CN107395597A - 一种虚拟主机防御优化方法 - Google Patents
一种虚拟主机防御优化方法 Download PDFInfo
- Publication number
- CN107395597A CN107395597A CN201710609763.XA CN201710609763A CN107395597A CN 107395597 A CN107395597 A CN 107395597A CN 201710609763 A CN201710609763 A CN 201710609763A CN 107395597 A CN107395597 A CN 107395597A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- communication data
- data
- network attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种虚拟主机防御优化方法,所述方法包括:S1、部署攻击典型样例到虚拟机网络,利用协议分析技术,实时监控与接收虚拟机网络内通信数据,监控网络内TCP和UDP协议通信数据,只处理通信数据的抓包信息;S2、据上述接收的通信数据;S3、部署网络攻击检测系统到待检网络,利用协议分析技术,实时监控与接收真实网络内通信数据,监控网络内TCP和UDP协议通信数据,只处理通信数据的抓包信息,同时进行网络攻击特征提取与预处理;S4、利用网络攻击综合实时检测方法,对待检网络进行网络攻击分析与检测;本发明能够对网络攻击进行快速、在线、实时的通用检测,准确性、实时性和溯源性更好。
Description
技术领域
本发明涉及计算机安全领域,具体涉及一种虚拟主机防御优化方法。
背景技术
网络攻击是黑客出于某些恶意目的,传播计算机病毒来控制许多主机,并通过一对多的命令来控制病毒的攻击方式。网络攻击具有多种方式,例如病毒、网络蠕虫、特洛伊木马和后门工具,并通过相互融合发展而成的目前最为复杂的攻击方式之一。由于为攻击者提供了隐匿、灵活且高效的控制机制,网络攻击得到极大的发展,从而成为因特网最为严重的威胁之一。利用网络,攻击者可以方便的控制大量主机对因特网任意站点或者主机发起分布式拒绝服务攻击(DD0Q,并发送大量垃圾邮件,从受控主机上偷取敏感信息或进行点击欺诈以牟取经济利益,托管的虚拟主机由于其底层硬件相互连通,因此一旦受到感染,所遭受的损失不可估量,严重威胁到虚拟主机的安全。
发明内容
本发明的目的在于克服现有技术中存在的上述问题,提供一种虚拟主机防御优化方法,对网络攻击进行快速、在线、实时的通用检测,准确性、实时性和溯源性更好。
为实现上述技术目的,达到上述技术效果,本发明是通过以下技术方案实现:
一种虚拟主机防御优化方法,所述方法包括:
S1、部署攻击典型样例到虚拟机网络,利用协议分析技术,实时监控与接收虚拟机网络内通信数据,监控网络内TCP和UDP协议通信数据,只处理通信数据的抓包信息;
S2、据上述接收的通信数据,提取初始阶段网络攻击特征,采用分类方法SPRINT进行分类器训练,产生网络攻击初始阶段分类决策树模型;所述分类方法SPRINT包括如下步骤,其中的F代表初始化阶段的特征数据流集合,其中Fi=(P1,…,Pn),Pi代表F中的属性:i)如果F满足停止条件,则返回;ii)对于各个属性Pi,找到一个值或者值集,产生最佳分裂;iii)比较各个属性的最佳分裂,选择最佳的将F分为F1和F2;iv)递归对F1和F2产生决策树;
S3、部署网络攻击检测系统到待检网络,利用协议分析技术,实时监控与接收真实网络内通信数据,监控网络内TCP和UDP协议通信数据,只处理通信数据的抓包信息,同时进行网络攻击特征提取与预处理;
S4、利用网络攻击综合实时检测方法,对待检网络进行网络攻击分析与检测;该综合实时检测方法输入为某网段内已经预处理的格式化网络数据流,输出为疑似被感染的主机信息;
步骤如下:
S4.1、实际参数初始化,方法开始执行;
S4.2、判断数据集是否满足网络攻击攻击阶段特征,采用非参数化递归CUSUM算法判断网段内是否出现DDOS或者SMTP异常报文特征,如果满足攻击阶段特征,则转向S4.4,S4.4返回后结合其结果和出现攻击特征的主机进一步判断并给出疑似被感染主机情况,继续S4.1;
S4.3、如果数据满足初始阶段特征,则使用训练后的分类决策树进行判断,给出疑似被感染主机,返回S4.1继续;
S4.4、根据需要将外网、内网的主机网络连接信息格式化成数据集D=
{(IljCl2,-,d,,…,dn},元素个数为n,Cli代表源/目的地址连接;任选k个数据作为初始聚类中心;计算其它数据与上述k个数据的相似度,根据相似度大小把其它数据分配到k个集合中;计算每个新集合的聚类中心;不断重复上述过程直到收敛结束;输出疑似被感染主机信息。
进一步地,将通信数据的抓包信息进行内存存储,然后进行数据的概要预处理和特征提取,需要提取的特征包括:ICMP异常报文、ARP异常请求、下载带宽、上载带宽、包大小、主机端口连接建立速率、SMTP异常报文以及内外网相同连接,采用直方图技术来近似元素值的频率分布。
进一步地,将网络攻击的活动分为三个阶段,包括初始阶段、发呆阶段和攻击阶段,利用不同阶段网络攻击的特点,采用权利要求1中步骤S4所述方法进行检测,解决了网络中无限的数据流和概念漂移问题。
本发明的收益效果是:
对网络攻击进行快速、在线、实时的通用检测,准确性、实时性和溯源性更好。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述防御优化方法的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,本发明为
一种虚拟主机防御优化方法,方法包括:
S1、部署攻击典型样例到虚拟机网络,利用协议分析技术,实时监控与接收虚拟机网络内通信数据,监控网络内TCP和UDP协议通信数据,只处理通信数据的抓包信息;
S2、据上述接收的通信数据,提取初始阶段网络攻击特征,采用分类方法SPRINT进行分类器训练,产生网络攻击初始阶段分类决策树模型;分类方法SPRINT包括如下步骤,其中的F代表初始化阶段的特征数据流集合,其中Fi=(P1,…,Pn),Pi代表F中的属性:i)如果F满足停止条件,则返回;ii)对于各个属性Pi,找到一个值或者值集,产生最佳分裂;iii)比较各个属性的最佳分裂,选择最佳的将F分为F1和F2;iv)递归对F1和F2产生决策树;
S3、部署网络攻击检测系统到待检网络,利用协议分析技术,实时监控与接收真实网络内通信数据,监控网络内TCP和UDP协议通信数据,只处理通信数据的抓包信息,同时进行网络攻击特征提取与预处理;
S4、利用网络攻击综合实时检测方法,对待检网络进行网络攻击分析与检测;该综合实时检测方法输入为某网段内已经预处理的格式化网络数据流,输出为疑似被感染的主机信息;
步骤如下:
S4.1、实际参数初始化,方法开始执行;
S4.2、判断数据集是否满足网络攻击攻击阶段特征,采用非参数化递归CUSUM算法判断网段内是否出现DDOS或者SMTP异常报文特征,如果满足攻击阶段特征,则转向S4.4,S4.4返回后结合其结果和出现攻击特征的主机进一步判断并给出疑似被感染主机情况,继续S4.1;
S4.3、如果数据满足初始阶段特征,则使用训练后的分类决策树进行判断,给出疑似被感染主机,返回S4.1继续;
S4.4、根据需要将外网、内网的主机网络连接信息格式化成数据集D=
{(IljCl2,-,d,,…,dn},元素个数为n,Cli代表源/目的地址连接;任选k个数据作为初始聚类中心;计算其它数据与上述k个数据的相似度,根据相似度大小把其它数据分配到k个集合中;计算每个新集合的聚类中心;不断重复上述过程直到收敛结束;输出疑似被感染主机信息。
其中,将通信数据的抓包信息进行内存存储,然后进行数据的概要预处理和特征提取,需要提取的特征包括:ICMP异常报文、ARP异常请求、下载带宽、上载带宽、包大小、主机端口连接建立速率、SMTP异常报文以及内外网相同连接,采用直方图技术来近似元素值的频率分布。
其中,将网络攻击的活动分为三个阶段,包括初始阶段、发呆阶段和攻击阶段,利用不同阶段网络攻击的特点,采用权利要求1中步骤S4方法进行检测,解决了网络中无限的数据流和概念漂移问题。
本发明相比较传统防御方法,对网络攻击进行快速、在线、实时的通用检测,准确性、实时性和溯源性更好。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料过着特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (3)
1.一种虚拟主机防御优化方法,其特征在于,所述方法包括:
S1、部署攻击典型样例到虚拟机网络,利用协议分析技术,实时监控与接收虚拟机网络内通信数据,监控网络内TCP和UDP协议通信数据,只处理通信数据的抓包信息;
S2、据上述接收的通信数据,提取初始阶段网络攻击特征,采用分类方法SPRINT进行分类器训练,产生网络攻击初始阶段分类决策树模型;所述分类方法SPRINT包括如下步骤,其中的F代表初始化阶段的特征数据流集合,其中Fi=(P1,…,Pn),Pi代表F中的属性:i)如果F满足停止条件,则返回;ii)对于各个属性Pi,找到一个值或者值集,产生最佳分裂;iii)比较各个属性的最佳分裂,选择最佳的将F分为F1和F2;iv)递归对F1和F2产生决策树;
S3、部署网络攻击检测系统到待检网络,利用协议分析技术,实时监控与接收真实网络内通信数据,监控网络内TCP和UDP协议通信数据,只处理通信数据的抓包信息,同时进行网络攻击特征提取与预处理;
S4、利用网络攻击综合实时检测方法,对待检网络进行网络攻击分析与检测;该综合实时检测方法输入为某网段内已经预处理的格式化网络数据流,输出为疑似被感染的主机信息;
步骤如下:
S4.1、实际参数初始化,方法开始执行;
S4.2、判断数据集是否满足网络攻击攻击阶段特征,采用非参数化递归CUSUM算法判断网段内是否出现DDOS或者SMTP异常报文特征,如果满足攻击阶段特征,则转向S4.4,S4.4返回后结合其结果和出现攻击特征的主机进一步判断并给出疑似被感染主机情况,继续S4.1;
S4.3、如果数据满足初始阶段特征,则使用训练后的分类决策树进行判断,给出疑似被感染主机,返回S4.1继续;
S4.4、根据需要将外网、内网的主机网络连接信息格式化成数据集D={(IljCl2,-,d,,…,dn},元素个数为n,Cli代表源/目的地址连接;任选k个数据作为初始聚类中心;计算其它数据与上述k个数据的相似度,根据相似度大小把其它数据分配到k个集合中;计算每个新集合的聚类中心;不断重复上述过程直到收敛结束;输出疑似被感染主机信息。
2.根据权利要求1所述的一种虚拟主机防御优化方法,其特征在于将通信数据的抓包信息进行内存存储,然后进行数据的概要预处理和特征提取,需要提取的特征包括:ICMP异常报文、ARP异常请求、下载带宽、上载带宽、包大小、主机端口连接建立速率、SMTP异常报文以及内外网相同连接,采用直方图技术来近似元素值的频率分布。
3.根据权利要求1所述的一种虚拟主机防御优化方法,其特征在于将网络攻击的活动分为三个阶段,包括初始阶段、发呆阶段和攻击阶段,利用不同阶段网络攻击的特点,采用权利要求1中步骤S4所述方法进行检测,解决了网络中无限的数据流和概念漂移问题。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710609763.XA CN107395597A (zh) | 2017-07-25 | 2017-07-25 | 一种虚拟主机防御优化方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710609763.XA CN107395597A (zh) | 2017-07-25 | 2017-07-25 | 一种虚拟主机防御优化方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107395597A true CN107395597A (zh) | 2017-11-24 |
Family
ID=60336830
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710609763.XA Pending CN107395597A (zh) | 2017-07-25 | 2017-07-25 | 一种虚拟主机防御优化方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107395597A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109474603A (zh) * | 2018-11-27 | 2019-03-15 | 平安科技(深圳)有限公司 | 数据抓包处理方法及终端设备 |
CN110784364A (zh) * | 2019-11-07 | 2020-02-11 | 北京博睿宏远数据科技股份有限公司 | 一种数据监测方法、装置、存储介质及终端 |
CN111984972A (zh) * | 2020-08-17 | 2020-11-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于Mininet分析网络流量生成训练集的方法及系统 |
CN114301640A (zh) * | 2021-12-15 | 2022-04-08 | 中电信数智科技有限公司 | 一种基于SRv6网络协议进行的攻防演练的方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040250124A1 (en) * | 2003-05-19 | 2004-12-09 | Vsecure Technologies (Us) Inc. | Dynamic network protection |
CN101753377A (zh) * | 2009-12-29 | 2010-06-23 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
US20120159620A1 (en) * | 2010-12-21 | 2012-06-21 | Microsoft Corporation | Scareware Detection |
CN103107902A (zh) * | 2011-11-14 | 2013-05-15 | 无锡南理工科技发展有限公司 | 基于决策树的攻击检测系统 |
CN103795710A (zh) * | 2014-01-10 | 2014-05-14 | 河海大学 | 一种基于CloudStack云平台的入侵检测系统的构建方法 |
CN105208037A (zh) * | 2015-10-10 | 2015-12-30 | 中国人民解放军信息工程大学 | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 |
CN106899440A (zh) * | 2017-03-15 | 2017-06-27 | 苏州大学 | 一种面向云计算的网络入侵检测方法及系统 |
-
2017
- 2017-07-25 CN CN201710609763.XA patent/CN107395597A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040250124A1 (en) * | 2003-05-19 | 2004-12-09 | Vsecure Technologies (Us) Inc. | Dynamic network protection |
CN101753377A (zh) * | 2009-12-29 | 2010-06-23 | 吉林大学 | 一种p2p_botnet实时检测方法及系统 |
US20120159620A1 (en) * | 2010-12-21 | 2012-06-21 | Microsoft Corporation | Scareware Detection |
CN103107902A (zh) * | 2011-11-14 | 2013-05-15 | 无锡南理工科技发展有限公司 | 基于决策树的攻击检测系统 |
CN103795710A (zh) * | 2014-01-10 | 2014-05-14 | 河海大学 | 一种基于CloudStack云平台的入侵检测系统的构建方法 |
CN105208037A (zh) * | 2015-10-10 | 2015-12-30 | 中国人民解放军信息工程大学 | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 |
CN106899440A (zh) * | 2017-03-15 | 2017-06-27 | 苏州大学 | 一种面向云计算的网络入侵检测方法及系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109474603A (zh) * | 2018-11-27 | 2019-03-15 | 平安科技(深圳)有限公司 | 数据抓包处理方法及终端设备 |
CN109474603B (zh) * | 2018-11-27 | 2023-05-30 | 平安科技(深圳)有限公司 | 数据抓包处理方法及终端设备 |
CN110784364A (zh) * | 2019-11-07 | 2020-02-11 | 北京博睿宏远数据科技股份有限公司 | 一种数据监测方法、装置、存储介质及终端 |
CN111984972A (zh) * | 2020-08-17 | 2020-11-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于Mininet分析网络流量生成训练集的方法及系统 |
CN114301640A (zh) * | 2021-12-15 | 2022-04-08 | 中电信数智科技有限公司 | 一种基于SRv6网络协议进行的攻防演练的方法及系统 |
CN114301640B (zh) * | 2021-12-15 | 2023-09-01 | 中电信数智科技有限公司 | 一种基于SRv6网络协议进行的攻防演练的方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
Haddadi et al. | Benchmarking the effect of flow exporters and protocol filters on botnet traffic classification | |
CN106572107B (zh) | 一种面向软件定义网络的DDoS攻击防御系统与方法 | |
CN107395597A (zh) | 一种虚拟主机防御优化方法 | |
CN101753377B (zh) | 一种p2p_botnet实时检测方法及系统 | |
CN105681250B (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
CN107070929A (zh) | 一种工控网络蜜罐系统 | |
CN103997489B (zh) | 一种识别DDoS僵尸网络通信协议的方法及装置 | |
CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
CN103532957B (zh) | 一种木马远程shell行为检测装置及方法 | |
CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
CN106131027A (zh) | 一种基于软件定义网络的网络异常流量检测防御系统 | |
Shafi et al. | Evaluation of an adaptive genetic-based signature extraction system for network intrusion detection | |
CN104900102A (zh) | 基于虚拟环境的攻防演练系统 | |
CN108718297A (zh) | 基于BP神经网络的DDoS攻击检测方法、装置、控制器及介质 | |
WO2018057691A1 (en) | Unsupervised classification of web traffic users | |
CN107911219A (zh) | 一种基于密钥签名的api防cc方法 | |
Goyal et al. | HTTP botnet detection in IOT devices using network traffic analysis | |
Haddadi et al. | How to choose from different botnet detection systems? | |
Wang et al. | Source-based defense against DDoS attacks in SDN based on sFlow and SOM | |
Chou et al. | An adaptive network intrusion detection approach for the cloud environment | |
Udhani et al. | Human vs bots: Detecting human attacks in a honeypot environment | |
de Sa Silva et al. | A neural network application for attack detection in computer networks | |
EP3663948B1 (en) | Recognizing deviations in security behaviour of automation units | |
CN114422207B (zh) | 基于多模态的c&c通信流量检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171124 |