CN108600003B - 一种面向视频监控网络的入侵检测方法、装置及系统 - Google Patents

一种面向视频监控网络的入侵检测方法、装置及系统 Download PDF

Info

Publication number
CN108600003B
CN108600003B CN201810354586.XA CN201810354586A CN108600003B CN 108600003 B CN108600003 B CN 108600003B CN 201810354586 A CN201810354586 A CN 201810354586A CN 108600003 B CN108600003 B CN 108600003B
Authority
CN
China
Prior art keywords
video stream
stream data
data
detection result
video
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810354586.XA
Other languages
English (en)
Other versions
CN108600003A (zh
Inventor
孙利民
牛月晗
李志�
黄文军
朱红松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201810354586.XA priority Critical patent/CN108600003B/zh
Publication of CN108600003A publication Critical patent/CN108600003A/zh
Application granted granted Critical
Publication of CN108600003B publication Critical patent/CN108600003B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种面向视频监控网络的入侵检测方法、装置及系统。其中,所述方法包括:获取视频监控网络的流量数据;将流量数据划分为视频流数据和非视频流数据;基于视频流数据提取多个视频流特征值;根据多个视频流特征值以及视频流的正常行为轮廓,对视频流数据进行异常检测,获得视频流数据的检测结果;根据非视频流数据的关键字段信息、负载内容和预设规则库,对非视频流数据进行基于规则的入侵检测,获得非视频流数据的检测结果;根据视频流数据的检测结果和非视频流数据的检测结果,发送报警信息。所述装置用于执行上述方法。本发明提供的面向视频监控网络的入侵检测方法、装置及系统,提高了对视频监控网络的入侵检测的准确性。

Description

一种面向视频监控网络的入侵检测方法、装置及系统
技术领域
本发明涉及网络安全技术领域,具体涉及一种面向视频监控网络的入侵检测方法、装置及系统。
背景技术
近些年来随着物联网的蓬勃发展,物联网设备越来越多,据多家分析机构统计显示:2016年物联网设备接近100亿台,预计2020年将达到300亿台。视频监控设备作为物联网设备的一种,正在全球安防领域扮演越来越重要的角色,其已逐渐成为世界各国政府、企业乃至个人家庭安防系统建设领域的刚性需求。
据统计显示,全球范围内受到攻击的物联网设备主要集中于视频监控设备。由于视频监控设备数量庞大,而且大多数视频监控设备没有安装通用防护软件,防御能力低,自身安全性差,成为黑客的热门攻击对象。现有技术中,入侵检测是重要的安全防御手段,但是入侵检测在物联网安全领域的应用仍然处于初级阶段,大多数视频监控设备基于嵌入式Unix系统,计算能力与存储空间有限,因此传统的基于主机的入侵检测技术并不适用于视频监控设备。而且由于视频监控网络环境复杂,视频流量大,基于传统网络下的入侵检测方法随着规则库的增加,具有很高的漏报率与误报率。
因此,如何提出一种入侵检测方法,能够应用于视频监控网络,以提高入侵检测的准确性成为业界亟待解决的重要课题。
发明内容
针对现有技术中的缺陷,本发明提供一种面向视频监控网络的入侵检测方法、装置及系统。
一方面,本发明提出一种面向视频监控网络的入侵检测方法,包括:
获取视频监控网络的流量数据;
通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;
基于所述视频流数据提取多个视频流特征值;
根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;
获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;
根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;
根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
另一方面,本发明提供一种面向视频监控网络的入侵检测装置,包括:
第一获取单元,用于获取视频监控网络的流量数据;
识别单元,用于通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;
提取单元,用于基于所述视频流数据提取多个视频流特征值;
第一检测单元,用于根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;
第二获取单元,用于获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;
第二检测单元,用于根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;
报警单元,用于根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
再一方面,本发明提供一种面向视频监控网络的入侵检测系统,包括服务器和多个入侵检测终端,所述服务器和多个所述入侵检测终端在局域网内通信连接,所述入侵检测终端与交换机通信连接,用于获取接入所述交换机的视频监控设备的流量数据。
又一方面,本发明提供一种电子设备,包括:处理器、存储器和通信总线,其中:
所述处理器和所述存储器通过所述通信总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如上述各实施例提供的面向视频监控网络的入侵检测方法。
还一方面,本发明提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如上述各实施例提供的面向视频监控网络的入侵检测方法。
本发明提供的面向视频监控网络的入侵检测方法、装置及系统,由于能够获取视频监控网络的流量数据,并通过对流量数据进行视频流协议识别,将流量数据划分为视频流数据和非视频流数据,然后基于视频流数据提取多个视频流特征值,根据多个视频流特征值以及视频流的正常行为轮廓,对视频流数据进行异常检测,获得视频流数据的检测结果,同时获取非视频流数据的关键字段信息,并根据非视频流数据获取负载内容,然后根据关键字段信息、负载内容和预设规则库,对非视频流数据进行基于规则匹配的入侵检测,获得非视频流数据的检测结果,根据视频流数据的检测结果和非视频流数据的检测结果,发送报警信息,从而提高了对视频监控网络的入侵检测的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例面向视频监控网络的入侵检测系统的结构示意图;
图2为本发明一实施例面向视频监控网络的入侵检测方法的流程示意图;
图3为本发明另一实施例面向视频监控网络的入侵检测方法的流程示意图;
图4为本发明又一实施例面向视频监控网络的入侵检测方法的流程示意图;
图5为本发明再一实施例面向视频监控网络的入侵检测方法的流程示意图;
图6为本发明一实施例面向视频监控网络的入侵检测装置的结构示意图;
图7为本发明一实施例电子设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一实施例面向视频监控网络的入侵检测系统的结构示意图,如图1所示,本发明提供的面向视频监控网络的入侵检测系统包括服务器1和多个入侵检测终端2,服务器1和多个入侵检测终端2在局域网内通信连接,从而可以防止所述系统被攻击,以提高所述入侵检测系统的安全性,入侵检测终端2与交换机3通信连接,例如入侵检测终端2通过交换机3的镜像端口通信连接,通过交换机的端口镜像技术,入侵检测终端2可以通过所述镜像端口获取接入到交换机3的视频监控设备的流量数据。每个入侵检测终端2在获取到所述流量数据之后,可以根据所述流量数据进行入侵检测。下面针对每个入侵检测终端2对本发明提出的面向视频监控网络的入侵检测方法进行详细介绍。
图2为本发明一实施例面向视频监控网络的入侵检测方法的流程示意图,如图2所示,本发明提供的面向视频监控网络的入侵检测方法,包括:
S201、获取视频监控网络的流量数据;
具体地,入侵检测终端可以通过交换机的镜像端口获取视频监控网络的流量数据,所述流量数据可以是基于TCP、UDP或者ICMP协议的实时流量数据。
S202、通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;
具体地,所述入侵检测终端在获得所述流量数据之后,可以对所述流量数据按照TCP/IP协议栈分层处理,在链路层的处理可以包括解析所述数据流量的数据包获得源MAC地址和目的MAC地址,在网络层的处理可以包括解析所述数据流量的数据包获得所述网络层的协议关键字段和IP碎片整理。在传输层,所述入侵检测终端可以解析所述数据数量包括的各个所述数据包,获得每个所述数据包的协议标识,根据所述协议标识判断对应的数据包属于视频流数据还是非视频流数据。如果所述数据包的协议标识表示所述数据包采用了视频流协议,例如RTP协议,那么所述数据包属于所述视频流数据;如果所述数据包的协议标识表示所述数据包没有采用所述视频流协议,那么所述数据包属于所述非视频流数据。所述入侵检测终端对所述流量数据包括每个所述数据包进行视频流协议识别,根据识别的结果,可以将所述流量数据划分为所述视频流数据和所述非视频流数据。
S203、基于所述视频流数据提取多个视频流特征值;
具体地,所述入侵检测终端在获得所述视频流数据之后,可以解析所述视频流数据的各个所述数据包,提取多个视频流特征值。所述视频流特征例如可以是源IP地址数量,目的IP地址数量,TCP端口数量,UDP端口数量,基于IP的流量大小,基于IP的包率大小,基于ICMP的流量大小,基于ICMP的包率大小,基于TCP的流量大小,基于TCP的包率大小,基于UDP的流量大小,基于UDP的包率大小,IP协议流量占比,IP协议包量占比,ICMP流量占比,ICMP包量占比,TCP流占比,TCP包量占比,UDP流量占比,UDP包量占比,各个TCP端口流量占比,各个TCP端口包量占比,各个UDP端口流量占比,各个UDP端口包量占比。
S204、根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;
具体地,所述入侵检测终端在获得所述多个视频流特征值之后,根据所述多个视频流特征值以及视频流的正常行为轮廓对所述视频流数据进行异常检测,从而可以获得所述视频流数据的检测结果。其中,所述视频流的正常行为轮廓是预设的。
例如,所述入侵检测终端所述入侵检测终端在获得所述多个视频流特征之后,根据所述多个视频流特征和所述视频流的正常行为轮廓,通过多元高斯分布方法,计算所述视频流数据的异常概率,将所述异常概率与阈值进行对比,如果所述异常概率小于所述阈值,那么说明所述视频流数据存在异常。其中,所述阈值根据实际经验进行设置,本发明实施例不做限定。
S205、获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;
具体地,所述入侵检测终端在获得所述非视频流数据之后,在传输层解析所述非视频流数据的数据包,可以获得关键字段信息,所述关键字段信息可以包括源端口号、目的端口号、所述数据包的序列号和窗口大小。所述入侵检测终端在应用层对所述非视频流数据的数据包进行解析,获得每个所述非视频流数据的数据包的负载内容,由于不同的所述数据包采用的应用层协议可能不同,在获得不同所述应用层协议的数据包的负载内容之后,可以将获得的所述负载内容进行归一化处理,统一数据格式。其中,所述关键字段信息可以根据实际需要进行设置,本发明实施例不做限定。
S206、根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;
具体地,所述入侵检测终端在获得所述关键字段信息和所述负载内容之后,将所述非视频流数据的数据包的关键字段信息和负载内容与预设规则库中的规则进行逐一匹配,如果所述非视频流数据的数据包的关键字段信息和负载内容与某一项规则匹配时,则相应的所述非视频流数据的数据包包含入侵行为,所述非视频流数据的检测结果为异常。如果所述非视频流数据的数据包的关键字段信息和负载内容与所述预设规则库中任一项规则都不匹配时,所述非视频流数据的所有数据包都不存在所述入侵行为,所述非视频流数据的检测结果为正常。可理解的是,所述预设规则库中存储有用于对所述非视频流数据进行基于规则匹配的入侵检测的至少一条规则,所述规则根据实际经验进行设置,本发明实施例不做限定。
S207、根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
具体地,所述入侵检测终端在获得所述视频流数据的检测结果和所述非视频流数据的检测结果之后,根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
例如,当所述视频流数据的检测结果为异常,且所述非视频流数据的检测结果为正常时,所述入侵检测终端可以发送一级报警信息给报警中心;当所述视频流数据的检测结果为正常,且所述非视频流数据的检测结果为异常时,所述入侵检测终端可以发送二级报警信息给报警中心;当所述视频流数据的检测结果为异常,且所述非视频流数据的检测结果为异常时,所述入侵检测终端可以发送三级报警信息给预警中心。其中,所述三级报警信息的报警级别最高,所述一级报警信息的报警级别最低。
本发明提供的面向视频监控网络的入侵检测方法,由于能够获取视频监控网络的流量数据,并通过对流量数据进行视频流协议识别,将流量数据划分为视频流数据和非视频流数据,然后基于视频流数据提取多个视频流特征值,根据多个视频流特征值以及视频流的正常行为轮廓,对视频流数据进行异常检测,获得视频流数据的检测结果,同时获取非视频流数据的关键字段信息,并根据非视频流数据获取负载内容,然后根据关键字段信息、负载内容和预设规则库,对非视频流数据进行基于规则匹配的入侵检测,获得非视频流数据的检测结果,根据视频流数据的检测结果和非视频流数据的检测结果,发送报警信息,从而提高了对视频监控网络的入侵检测的准确性。
图3为本发明另一实施例面向视频监控网络的入侵检测方法的流程示意图,如图3所示,在上述各实施例的基础上,进一步地,所述视频流的正常行为轮廓根据如下步骤建立:
S301、对所述视频监控网络在预设时间段内的流量数据进行连续采样,获得预设数量的采样数据;
具体地,所述入侵检测终端可以对所述视频监控网络在预设时间段内的流量数据进行连续采样,可以获得预设数量的采样数据。例如在5分钟内对所述流量数据,每秒钟取样一次,共采样300次,获得300个采样数据。其中,所述预设时间段根据实际需要进行设置,本发明实施例不做限定;所述预设数据量根据实际需要进行选择,本发明实施例不做限定。
S302、对每个所述采样数据进行所述视频流协议识别,根据识别结果获得每个所述采样数据的视频流数据;
具体地,所述入侵检测终端在获得所述预设数量的采样数据之后,可以对所述采样数据按照TCP/IP协议栈分层处理,在所述传输层,所述入侵检测终端可以解析所述数据数量包括的各个所述数据包,获得每个所述采样数据的数据包的协议标识,根据所述协议标识判断对应的数据包采用了视频流协议还是非视频流协议,如果所述数据包采用了所述视频流协议,则所述数据包属于视频流数据。如果所述采样数据的数据包的协议标识表明该数据包采用了视频流协议,那么获取该数据包,从而可以获得每个所述采样数据的视频流数据。
S303、基于每个所述采样数据的视频流数据提取各个所述采样数据的多个视频流特征值;
具体地,所述入侵检测终端在获得各个所述采样数据的视频流数据之后,可以解析各个所述采样数据的视频流数据的各个所述数据包,提取多个视频流特征值。所述视频流特征值例如可以是源IP地址数量,目的IP地址数量,TCP端口数量,UDP端口数量,基于IP的流量大小,基于IP的包率大小,基于ICMP的流量大小,基于ICMP的包率大小,基于TCP的流量大小,基于TCP的包率大小,基于UDP的流量大小,基于UDP的包率大小,IP协议流量占比,IP协议包量占比,ICMP流量占比,ICMP包量占比,TCP流占比,TCP包量占比,UDP流量占比,UDP包量占比,各个TCP端口流量占比,各个TCP端口包量占比,各个UDP端口流量占比,各个UDP端口包量占比。
S304、根据各个所述采样数据的所述多个视频流特征值,获得所述视频流特征值的均值向量和协方差矩阵。
具体地,所述入侵检测终端在获得各个所述采样数据的所述多个视频流特征值之后,可以计算每个所述视频流特征值的平均值,各个所述视频流特征值的平均值构成所述视频流特征值的均值向量,每个所述采样数据的各个所述视频流特征值构成该采样数据的视频流特征向量,根据各个所述采样数据的视频流特征向量和所述视频流特征的均值向量可以获得协方差矩阵,将所述视频流特征的均值向量和所述协方差矩阵作为所述视频流的正常行为轮廓。
例如,所述入侵检测终端可以根据公式
Figure BDA0001634314010000101
计算获得所述视频流特征值的均值向量,其中,μ表示所述视频流特征值的均值向量,Xi表示第i次采样数据视频流特征向量,第i次采样数据视频流特征向量由第i次采样数据的各个所述视频流特征值构成,m为所述预设数量,i为正整数且i小于等于m。所述入侵检测终端可以根据公式
Figure BDA0001634314010000102
计算获得所述视频流特征值的协方差矩阵,其中,C表示所述协方差矩阵,Xi表示第i次采样数据视频流特征向量,μ表示所述视频流特征值的均值向量,m为所述预设数量。
图4为本发明又一实施例面向视频监控网络的入侵检测方法的流程示意图,如图4所示,在上述各实施例的基础上,进一步地,所述根据所述多个视频流特征以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果包括:
S2041、根据所述多个视频流特征值和所述视频流的正常行为轮廓,获得所述视频流数据的异常概率;
具体地,所述入侵检测终端在获得所述流量数据的多个视频流特征值之后,根据所述多个视频流特征值和所述视频流的正常行为轮廓,通过多元高斯分布方法,计算所述视频流数据的异常概率。
例如,所述入侵检测终端可以根据公式
Figure BDA0001634314010000111
计算所述视频流数据的异常概率,其中,p(Y)表示所述视频流数据的异常概率,Y表示所述流量数据的视频流数据视频流特征向量,由所述多个视频流特征值构成,n为所述多个视频流特征值的数量,C表示所述协方差矩阵,μ表示所述视频流特征值的均值向量,C和μ通过所述视频流的正常行为轮廓获得。
S2042、若判断获知所述异常概率小于阈值,则所述视频流数据存在异常。
具体地,所述入侵检测终端在获得所述异常概率之后,将所述异常概率与阈值进行比较,如果所述异常概率小于所述阈值,那么说明所述视频流数据存在异常。其中,所述阈值根据实际经验进行设置,本发明实施例不做限定。
在上述各实施例的基础上,进一步地,所述视频流特征值包括:
源IP地址数量,目的IP地址数量,TCP端口数量,UDP端口数量,基于IP的流量大小,基于IP的包率大小,基于ICMP的流量大小,基于ICMP的包率大小,基于TCP的流量大小,基于TCP的包率大小,基于UDP的流量大小,基于UDP的包率大小,IP协议流量占比,IP协议包量占比,ICMP流量占比,ICMP包量占比,TCP流占比,TCP包量占比,UDP流量占比,UDP包量占比,各个TCP端口流量占比,各个TCP端口包量占比,各个UDP端口流量占比,各个UDP端口包量占比。
具体地,所述入侵检测终端根据IP协议的信息格式,可以解析所述视频流数据的各个数据包获得源IP地址和目的IP地址,统计不同的所述源IP地址获得源IP地址数量,统计不同的所述目的IP地址获得目的IP地址数量。所述入侵检测终端根据TCP/UDP协议的信息格式,可以解析所述视频流数据的各个数据包获得TCP端口和UDP端口,统计不同的所述TCP端口获得TCP端口数量,统计不同的所述UDP端口获得UDP端口数量。所述入侵检测终端可以获得各个采用IP协议的所述视频流数据的数据包,统计各个采用IP协议的所述视频流数据的数据包的流量大小,可以获得基于IP的流量大小,统计各个采用IP协议的所述视频流数据的数据包的数量,可以获得基于IP的包率大小;所述入侵检测终端可以获得各个采用ICMP协议的所述视频流数据的数据包,统计各个采用ICMP协议的所述视频流数据的数据包的流量大小,可以获得基于ICMP的流量大小,统计各个采用ICMP协议的所述视频流数据的数据包的数量,可以获得基于ICMP的包率大小;所述入侵检测终端可以获得各个采用TCP协议的所述视频流数据的数据包,统计各个采用TCP协议的所述视频流数据的数据包的流量大小,可以获得基于TCP的流量大小,统计各个采用TCP协议的所述视频流数据的数据包的数量,可以获得基于TCP的包率大小;所述入侵检测终端可以获得各个采用UDP协议的所述视频流数据的数据包,统计各个采用UDP协议的所述视频流数据的数据包的流量大小,可以获得基于UDP的流量大小,统计各个采用UDP协议的所述视频流数据的数据包的数量,可以获得基于UDP的包率大小。所述入侵检测终端在获得所述流量数据之后,可以获得所述流量数据的流量大小,将所述基于IP的流量大小与所述流量数据的流量大小相除,可以获得IP协议流量占比;将所述基于ICMP的流量大小与所述流量数据的流量大小相除,可以获得ICMP协议流量占比;将所述基于TCP的流量大小与所述流量数据的流量大小相除,可以获得TCP协议流量占比;将所述基于UDP的流量大小与所述流量数据的流量大小相除,可以获得UDP协议流量占比。所述入侵检测终端在获得所述流量数据之后,可以获得所述流量数据的数据包的总数量,将所述基于IP的包率大小与所述流量数据的数据包的总数量相除,可以获得IP协议包量占比;将所述基于ICMP的包率大小与所述流量数据的数据包的总数量相除,可以获得ICMP协议包量占比;将所述基于TCP的包率大小与所述流量数据的数据包的总数量相除,可以获得TCP协议包量占比;将所述基于UDP的包率大小与所述流量数据的数据包的总数量相除,可以获得UDP协议包量占比。所述入侵检测终端在获得各个TCP端口之后,可以统计各个TCP端口传输的数据流量和各个TCP端口传输的数据包的数量,将各个TCP端口传输的数据流量分别与所述基于TCP的流量大小相除,可以获得各个TCP端口流量占比,将各个TCP端口传输的数据包的数量分别与基于TCP的包率大小相除,可以获得各个TCP端口包量占比;所述入侵检测终端在获得各个UDP端口之后,可以统计各个UDP端口传输的数据流量和各个UDP端口传输的数据包的数量,将各个UDP端口传输的数据流量分别与所述基于UDP的流量大小相除,可以获得各个UDP端口流量占比,将各个UDP端口传输的数据包的数量分别与基于UDP的包率大小相除,可以获得各个UDP端口包量占比。
在上述各实施例的基础上,进一步地,所述根据所述关键字段信息、所述负载内容和预设规则,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果包括:
若判断获知所述关键字段信息和所述负载内容与所述预设规则库中的某一项规则匹配,则所述非视频流数据存在异常。
具体地,所述入侵检测终端在获得所述关键字段信息和所述负载内容之后,将所述非视频流数据的数据包的关键字段信息和负载内容与所述预设规则库中的规则进行逐一匹配,如果所述非视频流数据的数据包的关键字段信息和负载内容与某一项规则匹配,则相应的所述非视频流数据的数据包包含入侵行为,所述非视频流数据存在异常。
图5为本发明再一实施例面向视频监控网络的入侵检测方法的流程示意图,如图5所示,在上述各实施例的基础上,进一步地,所述根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息包括:
S2071、若判断获知所述视频流数据的检测结果为异常,且所述非视频流数据的检测结果为正常,则发送一级报警信息;
具体地,所述入侵检测终端在获得所述视频流数据的检测结果和所述非视频流数据的检测结果之后,如果所述视频流数据的检测结果为异常且所述非视频流数据的检测结果为正常,那么可以向报警中心发送一级报警信息。
S2072、若判断获知所述视频流数据的检测结果为正常,且所述非视频流数据的检测结果为异常,则发送二级报警信息;
具体地,所述入侵检测终端在获得所述视频流数据的检测结果和所述非视频流数据的检测结果之后,如果所述视频流数据的检测结果为正常且所述非视频流数据的检测结果为异常,那么可以向报警中心发送二级报警信息。
S2073、若判断获知所述视频流数据的检测结果为异常,且所述非视频流数据的检测结果为异常,则发送三级报警信息。
具体地,所述入侵检测终端在获得所述视频流数据的检测结果和所述非视频流数据的检测结果之后,如果所述视频流数据的检测结果为异常且所述非视频流数据的检测结果为异常,那么可以向报警中心发送三级报警信息。其中,所述三级报警信息的报警级别高于所述二级报警信息,所述二级报警信息的报警级别高于所述一级报警信息。可理解的是,当所述视频流数据的检测结果为正常且所述非视频流数据的检测结果为正常时,所述入侵检测终端不发送任何报警信息。
图6为本发明一实施例面向视频监控网络的入侵检测装置的结构示意图,如图6所示,本发明提供的面向视频监控网络的入侵检测装置包括第一获取单元601、识别单元602、提取单元603、第一检测单元604、第二获取单元605、第二检测单元606和报警单元607,其中:
第一获取单元601用于获取视频监控网络的流量数据;识别单元602用于通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;提取单元603用于基于所述视频流数据提取多个视频流特征值;第一检测单元604用于根据所述多个视频流特征以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;第二获取单元605用于获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;第二检测单元606用于根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;报警单元607用于根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
具体地,第一获取单元601可以通过交换机的镜像端口获取视频监控网络的流量数据,所述流量数据可以是基于TCP、UDP或者ICMP协议的实时流量数据。
识别单元602在获得所述流量数据之后,可以对所述流量数据按照TCP/IP协议栈分层处理,在链路层的处理可以包括解析所述数据流量的数据包获得源MAC地址和目的MAC地址,在网络层的处理可以包括解析所述数据流量的数据包获得所述网络层的协议关键字段和IP碎片整理。在传输层,识别单元602可以解析所述数据数量包括的各个所述数据包,获得每个所述数据包的协议标识,根据所述协议标识判断对应的数据包属于视频流数据还是非视频流数据。如果所述数据包的协议标识表示所述数据包采用了视频流协议,例如RTP协议,那么所述数据包属于所述视频流数据;如果所述数据包的协议标识表示所述数据包没有采用所述视频流协议,那么所述数据包属于所述非视频流数据。识别单元602对所述流量数据包括每个所述数据包进行视频流协议识别,根据识别的结果,可以将所述流量数据划分为所述视频流数据和所述非视频流数据。
提取单元603在获得所述视频流数据之后,可以解析所述视频流数据的各个所述数据包,提取多个视频流特征值。所述视频流特征例如可以是源IP地址数量,目的IP地址数量,TCP端口数量,UDP端口数量,基于IP的流量大小,基于IP的包率大小,基于ICMP的流量大小,基于ICMP的包率大小,基于TCP的流量大小,基于TCP的包率大小,基于UDP的流量大小,基于UDP的包率大小,IP协议流量占比,IP协议包量占比,ICMP流量占比,ICMP包量占比,TCP流占比,TCP包量占比,UDP流量占比,UDP包量占比,各个TCP端口流量占比,各个TCP端口包量占比,各个UDP端口流量占比,各个UDP端口包量占比。
第一检测单元604在获得所述多个视频流特征值之后,根据所述多个视频流特征值以及视频流的正常行为轮廓对所述视频流数据进行异常检测,从而可以获得所述视频流数据的检测结果。其中,所述视频流的正常行为轮廓是预设的。
第二获取单元605在获得所述非视频流数据之后,在传输层解析所述非视频流数据的数据包,可以获得关键字段信息,所述关键字段信息可以包括源端口号、目的端口号、所述数据包的序列号和窗口大小。所述入侵检测终端在应用层对所述非视频流数据的数据包进行解析,获得每个所述非视频流数据的数据包的负载内容,由于不同的所述数据包采用的应用层协议可能不同,在获得不同所述应用层协议的数据包的负载内容之后,可以将获得的所述负载内容进行归一化处理,统一数据格式。其中,所述关键字段信息可以根据实际需要进行设置,本发明实施例不做限定。
第二检测单元606在获得所述关键字段信息和所述负载内容之后,将所述非视频流数据的数据包的关键字段信息和负载内容与预设规则库中的规则进行逐一匹配,如果所述非视频流数据的数据包的关键字段信息和负载内容与某一项规则匹配时,则相应的所述非视频流数据的数据包包含入侵行为,所述非视频流数据的检测结果为异常。如果所述非视频流数据的数据包的关键字段信息和负载内容与所述预设规则库中任一项规则都不匹配时,所述非视频流数据的所有数据包都不存在所述入侵行为,所述非视频流数据的检测结果为正常。可理解的是,所述预设规则库中存储有用于对所述非视频流数据进行基于规则匹配的入侵检测的至少一条规则,所述规则根据实际经验进行设置,本发明实施例不做限定。
报警单元607在获得所述视频流数据的检测结果和所述非视频流数据的检测结果之后,根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
本发明提供的面向视频监控网络的入侵检测装置,由于能够获取视频监控网络的流量数据,并通过对流量数据进行视频流协议识别,将流量数据划分为视频流数据和非视频流数据,然后基于视频流数据提取多个视频流特征值,根据多个视频流特征值以及视频流的正常行为轮廓,对视频流数据进行异常检测,获得视频流数据的检测结果,同时获取非视频流数据的关键字段信息,并根据非视频流数据获取负载内容,然后根据关键字段信息、负载内容和预设规则库,对非视频流数据进行基于规则匹配的入侵检测,获得非视频流数据的检测结果,根据视频流数据的检测结果和非视频流数据的检测结果,发送报警信息,从而提高了对视频监控网络的入侵检测的准确性。
本发明提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
如图1所示,本发明提供的面向视频监控网络的入侵检测系统,包括本发明提供的面向视频监控网络的入侵检测系统包括服务器1和多个入侵检测终端2,服务器1和多个入侵检测终端2在局域网内通信连接,从而可以放置所述系统被攻击,入侵检测终端2与交换机3通信连接,例如入侵检测终端2通过交换机3的镜像端口通信连接,通过交换机的端口镜像技术,入侵检测终端2可以通过所述镜像端口获取接入到交换机3的视频监控设备的流量数据。每个入侵检测终端2在获取到所述流量数据之后,可以根据所述流量数据进行入侵检测。进一步地,服务器1可以通过局域网获取各个入侵检测终端2的视频流数据的检测结果和非视频流数据的检测结果,并将各个入侵检测终端2的视频流数据的检测结果和非视频流数据的检测结果进行汇总展示。
图7为本发明一实施例电子设备的实体结构示意图,如图7所示,所述电子设备包括处理器(processor)701、存储器(memory)702和通信总线703;
其中,处理器701、存储器702通过通信总线703完成相互间的通信;
处理器701用于调用存储器702中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取视频监控网络的流量数据;通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;基于所述视频流数据提取多个视频流特征值;根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取视频监控网络的流量数据;通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;基于所述视频流数据提取多个视频流特征值;根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取视频监控网络的流量数据;通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;基于所述视频流数据提取多个视频流特征值;根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,装置,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种面向视频监控网络的入侵检测方法,其特征在于,包括:
获取视频监控网络的流量数据;
通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;
基于所述视频流数据提取多个视频流特征值;
根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;
获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;
根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;
根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
2.根据权利要求1所述的方法,其特征在于,所述视频流的正常行为轮廓根据如下步骤建立:
对所述视频监控网络在预设时间段内的流量数据进行连续采样,获得预设数量的采样数据;
对每个所述采样数据进行所述视频流协议识别,根据识别结果获得每个所述采样数据的视频流数据;
基于每个所述采样数据的视频流数据提取各个所述采样数据的多个视频流特征值;
根据各个所述采样数据的所述多个视频流特征值,获得所述视频流特征值的均值向量和协方差矩阵。
3.根据权利要求2所述的方法,其特征在于,所述根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果包括:
根据所述多个视频流特征值和所述视频流的正常行为轮廓,获得所述视频流数据的异常概率;
若判断获知所述异常概率小于阈值,则所述视频流数据存在异常。
4.根据权利要求1所述的方法,其特征在于,所述视频流特征值包括:
源IP地址数量,目的IP地址数量,TCP端口数量,UDP端口数量,基于IP的流量大小,基于IP的包率大小,基于ICMP的流量大小,基于ICMP的包率大小,基于TCP的流量大小,基于TCP的包率大小,基于UDP的流量大小,基于UDP的包率大小,IP协议流量占比,IP协议包量占比,ICMP流量占比,ICMP包量占比,TCP流占比,TCP包量占比,UDP流量占比,UDP包量占比,各个TCP端口流量占比,各个TCP端口包量占比,各个UDP端口流量占比,各个UDP端口包量占比。
5.根据权利要求1所述的方法,其特征在于,所述根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果包括:
若判断获知所述关键字段信息和所述负载内容与所述预设规则库中的某一项规则匹配,则所述非视频流数据存在异常。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息包括:
若判断获知所述视频流数据的检测结果为异常,且所述非视频流数据的检测结果为正常,则发送一级报警信息;
若判断获知所述视频流数据的检测结果为正常,且所述非视频流数据的检测结果为异常,则发送二级报警信息;
若判断获知所述视频流数据的检测结果为异常,且所述非视频流数据的检测结果为异常,则发送三级报警信息。
7.一种面向视频监控网络的入侵检测装置,其特征在于,包括:
第一获取单元,用于获取视频监控网络的流量数据;
识别单元,用于通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;
提取单元,用于基于所述视频流数据提取多个视频流特征值;
第一检测单元,用于根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;
第二获取单元,用于获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;
第二检测单元,用于根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;
报警单元,用于根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。
8.一种电子设备,其特征在于,包括:处理器、存储器和通信总线,其中:
所述处理器和所述存储器通过所述通信总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至6任一项所述的方法。
9.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至6任一项所述的方法。
CN201810354586.XA 2018-04-19 2018-04-19 一种面向视频监控网络的入侵检测方法、装置及系统 Active CN108600003B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810354586.XA CN108600003B (zh) 2018-04-19 2018-04-19 一种面向视频监控网络的入侵检测方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810354586.XA CN108600003B (zh) 2018-04-19 2018-04-19 一种面向视频监控网络的入侵检测方法、装置及系统

Publications (2)

Publication Number Publication Date
CN108600003A CN108600003A (zh) 2018-09-28
CN108600003B true CN108600003B (zh) 2020-04-24

Family

ID=63613996

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810354586.XA Active CN108600003B (zh) 2018-04-19 2018-04-19 一种面向视频监控网络的入侵检测方法、装置及系统

Country Status (1)

Country Link
CN (1) CN108600003B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109587248B (zh) * 2018-12-06 2023-08-29 腾讯科技(深圳)有限公司 用户识别方法、装置、服务器及存储介质
CN109861875A (zh) * 2018-12-29 2019-06-07 顺丰科技有限公司 应用程序的测试方法及装置
CN110049317A (zh) * 2019-04-30 2019-07-23 睿石网云(北京)科技有限公司 一种视频监控系统的在线故障检测方法、系统和电子设备
CN111372077A (zh) * 2020-03-16 2020-07-03 深信服科技股份有限公司 摄像头的控制方法、装置、终端设备及存储介质
CN114567817B (zh) * 2020-11-27 2024-03-08 浙江宇视科技有限公司 视频安全准入系统及方法
CN112954408B (zh) * 2021-01-25 2023-05-12 中央广播电视总台 超高清视频信号的异常监测方法及相应装置
CN115225297B (zh) * 2021-04-16 2024-05-03 中国移动通信集团江苏有限公司 一种阻断网络入侵的方法及装置
CN115102734B (zh) * 2022-06-14 2024-02-20 北京网藤科技有限公司 一种基于数据流量的漏洞识别系统及其识别方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101945116A (zh) * 2010-09-25 2011-01-12 公安部第三研究所 一种跨域视频数据安全交换方法
CN105897684A (zh) * 2015-12-14 2016-08-24 乐视云计算有限公司 转码系统的恶意攻击检测方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008098321A1 (en) * 2007-02-15 2008-08-21 Security Agency Sigma Jsc Mobile system and method for remote control and viewing
CN104506507B (zh) * 2014-12-15 2017-10-10 蓝盾信息安全技术股份有限公司 一种sdn网络的蜜网安全防护系统及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101945116A (zh) * 2010-09-25 2011-01-12 公安部第三研究所 一种跨域视频数据安全交换方法
CN105897684A (zh) * 2015-12-14 2016-08-24 乐视云计算有限公司 转码系统的恶意攻击检测方法和装置

Also Published As

Publication number Publication date
CN108600003A (zh) 2018-09-28

Similar Documents

Publication Publication Date Title
CN108600003B (zh) 一种面向视频监控网络的入侵检测方法、装置及系统
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
US9860278B2 (en) Log analyzing device, information processing method, and program
US10686814B2 (en) Network anomaly detection
US9386036B2 (en) Method for detecting and preventing a DDoS attack using cloud computing, and server
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
CN107209834B (zh) 恶意通信模式提取装置及其系统和方法、记录介质
CN112910918A (zh) 基于随机森林的工控网络DDoS攻击流量检测方法及装置
CN108737367A (zh) 一种视频监控网络的异常检测方法及系统
CN112671759A (zh) 基于多维度分析的dns隧道检测方法和装置
CN112668005A (zh) webshell文件的检测方法及装置
CN112565229A (zh) 隐蔽通道检测方法及装置
CN116614287A (zh) 一种网络安全事件评估处理方法、装置、设备及介质
CN111131309A (zh) 分布式拒绝服务检测方法、装置及模型创建方法、装置
CN112153062B (zh) 基于多维度的可疑终端设备检测方法及系统
CN116170227A (zh) 一种流量异常的检测方法、装置、电子设备及存储介质
CN113765849A (zh) 一种异常网络流量检测方法和装置
CN115883169A (zh) 基于蜜罐系统的工控网络攻击报文响应方法及响应系统
CN112261004B (zh) 一种Domain Flux数据流的检测方法及装置
CN110768934A (zh) 网络访问规则的检查方法和装置
CN111510443B (zh) 基于设备画像的终端监测方法和终端监测装置
CN114584356A (zh) 网络安全监控方法及网络安全监控系统
CN112543177A (zh) 一种网络攻击检测方法及装置
CN110445799B (zh) 入侵阶段的确定方法、装置及服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant