
图4为本发明连接记录表的构建过程示意图;
图5为本发明主机记录表的结构示意图;
图6为本发明主机记录表的构建过程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明提出对短时间内并发连接数高的源节点进行源/目的端口分布规律进行研究,建立测量模型,计算熵值和最大占比,然后通过阈值进行各类主机网络行为异常检测和分类。为便于说明,先介绍本发明使用的一些概念即定义如下。
源/目的端口熵的测量模型:
(1)概念及定义
本发明的研究对象为主动发起网络连接的源节点,特别是在短时间内发起了较多网络连接(超过阈值)的源节点,通过分析该源节点所有并发连接的源/目的端口分布规律,进一步来判断是属于哪一类的异常行为。
定义1:源端口熵
假设T为同一源节点对应的n个网络连接的集合,每个网络连接都是由一个唯一的五元组(SIP,DIP,Sport,Dport,protocol)定义的,其中,SIP、DIP、Sport、Dport、protocol分别表示源IP、目的IP、源端口、目的端口、协议。这些网络连接的所有源端口(Sport)分属K个不同的集合,其中第i个源端口(Sporti)在集合T中出现的概率为i∈[1,K],Psi>0,n表示集合T中总的源端口数。第i个源端口的信息量为:
K个源端口信息量的数学期望定义为源端口熵,如下式所示:
如果K=1,也就是集合T中的所有连接的源端口都相同,那么H(Ps1,Ps2,…,PsK)=0,达到最小值。
定义2:目的端口熵
在集合T中,n个网络连接的所有目的端口(Dport)分属K个不同的集合,其中第i个目的端口(Dporti)在集合T中出现的概率为i∈[1,K],Pdi>0, n表示集合T中总的目的端口数。第i个目的端口的信息量为:
K个目的端口信息量的数学期望定义为目的端口熵,如下式所示:
如果K=1,也就是T中的所有连接的目的端口都相同,那么H(Pd1,Pd2,…,PdK)=0,达到最小值。
定义3:源端口最大占比
在集合T中,第i个源端口的占比为Psi,其中K个源端口占比中的最大值定义为源端口最大占比,如下式所示:
M(Ps1,Ps2,…,PsK)=MAX(Psi),i∈[1,K]
如果K=1,也就是集合T中的所有连接的源端口都相同,那么M(Ps1,Ps2,…,PsK)=1,达到最大值。
定义4:目的端口最大占比
在集合T中,第i个目的端口的占比为Pdi,其中K个目的端口占比中的最大值定义为目的端口最大占比,如下式所示:
M(Pd1,Pd2,…,PdK)=MAX(Pdi),i∈[1,K]
如果K=1,也就是T中的所有连接的目的端口都相同,那么M(Pd1,Pd2,…,PdK)=1,达到最大值。
定理1:最大熵定理
在集合T中,当K=n,也就是每个源(目的)端口都仅出现一次时,那么Hmax(p1,p2,…pK)=logn达到最大值,且随着n值增大,其中,Hmax为最大熵值,p1,p2,…pK分别为集合T中那个元素出现的概率。
进一步地,以上源(目的)端口熵没有采用标准熵的计算方式,主要在于这样通过熵值还可以一定程度的显示出网络连接总数n的大小信息。
进一步地,为避免在不同n值下,计算出的熵值范围差距较大,无法使用同一个阈值进行准确判断的情况,加入端口最大占比这个参量进行调整。
(2)检测阈值的选取
以上已分析得知,主机异常网络行为基本表现为短时间新建连接数过多,但并不是连接数大的应用就一定是有害的异常行为,目前许多P2P应用和网络视频、游戏都是利用增加客户端连接服务器的连接数来提高网络传输质量的。因此,在本发明中首先采用阈值的方法将连接数大的源节点筛选出来,然后通过分析确定其行为模式是否异常。
P2P和网络视频、游戏都是属于正常应用,因此长时间持续保持超高网络并发连接的情况并不多见。由于P2P应用的本质特点,每个P2P节点的监听端口可能不尽相同,因此P2P应用的目的端口熵明显比扫描行为的高,而其目的端口最大占比则较低。同时,每种P2P应用又都有自己的缺省监听端口,往往会有一小部分的P2P节点会采用该缺省监听端口,因此P2P应用的目的端口最大占比虽小但又不会像随机情况下时呈现接近0的数值。网络视频和游戏应用一般都是对同一目的IP地址发起多个连接,容易与DoS攻击混淆,但DoS攻击的并发连接数一般要远高于正常应用,而且呈现不间断持续的特点,因此可通过调高阈值和持续检测一段时间来区分两者。
本发明根据经验制定出以下判断阈值,如下表1所示。
表1
本发明具体实施方法如下:
图1所示为本发明系统整体框架图,包括流量采集模块、网络连接表维护模块以及主机异常行为识别模块。流量采集模块用于捕获数据包,形成相应流记录。网络连接表维护模块则将新生成的流记录添加或更新到网络连接表中。主机异常行为识别模块用于对每个连接数超过阈值的节点计算源/目的端口熵和最大占比,然后根据阈值对节点进行主机异常行为类型判定。由于本发明只需要基本的网络连接级信息和时间,因此数据源直接采用的是cisco交换机的netflow数据,即流量采集和网络连接表维护都是在交换机中实现。在防火墙类的设备中也有相同的流量采集模块和连接表维护功能模块,因此本发明可以很容易的在以上设备中实现。
图2所示为本发明的方法流程图,具体包括以下步骤:
步骤1网络连接表生成与维护
图3所示为本发明数据源示意图。本发明中不涉及这部分功能实现,可直接使用cisco交换机的netflow数据,但需要这部分功能至少满足以下要求:
网络连接表中的每个网络连接由源/目的IP地址、源/目的端口、协议及时间信息唯一标识。当新网络连接生成时,网络连接表完成插入操作;设置超时时间,当某个网络连接长时间无数据包传输时,需要将其从表中删除;可自动输出网络连接表全部内容,并可设置输出的时间间隔。
步骤2创建连接记录表
图4所示为本发明连接记录表的构建过程示意图。在本发明实施例中,以5分钟(该时间可根据实际网络情况调整)为周期进行数据分析。在交换机端实际创建和维护着一个网络连接表,然后再实时以netflow数据格式发送到系统。系统从交换机获取5分钟的netflow数据后,开始解析netflow数据并建立当前的网络连接表副本,然后开启新的线程遍历连接表,进行统计分析。与此同时,交换机端依然在实时更新网络连接表。只要连接表创建和分析能在5分钟内完成,整个异常行为识别系统就可以不间断地运行下去。
步骤3遍历网络连接表副本
本发明是在主机层面对异常行为进行检测。在获得最近5分钟(可根据实际情况调整)的网络连接表副本以后,采用哈希算法对连接表副本进一步处理,构建主机记录表存储主机信息。主机记录包括了该主机的IP地址,以及该主机做为源IP地址发起连接的总数及所有目的IP、目的端口、源端口和协议类型。图5所示为本发明主机记录表的结构示意图,其记录长度由主机发起连接的多少决定。
图6所示为本发明主机记录表的构建过程示意图,包括以下子步骤:
(3-1)从网络连接表副本中获取一条连接记录;
(3-2)提取该连接记录中的源IP地址,对该地址进行哈希运算;
(3-3)根据计算的哈希值判断该源IP地址在主机记录表中是否存在,如果存在则执行步骤(3-4),否则执行步骤(3-5);
(3-4)更新主机记录表中该源IP地址对应的主机记录,即提取该连接记录中的目的IP和源目的端口信息添加到该主机记录中,连接总数加1,然后执行步骤(3-6);
(3-5)新建一条主机记录并插入到主机记录表中,然后执行步骤(3-4);
(3-6)判断连接记录表副本是否遍历完毕,如果是则执行步骤4,否则执行步骤(3-1)。
步骤4计算主机源/目的端口熵和最大占比
对于每个主机计算其源/目的端口熵和最大占比。计算过程是遍历主机记录表,读取记录中连接总数的值,判断是否超过检测阈值,如果未超过则读取下一个主机记录;若超过,则对该主机记录所有内容进行遍历,统计目的IP总数和所有源(目的)端口的分布。遍历完毕后,按照上文所述目的端口最大占比的定义计算出该主机的源(目的)端口熵和源(目的)最大占比。
步骤5主机异常网络行为识别
根据表1判断该主机的异常行为类型。
下面以华中科技大学校园网流量为对象,使用本发明中的主机异常行为检测算法进行每5分钟一次的实时检测,表2-5是检测结果的显示。表中的“源地址”和“目的地址”分别是指检测出来的异常行为发起方及目标方的IP地址。如果是扫描行为,则目的地址有很多,在表中此项即为空。“源端口”和“目的端口”分别是指发起方使用的端口号及发起方向目标方的发起连接的目的端口。由于并发连接很多,因此在表中填写的端口实为所占比率最大的那一个端口。“连接数”是指表中该行源地址(即发起方)在5分钟内发起的网络连接总数。一个连接由网络五元组(源IP,目的IP,源端口,目的端口,协议)来唯一确定。“源熵”和“目的熵”则分别是对这些网络连接的源端口和目的端口的分布计算信息熵的结果,数值越小说明分布越集中,越大就越分散。“源占比”和“目的占比”分别是这些网络连接的各源端口及目的端口的所占最大百分比的统计值,是从另一个侧面对源端口和目的端口分布规律的体现。“物理位置”是当源IP是来自校园网外部时,还进一步提供该IP的物理位置信息。
下表2是以湖北省武汉市华中科技大学校园网2014年8月份的部分端口扫描实时检测结果,主要是对针对TCP 22端口(SSH,Secure Shell协议)扫描的统计。从表2中可看出,这些源IP的并发连接数(每条连接的目的IP均不相同)都很高,一般都在几百个以上,个别甚至上万,而同时,目的端口却异常的集中在22端口(目的端口熵值为0,最大占比为1),属于非常典型的端口扫描行为。
表2
下表3是2014年8月华中科技大学校园网部分DoS攻击检测结果,从表3中可看出DoS攻击表现为对单个目的IP的短时间内连接数极大(检测阈值为5000个/5分钟),且一台攻击主机会同时攻击多个目标IP,并不断变换,由此来逃避目标IP所在网段的攻击检测,但目标端口一般固定,熵值为0,最大占比为1。
| 日期 | 时间 | 源地址 | 目的地址 | 源端口 | 目的端口 | 连接数 | 源熵 | 目的熵 | 源占比 | 目的占比 | 检测类型 |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 112.90.21.87 | 10025 | 7000 | 5043 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 117.26.138.85 | 1000 | 3101 | 38027 | 9.99 | 0 | 0 | 1 | 3101 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 218.60.65.25 | 10001 | 7004 | 40555 | 9.99 | 0 | 0 | 1 | 7004 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 36.249.120.176 | 100 | 7001 | 24597 | 9.99 | 0 | 0 | 1 | 7001 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 36.251.139.34 | 10000 | 70 | 28856 | 9.99 | 0 | 0 | 1 | 70 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 36.251.139.78 | 1000 | 707 | 12210 | 9.99 | 0 | 0 | 1 | 707 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 36.251.184.79 | 10009 | 7010 | 22485 | 9.99 | 0 | 0 | 1 | 7010 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 36.251.186.112 | 10006 | 7017 | 20149 | 9.99 | 0 | 0 | 1 | 7017 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 36.251.186.189 | 10004 | 9000 | 8952 | 9.99 | 0 | 0 | 1 | 9000 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 36.251.186.65 | 10008 | 7001 | 12540 | 9.99 | 0 | 0 | 1 | 7001 portdos |
| 2014/8/2 | 0:06:49 | 115.156.243.9 | 36.251.186.83 | 10003 | 7000 | 31946 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:11:21 | 115.156.243.9 | 113.107.187.110 | 10001 | 7000 | 7893 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:16:16 | 115.156.243.9 | 113.107.174.90 | 10003 | 7019 | 10838 | 9.99 | 0 | 0 | 1 | 7019 portdos |
| 2014/8/2 | 0:21:52 | 115.156.243.9 | 113.107.174.12 | 10002 | 7000 | 18406 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:21:52 | 115.156.243.9 | 113.107.174.50 | 10 | 7000 | 58865 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:21:52 | 115.156.243.9 | 113.107.174.87 | 10 | 7000 | 53256 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:21:52 | 115.156.243.9 | 113.107.174.90 | 10 | 7019 | 43293 | 9.99 | 0 | 0 | 1 | 7019 portdos |
| 2014/8/2 | 0:21:52 | 115.156.243.9 | 121.12.172.80 | 1000 | 6031 | 36273 | 9.99 | 0 | 0 | 1 | 6031 portdos |
| 2014/8/2 | 0:26:55 | 115.156.243.9 | 110.80.129.2 | 10021 | 7099 | 6019 | 9.99 | 0 | 0 | 1 | 7099 portdos |
| 2014/8/2 | 0:26:55 | 115.156.243.9 | 115.231.24.43 | 10000 | 6040 | 12408 | 9.99 | 0 | 0 | 1 | 6040 portdos |
| 2014/8/2 | 0:26:55 | 115.156.243.9 | 115.231.24.49 | 10 | 18011 | 12349 | 9.99 | 0 | 0 | 1 | 18011 portdos |
| 2014/8/2 | 0:26:55 | 115.156.243.9 | 122.224.19.17 | 1001 | 4129 | 7654 | 9.99 | 0 | 0 | 1 | 4129 portdos |
| 2014/8/2 | 0:31:44 | 115.156.243.9 | 115.231.24.71 | 1001 | 7011 | 7520 | 9.99 | 0 | 0 | 1 | 7011 portdos |
| 2014/8/2 | 0:31:44 | 115.156.243.9 | 115.238.237.50 | 10000 | 7008 | 6240 | 9.99 | 0 | 0 | 1 | 7008 portdos |
| 2014/8/2 | 0:31:44 | 115.156.243.9 | 122.224.52.186 | 10015 | 7111 | 5729 | 9.99 | 0 | 0 | 1 | 7111 portdos |
| 2014/8/2 | 0:31:44 | 115.156.243.9 | 122.224.52.37 | 10004 | 7101 | 5721 | 9.99 | 0 | 0 | 1 | 7101 portdos |
| 2014/8/2 | 0:31:44 | 115.156.243.9 | 42.157.5.62 | 1000 | 7001 | 7475 | 9.99 | 0 | 0 | 1 | 7001 portdos |
| 2014/8/2 | 0:31:44 | 115.156.243.9 | 60.174.234.115 | 10014 | 7000 | 7455 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:36:50 | 115.156.243.9 | 115.238.237.50 | 10006 | 7008 | 17946 | 9.99 | 0 | 0 | 1 | 7008 portdos |
| 2014/8/2 | 0:36:50 | 115.156.243.9 | 115.239.248.142 | 1000 | 13521 | 45164 | 9.99 | 0 | 0 | 1 | 13521 portdos |
| 2014/8/2 | 0:36:50 | 115.156.243.9 | 183.61.166.59 | 10021 | 7001 | 12776 | 9.99 | 0 | 0 | 1 | 7001 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 113.107.249.146 | 10 | 7001 | 11237 | 9.99 | 0 | 0 | 1 | 7001 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 117.25.134.113 | 10022 | 7000 | 6611 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 117.25.134.34 | 10025 | 7003 | 6682 | 9.99 | 0 | 0 | 1 | 7003 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 117.25.154.67 | 10010 | 9500 | 7738 | 9.99 | 0 | 0 | 1 | 9500 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 120.37.141.227 | 10007 | 7008 | 5372 | 9.99 | 0 | 0 | 1 | 7008 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 120.37.141.96 | 10000 | 7000 | 11264 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 120.37.142.114 | 10018 | 57000 | 9860 | 9.99 | 0 | 0 | 1 | 57000 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 120.37.142.38 | 10020 | 17008 | 7357 | 9.99 | 0 | 0 | 1 | 17008 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 120.37.142.70 | 10004 | 47000 | 8396 | 9.99 | 0 | 0 | 1 | 47000 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 120.37.142.79 | 10007 | 7008 | 8402 | 9.99 | 0 | 0 | 1 | 7008 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 125.78.88.102 | 10000 | 2222 | 11437 | 9.99 | 0 | 0 | 1 | 2222 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 125.78.88.249 | 10007 | 7006 | 23001 | 9.99 | 0 | 0 | 1 | 7006 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 220.162.99.188 | 1001 | 7112 | 6210 | 9.99 | 0 | 0 | 1 | 7112 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 27.152.29.21 | 10006 | 7000 | 6709 | 9.99 | 0 | 0 | 1 | 7000 portdos |
| 2014/8/2 | 0:41:39 | 115.156.243.9 | 27.152.29.97 | 10003 | 7008 | 7411 | 9.99 | 0 | 0 | 1 | 7008 portdos |
| 2014/8/2 | 0:46:38 | 115.156.243.9 | 110.81.107.112 | 10001 | 7007 | 8372 | 9.99 | 0 | 0 | 1 | 7007 portdos |
| 2014/8/2 | 0:46:38 | 115.156.243.9 | 110.81.107.78 | 10009 | 7001 | 11098 | 9.99 | 0 | 0 | 1 | 7001 portdos |
表3
下表4是2014年8月华中科技大学校园网部分P2P应用检测结果。从表4中可看出P2P应用虽然也呈现并发连接数较高的特点,但由于P2P应用的特点,目标端口并没有呈现高度一致的特点,目标熵值大于6,目标最大占比大于0小于0.5。
| 日期 | 时间 | 源地址 | 源端口 | 目的端口 | 连接数 | 源熵 | 目的熵 | 源占比 | 目的占比 | 检测类型 |
| 2014/8/1 | 8:42:35 | 218.197.210.41 | 25755 | 4672 | 501 | 0.1 | 6.5 | 0.99 | 0.26 | p2p |
| 2014/8/1 | 8:42:35 | 218.197.211.61 | 21172 | 4672 | 564 | 0.04 | 6.48 | 1 | 0.28 | p2p |
| 2014/8/1 | 8:42:35 | 218.197.226.1 | 13293 | 4672 | 2589 | 6.96 | 9.99 | 0.25 | 0.05 | p2p |
| 2014/8/1 | 8:42:35 | 218.197.227.79 | 23453 | 4672 | 619 | 0.48 | 6.55 | 0.94 | 0.26 | p2p |
| 2014/8/1 | 8:42:35 | 218.197.236.4 | 20751 | 4672 | 582 | 0.31 | 6.52 | 0.97 | 0.26 | p2p |
| 2014/8/1 | 8:42:35 | 218.199.85.60 | 17085 | 4672 | 586 | 0.16 | 6.46 | 0.98 | 0.28 | p2p |
| 2014/8/1 | 8:42:35 | 222.20.1.173 | 24591 | 4672 | 650 | 0.89 | 6.64 | 0.9 | 0.26 | p2p |
| 2014/8/1 | 8:42:35 | 222.20.15.4 | 19166 | 4672 | 645 | 0.9 | 6.77 | 0.87 | 0.26 | p2p |
| 2014/8/1 | 8:42:35 | 222.20.30.57 | 20131 | 4672 | 574 | 0.14 | 6.73 | 0.99 | 0.25 | p2p |
| 2014/8/1 | 8:42:35 | 222.20.44.121 | 22943 | 4672 | 605 | 0.15 | 6.75 | 0.99 | 0.23 | p2p |
| 2014/8/1 | 8:42:35 | 222.20.5.34 | 20414 | 4672 | 672 | 1.01 | 7.19 | 0.87 | 0.21 | p2p |
| 2014/8/1 | 8:42:35 | 222.20.66.204 | 21769 | 4672 | 673 | 1.48 | 6.76 | 0.85 | 0.23 | p2p |
| 2014/8/1 | 8:42:35 | 222.20.79.175 | 25698 | 4672 | 640 | 0.84 | 7 | 0.9 | 0.22 | p2p |
| 2014/8/1 | 8:47:39 | 10.12.52.36 | 24874 | 4672 | 707 | 0.22 | 6.82 | 0.98 | 0.26 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.139.99 | 23669 | 4672 | 845 | 0.11 | 6.71 | 0.99 | 0.26 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.169.145 | 23780 | 4672 | 648 | 0.69 | 7.28 | 0.84 | 0.2 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.170.158 | 19992 | 4672 | 534 | 0.15 | 6.68 | 0.99 | 0.25 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.170.253 | 25927 | 4672 | 429 | 0.19 | 6.67 | 0.98 | 0.23 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.205.111 | 22505 | 4672 | 500 | 0.02 | 6.19 | 1 | 0.31 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.213.25 | 21201 | 4672 | 606 | 0.76 | 6.76 | 0.9 | 0.25 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.238.5 | 25931 | 4672 | 528 | 0.17 | 6.67 | 0.98 | 0.25 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.240.51 | 21165 | 4672 | 595 | 1.07 | 6.61 | 0.9 | 0.22 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.243.13 | 20530 | 4672 | 524 | 0.14 | 6.45 | 0.99 | 0.28 | p2p |
| 2014/8/1 | 8:47:39 | 115.156.252.167 | 25555 | 4672 | 617 | 1.03 | 6.96 | 0.87 | 0.22 | p2p |
| 2014/8/1 | 8:47:39 | 122.205.14.189 | 16393 | 4672 | 532 | 0.2 | 6.59 | 0.98 | 0.25 | p2p |
| 2014/8/1 | 8:47:39 | 122.205.4.16 | 20259 | 4672 | 554 | 0.57 | 6.88 | 0.91 | 0.22 | p2p |
| 2014/8/1 | 8:47:39 | 202.114.2.240 | 54571 | 4672 | 807 | 0.53 | 7.25 | 0.89 | 0.23 | p2p |
| 2014/8/1 | 8:47:39 | 202.114.6.65 | 24742 | 4672 | 613 | 1.52 | 6.68 | 0.8 | 0.21 | p2p |
| 2014/8/1 | 8:47:39 | 210.42.98.66 | 26348 | 4672 | 545 | 0.2 | 6.82 | 0.98 | 0.23 | p2p |
| 2014/8/1 | 8:47:39 | 211.69.198.207 | 18661 | 4672 | 650 | 1.96 | 6.92 | 0.77 | 0.21 | p2p |
| 2014/8/1 | 8:47:39 | 218.197.210.41 | 25755 | 4672 | 555 | 0.02 | 6.75 | 1 | 0.25 | p2p |
| 2014/8/1 | 8:47:39 | 218.197.211.61 | 21172 | 4672 | 538 | 0.16 | 6.53 | 0.99 | 0.25 | p2p |
| 2014/8/1 | 8:47:39 | 218.197.226.1 | 13293 | 4672 | 2465 | 7.16 | 9.99 | 0.23 | 0.06 | p2p |
| 2014/8/1 | 8:47:39 | 218.197.226.82 | 24469 | 4672 | 652 | 1.45 | 6.95 | 0.85 | 0.23 | p2p |
| 2014/8/1 | 8:47:39 | 218.197.227.79 | 23453 | 4672 | 584 | 0.47 | 6.45 | 0.95 | 0.27 | p2p |
| 2014/8/1 | 8:47:39 | 218.197.236.4 | 20751 | 4672 | 526 | 0.24 | 6.7 | 0.98 | 0.23 | p2p |
| 2014/8/1 | 8:47:39 | 218.199.85.60 | 17085 | 4672 | 556 | 0.11 | 6.66 | 0.99 | 0.25 | p2p |
| 2014/8/1 | 8:47:39 | 222.20.1.173 | 24591 | 4672 | 539 | 0.99 | 6.82 | 0.88 | 0.22 | p2p |
| 2014/8/1 | 8:47:39 | 222.20.15.4 | 19166 | 4672 | 620 | 0.89 | 6.91 | 0.85 | 0.23 | p2p |
| 2014/8/1 | 8:47:39 | 222.20.30.57 | 20131 | 4672 | 539 | 0.28 | 6.84 | 0.97 | 0.23 | p2p |
| 2014/8/1 | 8:47:39 | 222.20.44.121 | 22943 | 4672 | 522 | 0.15 | 6.58 | 0.98 | 0.24 | p2p |
| 2014/8/1 | 8:47:39 | 222.20.5.34 | 20414 | 4672 | 630 | 1.14 | 6.96 | 0.84 | 0.24 | p2p |
| 2014/8/1 | 8:47:39 | 222.20.66.204 | 21769 | 4672 | 631 | 1.43 | 6.63 | 0.84 | 0.25 | p2p |
| 2014/8/1 | 8:47:39 | 222.20.79.175 | 25698 | 4672 | 609 | 0.84 | 6.96 | 0.89 | 0.22 | p2p |
| 2014/8/1 | 8:47:39 | 222.20.88.20 | 18118 | 6881 | 743 | 0.17 | 8.4 | 0.98 | 0.13 | p2p |
| 2014/8/1 | 8:52:42 | 10.10.29.159 | 28305 | 6881 | 469 | 2.12 | 8.4 | 0.79 | 0.06 | p2p |
| 2014/8/1 | 8:52:42 | 10.12.52.36 | 24874 | 4672 | 780 | 0.13 | 6.69 | 0.99 | 0.28 | p2p |
| 2014/8/1 | 8:52:42 | 115.156.170.158 | 19992 | 4672 | 475 | 0.37 | 6.4 | 0.96 | 0.26 | p2p |
| 2014/8/1 | 8:52:42 | 115.156.178.164 | 62739 | 4672 | 2352 | 7.14 | 9.95 | 0.24 | 0.07 | p2p |
| 2014/8/1 | 8:52:42 | 115.156.196.82 | 25758 | 4672 | 555 | 1.23 | 6.9 | 0.85 | 0.24 | p2p |
| 2014/8/1 | 8:52:42 | 115.156.205.111 | 22505 | 4672 | 469 | 0.07 | 6.35 | 0.99 | 0.27 | p2p |
| 2014/8/1 | 8:52:42 | 115.156.238.5 | 25931 | 4672 | 450 | 0.18 | 6.46 | 0.98 | 0.25 | p2p |
| 2014/8/1 | 8:52:42 | 115.156.243.126 | 25538 | 4672 | 849 | 0.88 | 7.37 | 0.86 | 0.22 | p2p |
| 2014/8/1 | 8:52:42 | 115.156.243.13 | 20530 | 4672 | 483 | 0.15 | 6.43 | 0.99 | 0.27 | p2p |
| 2014/8/1 | 8:52:42 | 115.156.247.214 | 19594 | 4672 | 566 | 1.1 | 6.87 | 0.85 | 0.21 | p2p |
| 2014/8/1 | 8:52:42 | 115.156.252.167 | 25555 | 4672 | 519 | 1.19 | 6.78 | 0.86 | 0.23 | p2p |
表4
下表5是2014年8月华中科技大学校园网主机异常行为检测各类端口扫描行为的统计结果,包括对攻击类型的统计。源/目的端口、攻击次数和攻击来源IP数的统计排序。从表5中可看出,攻击次数较多的目标端口基本都是应用面广,漏洞多,危险性大的应用端口(例如TCP 1433:MSSQL数据库,TCP 3389:windows远程桌面登录,TCP 8080,80:web应用)。有些攻击为绕过防火墙而采取以某应用面广或常见的应用端口做为源端口进行扫描(例如TCP 6000:XWindow、游戏等)。
表5
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种大流量环境下主机网络异常行为检测及分类方法,其特征在于,包括:
步骤1生成与维护网络连接表,所述网络连接表中的每个网络连接由源IP地址、目的IP地址、源端口、目的端口、协议及时间信息唯一标识;
步骤2实时以netflow数据格式将所述网络连接表发送到系统,所述系统获取一定时间间隔的netflow数据后,解析所述netflow数据并建立当前的网络连接表副本,然后开启新的线程遍历所述网络连接表,进行统计分析;
步骤3在获得所述一定时间间隔的网络连接表副本后,采用哈希算法对所述网络连接表副本进行处理,构建主机记录表存储主机信息;
步骤4遍历所述主机记录表,读取其中网络连接总数的值,判断是否超过检测阈值,如果未超过所述检测阈值则读取下一个主机记录,否则对该主机记录所有内容进行遍历,统计目的IP总数和所有源端口及目的端口的分布,遍历完毕后,计算出该主机的源端口熵、目的端口熵、源最大占比和目的最大占比;
步骤5根据所述步骤4的计算结果判断该主机的异常行为类型。
2.如权利要求1所述的方法,其特征在于,在所述步骤1中,当新网络连接生成时,将其插入所述网络连接表;当某个网络连接长时间无数据包传输时,将其从所述网络连接表中删除;根据设置的输出时间间隔自动输出所述网络连接表的全部内容。
3.如权利要求1所述的方法,其特征在于,在所述步骤2中建立所述网络连接表副本和分析所述网络连接表副本需在所述一定时间间隔内完成。
4.如权利要求1-3中任一项所述的方法,其特征在于,所述步骤3包括以下子步骤:
(3-1)从所述网络连接表副本中获取一条连接记录;
(3-2)提取该连接记录中的源IP地址,对该源IP地址进行哈希运算;
(3-3)根据计算的哈希值判断该源IP地址在所述主机记录表中是否存在,如果存在则执行步骤(3-4),否则执行步骤(3-5);
(3-4)更新所述主机记录表中该源IP地址对应的主机记录,连接总数加1,然后执行步骤(3-6);
(3-5)新建一条主机记录并插入到所示主机记录表中,然后执行所述步骤(3-4);
(3-6)判断所述连接记录表副本是否遍历完毕,如果是则执行所述步骤4,否则执行所述步骤(3-1)。
5.如权利要求1-3中任一项所述的方法,其特征在于,在所述步骤4中,所述主机的源端口熵定义为其中,假设T为同一源节点对应的n个网络连接的集合,所述n个网络连接的所有源端口分属K个不同的集合,第i个源端口Sporti在所述集合T中出现的概率为i∈[1,K],Psi>0,n表示集合T中总的源端口数;所述主机的目的端口熵定义为其中,第i个目的端口Dporti在所述集合T中出现的概率为Pdi>0,所述主机的源端口最大占比定义为M(Ps1,Ps2,…,PsK)=MAX(Psi);所述主机的目的端口最大占比定义为M(Pd1,Pd2,…,PdK)=MAX(Pdi)。
6.如权利要求5所述的方法,其特征在于,在所述步骤5中,对于单个目的IP数,若网络连接数大于等于2000且目的端口熵小于等于0.3或目的端口最大占比大于等于0.9,则判断主机行为类型为目的端口DoS攻击;对于单个目的IP数,若网络连接数大于等于500且目的端口熵大于等于9且源端口熵大于等于9,则判断主机行为类型为端口扫描;对于多个目的IP数,若网络连接数大于等于500且目的端口熵小于等于2.6或目的端口最大占比大于等于0.5,则判断主机行为类型为目的端口扫描;对于多个目的IP数,若网络连接数大于等于500且源端口熵小于等于0.5或源端口最大占比大于等于0.9,则判断主机行为类型为源端口扫描;对于多个目的IP数,若网络连接数大于等于500且目的端口熵大于等于6或目的端口最大占比介于0至0.5之间,则判断主机行为类型为P2P应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510227895.7A CN104836702B (zh) | 2015-05-06 | 2015-05-06 | 一种大流量环境下主机网络异常行为检测及分类方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510227895.7A CN104836702B (zh) | 2015-05-06 | 2015-05-06 | 一种大流量环境下主机网络异常行为检测及分类方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104836702A true CN104836702A (zh) | 2015-08-12 |
| CN104836702B CN104836702B (zh) | 2018-06-19 |
Family
ID=53814352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510227895.7A Expired - Fee Related CN104836702B (zh) | 2015-05-06 | 2015-05-06 | 一种大流量环境下主机网络异常行为检测及分类方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104836702B (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227548A (zh) * | 2015-09-14 | 2016-01-06 | 中国人民解放军国防科学技术大学 | 基于办公局域网稳态模型的异常流量筛选方法 |
| CN105357180A (zh) * | 2015-09-30 | 2016-02-24 | 华为技术有限公司 | 网络系统、攻击报文的拦截方法、装置和设备 |
| CN105763573A (zh) * | 2016-05-06 | 2016-07-13 | 哈尔滨工程大学 | 一种降低web服务器误检率的taps优化方法 |
| CN105808639A (zh) * | 2016-02-24 | 2016-07-27 | 平安科技(深圳)有限公司 | 网络访问行为识别方法和装置 |
| CN106330906A (zh) * | 2016-08-23 | 2017-01-11 | 上海海事大学 | 一种大数据环境下的DDoS攻击检测方法 |
| CN106951776A (zh) * | 2017-01-18 | 2017-07-14 | 中国船舶重工集团公司第七0九研究所 | 一种主机异常检测方法和系统 |
| CN107515820A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 服务器监测方法及装置、检测服务器 |
| CN107920077A (zh) * | 2017-11-21 | 2018-04-17 | 湖北鑫英泰系统技术股份有限公司 | 一种用于电力调度系统的拒接服务攻击判断方法及装置 |
| CN108418835A (zh) * | 2018-04-08 | 2018-08-17 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 |
| CN109547295A (zh) * | 2018-12-27 | 2019-03-29 | 湖南宸睿通信科技有限公司 | 一种通讯网络的在线修复平台及其修复方法 |
| CN110532753A (zh) * | 2019-07-01 | 2019-12-03 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 列车运行监控记录装置业务数据流的安全防护方法及设备 |
| CN110750785A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
| CN111092900A (zh) * | 2019-12-24 | 2020-05-01 | 北京北信源软件股份有限公司 | 服务器异常连接和扫描行为的监控方法和装置 |
| CN111193633A (zh) * | 2019-08-28 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 异常网络连接的检测方法及装置 |
| CN111343136A (zh) * | 2018-12-19 | 2020-06-26 | 福建雷盾信息安全有限公司 | 一种基于流量行为特征的网络异常行为分析检测方法 |
| CN111885092A (zh) * | 2020-09-10 | 2020-11-03 | 中国联合网络通信集团有限公司 | 一种边缘节点的DDoS攻击检测方法、处理方法及SDN |
| CN112583774A (zh) * | 2019-09-30 | 2021-03-30 | 北京观成科技有限公司 | 一种攻击流量检测的方法、装置、存储介质及电子设备 |
| CN112702221A (zh) * | 2019-10-23 | 2021-04-23 | 中国电信股份有限公司 | Bgp异常路由监测方法和装置 |
| CN112788064A (zh) * | 2021-02-10 | 2021-05-11 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的加密网络异常流量检测方法 |
| CN113141376A (zh) * | 2021-05-08 | 2021-07-20 | 四川英得赛克科技有限公司 | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
| CN113452714A (zh) * | 2021-06-29 | 2021-09-28 | 清华大学 | 主机聚类方法及装置 |
| CN114070613A (zh) * | 2021-11-15 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种识别漏洞扫描的方法、装置、设备及存储介质 |
| CN115374444A (zh) * | 2022-10-27 | 2022-11-22 | 北京安帝科技有限公司 | 基于虚拟主机行为分析的病毒检测方法和装置 |
| CN115913655A (zh) * | 2022-10-28 | 2023-04-04 | 华中科技大学 | 一种基于流量分析和语义分析的Shell命令注入检测方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070115850A1 (en) * | 2005-10-20 | 2007-05-24 | Kazuaki Tsuchiya | Detection method for abnormal traffic and packet relay apparatus |
-
2015
- 2015-05-06 CN CN201510227895.7A patent/CN104836702B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070115850A1 (en) * | 2005-10-20 | 2007-05-24 | Kazuaki Tsuchiya | Detection method for abnormal traffic and packet relay apparatus |
Non-Patent Citations (1)
| Title |
|---|
| 杜洪毅: "基于Netflow的网络异常流量发现的研究与实现", 《硕士学位论文电子期刊》 * |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105227548B (zh) * | 2015-09-14 | 2018-06-26 | 中国人民解放军国防科学技术大学 | 基于办公局域网稳态模型的异常流量筛选方法 |
| CN105227548A (zh) * | 2015-09-14 | 2016-01-06 | 中国人民解放军国防科学技术大学 | 基于办公局域网稳态模型的异常流量筛选方法 |
| CN105357180A (zh) * | 2015-09-30 | 2016-02-24 | 华为技术有限公司 | 网络系统、攻击报文的拦截方法、装置和设备 |
| CN105357180B (zh) * | 2015-09-30 | 2019-06-07 | 华为技术有限公司 | 网络系统、攻击报文的拦截方法、装置和设备 |
| CN105808639A (zh) * | 2016-02-24 | 2016-07-27 | 平安科技(深圳)有限公司 | 网络访问行为识别方法和装置 |
| CN105763573A (zh) * | 2016-05-06 | 2016-07-13 | 哈尔滨工程大学 | 一种降低web服务器误检率的taps优化方法 |
| CN107515820B (zh) * | 2016-06-17 | 2021-02-05 | 阿里巴巴集团控股有限公司 | 服务器监测方法及装置、检测服务器 |
| CN107515820A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 服务器监测方法及装置、检测服务器 |
| CN106330906A (zh) * | 2016-08-23 | 2017-01-11 | 上海海事大学 | 一种大数据环境下的DDoS攻击检测方法 |
| CN106330906B (zh) * | 2016-08-23 | 2019-11-01 | 上海海事大学 | 一种大数据环境下的DDoS攻击检测方法 |
| CN106951776A (zh) * | 2017-01-18 | 2017-07-14 | 中国船舶重工集团公司第七0九研究所 | 一种主机异常检测方法和系统 |
| CN107920077A (zh) * | 2017-11-21 | 2018-04-17 | 湖北鑫英泰系统技术股份有限公司 | 一种用于电力调度系统的拒接服务攻击判断方法及装置 |
| CN108418835A (zh) * | 2018-04-08 | 2018-08-17 | 北京明朝万达科技股份有限公司 | 一种基于Netflow日志数据的端口扫描攻击检测方法及装置 |
| CN111343136A (zh) * | 2018-12-19 | 2020-06-26 | 福建雷盾信息安全有限公司 | 一种基于流量行为特征的网络异常行为分析检测方法 |
| CN109547295A (zh) * | 2018-12-27 | 2019-03-29 | 湖南宸睿通信科技有限公司 | 一种通讯网络的在线修复平台及其修复方法 |
| CN110532753A (zh) * | 2019-07-01 | 2019-12-03 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 列车运行监控记录装置业务数据流的安全防护方法及设备 |
| CN111193633A (zh) * | 2019-08-28 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 异常网络连接的检测方法及装置 |
| CN111193633B (zh) * | 2019-08-28 | 2022-09-30 | 腾讯科技(深圳)有限公司 | 异常网络连接的检测方法及装置 |
| CN112583774A (zh) * | 2019-09-30 | 2021-03-30 | 北京观成科技有限公司 | 一种攻击流量检测的方法、装置、存储介质及电子设备 |
| CN112702221A (zh) * | 2019-10-23 | 2021-04-23 | 中国电信股份有限公司 | Bgp异常路由监测方法和装置 |
| CN112702221B (zh) * | 2019-10-23 | 2022-12-27 | 中国电信股份有限公司 | Bgp异常路由监测方法和装置 |
| CN110750785B (zh) * | 2019-10-24 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
| CN110750785A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
| CN111092900A (zh) * | 2019-12-24 | 2020-05-01 | 北京北信源软件股份有限公司 | 服务器异常连接和扫描行为的监控方法和装置 |
| CN111885092A (zh) * | 2020-09-10 | 2020-11-03 | 中国联合网络通信集团有限公司 | 一种边缘节点的DDoS攻击检测方法、处理方法及SDN |
| CN112788064A (zh) * | 2021-02-10 | 2021-05-11 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的加密网络异常流量检测方法 |
| CN113141376A (zh) * | 2021-05-08 | 2021-07-20 | 四川英得赛克科技有限公司 | 一种恶意ip扫描检测方法、装置、电子设备及存储介质 |
| CN113452714A (zh) * | 2021-06-29 | 2021-09-28 | 清华大学 | 主机聚类方法及装置 |
| CN114070613A (zh) * | 2021-11-15 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种识别漏洞扫描的方法、装置、设备及存储介质 |
| CN115374444A (zh) * | 2022-10-27 | 2022-11-22 | 北京安帝科技有限公司 | 基于虚拟主机行为分析的病毒检测方法和装置 |
| CN115913655A (zh) * | 2022-10-28 | 2023-04-04 | 华中科技大学 | 一种基于流量分析和语义分析的Shell命令注入检测方法 |
| CN115913655B (zh) * | 2022-10-28 | 2024-05-14 | 华中科技大学 | 一种基于流量分析和语义分析的Shell命令注入检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104836702B (zh) | 2018-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104836702A (zh) | 一种大流量环境下主机网络异常行为检测及分类方法 | |
| Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
| Santos et al. | Machine learning algorithms to detect DDoS attacks in SDN | |
| AU2019216687B2 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
| El Sayed et al. | A flow-based anomaly detection approach with feature selection method against ddos attacks in sdns | |
| KR102135024B1 (ko) | IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치 | |
| Choi et al. | A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment | |
| CN111193719A (zh) | 一种网络入侵防护系统 | |
| Shamsolmoali et al. | Statistical-based filtering system against DDOS attacks in cloud computing | |
| Sherazi et al. | DDoS attack detection: A key enabler for sustainable communication in internet of vehicles | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| Yadav et al. | Detection of application layer DDoS attack by modeling user behavior using logistic regression | |
| Amoli et al. | Unsupervised network intrusion detection systems for zero-day fast-spreading attacks and botnets | |
| Pandey et al. | A statistical and distributed packet filter against DDoS attacks in Cloud environment | |
| Ma | Analysis of anomaly detection method for Internet of things based on deep learning | |
| Janabi et al. | Convolutional neural network based algorithm for early warning proactive system security in software defined networks | |
| Ahuja et al. | Ascertain the efficient machine learning approach to detect different ARP attacks | |
| Mathews et al. | A collaborative approach to situational awareness for cybersecurity | |
| Unal et al. | Towards prediction of security attacks on software defined networks: A big data analytic approach | |
| CN116346418A (zh) | 基于联邦学习的DDoS检测方法及装置 | |
| Bawa et al. | Enhanced mechanism to detect and mitigate economic denial of sustainability (EDoS) attack in cloud computing environments | |
| Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
| Fenil et al. | Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches | |
| Nguyen et al. | Towards improving explainability, resilience and performance of cybersecurity analysis of 5G/IoT networks (work-in-progress paper) | |
| Khosroshahi et al. | Detection of sources being used in ddos attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180619 Termination date: 20200506 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |