CN107104959B - 一种云环境中异常行为检测方法与装置 - Google Patents
一种云环境中异常行为检测方法与装置 Download PDFInfo
- Publication number
- CN107104959B CN107104959B CN201710260438.7A CN201710260438A CN107104959B CN 107104959 B CN107104959 B CN 107104959B CN 201710260438 A CN201710260438 A CN 201710260438A CN 107104959 B CN107104959 B CN 107104959B
- Authority
- CN
- China
- Prior art keywords
- detection
- cloud
- rule
- abnormal behavior
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种云环境中异常行为检测的方法与装置,所述方法包括:将云环境中的设备分为虚拟网络设备、虚拟计算设备与虚拟存储设备,分别在这三类设备上部署异常行为检测代理,这些代理与云规则库一起检测异常行为,其中虚拟网络设备异常行为检测代理能够检测DDoS攻击,虚拟计算设备检测代理包括Web应用的XSS攻击检测、邮箱的垃圾邮件检测、SSH与Telnet的口令猜测攻击检测,虚拟存储设备异常行为检测代理能够检测SQL注入攻击。利用本发明,可以从系统、网络、应用与数据四个方面构筑纵深异常行为检测体系,能够多层次、准确、快速地检测云环境中的异常行为,为网络用户提供一个安全、可靠的云计算环境。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及在一种云环境中异常行为检测方法与装置。
背景技术
随着通信网、物联网与计算机网络的快速融合,以及云计算与大数据技术快速发展,网络拓扑正朝着云、管、端方向发展,云环境可以提供高性能计算、大数据存储的网络应用服务,云环境越来越多地存储着政府、企业与个人的信息,云环境的重要性日益显著,越来越多的黑客将黑手伸向云环境中的各种虚拟设备。
在本发明的云环境中异常行为检测方法与装置中主要涉及以下技术:DDoS攻击检测技术、SQL注入攻击检测技术、XSS攻击检测技术、垃圾邮件检测技术、SSH与Telnet的口令猜测攻击检测技术。
云环境异常行为检测技术的发展有两个方向,一是基于特征检测技术;二是异常检测技术。对于基于特征检测技术,它的优点是技术比较成熟,能够准确检测异常行为,缺陷是存在较大的漏报率、性能较低;对于基于异常检测技术,它的优点是能够检测未知异常行为,缺陷是存在较大的误报率。本发明采用熵值计算并综合了基于特征与异常的检测技术,包括DDoS攻击检测技术、SQL注入攻击检测技术、XSS攻击检测技术、垃圾邮件检测技术、SSH与Telnet的口令猜测攻击检测技术,克服了以上两个方向的方法中存在的缺点,能够多层次、精确、快速地检测异常行为。
发明内容
本发明方法的核心在于克服了现有技术的缺点,提供一种云环境中异常行为检测方法与装置,使得能够多层次、精确、快速地检测异常行为,有效地保障了云环境中Web应用、邮箱应用与远程管理应用,为网络用户提供一个安全、可用的云环境。
本发明的目的是通过以下技术方案实现的:
一种云环境中异常行为检测方法,包括以下步骤:
A、虚拟网络设备异常行为检测代理自学习检测规则、同步到云规则库,并基于云检测规则与熵值检测DDoS攻击;
B、虚拟计算设备检测代理自学习检测规则、同步到云规则库,并基于云检测规则进行Web应用的XSS攻击检测、邮箱的垃圾邮件检测、SSH与Telnet的口令猜测攻击检测;
C、虚拟存储设备异常行为检测代理自学习检测规则、同步到云规则库,并基于云检测规则进行SQL注入攻击检测。
优选地,所述步骤A包括:
A1、获取DDoS攻击云检测规则模板;
A2、捕获网络包并解析DDoS攻击检测所需信息;
A3、针对每个目的IP地址,计算源IP地址熵值与载荷片段熵值的标准差;
A4、若云规则模板值为零,则赋值采样点规则并上传云规则库,否则;
A5、若熵值与载荷片段熵值标准差小于云规则模板值,则更新采样点规则并上传云规则库,否则;
A6、若熵值与载荷片段熵值标准差大于云规则模板值3倍,则告警。
DDoS攻击检测所需信息包括目的IP地址、源IP地址、载荷信息。
一种云环境异常行为检测装置装置,其特征在于包括:
虚拟网络设备异常行为检测代理,能够检测DDoS攻击;
虚拟计算设备检测代理,包括Web应用的XSS攻击检测、邮箱的垃圾邮件检测、SSH与Telnet的口令猜测攻击检测;
虚拟存储设备异常行为检测代理,能够检测SQL注入攻击;
云规则库信息包括DDoS攻击检测云规则库、XSS攻击检测云规则库、垃圾邮件检测云规则库、口令猜测攻击检测云规则库、SQL注入攻击检测云规则库,其中DDoS攻击检测云规则库信息包括目的IP地址、源IP地址的熵值、载荷片段熵值的标准差,XSS攻击检测云规则库包括XSS测试用例、垃圾邮件与口令猜测攻击检测云规则库包括攻击阈值、SQL注入攻击检测云规则库包括SQL测试用例与特征值;
异常行为检测代理自学习检测规则、同步到云规则库,并基于云检测规则或熵值检测DDoS攻击、XSS攻击、垃圾邮件、SSH与Telnet的口令猜测攻击、SQL注入攻击;上述的异常行为检测代理自学习检测规则、同步到云规则库,并基于云检测规则检测DDoS攻击具体包括如下过程:
获取DDoS攻击云规则模板;
捕获网络包并解析DDoS攻击检测所需信息;
针对每个目的IP地址,计算源IP地址熵值与载荷片段熵值标准差;
若云规则模板值为零,则赋值采样点规则并上传云规则库,否则;
若源IP地址熵值与载荷片段熵值标准差小于云规则模板值,则更新采样点规则并上传云规则库,否则;
若熵值与载荷片段熵值标准差大于云规则模板值3倍,则告警;
DDoS攻击检测所需信息包括目的IP地址、源IP地址、载荷信息。
由以上本发明提供的技术方案可以看出,本发明克服了现有技术的缺点,提供一种云环境中异常行为检测方法与装置,使得能够多层次、精确、快速地检测异常行为,有效地保障了云环境中Web应用、邮箱应用与远程管理应用,为网络用户提供一个安全、可用的云环境。
Claims (2)
1.一种云环境中异常行为检测方法,其特征在于包括以下步骤:
A、虚拟网络设备异常行为检测代理自学习检测规则、同步到云规则库,并基于云检测规则检测DDoS攻击;
B、虚拟计算设备异常行为检测代理自学习检测规则、同步到云规则库,并基于云检测规则进行Web应用的XSS攻击检测、邮箱的垃圾邮件检测、SSH与Telnet的口令猜测攻击检测;
C、虚拟存储设备异常行为检测代理自学习检测规则、同步到云规则库,并基于云检测规则进行SQL注入攻击检测;
所述步骤A包括:
A1、获取DDoS攻击云检测规则模板;
A2、捕获网络包并解析DDoS攻击检测所需信息;
A3、针对每个目的IP地址,计算源IP地址熵值与载荷片段熵值标准差;
A4、若云规则模板值为零,则赋值采样点规则并上传云规则库,否则;
A5、若源IP地址熵值与载荷片段熵值标准差小于云规则模板值,则更新采样点规则并上传云规则库,否则;
A6、若源IP地址熵值与载荷片段熵值标准差大于云规则模板值3倍,则告警;
DDoS攻击检测所需信息包括目的IP地址、源IP地址、载荷信息。
2.一种云环境异常行为检测装置,其特征在于包括:异常行为检测代理,所述异常行为检测代理包括虚拟网络设备异常行为检测代理、虚拟计算设备异常行为检测代理、虚拟存储设备异常行为检测代理;
所述虚拟网络设备异常行为检测代理,能够检测DDoS攻击;
所述虚拟计算设备异常行为检测代理,能够进行Web应用的XSS攻击检测、邮箱的垃圾邮件检测、SSH与Telnet的口令猜测攻击检测;
虚拟存储设备异常行为检测代理,能够检测SQL注入攻击;
云规则库信息包括DDoS攻击检测云规则库、XSS攻击检测云规则库、垃圾邮件检测云规则库、口令猜测攻击检测云规则库、SQL注入攻击检测云规则库,其中DDoS攻击检测云规则库信息包括目的IP地址、源IP地址的熵值、载荷片段熵值的标准差,XSS攻击检测云规则库包括XSS测试用例、垃圾邮件与口令猜测攻击检测云规则库包括攻击阈值、SQL注入攻击检测云规则库包括SQL测试用例与特征值;
异常行为检测代理自学习检测规则、同步到云规则库,并基于云检测规则检测DDoS攻击、XSS攻击、垃圾邮件、SSH与Telnet的口令猜测攻击、SQL注入攻击;所述的异常行为检测代理自学习检测规则、同步到云规则库,并基于云检测规则检测DDoS攻击具体包括如下过程:
获取DDoS攻击云规则模板;
捕获网络包并解析DDoS攻击检测所需信息;
针对每个目的IP地址,计算源IP地址熵值与载荷片段熵值标准差;
若云规则模板值为零,则赋值采样点规则并上传云规则库,否则;
若源IP地址熵值与载荷片段熵值标准差小于云规则模板值,则更新采样点规则并上传云规则库,否则;
若源IP地址熵值与载荷片段熵值标准差大于云规则模板值3倍,则告警;
DDoS攻击检测所需信息包括目的IP地址、源IP地址、载荷信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710260438.7A CN107104959B (zh) | 2017-04-20 | 2017-04-20 | 一种云环境中异常行为检测方法与装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710260438.7A CN107104959B (zh) | 2017-04-20 | 2017-04-20 | 一种云环境中异常行为检测方法与装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107104959A CN107104959A (zh) | 2017-08-29 |
CN107104959B true CN107104959B (zh) | 2023-01-13 |
Family
ID=59658138
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710260438.7A Active CN107104959B (zh) | 2017-04-20 | 2017-04-20 | 一种云环境中异常行为检测方法与装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107104959B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110351229B (zh) | 2018-04-04 | 2020-12-08 | 电信科学技术研究院有限公司 | 一种终端ue管控方法及装置 |
CN108595333B (zh) * | 2018-04-26 | 2021-08-03 | Oppo广东移动通信有限公司 | PaaS平台中应用进程的健康检查方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013188611A2 (en) * | 2012-06-14 | 2013-12-19 | Tt Government Solutions, Inc. | System and method for real-time reporting of anomalous internet protocol attacks |
CN105357228A (zh) * | 2015-12-19 | 2016-02-24 | 中国人民解放军信息工程大学 | 一种基于动态阈值的突发流量检测方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101917309B (zh) * | 2010-08-27 | 2012-11-07 | 电子科技大学 | 软交换平台下公共服务号码的拒绝服务攻击检测方法 |
US9386030B2 (en) * | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
CN103973702A (zh) * | 2014-05-23 | 2014-08-06 | 浪潮电子信息产业股份有限公司 | 基于改进的粒子群算法的信息安全防御规则智能部署方法 |
CN105681250B (zh) * | 2014-11-17 | 2019-04-02 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
US9774604B2 (en) * | 2015-01-16 | 2017-09-26 | Zingbox, Ltd. | Private cloud control |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
CN106330906B (zh) * | 2016-08-23 | 2019-11-01 | 上海海事大学 | 一种大数据环境下的DDoS攻击检测方法 |
CN106570400B (zh) * | 2016-10-11 | 2019-03-15 | 杭州安恒信息技术股份有限公司 | 一种云环境下通过自学习防攻击的系统及方法 |
CN106357673B (zh) * | 2016-10-19 | 2019-06-21 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
-
2017
- 2017-04-20 CN CN201710260438.7A patent/CN107104959B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013188611A2 (en) * | 2012-06-14 | 2013-12-19 | Tt Government Solutions, Inc. | System and method for real-time reporting of anomalous internet protocol attacks |
CN105357228A (zh) * | 2015-12-19 | 2016-02-24 | 中国人民解放军信息工程大学 | 一种基于动态阈值的突发流量检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107104959A (zh) | 2017-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Meidan et al. | N-baiot—network-based detection of iot botnet attacks using deep autoencoders | |
CN106506242B (zh) | 一种网络异常行为和流量监测的精确定位方法与系统 | |
Wang et al. | An entropy-based distributed DDoS detection mechanism in software-defined networking | |
Najafabadi et al. | Machine learning for detecting brute force attacks at the network level | |
CN109600363B (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
US9860278B2 (en) | Log analyzing device, information processing method, and program | |
Qin et al. | DDoS attack detection using flow entropy and clustering technique | |
Dharma et al. | Time-based DDoS detection and mitigation for SDN controller | |
US10015188B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
Yang et al. | Intrusion detection system for IEC 60870-5-104 based SCADA networks | |
US20170295196A1 (en) | Network anomaly detection | |
CN111131137B (zh) | 可疑封包检测装置及其可疑封包检测方法 | |
US10313372B2 (en) | Identifying malware-infected network devices through traffic monitoring | |
Hussein et al. | SDN security plane: An architecture for resilient security services | |
Li et al. | Using SVM to detect DDoS attack in SDN network | |
US20150215285A1 (en) | Network traffic processing system | |
US20180083987A1 (en) | System and method for generating rules for attack detection feedback system | |
US10855549B2 (en) | Network data processing driver for a cognitive artificial intelligence system | |
US11601457B2 (en) | Network traffic correlation engine | |
Osanaiye et al. | Change-point cloud DDoS detection using packet inter-arrival time | |
US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
CN107104959B (zh) | 一种云环境中异常行为检测方法与装置 | |
Lu et al. | Integrating traffics with network device logs for anomaly detection | |
CN111654499B (zh) | 一种基于协议栈的暴破攻击识别方法和装置 | |
CN113709160A (zh) | 基于转发路由完整性验证的软件定义网络拓扑防御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |