CN109587179B - 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 - Google Patents
一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 Download PDFInfo
- Publication number
- CN109587179B CN109587179B CN201910077699.4A CN201910077699A CN109587179B CN 109587179 B CN109587179 B CN 109587179B CN 201910077699 A CN201910077699 A CN 201910077699A CN 109587179 B CN109587179 B CN 109587179B
- Authority
- CN
- China
- Prior art keywords
- flow
- alarm
- data
- source address
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0681—Configuration of triggering conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,通过交换机旁路镜像接受用户网络流量,分离出TCP协议的流量,然后提取SSH协议流量中的关键特征用于行为判断;根据关键特征信息判断每条SSH协议的流量数据的行为模式,依据源地址和目的地址聚合SSH协议数据,再根据每条流量数据的行为模式,综合考虑和判断当前源地址和目的地址的整体通讯行为模式;不同的模式对应不同的告警信息,而相同类型的告警也会有着不同的告警等级。本发明能够提供一种基础数据获取简单、避免了传统识别的繁琐、可适用范围广、识别判断快速简便且准确率高的基于旁路网络全流量的SSH协议行为模式识别与告警方法。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于旁路网络全流量的SSH协议行为模式识别与告警方法。
背景技术
安全外壳协议(Secure Shell protocol)简写为SSH,是一种建立在应用层基础上的安全协议,旨在不安全网络上提供安全远程登录及其它安全网络服务。
对于暴露在互联网上的服务器,无时不刻正遭受恶意的SSH暴力破解攻击,常见的攻击方式是攻击者通过密码字典或随机组合密码的方式尝试登陆服务器,这种攻击行为一般不会有明确攻击目标,大多数是通过扫描软件直接扫描整个广播域或网段获取开启SSH协议端口的服务器信息,然后再发起相应攻击,然而对于大多数服务器并没有在遭受恶意SSH暴力破解攻击时的预警服务。
此外,目前大多数预警系统都是依靠分析每台服务器SSH协议的登陆日志来判断恶意攻击行为以及该行为是否破解成功。这类方法需要对每台服务器进行相应的配置从而获取相关SSH协议的日志信息,操作较为繁琐。特别地,在大型网络环境下,这项工作将对服务器系统管理员的工作带来了巨大的考验和较高的要求。综上所述,本文提出一种基于流量信息的SSH协议行为模式的识别告警方法。
发明内容
本发明目的是为了克服现有技术的不足而提供一种基础数据获取简单、避免了传统识别的繁琐、可适用范围广、识别判断快速简便且准确率高的基于旁路网络全流量的SSH协议行为模式识别与告警方法。
下述文档中涉及到的英文所对应的中文解释如下:TCP(传输控制协议报文);local_bl(本地黑名单);weak_ip(本地受攻击名单);sip (源地址);dip (目的地址);inpacket (源地址所发出的流量包的数量);retransmit_in (源地址所发出的流量包的重传数量);outpacket (目的地址所发出的流量包的数量);retransmit_out (目的地址所发出的流量包的重传数量);timeout_state (TCP连接的结束状态);inpackets (源地址实际所发出的流量包的数量);outpackets (目的地址实际所发出的流量包的数量);timeout_state (TCP连接的结束状态);info(第一级);warn(第二级)。
为达到上述目的,本发明采用了如下技术方案。
一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,具体包括以下步骤:
步骤一:通过交换机镜像获取网络流量,从中分离得到TCP的流量信息,再通过对TCP流量进行分析获取得到SSH协议相关的数据,最后对SSH协议数据进行清洗和分析,从数据集合中提取关键特征信息;所述获取数据、清洗数据以及提取特征的操作具体包括先通过对交换机进行配置,将镜像流量导出至数据解析器,根据网络报文信息解析获取得到TCP的流量,每次TCP通讯记作一条流量数据;再根据TCP报文中目的端口信息,提取出端口SSH协议的流量信息;再对SSH协议的流量信息进行清洗和分析,从报文信息中提取sip (源地址)、dip (目的地址)的特征信息,并统计本次通讯过程中inpacket (源地址所发出的流量包的数量)、retransmit_in (源地址所发出的流量包的重传数量)、outpacket (目的地址所发出的流量包的数量)、retransmit_out (目的地址所发出的流量包的重传数量)以及记录timeout_state (TCP连接的结束状态),共七个特征信息;
步骤二:根据所述步骤一所获取的数据关键特征信息,判断当前集合内的每条流量数据类型是属于登陆成功、暴力破解和扫描过程;
步骤三:依据所述步骤二中获得的每条流量数据的判断结果,进行综合考虑和推断当前时间段内的整体行为,根据整体行为执行相应的告警操作;
步骤四:依据所述步骤三中的告警操作,进行更新和维护本地黑名单local_bl和本地受攻击名单weak_ip。
作为本发明的进一步改进,还对所述步骤一中的七个特征信息作进一步降维操作,具体操作是记inpackets (源地址实际所发出的流量包的数量)的取值为inpacket减去retransmit_in后的值,同理, outpackets (目的地址实际所发出的流量包的数量)的取值为outpacket减去retransmit_out后的值,将七个特征降为五个特征(sip, dip,inpackets, outpackets, timeout_state),该降维操作有利于减少计算数据量,提升计算效率和节约计算资源。
在所述特征信息中,timeout_state (TCP连接的结束状态)是对TCP通讯过程中所出现的结束情况的总结,用于判断当前TCP连接是否属于未连接、已连接、是否结束状态多种情况。
作为本发明的进一步改进,依据所提取的数据特征,识别判断当前数据集内数据所对应的行为特征,具体识别过程包括:
若在SSH协议的流量数据中存在“inpackets>=30 AND outpackets>=30”的数据,则表明本次通讯行为属于登陆成功;
若在SSH协议的流量数据中存在“14<=inpackets<28 AND 14<=outpackets<28AND timeout_state IN [8,13,14,15]”的数据,则表明本次通讯行为属于暴力破解过程;
若在SSH协议的流量数据中存在“inpackets <5 AND outpackets <5 ANDinpackets>=outpackets AND timeout_state IN [1,4,10,11,13,15]”的数据,则表明本次通讯行为属于扫描过程。
作为本发明的进一步改进,依据所列举的条件和信息,再进行对当前检查时间段内判断整体行为模式,整体行为模式是指源地址(sip)和目的地址(dip)在当前时间段内的通讯行为模式,具体执行告警方法如下:
若判断当前行为属于登陆成功过程后执行告警方法,包括:首先会检查当前源地址(sip)是否属于local_wl(白名单)文件,若是则不告警;若不是,则发出info(第一级)级别的告警,提醒管理员存在异常可疑的登陆情况;发出info告警后,接着判断当前时间内登陆成功的数据量占当前源地址与目的地址的TCP通讯总数据量的百分比,若百分比超过预设阈值,则发出warn(第二级)级别告警;
若判断当前行为属于暴力破解过程后执行告警方法,包括:首先判断当前时间内暴力破解的数据量占当前源地址与目的地址的TCP通讯总数据量的百分比,若超过预设阈值,则发出info级别告警;在发出info告警后,接着判断当前源地址(sip)是否属于local_bl文件,或被第三方情报源标记为异常IP,若判断为是,则提升告警等级为warn,反之则写入local_bl,在下一个时间段内继续观察;
若判断当前行为属于扫描过程后执行告警方法,包括:首先判断当前时间内源地址(sip)的数据量占当前源地址的TCP通讯总数据量的百分比,若超过预设阈值,则发出info级别告警,若不超过则继续判断sip是否属于local_bl文件;若属于则同样发出info级别告警,若不存在,则不告警;在发出info告警后,接着判断当前源地址(sip)是否属于内网IP且扫描速率是否达到IP per minute,即每分钟探测一个IP,若判断已达到,则提升告警等级为warn。
作为本发明的进一步改进,依据S4-S7步骤中的判断方法,在确认行为后,将相关源地址(sip)写入local_bl文件,将目的地址(dip)写入weak_ip文件。其中,local_bl文件记录恶意源地址信息,包括:源地址位置信息、所属分类(扫描、破解、恶意登陆)、最近一次更新时间;其中,weak_ip记录内网目的地址信息,包括:所属分类(是否被扫描、是否被暴力破解、是否被恶意登陆)、最近一次更新时间3。
local_wl文件是预先设置的源地址白名单,记录允许异地访问的sip或位置信息。
作为本发明的进一步改进,local_bl和weak_ip两份文件会基于每次检查的结果进行在线自动更新,其中,tag字段的取值范围0-7,使用二进制表示威胁类型如下:000(0)表示无威胁、100(4)表示登陆、010(2)表示撞库、001(1)表示扫描,若local_ip中某个IP的标签tag=6(110),表示该IP既属于恶意暴力破解也属于成功登陆。
作为本发明的进一步改进,local_bl和weak_ip两份文件更新操作中,若IP存在文件中则判断上一次更新时间与当前时间之间关系决定是否更新;若不存在则构建新的IP关键字进行更新。
由于上述技术方案的运用,本发明的技术方案带来的有益技术效果:本技术方案通过从交换机获取镜像流量,配置操作较为简单和便捷;本技术方案同时也无需对SSH协议流量进行解密操作,而是通过另一视角观测流量信息,加速识别和判断过程,并且在识别和判断后立即发出相应的预警信息和解决方案,极大提高系统管理员的工作效率;本技术方案只需依据旁路网络的流量信息,在不对SSH安全协议的流量数据进行解密的情况下对其行为模式进行识别,旨在根据行为模式判断当前网络攻击形式以及当前网络和网络主机所受到的威胁情况,并依据攻击形式和所受威胁情况向网络管理员提供告警和应对攻击的方法,实现保护内网主机安全;本发明使用多级规则进行管道式的组合,降低了整体运算量和规则的复杂度;同时使用流量信息且在不对SSH协议进行解密的情况下判断整体的行为模式,提高了运算速度;另外,相比通过日志判断行为的方法,本方法延展了对威胁情况的刻画,提高了识别的准确率。
具体实施方式
下面结合反应路线及具体实施例对本发明作进一步的详细说明。
一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,具体包括:
(1)旁路监控设备抓取交换机的镜像流量,从中分离出TCP流量,再根据目的端口过滤出SSH协议的流量数据。
(2)对SSH协议的流量数据进行清洗,从每条数据中提取五元组信息(sip ,dip ,inpackets ,outpackets , timeout_state)。
(3)对五元组信息进行判断,分析确认是否属于扫描过程、暴力破解过程还是登陆成功过程,具体判断过程如下:
若在SSH协议的流量数据中存在“inpackets >=30 AND outpackets >=30”的数据,则表明本次通讯行为属于登陆成功;
若在SSH协议的流量数据中存在“ 14<= inpackets <28 AND 14<= outpackets <28 AND timeout_state IN [8,13,14,15]”的数据,则表明本次通讯行为属于暴力破解过程;
若在SSH协议的流量数据中存在“inpackets <5 AND outpackets <5 ANDinpackets >= outpackets AND timeout_state IN [1,4,10,11,13,15]”的数据,则表明本次通讯行为属于扫描过程。
(4)根据每条数据的分析判断的结果,综合考虑和整体判断当前时间内(sip ,dip)之间的通讯行为模式,并根据其整体的行为模式发出相应的预警信息.具体预警过程如下:
若当前行为属于登陆成功过程,那么告警步骤包括:首先会检查当前源地址(sip)是否属于白名单,若是则不告警;若不是,则发出info级别的告警,提醒管理员存在异常可疑的登陆情况;在发出info告警后,会进一步判断当前时间内登陆成功的数据量占当前源地址与目的地址的TCP通讯总数据量的百分比,若百分比超过预设阈值50%,则发出warn级别告警;
若当前行为属于暴力破解过程那么告警步骤包括:首先判断当前时间内暴力破解的数据量占当前源地址与目的地址的TCP通讯总数据量的百分比,若超过预设阈值50%,则发出info级别告警;在发出info告警后,进一步判断当前源地址(sip)是否属于local_bl文件,或被第三方情报源标记为异常IP;若是,则提升告警等级为warn;反之,则写入local_bl,在下一个时间段内继续观察;
若当前行为属于扫描过程,那么告警步骤包括:首先判断当前时间内源地址(sip)的数据量占当前源地址的TCP通讯总数据量的百分比,若超过预设阈值50%,则发出info级别告警;若不超过,则继续判断sip是否属于local_bl文件,若属于同样发出info级别告警,若不存在,则不告警。在发出info告警后,进一步判断当前源地址(sip)是否属于内网IP且扫描速率是否达到IP per minute,即每分钟探测一个IP,若是,则提升告警等级为warn。
(5)根据分析确认当前过程的行为模式和预警信息,自动更新IP黑名单local_ip文件和内网被攻击IP的名单weak_ip文件。文件格式见附表1和表2,具体查询与更新方式如下:查询时,以IP为关键字搜索,若存在则返回对应内容,根据内容中IP标记和上一次更新时间判断当前记录是否有效。若上一次更新时间与当前查询时间的差大于阈值一个月,则表示当前记录失效,将对应的tag值赋值为0;反之则表示有效,即可使用IP标记辅助判断;
更新时,以IP为关键字搜索,若存在则更新对应内容,根据告警信息更新IP标记,然后将上次更新时间修改为当前时间;若不存在IP,则创建新的IP关键字,构造对应内容,IP标记为当前告警信息,更新时间为当前时间。
为便于全面理解上述方案,还提供表1、表2和表3,具体表格说明如下:其中,表1为数据特征timeout_state的值以及对应的含义;表2为源地址黑名单local_ip文件的文件格式;表3为遭受攻击的目的地址IP名单weak_ip的文件格式。
以上仅是本发明的具体应用范例,对本发明的保护范围不构成任何限制。凡采用等同变换或者等效替换而形成的技术方案,均落在本发明权利保护范围之内。
Claims (8)
1.一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,其特征在于,具体包括以下步骤:
步骤一:通过交换机镜像获取网络流量,从中分离得到TCP的流量信息,再通过对TCP流量进行分析获取得到SSH协议相关的数据,最后对SSH协议数据进行清洗和分析,从数据集合中提取关键特征信息;所述获取数据、清洗数据以及提取特征的操作具体包括先通过对交换机进行配置,将镜像流量导出至数据解析器,根据网络报文信息解析获取得到TCP的流量,每次TCP通讯记作一条流量数据;再根据TCP报文中目的端口信息,提取出端口SSH协议的流量信息;再对SSH协议的流量信息进行清洗和分析,从报文信息中提取源地址sip 、目的地址dip 的特征信息,并统计本次通讯过程中源地址所发出的流量包的数量inpacket 、源地址所发出的流量包的重传数量retransmit_in 、目的地址所发出的流量包的数量outpacket、目的地址所发出的流量包的重传数量retransmit_out以及记录TCP连接的结束状态timeout_state,共七个特征信息;
步骤二:根据所述步骤一所获取的数据关键特征信息,判断当前集合内的每条流量数据类型是属于登陆成功、暴力破解和扫描过程;
步骤三:依据所述步骤二中获得的每条流量数据的判断结果,进行综合考虑和推断当前时间段内的整体行为,根据整体行为执行相应的告警操作;
步骤四:依据所述步骤三中的告警操作,进行更新和维护本地黑名单local_bl和本地受攻击名单weak_ip。
2.根据权利要求1所述的一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,其特征在于:还对所述步骤一中的七个特征信息作进一步降维操作,具体操作是记源地址实际所发出的流量包的数量inpackets的取值为inpacket减去retransmit_in后的值,同理,目的地址实际所发出的流量包的数量outpackets 的取值为outpacket减去retransmit_out后的值,将七个特征降为五个如下特征sip、dip、inpackets、outpackets和timeout_state。
3.根据权利要求1所述的一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,其特征在于:根据所述步骤一中所提取的数据特征信息,进行识别判断当前数据集内数据所对应的行为特征,具体过程包括:
若在SSH协议的流量数据中存在“inpackets>=30 AND outpackets>=30”的数据,则表明本次通讯行为属于登陆成功;
若在SSH协议的流量数据中存在“14<=inpackets<28 AND 14<=outpackets<28 ANDtimeout_state IN [8,13,14,15]”的数据,则表明本次通讯行为属于暴力破解过程;
若在SSH协议的流量数据中存在“inpackets <5 AND outpackets <5 AND inpackets>=outpackets AND timeout_state IN [1,4,10,11,13,15]”的数据,则表明本次通讯行为属于扫描过程。
4.根据权利要求1所述的一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,其特征在于:根据所述步骤三中所列举的条件和信息,再进行对当前检查时间段内判断整体行为模式,整体行为模式是指源地址sip和目的地址dip在当前时间段内的通讯行为模式,具体执行告警方法如下:
若判断当前行为属于登陆成功过程后执行告警方法,包括:首先会检查当前源地址sip是否属于白名单local_wl文件,若是则不告警;若不是,则发出第一级info级别的告警,提醒管理员存在异常可疑的登陆情况;发出info告警后,接着判断当前时间内登陆成功的数据量占当前源地址与目的地址的TCP通讯总数据量的百分比,若百分比超过预设阈值,则发出第二级warn级别告警;
若判断当前行为属于暴力破解过程后执行告警方法,包括:首先判断当前时间内暴力破解的数据量占当前源地址与目的地址的TCP通讯总数据量的百分比,若超过预设阈值,则发出info级别告警;在发出info告警后,接着判断当前源地址sip是否属于local_bl文件,或被第三方情报源标记为异常IP,若判断为是,则提升告警等级为warn,反之则写入local_bl,在下一个时间段内继续观察;
若判断当前行为属于扫描过程后执行告警方法,包括:首先判断当前时间内源地址sip的数据量占当前源地址的TCP通讯总数据量的百分比,若超过预设阈值,则发出info级别告警,若不超过则继续判断sip是否属于local_bl文件;若属于则同样发出info级别告警,若不存在,则不告警;在发出info告警后,接着判断当前源地址sip是否属于内网IP且扫描速率是否达到IP per minute,即每分钟探测一个IP,若判断已达到,则提升告警等级为warn。
5.根据权利要求4所述的一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,其特征在于:在完成判断确认行为后,将相关源地址sip写入local_bl文件,将目的地址dip写入weak_ip文件;其中,local_bl文件记录恶意源地址信息,包括:源地址位置信息、所属分类为扫描或破解或恶意登陆、最近一次更新时间;其中,weak_ip记录内网目的地址信息,包括:所属分类为是否被扫描或是否被暴力破解或是否被恶意登陆、最近一次更新时间。
6.根据权利要求4所述的一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,其特征在于:local_wl文件是预先设置的源地址白名单,记录允许异地访问的sip或位置信息。
7.根据权利要求5所述的一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,其特征在于:local_bl和weak_ip两份文件会基于每次检查的结果进行在线自动更新,其中,tag字段的取值范围0-7,使用二进制表示威胁类型如下:000(0)表示无威胁、100(4)表示登陆、010(2)表示撞库、001(1)表示扫描,若local_ip中某个IP的标签tag=6(110),表示该IP既属于恶意暴力破解也属于成功登陆。
8.根据权利要求5所述的一种基于旁路网络全流量的SSH协议行为模式识别与告警方法,其特征在于:local_bl和weak_ip两份文件更新操作中,若IP存在文件中则判断上一次更新时间与当前时间之间关系决定是否更新;若不存在则构建新的IP关键字进行更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910077699.4A CN109587179B (zh) | 2019-01-28 | 2019-01-28 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910077699.4A CN109587179B (zh) | 2019-01-28 | 2019-01-28 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109587179A CN109587179A (zh) | 2019-04-05 |
CN109587179B true CN109587179B (zh) | 2021-04-20 |
Family
ID=65917777
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910077699.4A Active CN109587179B (zh) | 2019-01-28 | 2019-01-28 | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109587179B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110430225A (zh) * | 2019-09-16 | 2019-11-08 | 杭州安恒信息技术股份有限公司 | 一种工业设备监管方法、装置、设备及可读存储介质 |
CN110750785B (zh) * | 2019-10-24 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
CN110808994B (zh) * | 2019-11-11 | 2022-01-25 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
CN111107087B (zh) * | 2019-12-19 | 2022-03-25 | 杭州迪普科技股份有限公司 | 报文检测方法及装置 |
CN111371740B (zh) * | 2020-02-17 | 2022-06-07 | 华云数据有限公司 | 一种报文流量监控方法、系统及电子设备 |
CN111526053B (zh) * | 2020-04-20 | 2021-05-14 | 电子科技大学 | 一种基于置信度的网络安全告警处理方法 |
CN111654486A (zh) * | 2020-05-26 | 2020-09-11 | 南京云利来软件科技有限公司 | 一种服务器设备判定识别方法 |
CN111641628B (zh) * | 2020-05-26 | 2022-04-19 | 南京云利来软件科技有限公司 | 一种子网欺骗DDoS攻击监测预警方法 |
CN111667267B (zh) * | 2020-05-29 | 2023-04-18 | 中国工商银行股份有限公司 | 一种区块链交易风险识别方法及装置 |
CN111813752A (zh) * | 2020-07-01 | 2020-10-23 | 四川长虹电器股份有限公司 | 一种获取rdp爆破攻击来源的方法和系统 |
CN112087465B (zh) * | 2020-09-17 | 2021-11-02 | 北京微步在线科技有限公司 | 一种基于聚合信息确定威胁事件的方法及装置 |
CN112751851B (zh) * | 2020-12-29 | 2023-05-23 | 科来网络技术股份有限公司 | 一种ssh登录成功行为判断方法、装置及存储介质 |
CN112804239B (zh) * | 2021-01-22 | 2022-04-08 | 山东维平信息安全测评技术有限公司 | 一种流量安全分析建模方法和系统 |
CN113596065B (zh) * | 2021-10-08 | 2021-12-07 | 成都数默科技有限公司 | 一种基于机器学习的ssh协议登录状态检测方法 |
CN114978636B (zh) * | 2022-05-12 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 低频暴力破解检测方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201789524U (zh) * | 2010-05-25 | 2011-04-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的装置 |
WO2015149035A1 (en) * | 2014-03-28 | 2015-10-01 | LÓPEZ DE PRADO, Marcos | Systems and methods for crowdsourcing of algorithmic forecasting |
CN105187224A (zh) * | 2014-06-17 | 2015-12-23 | 腾讯科技(深圳)有限公司 | 入侵检测方法和装置 |
CN106899948A (zh) * | 2015-12-21 | 2017-06-27 | 中国移动通信集团公司 | 伪基站发现方法、系统、终端及服务器 |
CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
CN107947921A (zh) * | 2017-11-22 | 2018-04-20 | 上海交通大学 | 基于递归神经网络和概率上下文无关文法的密码生成系统 |
-
2019
- 2019-01-28 CN CN201910077699.4A patent/CN109587179B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201789524U (zh) * | 2010-05-25 | 2011-04-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的装置 |
WO2015149035A1 (en) * | 2014-03-28 | 2015-10-01 | LÓPEZ DE PRADO, Marcos | Systems and methods for crowdsourcing of algorithmic forecasting |
CN105187224A (zh) * | 2014-06-17 | 2015-12-23 | 腾讯科技(深圳)有限公司 | 入侵检测方法和装置 |
CN106899948A (zh) * | 2015-12-21 | 2017-06-27 | 中国移动通信集团公司 | 伪基站发现方法、系统、终端及服务器 |
CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
CN107947921A (zh) * | 2017-11-22 | 2018-04-20 | 上海交通大学 | 基于递归神经网络和概率上下文无关文法的密码生成系统 |
Non-Patent Citations (1)
Title |
---|
基于旁路的网络流量监控模式;石贵民等;《重庆理工大学学报(自然科学)》;20110930;第25卷(第9期);63-69 * |
Also Published As
Publication number | Publication date |
---|---|
CN109587179A (zh) | 2019-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109587179B (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
US8272054B2 (en) | Computer network intrusion detection system and method | |
CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
CN110839019A (zh) | 一种面向电力监控系统的网络安全威胁溯源方法 | |
CN110602100A (zh) | Dns隧道流量的检测方法 | |
EP1490768A1 (en) | Adaptive behavioral intrusion detection systems and methods | |
CN110933111B (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
CN113364799B (zh) | 一种网络威胁行为的处理方法和系统 | |
Ireland | Intrusion detection with genetic algorithms and fuzzy logic | |
CN111541670A (zh) | 一种新型动态蜜罐系统 | |
CN112769827B (zh) | 一种网络攻击代理端检测及溯源方法与装置 | |
CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
CN112118154A (zh) | 基于机器学习的icmp隧道检测方法 | |
KR20220081145A (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
CN110061998B (zh) | 一种攻击防御方法及装置 | |
US8578479B2 (en) | Worm propagation mitigation | |
CN112910839B (zh) | 一种dns攻击的防御方法和装置 | |
CN111641628A (zh) | 一种子网欺骗DDoS攻击监测预警方法 | |
CN115603939A (zh) | 基于长短期记忆和注意力模型的分布式拒绝服务攻击检测方法 | |
CN112565259B (zh) | 过滤dns隧道木马通信数据的方法及装置 | |
CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
Nie et al. | Intrusion detection using a graphical fingerprint model | |
CN109309679B (zh) | 一种基于tcp流状态的网络扫描检测方法及检测系统 | |
CN115567322B (zh) | 一种基于tcp服务开放端口识别异常通信的方法 | |
Li et al. | Hidden Markov model based real time network security quantification method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230410 Address after: Room 101, No. 163, Pingyun Road, Tianhe District, Guangzhou City, Guangdong Province 510000 Room 103, self-made Patentee after: GUANGZHOU RADIO AND TELEVISION RESEARCH INSTITUTE Co.,Ltd. Address before: 210000 room 1-2-1, No.1, Guanghua East Street, Qinhuai District, Nanjing City, Jiangsu Province Patentee before: NANJING CLEARCLOUD SOFTWARE TECHNOLOGY CO.,LTD. |
|
TR01 | Transfer of patent right |