CN109889547B - 一种异常网络设备的检测方法及装置 - Google Patents
一种异常网络设备的检测方法及装置 Download PDFInfo
- Publication number
- CN109889547B CN109889547B CN201910251743.9A CN201910251743A CN109889547B CN 109889547 B CN109889547 B CN 109889547B CN 201910251743 A CN201910251743 A CN 201910251743A CN 109889547 B CN109889547 B CN 109889547B
- Authority
- CN
- China
- Prior art keywords
- session
- address
- network equipment
- target
- session information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本申请实施例提供了一种异常网络设备的检测方法及装置,涉及网络安全技术领域。该方法包括:获取目标会话的会话信息,目标会话为由设备类型为目标设备类型的网络设备发起的会话;在预先存储的网络设备和合法互联网协议IP地址的对应关系中,查询是否存在目标会话的会话信息中的第一目的IP地址;如果不存在第一目的IP地址,则在建立目标会话之后的第一预设时长内,统计网络设备发起的目的IP地址为第一目的IP地址的会话的第一数目;如果第一数目大于第一预设阈值,则将网络设备标记为问题网络设备;如果问题网络设备发送的流量数据满足预设的挖矿挖矿病毒检测条件,则确定问题网络设备为异常网络设备。采用本申请可以提高异常服务器的识别率。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种异常网络设备的检测方法及装置。
背景技术
目前,随着虚拟货币的持续火热,随之而来的挖矿病毒也日益泛滥。挖矿病毒会极大的占用服务器的计算资源,导致服务器的处理能力减弱。
现有技术中主要是通过互联网协议(英文:Internet Protocol,简称:IP)情报来确定服务器是否感染挖矿病毒,具体的处理过程为:检测设备中预先存储有矿池服务器名单,该矿池服务器名单包含技术人员输入的矿池服务器的IP地址。检测设备可以获取服务器发送的数据流量,并获取这些数据流量的目的IP地址,然后判断获取的目的IP地址中,是否存在矿池服务器的IP地址。如果确定某目的IP地址为矿池服务器的IP地址,确定该服务器为感染挖矿病毒的异常服务器。
然而,基于现有技术,由于IP情报的更新存在滞后性,对于新出现的矿池服务器无法进行识别,导致异常服务器的识别率较低。
发明内容
本申请实施例的目的在于提供一种异常网络设备的检测方法及装置,以提高异常服务器的识别率。具体技术方案如下:
第一方面,提供了一种异常网络设备的检测方法,所述方法包括:
获取目标会话的会话信息,所述目标会话为由设备类型为目标设备类型的网络设备发起的会话;
在预先存储的所述网络设备和合法互联网协议IP地址的对应关系中,查询是否存在所述目标会话的会话信息中的第一目的IP地址;
如果不存在所述第一目的IP地址,则在建立所述目标会话之后的第一预设时长内,统计所述网络设备发起的目的IP地址为所述第一目的IP地址的会话的第一数目;
如果所述第一数目大于第一预设阈值,则将所述网络设备标记为问题网络设备;
如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备。
可选的,所述获取目标会话的会话信息,包括:
获取多个会话的会话信息;
针对每个会话信息,根据预先存储的IP地址和设备类型的对应关系,确定该会话信息中的源IP地址对应的设备类型;
如果该会话信息中的源IP地址对应的设备类型为目标设备类型,则确定该会话信息为目标会话的会话信息。
可选的,所述如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备,包括:
获取在所述目标会话建立之后的第二预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第一会话的会话信息,并确定所述第一会话的会话信息中的上行流量的第一平均值;
获取在所述目标会话建立之前的第三预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第二会话的会话信息,并确定所述第二会话的会话信息中的上行流量的第二平均值;
如果所述第二平均值与所述第一平均值的差值大于第二预设阈值,则确定所述问题网络设备为异常网络设备。
可选的,所述如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备,包括:
在确定所述网络设备为问题网络设备之后的第四预设时长内,统计所述问题网络设备发起的目的端口相同的会话的第二数目;
如果所述第二数目大于第三预设阈值,则确定所述问题网络设备为异常网络设备。
第二方面,提供了一种异常网络设备的检测装置,所述装置包括:
获取模块,用于获取目标会话的会话信息,所述目标会话为由设备类型为目标设备类型的网络设备发起的会话;
查询模块,用于在预先存储的所述网络设备和合法互联网协议IP地址的对应关系中,查询是否存在所述目标会话的会话信息中的第一目的IP地址;
统计模块,用于如果不存在所述第一目的IP地址,则在建立所述目标会话之后的第一预设时长内,统计所述网络设备发起的目的IP地址为所述第一目的IP地址的会话的第一数目;
标记模块,用于如果所述第一数目大于第一预设阈值,则将所述网络设备标记为问题网络设备;
确定模块,用于如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备。
可选的,所述获取模块,具体用于:
获取多个会话的会话信息;
针对每个会话信息,根据预先存储的IP地址和设备类型的对应关系,确定该会话信息中的源IP地址对应的设备类型;
如果该会话信息中的源IP地址对应的设备类型为目标设备类型,则确定该会话信息为目标会话的会话信息。
可选的,所述确定模块,具体用于:
获取在所述目标会话建立之后的第二预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第一会话的会话信息,并确定所述第一会话的会话信息中的上行流量的第一平均值;
获取在所述目标会话建立之前的第三预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第二会话的会话信息,并确定所述第二会话的会话信息中的上行流量的第二平均值;
如果所述第二平均值与所述第一平均值的差值大于第二预设阈值,则确定所述问题网络设备为异常网络设备。
可选的,所述确定模块,具体用于:
在确定所述网络设备为问题网络设备之后的第四预设时长内,统计所述问题网络设备发起的目的端口相同的会话的第二数目;
如果所述第二数目大于第三预设阈值,则确定所述问题网络设备为异常网络设备。
第三方面,提供了一种检测设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面任一所述的方法步骤。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面任一所述的方法步骤。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面任一所述的方法。
本申请实施例提供的一种异常网络设备的检测方法及装置,其中,检测设备可以获取目标会话的会话信息,目标会话为由设备类型为目标设备类型的网络设备发起的会话。然后,检测设备在预先存储的网络设备和合法IP地址的对应关系中,查询是否存在目标会话的会话信息中的第一目的IP地址。如果不存在第一目的IP地址,则在建立目标会话之后的第一预设时长内,统计网络设备发起的目的IP地址为第一目的IP地址的会话的第一数目。如果第一数目大于第一预设阈值,则将网络设备标记为问题网络设备。如果问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定问题网络设备为异常网络设备。基于上述处理,检测设备根据挖矿病毒的特性,对目标网络设备的行为进行分析,以确定目标网络设备是否感染挖矿病毒,无需存储矿池服务器名单,提高了异常网络设备的识别率。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的组网的架构图;
图2为本申请实施例提供的一种异常网络设备的检测方法的流程图;
图3为本申请实施例提供的一种异常网络设备的检测方法的示例的流程图;
图4为本申请实施例提供的一种异常网络设备的检测装置的结构示意图;
图5为本申请实施例提供的一种检测设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种异常网络设备的检测方法,该方法可以应用于检测设备。该检测设备可以为检测服务器、防火墙等设备。图1为本申请实施例提供的组网的架构图。如图1所示,该组网包括交换机、检测设备和多个网络设备。其中,该交换机是具有路由功能的三层交换机,该网络设备是用于提供网络业务的业务服务器。网络设备可以通过交换机与外网连接,该网络设备可以与外网中的用户设备进行会话通信、也可以与组网中的其他网络设备进行会话通信。交换机可以与检测设备连接,用于将网络设备的流量通过镜像的方式转发至检测设备。
检测设备接收到某流量后,可以对流量进行解析,得到会话信息,进而根据会话信息分析该网络设备是否为异常网络设备。其中,会话信息可以包括源IP地址、源端口、目的IP地址、目的端口、传输层协议号、应用层协议号、上行流量、下行流量、上行报文数、下行报文数。会话信息还可以包括其他类型的信息,本申请实施例不作限定。如表一所示,为本申请实施例提供的会话信息的示例。
表一
其中,源IP地址为会话发起方的IP地址;目的IP地址为会话响应方的IP地址。
以网络设备为业务服务器为例,在业务服务器与用户设备的会话通信中,通常是由用户设备主动发起会话通信(即会话的会话信息中,源IP地址为用户设备的IP地址、目的地址为业务服务器的IP地址)。正常情况下,业务服务器不应该主动发起与用户设备的会话通信(即会话的会话信息中,源IP地址为业务服务器的IP地址、目的地址为用户设备的IP地址)。当业务服务器感染挖矿病毒后,该业务服务器会周期性的发起与挖矿服务器的会话通信(即会话的会话信息中,源IP地址为业务服务器的IP地址,目的地址为挖矿服务器的IP地址)。同时,由于挖矿病毒会极大的占用业务服务器的计算资源,导致业务服务器的处理能力减弱,因此,当业务服务器感染挖矿病毒后,业务服务器对应的会话信息中,上行流量和上行报文数(即业务服务器响应正常业务请求的流量和报文数)与业务服务器感染挖矿病毒前相比会大幅降低。另外,当业务服务器感染挖矿病毒后,为了传播挖矿病毒,业务服务器会主动向某一目的端口发起与其他网络设备的会话通信,因此,感染挖矿病毒后向某相同端口发起会话通信的数量与感染挖矿病毒前相比会大幅提高。
本申请实施例基于网络设备感染挖矿病毒后的上述特性,对网络设备进行异常检测。下面将结合具体实施方式,对本申请实施例提供的一种异常网络设备的检测方法进行详细的说明。如图2所示,具体步骤如下:
步骤S201,获取目标会话的会话信息。
其中,目标会话为由设备类型为目标设备类型的网络设备发起的会话。
本申请实施例中,检测设备可以接收交换机镜像的各网络设备的流量,并可以从流量中解析出会话信息。针对任一网络设备(即目标网络设备),检测设备可以从镜像的流量中,确定该目标网络设备对应的流量。例如,可以确定源IP地址为目标网络设备的IP地址的流量,以及目标IP地址为目标网络设备的IP地址的流量。然后,检测设备对目标网络设备对应的流量进行解析,得到该目标网络设备的会话对应的会话信息。检测设备可以在该目标网络设备对应的会话信息中,获取源IP地址为目标网络设备的IP地址的会话信息,该会话信息即由该目标网络设备发起的会话(即目标会话)的会话信息。
可选的,在步骤S201之前,检测设备获取目标会话的会话信息的具体处理过程如下。
步骤一,获取多个会话的会话信息。
本申请实施例中,检测设备可以对交换机发送的全部流量进行解析,得到多个会话的会话信息。这些会话信息可以为多个网络设备对应的会话的会话信息。
步骤二,针对每个会话信息,根据预先存储的IP地址和设备类型的对应关系,确定该会话信息中的源IP地址对应的设备类型。
本申请实施例中,检测设备中可以预先存储有IP地址和设备类型的对应关系。该对应关系可以由技术人员根据经验进行设置。其中,该对应关系中的IP地址可以包括组网中各网络设备的IP地址;该对应关系中的设备类型可以包括组网中各网络设备的设备类型(比如用户主机类型、服务器类型等)。
针对每个会话信息,检测设备可以先从该会话信息中获取源IP地址,然后判断该对应关系中是否存在该源IP地址。如果存在,则说明该源IP地址为组网中的设备的IP地址,检测设备可以从该对应关系中,进一步获取该源IP地址对应的设备类型,以判断该IP地址所属的设备是否为业务服务器。
步骤三,如果该会话信息中的源IP地址对应的设备类型为目标设备类型,则确定该会话信息为目标会话的会话信息。
其中,目标设备类型可以是服务器类型。
本申请实施例中,如果该会话信息中的源IP地址对应的设备类型为目标设备类型,则可以将该会话信息记录为目标会话的会话信息。该目标会话的会话信息为由网络设备发起的会话的会话信息,以便后续根据该会话信息分析网络设备是否感染挖矿病毒。其中,由于挖矿病毒主要的攻击对象为用于提供网络业务的服务器,因此,目标设备类型可以设置为服务器类型,以便对服务器进行检测。而其他设备(比如用户主机)感染挖矿病毒的可能性很低,所以无需进行检测。
步骤S202,在预先存储的网络设备和合法IP地址的对应关系中,查询是否存在目标会话的会话信息中的第一目的IP地址。
本申请实施例中,检测设备中可以预先存储有目标网络设备和合法IP地址的对应关系。其中,合法IP地址为合法设备的IP地址,该合法IP地址可以由技术人员进行设置。或者,检测设备也可以统计该目标网络设备在预设历史时长(比如一个月)内,发起的会话的会话信息中的目的IP地址,得到合法IP地址,然后建立该网络设备与合法IP地址的对应关系。
检测设备得到目标会话的会话信息后,可以在预先存储的目标网络设备和合法IP地址的对应关系中,查询是否存在该第一目的IP地址。如果不存在该第一目的IP地址,则执行步骤S203。如果存在该第一目的IP地址,则说明目标网络设备是与合法设备进行通信,检测设备可以不进行处理。
可选的,由于IP地址可以与域名进行相互转化,因此,本申请实施例中的IP地址可以替换为域名。相应的,检测设备中还可以预先存储有目标网络设备和合法域名的对应关系,检测设备得到目标会话的会话信息后,可以在预先存储的目标网络设备和合法域名的对应关系中,查询是否存在该目标会话的会话信息中的域名。如果不存在该域名,则执行步骤S203。如果存在该域名,则说明目标网络设备是与合法设备进行通信,检测设备可以不进行处理。
步骤S203,在建立目标会话之后的第一预设时长内,统计网络设备发起的目的IP地址为第一目的IP地址的会话的第一数目。
本申请实施例中,检测设备中可以预先存储有第一预设时长(比如7个自然日)。该第一预设时长可以由技术人员根据经验进行设置。检测设备可以从目标会话的会话信息中,获取目标会话的开始时间(即目标会话的建立时间),然后可以在该目标会话的建立时间之后的第一预设时长内,统计该目标网络设备发起的各会话的会话信息中、目的IP地址为第一目的IP地址的会话的数目(即第一数目)。
步骤S204,如果第一数目大于第一预设阈值,则将网络设备标记为问题网络设备。
本申请实施例中,检测设备中可以预先存储有第一预设阈值。该第一预设阈值可以由技术人员根据经验进行设置。检测设备得到第一数目后,可以进一步判断该第一数目是否大于第一预设阈值。根据挖矿病毒的特性,感染病毒的网络设备会频繁的主动建立与恶意服务器之间的会话。因此,如果该第一数目大于第一预设阈值,则说明该目标网络设备主动发起会话通信的频率较高,该目标网络设备可能为感染挖矿病毒的网络设备,检测设备可以将目标网络设备标记为问题网络设备。如果该第一数目小于第一预设阈值,则说明该目标网络设备主动发起会话通信的频率较低,该目标网络设备感染挖矿病毒的可能性较低,检测设备则不会将该目标网络设备标记为问题网络设备。
步骤S205,如果问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定问题网络设备为异常网络设备。
本申请实施例中,检测设备确定目标网络设备为问题网络设备后,可以进一步判断问题网络设备发送的流量数据是否满足预设的挖矿病毒检测条件。如果问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定问题网络设备为异常网络设备。如果问题网络设备发送的流量数据不满足预设的挖矿病毒检测条件,则确定问题网络设备为正常网络设备。其中,挖矿病毒检测条件可以根据挖矿病毒的特性确定,本申请实施例提供了两种可行的实施方式。
方式一,由于挖矿病毒会占用网络设备大量的处理资源,导致网络设备的网络业务的处理能力下降,因此,检测设备可以根据问题网络设备发外流量的流量基线的变化,确定该问题网络设备是否为异常网络设备。具体处理过程如下。
步骤一,获取在目标会话建立之后的第二预设时长内建立的、且目的IP地址为问题网络设备的IP地址的第一会话的会话信息,并确定第一会话的会话信息中的上行流量的第一平均值。
本申请实施例中,检测设备中可以预先存储有第二预设时长。该第二预设时长可以由技术人员根据经验进行设置。检测设备确定目标网络设备为问题网络设备后,可以从目标会话的会话信息中,获取目标会话的开始时间(即目标会话的建立时间),进而可以获取在该建立时间之后的第二预设时长内建立的、且目的IP地址为问题网络设备的IP地址的第一会话的会话信息。然后,分别从每个第一会话信息中获取上行流量,计算这些上行流量的平均值(即第一平均值)。第一平均值可以表示该问题网络设备发送的响应数据的平均数据量。
可选的,检测设备获取到第一会话的会话信息后,还可以进一步获取源IP地址非第一目的IP地址的会话的会话信息,然后计算这些会话信息中的上行流量的平均值。
步骤二,获取在目标会话建立之前的第三预设时长内建立的、且目的IP地址为问题网络设备的IP地址的第二会话的会话信息,并确定第二会话的会话信息中的上行流量的第二平均值。
本申请实施例中,检测设备中还可以预先存储有第三预设时长。该第三预设时长可以由技术人员根据经验进行设置。检测设备确定网络设备为问题网络设备后,可以从目标会话的会话信息中,获取目标会话的开始时间(即目标会话的建立时间),进而可以获取在目标会话建立之前的第三预设时长内建立的、且目的IP地址为该问题网络设备的IP地址的第二会话的会话信息。然后,分别从每个第二会话信息中获取上行流量,计算这些上行流量的平均值(即第二平均值)。第二平均值可以表示该问题网络设备发送的响应数据的平均数据量。
步骤三,如果第二平均值与第一平均值的差值大于第二预设阈值,则确定问题网络设备为异常网络设备。
本申请实施例中,检测设备中还可以预先存储有第二预设阈值。该第二预设阈值可以由技术人员进行设置。检测设备得到问题网络设备对应的第二平均值和第一平均值后,可以判断第二平均值与第一平均值的差值是否大于第二预设阈值。如果第二平均值与第一平均值的差值大于第二预设阈值,则说明该问题网络设备的上行流量大幅降低,该问题网络设备的计算资源被恶意占用,检测设备可以判定该问题网络设备感染挖矿病毒,也即该问题网络设备为异常网络设备。
方式二,由于网络设备感染挖矿病毒后,会持续的以某一固定端口为目标端口,向其他网络设备发起会话,从而传播挖矿病毒,因此,检测设备可以根据会话信息中的目的端口,确定该问题网络设备是否为异常网络设备。具体处理过程如下。
步骤一,在确定网络设备为问题网络设备之后的第四预设时长内,统计问题网络设备发起的目的端口相同的会话的第二数目。
本申请实施例中,检测设备中可以预先存储有第四预设时长。该第四预设时长可以由技术人员根据经验进行设置。检测设备确定网络设备为问题网络设备后,可以启动计时器,以获取在第四预设时长内,该问题网络设备发起的各会话的会话信息,进而在这些会话信息中,统计包含相同的目的端口的会话的第二数目。
步骤二,如果第二数目大于第三预设阈值,则确定问题网络设备为异常网络设备。
本申请实施例中,检测设备中可以预先存储有第三预设阈值。该第三预设阈值可以由技术人员设置。检测设备得到第二数目后,可以进一步判断第二数目是否大于第三预设阈值。如果第二数目大于第三预设阈值,则说明该问题网络设备向其他网络设备传播挖矿病毒,也即该问题网络设备为异常网络设备。
本申请实施例还提供了一种异常网络设备的检测方法的示例,如图3所示,具体处理过程如下。
步骤301,检测设备接收交换机镜像的网络设备的流量。
步骤302,检测设备通过流量探针对网络设备的流量进行解析,得到多个会话的会话信息。
步骤303,针对每个会话信息,检测设备根据预先存储的IP地址和设备类型的对应关系,确定该会话信息中的源IP地址对应的设备类型。
步骤304,如果该会话信息中的源IP地址对应的设备类型为目标设备类型,则检测设备确定该会话信息为目标会话的会话信息。
步骤305,检测设备在预先存储的网络设备和合法IP地址的对应关系中,查询是否存在目标会话的会话信息中的第一目的IP地址。
如果不存在第一目的IP地址,则检测设备执行步骤306。否则,结束。
步骤306,检测设备在建立所述目标会话之后的第一预设时长内,统计目标网络设备发起的目的IP地址为第一目的IP地址的会话的第一数目。
步骤307,如果第一数目大于第一预设阈值,则检测设备将所述网络设备标记为问题网络设备。
检测设备执行步骤307后,可以执行步骤308至步骤310或者执行步骤311至步骤312。其中,步骤308与309的执行顺序并没有先后顺序,可以同时进行,附图3中仅为示例,本申请实施例不作特别限定。
步骤308,检测设备获取在目标会话建立之后的第二预设时长内建立的、且目的IP地址为问题网络设备的IP地址的第一会话的会话信息,并确定第一会话的会话信息中的上行流量的第一平均值。
步骤309,检测设备获取在目标会话建立之前的第三预设时长内建立的、且目的IP地址为问题网络设备的IP地址的第二会话的会话信息,并确定第二会话的会话信息中的上行流量的第二平均值。
步骤310,如果第二平均值与第一平均值的差值大于第二预设阈值,则检测设备确定问题网络设备为异常网络设备。
步骤311,检测设备在确定网络设备为问题网络设备之后的第四预设时长内,统计问题网络设备发起的目的端口相同的会话的第二数目。
步骤312,如果第二数目大于第三预设阈值,则检测设备确定问题网络设备为异常网络设备。
步骤301至步骤312的处理过程与步骤S201至步骤S205的处理过程类似,此处不再赘述。
本申请实施例中,检测设备可以获取目标会话的会话信息,目标会话为由设备类型为目标设备类型的网络设备发起的会话。然后,检测设备在预先存储的网络设备和合法IP地址的对应关系中,查询是否存在目标会话的会话信息中的第一目的IP地址。如果不存在第一目的IP地址,则在建立目标会话之后的第一预设时长内,统计网络设备发起的目的IP地址为第一目的IP地址的会话的第一数目。如果第一数目大于第一预设阈值,则将网络设备标记为问题网络设备。如果问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定问题网络设备为异常网络设备。基于上述处理,检测设备根据挖矿病毒的特性,对目标网络设备的行为进行分析,以确定目标网络设备是否感染挖矿病毒,无需存储矿池服务器名单,提高了异常网络设备的识别率。
基于相同的技术构思,本申请实施例还提供了一种异常网络设备的检测装置,如图4所示,该装置包括:
获取模块410,用于获取目标会话的会话信息,所述目标会话为由设备类型为目标设备类型的网络设备发起的会话;
查询模块420,用于在预先存储的所述网络设备和合法互联网协议IP地址的对应关系中,查询是否存在所述目标会话的会话信息中的第一目的IP地址;
统计模块430,用于如果不存在所述第一目的IP地址,则在建立所述目标会话之后的第一预设时长内,统计所述网络设备发起的目的IP地址为所述第一目的IP地址的会话的第一数目;
标记模块440,用于如果所述第一数目大于第一预设阈值,则将所述网络设备标记为问题网络设备;
确定模块450,用于如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备。
可选的,获取模块410,具体用于:
获取多个会话的会话信息;
针对每个会话信息,根据预先存储的IP地址和设备类型的对应关系,确定该会话信息中的源IP地址对应的设备类型;
如果该会话信息中的源IP地址对应的设备类型为目标设备类型,则确定该会话信息为目标会话的会话信息。
可选的,确定模块450,具体用于:
获取在目标会话建立之后的第二预设时长内建立的、且目的IP地址为问题网络设备的IP地址的第一会话的会话信息,并确定第一会话的会话信息中的上行流量的第一平均值;
获取在目标会话建立之前的第三预设时长内建立的、且目的IP地址为问题网络设备的IP地址的第二会话的会话信息,并确定第二会话的会话信息中的上行流量的第二平均值;
如果第二平均值与第一平均值的差值大于第二预设阈值,则确定问题网络设备为异常网络设备。
可选的,确定模块450,具体用于:
在确定网络设备为问题网络设备之后的第四预设时长内,统计问题网络设备发起的目的端口相同的会话的第二数目;
如果第二数目大于第三预设阈值,则确定问题网络设备为异常网络设备。
本申请实施例中,检测设备可以获取目标会话的会话信息,目标会话为由设备类型为目标设备类型的网络设备发起的会话。然后,检测设备在预先存储的网络设备和合法IP地址的对应关系中,查询是否存在目标会话的会话信息中的第一目的IP地址。如果不存在第一目的IP地址,则在建立目标会话之后的第一预设时长内,统计网络设备发起的目的IP地址为第一目的IP地址的会话的第一数目。如果第一数目大于第一预设阈值,则将网络设备标记为问题网络设备。如果问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定问题网络设备为异常网络设备。基于上述处理,检测设备根据挖矿病毒的特性,对目标网络设备的行为进行分析,以确定目标网络设备是否感染挖矿病毒,无需存储矿池服务器名单,提高了异常网络设备的识别率。
本申请实施例还提供了一种检测设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,实现如下步骤:
获取目标会话的会话信息,所述目标会话为由设备类型为目标设备类型的网络设备发起的会话;
在预先存储的所述网络设备和合法互联网协议IP地址的对应关系中,查询是否存在所述目标会话的会话信息中的第一目的IP地址;
如果不存在所述第一目的IP地址,则在建立所述目标会话之后的第一预设时长内,统计所述网络设备发起的目的IP地址为所述第一目的IP地址的会话的第一数目;
如果所述第一数目大于第一预设阈值,则将所述网络设备标记为问题网络设备;
如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备。
可选的,所述获取目标会话的会话信息,包括:
获取多个会话的会话信息;
针对每个会话信息,根据预先存储的IP地址和设备类型的对应关系,确定该会话信息中的源IP地址对应的设备类型;
如果该会话信息中的源IP地址对应的设备类型为目标设备类型,则确定该会话信息为目标会话的会话信息。
可选的,所述如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备,包括:
获取在所述目标会话建立之后的第二预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第一会话的会话信息,并确定所述第一会话的会话信息中的上行流量的第一平均值;
获取在所述目标会话建立之前的第三预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第二会话的会话信息,并确定所述第二会话的会话信息中的上行流量的第二平均值;
如果所述第二平均值与所述第一平均值的差值大于第二预设阈值,则确定所述问题网络设备为异常网络设备。
可选的,所述如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备,包括:
在确定所述网络设备为问题网络设备之后的第四预设时长内,统计所述问题网络设备发起的目的端口相同的会话的第二数目;
如果所述第二数目大于第三预设阈值,则确定所述问题网络设备为异常网络设备。
上述检测设备提到的通信总线可以是外设部件互连标准(英文:PeripheralComponent Interconnect,简称:PCI)总线或扩展工业标准结构(英文:Extended IndustryStandard Architecture,简称:EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述检测设备与其他设备之间的通信。
存储器可以包括随机存取存储器(英文:Random Access Memory,简称:RAM),也可以包括非易失性存储器(英文:Non-Volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processing,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
基于相同的技术构思,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的异常网络设备的检测方法的方法步骤。
基于相同的技术构思,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述的异常网络设备的检测方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (8)
1.一种异常网络设备的检测方法,其特征在于,所述方法包括:
获取目标会话的会话信息,所述目标会话为由设备类型为目标设备类型的网络设备发起的会话;
在预先存储的所述网络设备和合法互联网协议IP地址的对应关系中,查询是否存在所述目标会话的会话信息中的第一目的IP地址;
如果不存在所述第一目的IP地址,则在建立所述目标会话之后的第一预设时长内,统计所述网络设备发起的目的IP地址为所述第一目的IP地址的会话的第一数目;
如果所述第一数目大于第一预设阈值,则将所述网络设备标记为问题网络设备;
如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备;
所述如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备,包括:
获取在所述目标会话建立之后的第二预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第一会话的会话信息,并确定所述第一会话的会话信息中的上行流量的第一平均值;
获取在所述目标会话建立之前的第三预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第二会话的会话信息,并确定所述第二会话的会话信息中的上行流量的第二平均值;
如果所述第二平均值与所述第一平均值的差值大于第二预设阈值,则确定所述问题网络设备为异常网络设备。
2.根据权利要求1所述的方法,其特征在于,所述获取目标会话的会话信息,包括:
获取多个会话的会话信息;
针对每个会话信息,根据预先存储的IP地址和设备类型的对应关系,确定该会话信息中的源IP地址对应的设备类型;
如果该会话信息中的源IP地址对应的设备类型为目标设备类型,则确定该会话信息为目标会话的会话信息。
3.根据权利要求1所述的方法,其特征在于,所述如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备,包括:
在确定所述网络设备为问题网络设备之后的第四预设时长内,统计所述问题网络设备发起的目的端口相同的会话的第二数目;
如果所述第二数目大于第三预设阈值,则确定所述问题网络设备为异常网络设备。
4.一种异常网络设备的检测装置,其特征在于,所述装置包括:
获取模块,用于获取目标会话的会话信息,所述目标会话为由设备类型为目标设备类型的网络设备发起的会话;
查询模块,用于在预先存储的所述网络设备和合法互联网协议IP地址的对应关系中,查询是否存在所述目标会话的会话信息中的第一目的IP地址;
统计模块,用于如果不存在所述第一目的IP地址,则在建立所述目标会话之后的第一预设时长内,统计所述网络设备发起的目的IP地址为所述第一目的IP地址的会话的第一数目;
标记模块,用于如果所述第一数目大于第一预设阈值,则将所述网络设备标记为问题网络设备;
确定模块,用于如果所述问题网络设备发送的流量数据满足预设的挖矿病毒检测条件,则确定所述问题网络设备为异常网络设备;
所述确定模板,具体用于:
获取在所述目标会话建立之后的第二预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第一会话的会话信息,并确定所述第一会话的会话信息中的上行流量的第一平均值;
获取在所述目标会话建立之前的第三预设时长内建立的、且目的IP地址为所述问题网络设备的IP地址的第二会话的会话信息,并确定所述第二会话的会话信息中的上行流量的第二平均值;
如果所述第二平均值与所述第一平均值的差值大于第二预设阈值,则确定所述问题网络设备为异常网络设备。
5.根据权利要求4所述的装置,其特征在于,所述获取模块,具体用于:
获取多个会话的会话信息;
针对每个会话信息,根据预先存储的IP地址和设备类型的对应关系,确定该会话信息中的源IP地址对应的设备类型;
如果该会话信息中的源IP地址对应的设备类型为目标设备类型,则确定该会话信息为目标会话的会话信息。
6.根据权利要求4所述的装置,其特征在于,所述确定模块,具体用于:
在确定所述网络设备为问题网络设备之后的第四预设时长内,统计所述问题网络设备发起的目的端口相同的会话的第二数目;
如果所述第二数目大于第三预设阈值,则确定所述问题网络设备为异常网络设备。
7.一种检测设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-3任一所述的方法步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-3任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910251743.9A CN109889547B (zh) | 2019-03-29 | 2019-03-29 | 一种异常网络设备的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910251743.9A CN109889547B (zh) | 2019-03-29 | 2019-03-29 | 一种异常网络设备的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109889547A CN109889547A (zh) | 2019-06-14 |
| CN109889547B true CN109889547B (zh) | 2021-10-26 |
Family
ID=66935278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910251743.9A Active CN109889547B (zh) | 2019-03-29 | 2019-03-29 | 一种异常网络设备的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109889547B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830470B (zh) * | 2019-11-06 | 2022-02-01 | 杭州安恒信息安全技术有限公司 | 一种失陷主机检测方法、装置、设备及可读存储介质 |
| CN112839018B (zh) * | 2019-11-25 | 2022-11-18 | 华为技术有限公司 | 一种度数值生成方法以及相关设备 |
| CN111092880B (zh) * | 2019-12-13 | 2022-08-09 | 支付宝(杭州)信息技术有限公司 | 一种网络流量数据提取方法及装置 |
| CN111245855B (zh) * | 2020-01-17 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| CN111314179B (zh) * | 2020-02-25 | 2024-01-23 | 广州市百果园信息技术有限公司 | 网络质量检测方法、装置、设备和存储介质 |
| CN111314367A (zh) * | 2020-02-27 | 2020-06-19 | 广东安创信息科技开发有限公司 | 一种基于流量特征识别挖矿程序的方法和系统 |
| CN112272179B (zh) * | 2020-10-23 | 2022-02-22 | 新华三信息安全技术有限公司 | 一种网络安全处理方法、装置、设备及机器可读存储介质 |
| CN112511535A (zh) * | 2020-11-27 | 2021-03-16 | 北京明略昭辉科技有限公司 | 一种设备检测方法、装置、设备及存储介质 |
| CN113268733B (zh) * | 2021-04-22 | 2022-05-03 | 中国科学院信息工程研究所 | 一种基于神经网络的容器挖矿异常检测方法及系统 |
| CN113656535B (zh) * | 2021-08-31 | 2023-11-14 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
| CN114363222A (zh) * | 2021-12-17 | 2022-04-15 | 中电信数智科技有限公司 | 一种基于Netconf协议的网络设备巡检方法和系统 |
| CN115277510B (zh) * | 2022-07-28 | 2023-12-01 | 科来网络技术股份有限公司 | 自动识别网络会话中设备、设备接口、设备路径的方法 |
| CN117134947B (zh) * | 2023-07-31 | 2024-04-12 | 深圳市卓青科技有限公司 | 一种网络信息安全分析管理系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051997A (zh) * | 2006-11-20 | 2007-10-10 | 深圳市深信服电子科技有限公司 | 一种基于网络应用中的p2p流量识别控制方法 |
| CN106599686B (zh) * | 2016-10-12 | 2019-06-21 | 四川大学 | 一种基于tlsh特征表示的恶意软件聚类方法 |
| CN106850637B (zh) * | 2017-02-13 | 2020-02-04 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
| CN107592312B (zh) * | 2017-09-18 | 2021-04-30 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
| CN107992746B (zh) * | 2017-12-14 | 2021-06-25 | 华中师范大学 | 恶意行为挖掘方法及装置 |
| CN108111526A (zh) * | 2017-12-29 | 2018-06-01 | 哈尔滨工业大学(威海) | 一种基于异常whois信息的非法网站挖掘方法 |
| CN108390864B (zh) * | 2018-02-01 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链行为分析的木马检测方法及系统 |
| CN108900496A (zh) * | 2018-06-22 | 2018-11-27 | 杭州安恒信息技术股份有限公司 | 一种快速探测网站被植入挖矿木马的检测方法以及装置 |
| CN109347806B (zh) * | 2018-09-20 | 2021-04-27 | 天津大学 | 一种基于主机监控技术的挖矿恶意软件检测系统及方法 |
| CN109347882B (zh) * | 2018-11-30 | 2021-12-21 | 深信服科技股份有限公司 | 网页木马监测方法、装置、设备及存储介质 |
-
2019
- 2019-03-29 CN CN201910251743.9A patent/CN109889547B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109889547A (zh) | 2019-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| US10505953B2 (en) | Proactive prediction and mitigation of cyber-threats | |
| WO2018113594A1 (zh) | 防御dns攻击的方法、装置及存储介质 | |
| US10187422B2 (en) | Mitigation of computer network attacks | |
| US9838422B2 (en) | Detecting denial-of-service attacks on graph databases | |
| US10587634B2 (en) | Distributed denial-of-service attack detection based on shared network flow information | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| CN110519265B (zh) | 一种防御攻击的方法及装置 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
| US10397225B2 (en) | System and method for network access control | |
| JP2016146114A (ja) | ブラックリストの管理方法 | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
| CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| JP6106861B1 (ja) | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム | |
| CN110768865B (zh) | 一种深度报文检测引擎激活方法、装置及电子设备 | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| US11425162B2 (en) | Detection of malicious C2 channels abusing social media sites | |
| US10805300B2 (en) | Computer network cross-boundary protection | |
| WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| JP2017076841A (ja) | 監視装置および監視方法 | |
| KR20110027907A (ko) | 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법 | |
| CN110830494A (zh) | 一种iot攻击防御方法、装置及电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |