CN106790020B - 一种基于攻击范式的互联网异常行为检测方法与系统 - Google Patents

一种基于攻击范式的互联网异常行为检测方法与系统 Download PDF

Info

Publication number
CN106790020B
CN106790020B CN201611153838.XA CN201611153838A CN106790020B CN 106790020 B CN106790020 B CN 106790020B CN 201611153838 A CN201611153838 A CN 201611153838A CN 106790020 B CN106790020 B CN 106790020B
Authority
CN
China
Prior art keywords
attack
paradigm
library
network
creating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611153838.XA
Other languages
English (en)
Other versions
CN106790020A (zh
Inventor
何华
何中天
何中旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Eastern Prism Technology Corp ltd
Original Assignee
Beijing Eastern Prism Technology Corp ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Eastern Prism Technology Corp ltd filed Critical Beijing Eastern Prism Technology Corp ltd
Priority to CN201611153838.XA priority Critical patent/CN106790020B/zh
Publication of CN106790020A publication Critical patent/CN106790020A/zh
Application granted granted Critical
Publication of CN106790020B publication Critical patent/CN106790020B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种基于攻击范式的互联网异常行为检测方法与系统,属于网络安全技术领域。包括以下步骤:步骤A、基于有限状态机创建攻击范式库;步骤B、基于异常行为创建网络节点信誉库;步骤C、基于攻击范式库与节点信誉库检测网络攻击。本发明的优点是使得能够快速检测网络异常行为,快速精确地定位互联网攻击路径,以保证互联网应用的安全性,给网络用户一个安全的互联网应用环境。

Description

一种基于攻击范式的互联网异常行为检测方法与系统
技术领域
本发明涉及一种基于攻击范式的互联网异常行为检测方法与系统,属于网络安全技术领域。
背景技术
互联网彻底改变人们传统的工作与生活方式,使人们无需等待、无需远行,就可以进行获取信息、沟通、购物、支付与娱乐,同时,大量黑客在互联网空间中穿越,进出终端、路由器、服务器,进行控制或窃取信息,这些网络攻击行为影响了用户的上网体验、严重影响了人们对互联网应用的安全感,使得人们在网上冲浪的过程中时刻担心着个人隐私是否会被泄漏。
互联网异常行为检测技术的发展有三个方向,一是流量统计和阈值检测技术;二是源与目的主机可信性验证技术;三是分布与特征技术。
对于这三个方向的技术,它们的优点是技术比较成熟,能够比较有效地检测网络异常行为;缺陷是存在较大的误报率或漏报率、并且无法确定攻击路径。
发明内容
为了克服现有技术的不足,本发明提供一种基于攻击范式的互联网异常行为检测方法与系统。
一种基于攻击范式的互联网异常行为检测方法,包括以下步骤:
步骤A、基于有限状态机创建攻击范式库;
步骤B、基于异常行为创建网络节点信誉库;
步骤C、基于攻击范式库与节点信誉库检测网络攻击。
一种基于攻击范式的互联网异常行为检测系统,包括创建攻击范式库模块、创建网络节点信誉库模块与检测网络攻击模块,
创建攻击范式库模块创建跳板攻击范式、中间人攻击范式与水坑攻击范式;
创建网络节点信誉库模块包括判定网络节点类型、创建网络节点信誉库;
检测网络攻击模块包括基于有限状态机匹配与基于节点信誉库判定。
本发明的优点是使得能够快速检测网络异常行为,快速精确地定位互联网攻击路径,以保证互联网应用的安全性,给网络用户一个安全的互联网应用环境。
附图说明
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,如图其中:
图1是基于攻击范式的互联网异常行为检测系统的组网示意图;
图2是本发明方法的系统结构示意图;
图3是本发明方法的主流程图;
图4是本发明方法判定网络节点类型的流程图;
图5是本发明方法创建网络节点信誉库的流程图。
下面结合附图和实施例对本发明进一步说明。
具体实施方式
显然,本领域技术人员基于本发明的宗旨所做的许多修改和变化属于本发明的保护范围。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当称元件、组件被“连接”到另一元件、组件时,它可以直接连接到其他元件或者组件,或者也可以存在中间元件或者组件。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。
为便于对本发明实施例的理解,下面将做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例1:如图1、图2、图3、图4及图5所示,
一种基于攻击范式的互联网异常行为检测方法,包括以下步骤:
步骤A、基于有限状态机创建攻击范式库;
步骤B、基于异常行为创建网络节点信誉库;
步骤C、基于攻击范式库与节点信誉库检测网络攻击。
所述步骤A包括:
步骤A1、创建跳板攻击范式有限状态机表达式;
步骤A2、创建中间人攻击范式有限状态机表达式;
步骤A3、创建水坑攻击范式有限状态机表达式。
基于攻击范式检测互联网异常行为所需的有限状态机表达式信息包括:状态集、IP地址与攻击动作。
优选地,所述步骤B包括:
步骤B1、基于进出流量比值判断网络节点类型;
步骤B2、基于节点类型与进出包的大小判断网络节点异常行为;
步骤B3、基于异常行为创建网络节点信誉库。
网络节点信誉库信息包括:IP地址、节点类型、进流量统计值与出流量统计值。
优选地,所述步骤C包括:
步骤C1、基于有限状态机判定潜在攻击路径;
步骤C2、基于节点信誉库确认攻击路径。
一种基于攻击范式的互联网异常行为检测系统,包括创建攻击范式库模块、创建网络节点信誉库模块与检测网络攻击模块,
创建攻击范式库模块创建跳板攻击范式、中间人攻击范式与水坑攻击范式;
创建网络节点信誉库模块包括判定网络节点类型、创建网络节点信誉库;
检测网络攻击模块包括基于有限状态机匹配与基于节点信誉库判定。
实施例2:如图1、图2、图3、图4及图5所示,一种基于攻击范式的互联网异常行为检测方法与系统,使得能够快速精确地定位互联网攻击路径,以保证互联网应用的安全性,给网络用户一个安全的互联网应用环境。
一种基于攻击范式的互联网异常行为检测方法,含有以下步骤;
创建攻击范式库步骤,包括创建跳板攻击范式、创建中间人攻击范式与创建水坑攻击范式;
创建网络节点信誉库步骤,包括判定网络节点类型、创建网络节点信誉库;
检测网络攻击步骤,包括基于有限状态机匹配与基于节点信誉库判定。
如图1所示,一种基于攻击范式的互联网异常行为检测系统,其中,
云平台包括交换机、虚拟服务器、虚拟防火墙、互联网应用服务、远程登录网络服务;
基于攻击范式的互联网异常行为检测系统,用于创建攻击范式、判定网络节点类型、创建节点信誉库、检测互联网攻击路径;
互联网包括路由器与交换机,可以传送和路由网络流量。
实施例3:如图1、图2、图3、图4及图5所示,对本发明方法的系统结构进行详细说明。
一种基于攻击范式的互联网异常行为检测系统,包括创建攻击范式库模块,包括创建跳板攻击范式、创建中间人攻击范式与创建水坑攻击范式;
创建网络节点信誉库模块,包括判定网络节点类型、创建网络节点信誉库;
检测网络攻击模块,包括基于有限状态机匹配与基于节点信誉库判定。
为了使本技术领域的人员更好地理解本发明,下面结合图3所示的流程图对本发明进行进一步的详细说明。
一种基于攻击范式的互联网异常行为检测方法,包括以下步骤:
步骤301:基于有限状态机构建跳板攻击范式;
步骤302:基于有限状态机构建中间人攻击范式;
步骤303:基于有限状态机构建水坑攻击范式;
步骤304:基于进出流量比值判断网络节点类型;
步骤305:基于节点类型与进出包的大小判断网络节点异常行为;
步骤306:基于异常行为构建网络节点信誉库。
步骤307:基于有限状态机判定潜在攻击路径;
步骤308:基于节点信誉库确认攻击路径。
下面结合图4所示的流程图对本发明进行进一步的详细说明。
一种基于攻击范式的互联网异常行为检测方法,所述步骤B1中包括以下步骤:
步骤401:以小时为周期,统计网络节点的进出流量;
步骤402:判断进流量是否等于出流量,若不是,转入步骤403;若是,判定为管节点,转入步骤404;
步骤403:判断进流量是否大于出流量,若是,判定为端节点,否则判定为云节点,转入步骤404;
步骤404:将节点IP地址与节点类型存入节点类型库中。
下面结合图5所示的流程图对本发明作进一步的详细说明。一种基于攻击范式的互联网异常行为检测方法,所述步骤B中包括以下步骤:
步骤601:捕获进出HTTP包长于500字节或其它IP包长于100字节的网络节点IP地址;
步骤602:判断网络节点是否是端节点,且出HTTP包长于500字节或其它IP包长于100字节,若是,转入步骤604;若不是,转入步骤603;
步骤603:判断网络节点是否是代理节点,若是,转入步骤604;若不是,则结束程序;
步骤604:将网络异常行为节点放入信誉库中。
如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。

Claims (2)

1.一种基于攻击范式的互联网异常行为检测方法,其特征在于包括以下步骤:
步骤A、基于有限状态机创建攻击范式库;
步骤B、基于进出流量比值判断网络节点类型,基于节点类型与进出包的大小判断网络节点异常行为,基于异常行为创建网络节点信誉库;
步骤C、基于攻击范式库与节点信誉库检测网络攻击;
所述步骤A包括:
步骤A1、创建跳板攻击范式有限状态机表达式;
步骤A2、创建中间人攻击范式有限状态机表达式;
步骤A3、创建水坑攻击范式有限状态机表达式;
所述步骤C包括:
步骤C1、基于有限状态机判定潜在攻击路径;
步骤C2、基于节点信誉库确认攻击路径;
有限状态机表达式信息包括:状态集、IP地址与攻击动作;
网络节点信誉库信息包括:IP地址、节点类型、进流量统计值与出流量统计值;
所述步骤B中包括以下步骤:
步骤601:捕获进出HTTP包长于500字节或其它IP包长于100字节的网络节点IP地址;
步骤602:判断网络节点是否是端节点,且出HTTP包长于500字节或其它IP包长于100字节,若是,转入步骤604,若不是,转入步骤603;
步骤603:判断网络节点是否是代理节点,若是,转入步骤604,若不是,则结束程序;
步骤604:将网络异常行为节点放入网络节点信誉库中。
2.一种基于攻击范式的互联网异常行为检测系统,其特征在于包括:
创建攻击范式库模块;
创建网络节点信誉库模块;
检测网络攻击模块;
创建攻击范式库模块用于创建跳板攻击范式有限状态机表达式,创建中间人攻击范式有限状态机表达式,创建水坑攻击范式有限状态机表达式;
创建网络节点信誉库模块用于基于进出流量比值判断网络节点类型,基于节点类型与进出包的大小判断网络节点异常行为,基于异常行为创建网络节点信誉库;
检测网络攻击模块用于基于创建攻击范式库模块创建的有限状态机判定潜在攻击路径,基于创建网络节点信誉库模块创建的节点信誉库确认攻击路径;
有限状态机表达式信息包括:状态集、IP地址与攻击动作;
网络节点信誉库信息包括:IP地址、节点类型、进流量统计值与出流量统计值;
基于节点类型与进出包的大小判断网络节点异常行为和基于异常行为创建网络节点信誉库,包括:捕获进出HTTP包长于500字节或其它IP包长于100字节的网络节点IP地址,判断网络节点是否是端节点,且出HTTP包长于500字节或其它IP包长于100字节,若是,将网络异常行为节点放入网络节点信誉库中,若不是,判断网络节点是否是代理节点,若是,将网络异常行为节点放入网络节点信誉库中,若不是,则结束程序。
CN201611153838.XA 2016-12-14 2016-12-14 一种基于攻击范式的互联网异常行为检测方法与系统 Active CN106790020B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611153838.XA CN106790020B (zh) 2016-12-14 2016-12-14 一种基于攻击范式的互联网异常行为检测方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611153838.XA CN106790020B (zh) 2016-12-14 2016-12-14 一种基于攻击范式的互联网异常行为检测方法与系统

Publications (2)

Publication Number Publication Date
CN106790020A CN106790020A (zh) 2017-05-31
CN106790020B true CN106790020B (zh) 2020-08-18

Family

ID=58887940

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611153838.XA Active CN106790020B (zh) 2016-12-14 2016-12-14 一种基于攻击范式的互联网异常行为检测方法与系统

Country Status (1)

Country Link
CN (1) CN106790020B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107346389B (zh) * 2017-06-20 2021-02-19 北京东方棱镜科技有限公司 移动终端异常行为的检测方法与系统
CN109413109B (zh) * 2018-12-18 2021-03-05 中国人民解放军国防科技大学 基于有限状态机的面向天地一体化网络安全状态分析方法
CN110213226B (zh) * 2019-04-23 2021-08-24 南瑞集团有限公司 基于风险全要素辨识关联的网络攻击场景重建方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101047542A (zh) * 2006-03-31 2007-10-03 中国科学院软件研究所 大规模网络安全性分析的方法
CN101833453A (zh) * 2010-05-13 2010-09-15 天津大学 基于安全知识库的顺序图缺陷检测方法
CN201937611U (zh) * 2011-02-15 2011-08-17 中国工商银行股份有限公司 一种网络攻击源定位及防护系统
CN102810137A (zh) * 2012-06-13 2012-12-05 天津大学 软件安全开发中的可复用攻击模式的建立及复用方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101047542A (zh) * 2006-03-31 2007-10-03 中国科学院软件研究所 大规模网络安全性分析的方法
CN101833453A (zh) * 2010-05-13 2010-09-15 天津大学 基于安全知识库的顺序图缺陷检测方法
CN201937611U (zh) * 2011-02-15 2011-08-17 中国工商银行股份有限公司 一种网络攻击源定位及防护系统
CN102810137A (zh) * 2012-06-13 2012-12-05 天津大学 软件安全开发中的可复用攻击模式的建立及复用方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于节点信誉的无线传感器网络安全关键技术研究;欧阳熹;《中国博士学位论文全文数据库 信息科技辑》;20140115;第I140-30页 *

Also Published As

Publication number Publication date
CN106790020A (zh) 2017-05-31

Similar Documents

Publication Publication Date Title
CN110495138B (zh) 工业控制系统及其网络安全的监视方法
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
CN106506242B (zh) 一种网络异常行为和流量监测的精确定位方法与系统
WO2018108052A1 (zh) 一种DDoS攻击的防御方法、系统及相关设备
CN105991637B (zh) 网络攻击的防护方法和装置
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
CN106790020B (zh) 一种基于攻击范式的互联网异常行为检测方法与系统
CN105743878A (zh) 使用蜜罐的动态服务处理
CN106330951A (zh) 一种网络防护方法、装置和系统
EP3286650B1 (en) Network security analysis for smart appliances
Shanthi et al. Detection of botnet by analyzing network traffic flow characteristics using open source tools
KR101887544B1 (ko) Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
Ahmed et al. Detection and prevention of DDoS attacks on software defined networks controllers for smart grid
CN111181910B (zh) 一种分布式拒绝服务攻击的防护方法和相关装置
CA2898064A1 (en) Connected home system with cyber security monitoring
Kumar et al. Signature-anomaly based intrusion detection algorithm
Nicholson et al. An initial investigation into attribution in SCADA systems
CN117375942A (zh) 基于节点清洗防范DDoS攻击的方法及装置
Aziz et al. Analysing Smart Home Security Using Packet Tracer Simulation Software
KR101074198B1 (ko) 유해 트래픽 발생 호스트 격리 방법 및 시스템
Chi et al. Detecting and blocking malicious traffic caused by IRC protocol based botnets
CN114553562A (zh) 一种安全管理方法、装置、设备及机器可读存储介质
Keerthan Kumar et al. Performance evaluation of packet injection and DOS attack controller software (PDACS) module
CN107888624B (zh) 一种防护网络安全的方法和装置
JP2017163505A (ja) 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant