CN108600188A - 一种网络安全硬件系统运行环境威胁感知方法 - Google Patents
一种网络安全硬件系统运行环境威胁感知方法 Download PDFInfo
- Publication number
- CN108600188A CN108600188A CN201810281715.7A CN201810281715A CN108600188A CN 108600188 A CN108600188 A CN 108600188A CN 201810281715 A CN201810281715 A CN 201810281715A CN 108600188 A CN108600188 A CN 108600188A
- Authority
- CN
- China
- Prior art keywords
- stream
- data
- network
- security hardware
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全硬件系统运行环境威胁感知方法,包括以下步骤,S1,首先将该网络安全硬件系统与第三方网络设备系统进行连接;S2,接收来自该第三方网络设备系统的信息流Netflow数据;S3,对获得的所述Netflow数据进行流量过滤、流量聚合和特征提取;S4,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测;S5,显示统计分析结果以及该异常信息流检测结果。本发明通过信息流捕获技术能够精准捕获网络中数据流量,减少资源消耗;基于异常时间片和信息流的多粒度异常检测能够精准检测网络威胁。
Description
技术领域
本发明涉及网络安全硬件的环境监测技术领域,尤其涉及一种网络安全硬件系统运行环境威胁感知方法。
背景技术
随着互联网技术的高速发展,网络结构日趋复杂,网络环境交叉渗透,网络攻击纷繁多样。层出不穷的网络安全事件给社会带来巨大的经济损失和严重的社会影响。为应对目前网络中越来越多的威胁,当前市场上出现了入侵检测系统、入侵防御系统、杀毒软件、防火墙等多样化的网络安全产品,但是这些产品具有以下局限性:无法满足高速网络的发展:面对较大实时的网络数据,很难满足精准检测的要求,而满足精确检测要求的产品效率较低或需要消耗大量的系统资源。
目前国内网络威胁监测分析技术主要侧重病毒监测防护及威胁监测防护方面,通过使用一主一备的网络设备工作模式或用户终端设备加软硬件保护的方式,将病毒扫描、威胁检测及网络检测功能集中,这类产品对少量设备监测还可以应付,但对于大流量、大容量数据环境下,便会出现误差或产生不可靠的情况。
为此,本发明提出一种网络安全硬件系统运行环境威胁感知方法。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的一种网络安全硬件系统运行环境威胁感知方法。
为了实现上述目的,本发明采用了如下技术方案:
一种网络安全硬件系统运行环境威胁感知方法,包括以下步骤,
S1,首先将该网络安全硬件系统与第三方网络设备系统进行连接;
S2,接收来自该第三方网络设备系统的信息流Netflow数据;
S3,对获得的所述Netflow数据进行流量过滤、流量聚合和特征提取;
S4,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测;
当检测结果异常时,获取异常时间片和异常信息流检测结果;
对检测到的异常信息流检测结果进行统计分析,自动获得攻击类型;
S5,显示统计分析结果以及该异常信息流检测结果。
优选的,接收来自该第三方网络设备系统的信息流Netflow数据,包括:对于支持发送Netflow的该第三方网络设备系统,以用户数据包协议UDP包的方式接收所述第三方网络设备系统发送的所述Netflow数据。
优选的,对获得的所述Netflow数据进行流量过滤,包括:为采集的所述Netflow数据以源IP、目的IP、源端口、目的端口、应用协议的组合为会话特征创建一个会话,并为创建的每一个所述会话分配一个会话身份标记ID,在内存中创建以所述会话ID为主键的哈希表。
优选的,所述对所述Netflow数据进行特征提取,包括:对获得的所述Netflow数据进行分析,获得单个会话连接的源IP、目的IP、源端口、目的端口、协议、持续时间、包字节数、总字节数。
优选的,获得单个会话连接的源IP、目的IP包括:提取过去一段时间内连接同一个源IP的目的IP数和过去一段时间内连接同一个目的IP的源IP数,以及同一个源IP和同一个目的IP之间的连接数。
优选的,所述方法还包括:当来自该第三方网络设备系统的信息流异常时,发出报警信息;其中,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测,包括:实时捕获来自该第三方网络设备系统的网络流量数据包,将一定时间片长度内捕获到的数据包以该时间片命名;对该时间片进行概要信息的记录;根据概要信息提取时间片网络流数据特征,形成特征文件;利用GBRT提升树算法对特征文件进行检测,得到异常时间片;基于包的异常时间片和相邻时间片,对异常时间片结合相邻时间片进行流重组;判断是否能提取出该异常时间片的流;如果能够提取出该异常时间片的流,进行该异常时间片的流特征提取和流特征选择,形成流特征文件。
优选的,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测,还包括:如果不能够提取出该异常时间片的流,重新进行流重组;利用AdaBoost算法对流特征文件进行异常检测;将检测结果融合得到异常流数据检测结果。
优选的,所述异常流数据检测结果包括:攻击类型、攻击源、攻击目标和攻击发生的时间。
本发明提出的一种网络安全硬件系统运行环境威胁感知方法,通过信息流捕获技术能够精准捕获网络中数据流量,减少资源消耗;基于异常时间片和信息流的多粒度异常检测能够精准检测网络威胁;通过威胁分析能自动分析提取攻击类型;对网络威胁能够及时做出预警。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
实施例一
本发明提出的一种网络安全硬件系统运行环境威胁感知方法,包括以下步骤,
S1,首先将该网络安全硬件系统与第三方网络设备系统进行连接;
S2,接收来自该第三方网络设备系统的信息流Netflow数据;
S3,对获得的Netflow数据进行流量过滤、流量聚合和特征提取;
S4,对经过流量过滤、流量聚合和特征提取操作后的Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测;
当检测结果异常时,获取异常时间片和异常信息流检测结果;
对检测到的异常信息流检测结果进行统计分析,自动获得攻击类型;
S5,显示统计分析结果以及该异常信息流检测结果。
本发明中,接收来自该第三方网络设备系统的信息流Netflow数据,包括:对于支持发送Netflow的该第三方网络设备系统,以用户数据包协议UDP包的方式接收第三方网络设备系统发送的Netflow数据,对获得的Netflow数据进行流量过滤,包括:为采集的Netflow数据以源IP、目的IP、源端口、目的端口、应用协议的组合为会话特征创建一个会话,并为创建的每一个会话分配一个会话身份标记ID,在内存中创建以会话ID为主键的哈希表,对Netflow数据进行特征提取,包括:对获得的Netflow数据进行分析,获得单个会话连接的源IP、目的IP、源端口、目的端口、协议、持续时间、包字节数、总字节数,获得单个会话连接的源IP、目的IP包括:提取过去一段时间内连接同一个源IP的目的IP数和过去一段时间内连接同一个目的IP的源IP数,以及同一个源IP和同一个目的IP之间的连接数。
实施例二
方法还包括:当来自该第三方网络设备系统的信息流异常时,发出报警信息;其中,对经过流量过滤、流量聚合和特征提取操作后的Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测,包括:实时捕获来自该第三方网络设备系统的网络流量数据包,将一定时间片长度内捕获到的数据包以该时间片命名;对该时间片进行概要信息的记录;根据概要信息提取时间片网络流数据特征,形成特征文件;利用GBRT提升树算法对特征文件进行检测,得到异常时间片;基于包的异常时间片和相邻时间片,对异常时间片结合相邻时间片进行流重组;判断是否能提取出该异常时间片的流;如果能够提取出该异常时间片的流,进行该异常时间片的流特征提取和流特征选择,形成流特征文件,对经过流量过滤、流量聚合和特征提取操作后的Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测,还包括:如果不能够提取出该异常时间片的流,重新进行流重组;利用AdaBoost算法对流特征文件进行异常检测;将检测结果融合得到异常流数据检测结果,异常流数据检测结果包括:攻击类型、攻击源、攻击目标和攻击发生的时间。
本发明提出的一种网络安全硬件系统运行环境威胁感知方法,通过信息流捕获技术能够精准捕获网络中数据流量,减少资源消耗;基于异常时间片和信息流的多粒度异常检测能够精准检测网络威胁;通过威胁分析能自动分析提取攻击类型;对网络威胁能够及时做出预警。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
Claims (8)
1.一种网络安全硬件系统运行环境威胁感知方法,其特征在于,包括以下步骤,
S1,首先将该网络安全硬件系统与第三方网络设备系统进行连接;
S2,接收来自该第三方网络设备系统的信息流Netflow数据;
S3,对获得的所述Netflow数据进行流量过滤、流量聚合和特征提取;
S4,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测;
当检测结果异常时,获取异常时间片和异常信息流检测结果;
对检测到的异常信息流检测结果进行统计分析,自动获得攻击类型;
S5,显示统计分析结果以及该异常信息流检测结果。
2.根据权利要求1所述的一种网络安全硬件系统运行环境威胁感知方法,其特征在于,接收来自该第三方网络设备系统的信息流Netflow数据,包括:对于支持发送Netflow的该第三方网络设备系统,以用户数据包协议UDP包的方式接收所述第三方网络设备系统发送的所述Netflow数据。
3.根据权利要求1所述的一种网络安全硬件系统运行环境威胁感知方法,其特征在于,对获得的所述Netflow数据进行流量过滤,包括:为采集的所述Netflow数据以源IP、目的IP、源端口、目的端口、应用协议的组合为会话特征创建一个会话,并为创建的每一个所述会话分配一个会话身份标记ID,在内存中创建以所述会话ID为主键的哈希表。
4.根据权利要求1所述的一种网络安全硬件系统运行环境威胁感知方法,其特征在于,所述Netflow数据进行特征提取,包括:对获得的所述Netflow数据进行分析,获得单个会话连接的源IP、目的IP、源端口、目的端口、协议、持续时间、包字节数、总字节数。
5.根据权利要求4所述的一种网络安全硬件系统运行环境威胁感知方法,其特征在于,获得单个会话连接的源IP、目的IP包括:提取过去一段时间内连接同一个源IP的目的IP数和过去一段时间内连接同一个目的IP的源IP数,以及同一个源IP和同一个目的IP之间的连接数。
6.根据权利要求1所述的一种网络安全硬件系统运行环境威胁感知方法,其特征在于,所述方法还包括:当来自该第三方网络设备系统的信息流异常时,发出报警信息;其中,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测,包括:实时捕获来自该第三方网络设备系统的网络流量数据包,将一定时间片长度内捕获到的数据包以该时间片命名;对该时间片进行概要信息的记录;根据概要信息提取时间片网络流数据特征,形成特征文件;利用GBRT提升树算法对特征文件进行检测,得到异常时间片;基于包的异常时间片和相邻时间片,对异常时间片结合相邻时间片进行流重组;判断是否能提取出该异常时间片的流;如果能够提取出该异常时间片的流,进行该异常时间片的流特征提取和流特征选择,形成流特征文件。
7.根据权利要求1所述的一种网络安全硬件系统运行环境威胁感知方法,其特征在于,对经过所述流量过滤、所述流量聚合和所述特征提取操作后的所述Netflow数据使用GBRT提升树算法和AdaBoost算法进行威胁检测,还包括:如果不能够提取出该异常时间片的流,重新进行流重组;利用AdaBoost算法对流特征文件进行异常检测;将检测结果融合得到异常流数据检测结果。
8.根据权利要求7所述的一种网络安全硬件系统运行环境威胁感知方法,其特征在于,所述异常流数据检测结果包括:攻击类型、攻击源、攻击目标和攻击发生的时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810281715.7A CN108600188A (zh) | 2018-04-02 | 2018-04-02 | 一种网络安全硬件系统运行环境威胁感知方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810281715.7A CN108600188A (zh) | 2018-04-02 | 2018-04-02 | 一种网络安全硬件系统运行环境威胁感知方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108600188A true CN108600188A (zh) | 2018-09-28 |
Family
ID=63624072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810281715.7A Pending CN108600188A (zh) | 2018-04-02 | 2018-04-02 | 一种网络安全硬件系统运行环境威胁感知方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600188A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587117A (zh) * | 2018-11-09 | 2019-04-05 | 杭州安恒信息技术股份有限公司 | 一种全网udp端口扫描的防重放攻击方法 |
| CN109587120A (zh) * | 2018-11-15 | 2019-04-05 | 北京天融信网络安全技术有限公司 | 通过目标感知进行威胁报警的方法、装置及设备 |
| CN111147423A (zh) * | 2018-11-02 | 2020-05-12 | 千寻位置网络有限公司 | 风险的感知方法及装置、监控系统 |
| CN116366503A (zh) * | 2023-06-02 | 2023-06-30 | 腾讯科技(深圳)有限公司 | 一种数据处理方法和相关装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
| CN106034056A (zh) * | 2015-03-18 | 2016-10-19 | 北京启明星辰信息安全技术有限公司 | 一种业务安全分析的方法和系统 |
| CN106357470A (zh) * | 2016-11-15 | 2017-01-25 | 中国电子科技集团公司第四十研究所 | 一种基于sdn控制器网络威胁快速感知方法 |
| CN106685984A (zh) * | 2017-01-16 | 2017-05-17 | 东北大学 | 一种基于数据包捕获技术的网络威胁分析系统及方法 |
| EP3171572A1 (en) * | 2015-02-15 | 2017-05-24 | Huawei Technologies Co., Ltd. | Network security protection method and device |
-
2018
- 2018-04-02 CN CN201810281715.7A patent/CN108600188A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3171572A1 (en) * | 2015-02-15 | 2017-05-24 | Huawei Technologies Co., Ltd. | Network security protection method and device |
| CN106034056A (zh) * | 2015-03-18 | 2016-10-19 | 北京启明星辰信息安全技术有限公司 | 一种业务安全分析的方法和系统 |
| CN105553957A (zh) * | 2015-12-09 | 2016-05-04 | 国家电网公司 | 基于大数据的网络安全态势感知预警方法和系统 |
| CN106357470A (zh) * | 2016-11-15 | 2017-01-25 | 中国电子科技集团公司第四十研究所 | 一种基于sdn控制器网络威胁快速感知方法 |
| CN106685984A (zh) * | 2017-01-16 | 2017-05-17 | 东北大学 | 一种基于数据包捕获技术的网络威胁分析系统及方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147423A (zh) * | 2018-11-02 | 2020-05-12 | 千寻位置网络有限公司 | 风险的感知方法及装置、监控系统 |
| CN109587117A (zh) * | 2018-11-09 | 2019-04-05 | 杭州安恒信息技术股份有限公司 | 一种全网udp端口扫描的防重放攻击方法 |
| CN109587117B (zh) * | 2018-11-09 | 2021-03-30 | 杭州安恒信息技术股份有限公司 | 一种全网udp端口扫描的防重放攻击方法 |
| CN109587120A (zh) * | 2018-11-15 | 2019-04-05 | 北京天融信网络安全技术有限公司 | 通过目标感知进行威胁报警的方法、装置及设备 |
| CN116366503A (zh) * | 2023-06-02 | 2023-06-30 | 腾讯科技(深圳)有限公司 | 一种数据处理方法和相关装置 |
| CN116366503B (zh) * | 2023-06-02 | 2023-08-08 | 腾讯科技(深圳)有限公司 | 一种数据处理方法和相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108600188A (zh) | 一种网络安全硬件系统运行环境威胁感知方法 | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| US10091167B2 (en) | Network traffic analysis to enhance rule-based network security | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| CN107046543A (zh) | 一种面向攻击溯源的威胁情报分析系统 | |
| CN109617865A (zh) | 一种基于移动边缘计算的网络安全监测与防御方法 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| CN106411562A (zh) | 一种电力信息网络安全联动防御方法及系统 | |
| CN109672671A (zh) | 基于智能行为分析的安全网关及安全防护系统 | |
| CN108768917A (zh) | 一种基于网络日志的僵尸网络检测方法及系统 | |
| CN103957203B (zh) | 一种网络安全防御系统 | |
| Dongxia et al. | An intrusion detection system based on honeypot technology | |
| CN109347806A (zh) | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 | |
| CN111726364B (zh) | 一种主机入侵防范方法、系统及相关装置 | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| CN111641591A (zh) | 云服务安全防御方法、装置、设备及介质 | |
| CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
| CN113810362A (zh) | 一种安全风险检测处置系统及其方法 | |
| Nijim et al. | FastDetict: A data mining engine for predecting and preventing DDoS attacks | |
| Jadhav et al. | A novel approach for the design of network intrusion detection system (NIDS) | |
| CN101453363A (zh) | 网络入侵检测系统 | |
| CN100521625C (zh) | 计算机网络应急响应之安全策略生成系统 | |
| CN104580087A (zh) | 一种免疫网络系统 | |
| Beigh et al. | Performance evaluation of different intrusion detection system: An empirical approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180928 |
|
| RJ01 | Rejection of invention patent application after publication |