CN106790175A - 一种蠕虫事件的检测方法及装置 - Google Patents

一种蠕虫事件的检测方法及装置 Download PDF

Info

Publication number
CN106790175A
CN106790175A CN201611249823.3A CN201611249823A CN106790175A CN 106790175 A CN106790175 A CN 106790175A CN 201611249823 A CN201611249823 A CN 201611249823A CN 106790175 A CN106790175 A CN 106790175A
Authority
CN
China
Prior art keywords
equipment
transmission
transmission equipment
target
receiving device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201611249823.3A
Other languages
English (en)
Other versions
CN106790175B (zh
Inventor
李�浩
皮靖
闫凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201611249823.3A priority Critical patent/CN106790175B/zh
Publication of CN106790175A publication Critical patent/CN106790175A/zh
Application granted granted Critical
Publication of CN106790175B publication Critical patent/CN106790175B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种蠕虫事件的检测方法及装置,所述方法包括:针对每个发送设备确定特征向量,所述特征向量中包含接收设备的第一接收次数,接收端口的第二接收次数,及数据包的大小及数量;对特征向量进行聚类处理;根据蠕虫标准点对应的特征向量,确定目标聚类;针对每个目标特征向量,对发送设备和接收设备对应的可疑次数进行更新,判断更新后的该可疑次数大于设定的次数阈值时,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。由于在本发明实施例中,电子设备能够根据发送设备和接收设备之间的数据传输,确定对应的特征向量,通过聚类处理进行蠕虫事件的检测,因此不需要检测数据包内容即可实现蠕虫事件的检测。

Description

一种蠕虫事件的检测方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种蠕虫事件的检测方法及装置。
背景技术
近年来,随着互联网技术的快速发展,越来越多的传统行业融合互联网发展新形态、新业态,如今许多企业的业务开展都离不开互联网技术的支持,互联网在提供便捷性的同时,也存在不小的安全隐患。由于互联网的开放性和访问的便捷性,在网络环境中进行数据传输也存在一定的安全问题,比如在网络中进行数据传输时,可能存在网络蠕虫,网络蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒技术,一旦出现网络蠕虫,它会扫描和攻击网络上存在系统漏洞的节点主机,从而破坏用户的大部分重要数据,给很多企业带来损失,因此,对蠕虫事件的检测尤为重要。
在现有技术中,蠕虫事件的检测主要基于网路中数据包的检测,需要检测数据包的内容,将数据包的内容与已掌握的蠕虫特征码进行匹配,如果检测到数据包的内容中有与蠕虫特征码匹配成功的特征,则确定当前存在蠕虫攻击。但是在网络中,有大量的数据包,基于数据包的内容检测蠕虫事件效率较低,另外,如果数据包被加密,则无法获取到数据包的内容,因此,基于数据包的内容无法实现蠕虫事件的检测。
发明内容
本发明实施例提供一种蠕虫事件的检测方法及装置,用以实现蠕虫事件的检测,并提高蠕虫事件的检测效率。
本发明方法包括一种蠕虫事件的检测方法,该方法包括:
针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量;
根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类;
根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类;
针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
进一步地,所述针对每个发送设备确定特征向量包括:
针对发送设备,确定所述发送设备对应的特征向量中的第一参数、第二参数和第三参数,其中第一参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输的第一次数,识别所述第一次数的第一最大值,确定所述第一最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值,将1与所述比值的差作为所述第一参数;第二参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输时,每个接收设备每次使用的接收端口,统计每个接收设备的每个接收端口被使用的第二次数,识别所述第二次数的第二最大值,确定所述第二最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值为所述第二参数;第三参数的确定过程包括:统计所述发送设备在所述设定的时间长度内与每个接收设备传输的数据包的大小和数量,识别相同大小且数量最多的数据包的第三数量,将所述第三数量与数据包的总的数量的比值确定为第三参数。
进一步地,所述根据预设的聚类算法,对确定的每个特征向量进行聚类处理之前,所述方法还包括:
根据白名单中保存的每个发送设备的标识信息,识别每个特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;
如果是,将所述白名单中保存的发送设备对应的特征向量删除。
进一步地,所述预设的聚类算法包括:
基于划分的K均值聚类Kmeans算法和Kmeans++算法。
进一步地,所述确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击后,所述方法还包括:
根据所述目标发送设备和所述目标接收设备对应的每个目标特征向量,根据所述目标接收设备的接收端口,进行此次数据传输采用的传输协议,及进行此次数据传输的数据包的大小,与蠕虫类型表中保存的每种类型的蠕虫攻击对应的接收端口、传输协议及数据包的大小进行对比,确定每个目标该特征向量对应的蠕虫攻击类型。
进一步地,所述针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新之前,所述方法还包括:
根据白名单中保存的每个发送设备的标识信息,识别每个目标特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;
如果是,将所述白名单中保存的发送设备对应的目标特征向量删除。
另一方面,本发明实施例提供了一种蠕虫事件的检测装置,所述装置包括:
第一确定模块,用于针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量;
处理模块,用于根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类;
第二确定模块,用于根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类;
第三确定模块,用于针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
进一步地,所述第一确定模块,具体用于针对发送设备,确定所述发送设备对应的特征向量中的第一参数、第二参数和第三参数,其中第一参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输的第一次数,识别所述第一次数的第一最大值,确定所述第一最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值,将1与所述比值的差作为所述第一参数;第二参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输时,每个接收设备每次使用的接收端口,统计每个接收设备的每个接收端口被使用的第二次数,识别所述第二次数的第二最大值,确定所述第二最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值为所述第二参数;第三参数的确定过程包括:统计所述发送设备在所述设定的时间长度内与每个接收设备传输的数据包的大小和数量,识别相同大小且数量最多的数据包的第三数量,将所述第三数量与数据包的总的数量的比值确定为第三参数。
进一步地,所述装置还包括:
第一识别删除模块,用于根据白名单中保存的每个发送设备的标识信息,识别每个特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;如果是,将所述白名单中保存的发送设备对应的特征向量删除。
进一步地,所述处理模块,具体用于采用基于划分的K均值聚类Kmeans算法和Kmeans++算法对确定的每个特征向量进行聚类处理,得到每个聚类。
进一步地,所述装置还包括:
第四确定模块,用于根据所述目标发送设备和所述目标接收设备对应的每个目标特征向量,根据所述目标接收设备的接收端口,进行此次数据传输采用的传输协议,及进行此次数据传输的数据包的大小,与蠕虫类型表中保存的每种类型的蠕虫攻击对应的接收端口、传输协议及数据包的大小进行对比,确定每个目标该特征向量对应的蠕虫攻击类型。
进一步地,所述装置还包括:
第二识别删除模块,用于根据白名单中保存的每个发送设备的标识信息,识别每个目标特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;如果是,将所述白名单中保存的发送设备对应的目标特征向量删除。
本发明实施例提供一种蠕虫事件的检测方法及装置,所述方法包括:针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量;根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类;根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类;针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。由于在本发明实施例中,电子设备能够根据每个发送设备和接收设备之间的每次数据传输,确定对应的特征向量,并根据确定的特征向量,采用预设的聚类算法进行聚类处理,根据蠕虫标准点对应的特征向量确定出目标聚类,进而检测蠕虫事件,因此,本发明实施例提供的蠕虫事件的检测方法不需要检测数据包的内容,仅根据特征向量的分布,即可实现蠕虫事件的检测,同时,也提高了在高速网络中进行蠕虫事件的检测效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供的一种蠕虫事件的检测过程示意图;
图2为本发明实施例3提供的一种蠕虫事件的检测过程示意图;
图3为本发明实施例4提供的一种蠕虫事件的检测过程示意图;
图4为本发明实施例5提供的一种蠕虫事件的检测过程示意图;
图5为本发明实施例提供的一种蠕虫事件的检测装置结构示意图。
具体实施方式
下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的一种蠕虫事件的检测过程示意图,该过程包括以下步骤:
S101:针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量。
本发明实施例提供的蠕虫事件的检测方法应用于电子设备,所述电子设备可以为PC、平板电脑及网络安全产品等设备。
发送设备对接收设备存在蠕虫攻击时,一般情况下,蠕虫攻击的接收设备比较离散,发送设备会比较分散的与每个接收设备进行数据传输,而不会一直与某一个接收设备进行数据传输,因此存在蠕虫攻击时,接收设备接收数据包的频次一般较低;蠕虫攻击时会比较集中的攻击接收设备的某一接收端口,因此存在蠕虫攻击时,发送设备基本上都会与接收设备的固定的接收端口进行数据传输;进行蠕虫攻击时的数据包的大小比较固定,发送设备发送的数据包的大小基本上是相同的,因此存在蠕虫攻击时,发送设备发送的相同大小的数据包的数量会比较多。
在本发明实施例中预先设定了时间长度,每个发送设备与每个接收设备之间存在数据包的传输,电子设备针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据的传输,其中,设定时间长度可以为2分钟、5分钟、8分钟等。针对每个发送设备,通过统计设定的时间长度内接收设备与发送设备之间的每次数据的传输,可以针对每个发送设备确定特征向量,其中所述特征向量中包含接收该发送设备发送的数据包的接收设备的第一接收次数,接收设备接收每个数据包的接收端口的第二接收次数,及每次数据传输时的数据包的大小及数量。
例如,以设定时间长度为5分钟为例,针对每个发送设备,电子设备统计5分钟内接收设备与发送设备之间的每次数据的传输,针对每个发送设备确定特征向量,所述特征向量中包含该5分钟内统计的接收该发送设备发送的数据包的接收设备的第一接收次数,接收设备接收每个数据包的接收端口的第二接收次数,及每次数据传输时的数据包的大小及数量。
S102:根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类。
根据上述分析可知,发送设备对接收设备存在蠕虫攻击时,蠕虫攻击的接收设备比较离散,蠕虫攻击的接收设备的端口比较集中,进行蠕虫攻击时的数据包的大小比较固定,而存在蠕虫攻击时,接收设备接收数据包的频次一般较低,而接收设备中接收数据包的接收端口的使用频次将会比较多,发送设备发送的数据包的大小比较固定。发送设备对接收设备存在蠕虫攻击时,其对应的特征向量的分布也会比较集中,在本发明实施例中,根据特征向量的位置分布,确定是否存在蠕虫事件。
具体的,为了确定特征向量的分布,采用预设的聚类算法对确定的每个特征向量进行聚类处理,得到每个聚类。在进行聚类处理时,每个特征向量中包含三个参数,因此可以将每个特征向量对应到一个三维空间中,确定每个特征向量对应的特征点。根据每个特征点及预设的聚类算法,可以对每个特征向量进行聚类处理。
S103:根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类。
电子设备中预先保存有蠕虫标准点对应的特征向量,电子设备根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类后,确定每个聚类的中心点对应的特征向量,进而确定的每个聚类的中心点对应的特征向量,到预设的蠕虫标准点对应的特征向量的欧式距离,将与预设的蠕虫标准点对应的特征向量的欧氏距离最近的中心点所在的聚类确定为目标聚类。
具体的,计算每个聚类的中心点,并计算确定的每个聚类的中心点对应的特征向量到预设的蠕虫标准点对应的特征向量的欧式距离的过程属于现有技术,在本发明实施例中对该过程不进行赘述。
S104:针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
因为特征向量是根据发送设备和接收设备之间数据的传输过程确定的,一个特征向量对应一个发送设备和该发送设备对应的接收设备,因此,如果某一特征向量位于目标聚类中,则说明该设定时间长度内该发送设备对接收设备可能存在蠕虫攻击,因此将特征向量对应的发送设备及该发送设备对应的每个接收设备对应的可疑次数进行更新。
电子设备可以对特征向量对应的发送设备,及该发送设备对应的每个接收设备对应的可疑次数进行更新。例如,针对每个发送设备,电子设备统计第一个5分钟内该发送设备a与接收设备b、接收设备c之间存在数据的传输,将目标聚类中的特征向量对应的特征属性存入可疑事件表,其中该特征属性为该特征向量对应的发送设备a和接收设备b、接收设备c的信息,并确定该特征向量对应的发送设备a和接收设备b的可疑次数为1,发送设备a和接收设备c的可疑次数为1。当电子设备统计第二个5分钟内发送设备a与接收设备b、接收设备d之间数据的传输,根据目标聚类中的特征向量对应的特征属性,识别可疑事件表中是否存在于该特征属性相同的特征向量,因此特征向量对应特征属性发送设备a和接收设备b的信息记录在可疑事件表,因此对该特征属性对应的可疑次数更新,而特征向量对应特征属性发送设备a和接收设备d的信息没有记录在可疑事件表,因此将该特征向量对应的发送设备a和接收设备d的信息添加到可疑事件表,并确定该发送设备a和接收设备d的可疑次数为1,依次类推,判断更新后的可疑次数是否大于预设次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
另外,在确定所述目标发送设备对目标接收设备存在蠕虫攻击后,电子设备可以通过显示界面将目标发送设备对目标接收设备存在蠕虫攻击的信息展示给用户,具体的,可以将该目标发送设备的IP地址、目标接收设备IP地址、目标接收设备的接收端口等信息展示给用户。
由于在本发明实施例中,电子设备能够根据每个发送设备和接收设备之间的每次数据传输,确定对应的特征向量,并根据确定的特征向量,采用预设的聚类算法进行聚类处理,根据蠕虫标准点对应的特征向量确定出异常聚类,进而检测蠕虫事件,因此,本发明实施例提供的蠕虫事件的检测方法不需要检测数据包内容,仅根据特征向量的分布,即可实现蠕虫事件的检测,同时,也提高了在高速网络中进行蠕虫事件的检测效率。
实施例2:
在上述实施例的基础上,为了针对每个发送设备确定设定时间长度内的数据传输过程中每个发送设备对应的特征向量,在本发明实施例中,针对每个发送设备确定特征向量包括:
针对该发送设备,确定该发送设备对应的特征向量中的第一参数、第二参数和第三参数,其中第一参数的确定过程包括:识别所述发送设备与每个接收设备进行数据包传输的第一次数,识别所述第一次数的第一最大值,确定所述第一最大值与所述发送设备在该设定时间长度内总的数据包传输的次数的比值,将1与所述比值的差作为所述第一参数;第二参数的确定过程包括:识别所述发送设备与每个接收设备进行数据包传输时,每个接收设备每次使用的接收端口,统计每个接收设备的每个接收端口被使用的第二次数,识别所述第二次数的第二最大值,确定所述第二最大值与所述发送设备在该设定时间长度内总的数据包传输的次数的比值为所述第二参数;第三参数的确定过程包括:统计所述发送设备在所述设定的时间长度内与每个接收设备传输的数据包的大小和数量,识别相同大小且数量最多的数据包的第三数量,将所述第三数量与数据包的总的数量的比值确定为第三参数。
电子设备从发送设备和接收设备的数据传输过程中提取特征向量,所述特征向量中包含发送设备的IP地址(sip)、接收设备的IP地址(dip)和接收设备的接收端口(dstport)。另外,电子设备针对每个发送设备,确定该发送设备对应的特征向量中包含三个参数,分别为第一参数dipratio、第二参数dportratio和第三参数bppratio。其中,电子设备确定第一参数dipratio的过程包括:识别所述发送设备与每个接收设备进行数据包传输的第一次数,识别所述第一次数的第一最大值为max(dip),确定所述第一最大值max(dip)与所述发送设备在该设定时间长度内总的数据包传输的次数count(dip)的比值,将1与所述比值的差作为所述第一参数,即dipratio=1-max(dip)/count(dip)。
具体的,以某个发送设备为例对第一参数的确定过程进行说明,假如设定时间长度为5分钟,该发送设备在5分钟内向5个接收设备传输数据,其中,该发送设备在5分钟内与接收设备1进行数据传输的次数为6次,与接收设备2进行数据传输的次数为3次,与接收设备3进行数据传输的次数为2次,与接收设备4进行数据传输的次数为1次,与接收设备5进行数据传输的次数为1次,则针对该发送设备,确定出的数据传输次数的最大值为6,总的数据传输的次数为12,经过计算,第一参数为0.5。
电子设备确定第二参数dportratio的过程包括:识别所述发送设备与每个接收设备进行数据包传输时,每个接收设备每次使用的接收端口,统计每个接收设备的每个接收端口被使用的第二次数,识别所述第二次数的第二最大值max(dstport),确定所述第二最大值max(dstport)与所述发送设备在该设定时间长度内总的数据包传输的次数count(dstport)的比值为所述第二参数,即dportratio=max(dstport)/count(dstport)。
以某个发送设备为例对第二参数的确定过程进行说明,假如设定时间长度为5分钟,在5分钟内,接收该发送设备传输的数据的接收端口有4个,统计所述接收端口接收数据的次数,其中,接收端口1接收数据的次数为5次,接收端口2接收数据的次数为1次,接收端口3接收数据的次数为1次,接收端口4接收数据的次数为1次,则识别出每个接收端口被使用的第二次数的最大值为5,总的数据包传输的次数为8,经过计算,第二参数为0.625。
电子设备确定第三参数bppratio的过程包括:统计所述发送设备在所述设定的时间长度内与每个接收设备传输的数据包的大小和数量,识别相同大小且数量最多的数据包的第三数量max(bpp),将所述第三数量max(bpp)与数据包的总的数量count(bpp)的比值确定为第三参数。
以某个发送设备为例对第三参数的确定过程进行说明,假如设定时间长度为5分钟,在5分钟内,该发送设备总共传输的数据包的数量为20个,其中数据包大小为150字节的有8个,数据包大小为120字节的有4个,数据包大小为110字节的有3个,数据包大小为100字节的有3个,数据包大小为800字节的有2个,则识别出相同大小且数量最多的数据包的第三数量为8个,数据包的总的数量为20个,经过计算,第三参数为0.4。
实施例3:
在上述各实施例的基础上,为了提高蠕虫事件的检测效率,所述对确定的每个特征向量进行聚类处理之前,所述方法还包括:
根据白名单中保存的每个发送设备的标识信息,识别每个特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;
如果是,将所述白名单中保存的发送设备对应的特征向量删除。
电子设备中保存有白名单,所述白名单中保存有预先确定不存在蠕虫攻击的发送设备的标识信息,所示标识信息可以为发送设备的IP地址信息。当电子设备针对每个发送设备确定出其对应的特征向量后,根据电子设备中保存的白名单中的发送设备的标识信息,识别确定出的特征向量对应的发送设备的标识信息是否与所述白名单中保存的发送设备相同,如果相同,则将针对该标识信息对应的发送设备确定出的特征向量删除。
图2为本发明实施例提供的一种蠕虫事件的检测过程示意图,该过程包括以下步骤:
S201:针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量。
S202:根据白名单中保存的每个发送设备的标识信息,识别每个特征向量对应的发送设备是否与所述白名单中保存的发送设备相同,如果是,进行步骤S203,否则,进行步骤S204。
S203:将针对该白名单中的发送设备的特征向量删除。
S204:根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类。
S205:根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类。
S206:针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
由于在本发明实施例中,电子设备针对每个发送设备确定出其对应的特征向量后,根据白名单中保存的每个发送设备的标识信息,识别每个特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;如果是,将所述白名单中保存的发送设备对应的特征向量删除,因此减小了进行聚类的数据量,提高了检测的效率。
实施例4:
在上述各实施例的基础上,为了使电子设备对设定时间长度内的特征向量进行聚类处理更加准确,在本发明实施例中,所述预设的聚类算法包括:
基于划分的K均值(Kmeans)聚类算法和Kmeans++算法。
首先电子设备基于Kmeans算法,接收用户输入的参数k,即将每个特征向量对应的特征点划分为k类,计算组内平方和Cost,计算公式如下:
式中,p为每个特征向量对应的特征点;
ci为聚类Ci的中心点。
对于每个聚类中的特征点p,计算该特征点到其聚类中心点ci的欧式距离,进而求平方和得到组内平方和Cost值。
在Kmeans算法中,不同的k值对最后的计算结果影响较大,为了保证对每个特征向量对应的特征点聚类的准确性,结合Kmeans++算法确定k值,进而得到每个聚类。
根据Kmeans++算法,从2-20中依次选取k值,并针对所选取的每个k值计算组内平方和Cost值,当识别到Costk-1>CostkandCostk<Costk+1时,将特征点划分为k类对应的聚类确定为得到的每个聚类。
例如,针对确定出的特征向量对应的特征点,取k为2时,计算Cost2=0.1,取k为3时,计算Cost3=0.15,取k为4时,计算Cost4=0.18,取k为5时,计算Cost5=0.21,取k为6时,计算Cost6=0.2,取k为7时,计算Cost7=0.22,此时,识别到Cost5>Cost6andCost6<Cost7,因此将k为6对应的聚类结果确定为目标聚类结果。
具体的,采用Kmeans算法和Kmeans++算法,对特征向量进行聚类处理的过程属于现有技术,在本发明实施例中对该过程不进行赘述。
图3为本发明实施例提供的一种蠕虫事件的检测过程示意图,该过程包括以下步骤:
S301:针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量。
S302:针对每个特征向量对应的特征点,将所述特征点划分为k类,并计算组内平方和Costk,其中k依次取值为2到20。
S303:将特征点划分为k类对应的聚类确定为得到的每个聚类。
S304:根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类。
S305:针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
由于在本发明实施例中,电子设备通过采用Kmeans算法和Kmeans++算法能够更准确的对确定出的特征向量进行聚类处理,进而为蠕虫事件的检测提供了前提条件。
实施例5:
在上述实施例的基础上,当确定目标发送设备对目标接收设备存在蠕虫攻击时,还可以确定目标发送设备对目标接收设备的蠕虫攻击的类型,在本发明实施例中,所述确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击后,所述方法还包括:
根据所述目标发送设备和所述目标接收设备对应的每个目标特征向量,根据所述目标接收设备的接收端口,进行此次数据包传输采用的传输协议,及进行此次传输的数据包的大小,与蠕虫类型表中保存的每种类型的蠕虫攻击对应的接收端口、传输协议及数据包的大小进行对比,确定目标该特征向量对应的蠕虫攻击类型。
电子设备中根保存有蠕虫类型表,所述蠕虫类型表中保存有蠕虫攻击的类型和每种蠕虫攻击的类型对应的接收端口、传输协议及数据包的大小。当检测出目标发送设备在蠕虫攻击目标接收设备后,根据所述目标发送设备和所述目标接收设备对应的每个目标特征向量,确定出该目标特征向量对应的目标接收设备的接收端口,进行此次数据包传输采用的传输协议,及进行此次传输的数据包的大小,将所述确定出的该目标特征向量对应的目标接收设备的接收端口,进行此次数据包传输采用的传输协议,及进行此次传输的数据包的大小与蠕虫类型表中保存有蠕虫攻击的类型和每种蠕虫攻击的类型对应的接收端口、传输协议及数据包的大小进行对比,确定出目标该特征向量对应的蠕虫攻击类型。
另外,如果在蠕虫类型表中未发现与确定出的目标接收设备的接收端口,进行此次数据包传输采用的传输协议,及进行此次传输的数据包的大小对应的蠕虫攻击类型,则将此目标接收设备的接收端口,进行此次数据包传输采用的传输协议,及进行此次传输的数据包的大小保存到蠕虫事件表中,以使用户对此特征向量对应的蠕虫事件指定具体的蠕虫攻击类型。
在确定所述目标发送设备对目标接收设备存在蠕虫攻击,并且确定出蠕虫攻击的类型后,电子设备可以通过显示界面将目标发送设备对目标接收设备存在蠕虫攻击的信息展示给用户,具体的,可以将该目标发送设备的IP地址、目标接收设备IP地址、目标接收设备的接收端口以及蠕虫攻击类型等信息展示给用户。
图4为本发明实施例提供的一种蠕虫事件的检测过程示意图,该过程包括以下步骤:
S401:针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量。
S402:根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类。
S403:根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类。
S404:针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
S405:根据所述目标发送设备和所述目标接收设备对应的每个目标特征向量,根据所述目标接收设备的接收端口,进行此次数据包传输采用的传输协议,及进行此次传输的数据包的大小,与蠕虫类型表中保存的每种类型的蠕虫攻击对应的接收端口、传输协议及数据包的大小进行对比,确定目标该特征向量对应的蠕虫攻击类型。
由于在本发明实施例中,电子设备可以根据所述目标接收设备的接收端口,进行此次数据包传输采用的传输协议,及进行此次传输的数据包的大小,与蠕虫类型表中保存的每种类型的蠕虫攻击对应的接收端口、传输协议及数据包的大小进行对比,确定出目标该特征向量对应的蠕虫攻击类型,使得用户对蠕虫事件的认识更具体。
实施例6:
在上述实施例的基础上,为了提高蠕虫事件的更新效率,在本发明实施例中,针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新之前,所述方法还包括:
根据白名单中保存的每个发送设备的标识信息,识别每个目标特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;
如果是,将所述白名单中保存的发送设备对应的目标特征向量删除。
电子设备中保存有白名单,所述白名单中保存有预先确定不存在蠕虫事件的发送设备的标识信息,所示标识信息可以为发送设备的IP地址信息。当电子设备针对每个发送设备确定出其对应的目标聚类后,根据电子设备中保存的白名单中的发送设备的标识信息,识别确定出目标聚类中的特征向量对应的发送设备的标识信息是否与所述白名单中保存的发送设备相同,如果相同,则将针对该标识信息对应的发送设备确定出的特征向量删除。
由于在本发明实施例中,电子设备针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新之前,根据白名单中保存的每个发送设备的标识信息,识别每个特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;如果是,将所述白名单中保存的发送设备对应的特征向量删除,因此减小了蠕虫事件更新的数据量,提高了蠕虫事件更新的效率。
图5为本发明实施例提供的一种蠕虫事件的检测装置结构示意图,该装置包括:
第一确定模块51,用于针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量;
处理模块52,用于根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类;
第二确定模块53,用于根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类;
第三确定模块54,用于针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
所述第一确定模块51,具体用于针对发送设备,确定所述发送设备对应的特征向量中的第一参数、第二参数和第三参数,其中第一参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输的第一次数,识别所述第一次数的第一最大值,确定所述第一最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值,将1与所述比值的差作为所述第一参数;第二参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输时,每个接收设备每次使用的接收端口,统计每个接收设备的每个接收端口被使用的第二次数,识别所述第二次数的第二最大值,确定所述第二最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值为所述第二参数;第三参数的确定过程包括:统计所述发送设备在所述设定的时间长度内与每个接收设备传输的数据包的大小和数量,识别相同大小且数量最多的数据包的第三数量,将所述第三数量与数据包的总的数量的比值确定为第三参数。
所述装置还包括:
第一识别删除模块55,用于根据白名单中保存的每个发送设备的标识信息,识别每个特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;如果是,将所述白名单中保存的发送设备对应的特征向量删除。
所述处理模块52,具体用于采用基于划分的K均值聚类Kmeans算法和Kmeans++算法对确定的每个特征向量进行聚类处理,得到每个聚类。
所述装置还包括:
第四确定模块56,用于根据所述目标发送设备和所述目标接收设备对应的每个目标特征向量,根据所述目标接收设备的接收端口,进行此次数据传输采用的传输协议,及进行此次数据传输的数据包的大小,与蠕虫类型表中保存的每种类型的蠕虫攻击对应的接收端口、传输协议及数据包的大小进行对比,确定每个目标该特征向量对应的蠕虫攻击类型。
所述装置还包括:
第二识别删除模块57,用于根据白名单中保存的每个发送设备的标识信息,识别每个目标特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;如果是,将所述白名单中保存的发送设备对应的目标特征向量删除。
本发明实施例提供一种蠕虫事件的检测方法及装置,所述方法包括:针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量;根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类;根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类;针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。由于在本发明实施例中,电子设备能够根据每个发送设备和接收设备之间的每次数据传输,确定对应的特征向量,并根据确定的特征向量,采用预设的聚类算法进行聚类处理,根据蠕虫标准点对应的特征向量确定出目标聚类,进而检测蠕虫事件,因此,本发明实施例提供的蠕虫事件的检测方法不需要检测数据包的内容,仅根据特征向量的分布,即可实现蠕虫事件的检测,同时,也提高了在高速网络中进行蠕虫事件的检测效率。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (12)

1.一种蠕虫事件的检测方法,其特征在于,应用于电子设备,所述方法包括:
针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量;
根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类;
根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类;
针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
2.如权利要求1所述的方法,其特征在于,所述针对每个发送设备确定特征向量包括:
针对发送设备,确定所述发送设备对应的特征向量中的第一参数、第二参数和第三参数,其中第一参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输的第一次数,识别所述第一次数的第一最大值,确定所述第一最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值,将1与所述比值的差作为所述第一参数;第二参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输时,每个接收设备每次使用的接收端口,统计每个接收设备的每个接收端口被使用的第二次数,识别所述第二次数的第二最大值,确定所述第二最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值为所述第二参数;第三参数的确定过程包括:统计所述发送设备在所述设定的时间长度内与每个接收设备传输的数据包的大小和数量,识别相同大小且数量最多的数据包的第三数量,将所述第三数量与数据包的总的数量的比值确定为第三参数。
3.如权利要求1所述的方法,其特征在于,所述根据预设的聚类算法,对确定的每个特征向量进行聚类处理之前,所述方法还包括:
根据白名单中保存的每个发送设备的标识信息,识别每个特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;
如果是,将所述白名单中保存的发送设备对应的特征向量删除。
4.如权利要求1所述的方法,其特征在于,所述预设的聚类算法包括:
基于划分的K均值聚类Kmeans算法和Kmeans++算法。
5.如权利要求1所述的方法,其特征在于,所述确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击后,所述方法还包括:
根据所述目标发送设备和所述目标接收设备对应的每个目标特征向量,根据所述目标接收设备的接收端口,进行此次数据传输采用的传输协议,及进行此次数据传输的数据包的大小,与蠕虫类型表中保存的每种类型的蠕虫攻击对应的接收端口、传输协议及数据包的大小进行对比,确定每个目标该特征向量对应的蠕虫攻击类型。
6.如权利要求1所述的方法,其特征在于,所述针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新之前,所述方法还包括:
根据白名单中保存的每个发送设备的标识信息,识别每个目标特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;
如果是,将所述白名单中保存的发送设备对应的目标特征向量删除。
7.一种蠕虫事件的检测装置,其特征在于,所述装置包括:
第一确定模块,用于针对每个发送设备,统计设定的时间长度内接收设备与发送设备之间的每次数据包的传输,针对每个发送设备确定特征向量,其中所述特征向量中包含发送设备与每个接收设备进行数据传输的第一次数,每次数据传输时接收设备的每个接收端口被用使用的第二次数,及每次数据传输时的数据包的大小及数量;
处理模块,用于根据预设的聚类算法,对确定的每个特征向量进行聚类处理,得到每个聚类;
第二确定模块,用于根据每个聚类的中心点对应特征向量,及预设的蠕虫标准点对应的特征向量,确定目标聚类;
第三确定模块,用于针对目标聚类中的每个目标特征向量,对所述目标特征向量对应的每个接收设备对应的可疑次数进行更新,针对每个可疑次数,判断更新后的可疑次数是否大于设定的次数阈值,如果是,确定该可疑次数对应的目标发送设备对目标接收设备存在蠕虫攻击。
8.如权利要求7所述的装置,其特征在于,所述第一确定模块,具体用于针对发送设备,确定所述发送设备对应的特征向量中的第一参数、第二参数和第三参数,其中第一参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输的第一次数,识别所述第一次数的第一最大值,确定所述第一最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值,将1与所述比值的差作为所述第一参数;第二参数的确定过程包括:识别所述发送设备与每个接收设备进行数据传输时,每个接收设备每次使用的接收端口,统计每个接收设备的每个接收端口被使用的第二次数,识别所述第二次数的第二最大值,确定所述第二最大值与所述发送设备在所述设定的时间长度内总的数据传输的次数的比值为所述第二参数;第三参数的确定过程包括:统计所述发送设备在所述设定的时间长度内与每个接收设备传输的数据包的大小和数量,识别相同大小且数量最多的数据包的第三数量,将所述第三数量与数据包的总的数量的比值确定为第三参数。
9.如权利要求7所述的装置,其特征在于,所述装置还包括:
第一识别删除模块,用于根据白名单中保存的每个发送设备的标识信息,识别每个特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;如果是,将所述白名单中保存的发送设备对应的特征向量删除。
10.如权利要求7所述的装置,其特征在于,所述处理模块,具体用于采用基于划分的K均值聚类Kmeans算法和Kmeans++算法对确定的每个特征向量进行聚类处理,得到每个聚类。
11.如权利要求7所述的装置,其特征在于,所述装置还包括:
第四确定模块,用于根据所述目标发送设备和所述目标接收设备对应的每个目标特征向量,根据所述目标接收设备的接收端口,进行此次数据传输采用的传输协议,及进行此次数据传输的数据包的大小,与蠕虫类型表中保存的每种类型的蠕虫攻击对应的接收端口、传输协议及数据包的大小进行对比,确定每个目标该特征向量对应的蠕虫攻击类型。
12.如权利要求7所述的装置,其特征在于,所述装置还包括:
第二识别删除模块,用于根据白名单中保存的每个发送设备的标识信息,识别每个目标特征向量对应的发送设备是否与所述白名单中保存的发送设备相同;如果是,将所述白名单中保存的发送设备对应的目标特征向量删除。
CN201611249823.3A 2016-12-29 2016-12-29 一种蠕虫事件的检测方法及装置 Active CN106790175B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611249823.3A CN106790175B (zh) 2016-12-29 2016-12-29 一种蠕虫事件的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611249823.3A CN106790175B (zh) 2016-12-29 2016-12-29 一种蠕虫事件的检测方法及装置

Publications (2)

Publication Number Publication Date
CN106790175A true CN106790175A (zh) 2017-05-31
CN106790175B CN106790175B (zh) 2019-09-17

Family

ID=58927592

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611249823.3A Active CN106790175B (zh) 2016-12-29 2016-12-29 一种蠕虫事件的检测方法及装置

Country Status (1)

Country Link
CN (1) CN106790175B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107395640A (zh) * 2017-08-30 2017-11-24 信阳师范学院 一种基于划分和特征变化的入侵检测系统及方法
WO2019057048A1 (zh) * 2017-09-20 2019-03-28 北京数安鑫云信息技术有限公司 一种低频爬虫识别方法、装置、可读存储介质及设备
CN112291263A (zh) * 2020-11-17 2021-01-29 珠海大横琴科技发展有限公司 一种数据阻断的方法和装置
CN116760624A (zh) * 2023-07-17 2023-09-15 江南信安(北京)科技有限公司 一种网络蠕虫的检测方法、系统、存储介质和电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101184097A (zh) * 2007-12-14 2008-05-21 北京大学 一种基于流量信息检测蠕虫活动的方法
CN103368979A (zh) * 2013-08-08 2013-10-23 电子科技大学 一种基于改进K-means算法的网络安全性验证装置
CN103532969A (zh) * 2013-10-23 2014-01-22 国家电网公司 一种僵尸网络检测方法、装置及处理器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101184097A (zh) * 2007-12-14 2008-05-21 北京大学 一种基于流量信息检测蠕虫活动的方法
CN103368979A (zh) * 2013-08-08 2013-10-23 电子科技大学 一种基于改进K-means算法的网络安全性验证装置
CN103532969A (zh) * 2013-10-23 2014-01-22 国家电网公司 一种僵尸网络检测方法、装置及处理器

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107395640A (zh) * 2017-08-30 2017-11-24 信阳师范学院 一种基于划分和特征变化的入侵检测系统及方法
CN107395640B (zh) * 2017-08-30 2020-05-12 信阳师范学院 一种基于划分和特征变化的入侵检测系统及方法
WO2019057048A1 (zh) * 2017-09-20 2019-03-28 北京数安鑫云信息技术有限公司 一种低频爬虫识别方法、装置、可读存储介质及设备
CN112291263A (zh) * 2020-11-17 2021-01-29 珠海大横琴科技发展有限公司 一种数据阻断的方法和装置
CN116760624A (zh) * 2023-07-17 2023-09-15 江南信安(北京)科技有限公司 一种网络蠕虫的检测方法、系统、存储介质和电子设备
CN116760624B (zh) * 2023-07-17 2024-02-27 江南信安(北京)科技有限公司 一种网络蠕虫的检测方法、系统、存储介质和电子设备

Also Published As

Publication number Publication date
CN106790175B (zh) 2019-09-17

Similar Documents

Publication Publication Date Title
CN107231384B (zh) 一种面向5g网络切片的DDoS攻击检测防御方法及系统
US10581915B2 (en) Network attack detection
CN101202652B (zh) 网络应用流量分类识别装置及其方法
CN106790175A (zh) 一种蠕虫事件的检测方法及装置
CN105721242B (zh) 一种基于信息熵的加密流量识别方法
CN110912927B (zh) 工业控制系统中控制报文的检测方法及装置
CN108965347A (zh) 一种分布式拒绝服务攻击检测方法、装置及服务器
CN109617868B (zh) 一种ddos攻击的检测方法、装置及检测服务器
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
CN103428224A (zh) 一种智能防御DDoS攻击的方法和装置
CN108600003A (zh) 一种面向视频监控网络的入侵检测方法、装置及系统
CN106506557B (zh) 一种端口扫描检测方法及装置
CN108390870A (zh) 一种防御网络攻击的方法、装置、存储介质及设备
WO2024065956A1 (zh) 一种基于数据多维熵值指纹的网络异常行为检测方法
CN105100023B (zh) 数据包特征提取方法及装置
CN106790299A (zh) 一种在无线接入点ap上应用的无线攻击防御方法和装置
CN116938507A (zh) 一种电力物联网安全防御终端及其控制系统
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN113765849B (zh) 一种异常网络流量检测方法和装置
US11895146B2 (en) Infection-spreading attack detection system and method, and program
CN106817364B (zh) 一种暴力破解的检测方法及装置
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
JP2008219525A (ja) ネットワーク異常検知方法およびネットワーク異常検知システム
CN112565290B (zh) 一种入侵防御方法、系统及相关设备
CN108521413A (zh) 一种未来信息战争的网络抵抗和防御方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee after: NSFOCUS TECHNOLOGIES Inc.

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee before: NSFOCUS TECHNOLOGIES Inc.

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder