CN110430226A - 网络攻击检测方法、装置、计算机设备及存储介质 - Google Patents
网络攻击检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN110430226A CN110430226A CN201910871511.3A CN201910871511A CN110430226A CN 110430226 A CN110430226 A CN 110430226A CN 201910871511 A CN201910871511 A CN 201910871511A CN 110430226 A CN110430226 A CN 110430226A
- Authority
- CN
- China
- Prior art keywords
- session
- network
- address
- network session
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络攻击检测方法、装置、计算机设备及存储介质,属于网络技术领域。本申请通过确定待检测的多个网络会话,获取该多个网络会话中至少一个网络会话的会话特征,这些会话特征能够反映出各个网络会话自身的通信状况,从而基于该至少一个网络会话的会话特征进行网络攻击检测,得到目标会话,由于没有根据静态规则来检测网络攻击,因此能够克服静态规则具有滞后性的缺陷,而根据各个网络会话本身的会话特征来检测网络攻击,能够适应于动态变化的网络安全环境,能够降低漏报率和误报率,提升了网络攻击检测的准确性。
Description
技术领域
本申请涉及网络技术领域,特别涉及一种网络攻击检测方法、装置、计算机设备及存储介质。
背景技术
随着网络技术的发展,终端可以通过心跳连接等方式定时访问服务器。上述心跳连接方式也被应用到网络攻击中,当攻击者攻陷一台终端之后,被攻陷的终端会基于上述心跳连接方式,定时地向攻击者所对应的设备传输敏感数据。
目前,可以基于预设规则来检测恶意的网络攻击,例如,该预设规则可以是匹配到威胁情报、连接到恶意样本、检测到与不常用端口的连接等,当终端与某一端口间的通信行为能够命中预设规则时,将该终端与该端口的通信行为提供给技术人员,由技术人员来分析本次通信行为是否为恶意的网络攻击。
在上述过程中,预设规则是一种静态的规则,具有一定的滞后性,无法适应于动态变化的网络安全对抗环境,从而容易导致误报问题和漏报问题,也即是说网络攻击检测的准确率较低。
发明内容
本申请实施例提供了一种网络攻击检测方法、装置、计算机设备及存储介质,能够解决网络攻击检测准确率低的问题。该技术方案如下:
一方面,提供了一种网络攻击检测方法,该方法包括:
确定待检测的多个网络会话;
获取所述多个网络会话中至少一个网络会话的会话特征;
基于所述至少一个网络会话的会话特征进行网络攻击检测,得到所述至少一个网络会话中的目标会话。
在一种可能实施方式中,所述基于所述至少一个网络会话的会话特征进行网络攻击检测,得到所述至少一个网络会话中的目标会话包括:
对所述至少一个网络会话的会话特征进行标准化,得到所述至少一个网络会话的标准化特征;
基于所述至少一个网络会话的标准化特征进行异常检测,得到所述至少一个网络会话中的至少一个异常会话;
基于所述至少一个异常会话进行网络攻击检测,得到所述至少一个异常会话中的目标会话。
在一种可能实施方式中,所述基于所述至少一个异常会话进行网络攻击检测,得到所述至少一个异常会话中的目标会话包括:
基于所述至少一个异常会话的历史检测结果和异常指数,确定所述至少一个异常会话的目标指数;
将目标指数大于或等于第三目标阈值的各个异常会话确定为目标会话。
一方面,提供了一种网络攻击检测装置,该装置包括:
确定模块,用于确定待检测的多个网络会话;
获取模块,用于获取所述多个网络会话中至少一个网络会话的会话特征;
检测模块,用于基于所述至少一个网络会话的会话特征进行网络攻击检测,得到所述至少一个网络会话中的目标会话。
在一种可能实施方式中,所述获取模块包括:
获取单元,用于对所述多个网络会话进行心跳活动检测,从所述多个网络会话中,确定具有周期性心跳活动的至少一个网络会话,获取所述至少一个网络会话的会话特征。
在一种可能实施方式中,所述获取单元包括:
映射子单元,用于将所述多个网络会话的传输字节数映射至多个时间窗口,得到多个会话数组,一个会话数组包括一个网络会话分别在所述多个时间窗口内的传输字节数;
心跳检测子单元,用于基于所述多个会话数组进行心跳活动检测,得到所述具有周期性心跳活动的至少一个网络会话。
在一种可能实施方式中,所述心跳检测子单元用于:
对所述多个会话数组进行时频转换,得到多个频响数组,所述多个频响数组用于表示所述多个会话数组在频域中各个频率上的响应值;
将各个频响数组中非零频上的频响值进行从大到小排序,得到多个降序数组;
将所述多个降序数组的最大一阶差分分别除以所述多个会话数组的平均传输字节数,得到所述多个会话数组的参考心跳值;
将参考心跳值大于第一目标阈值的各个会话数组对应的网络会话确定为所述至少一个网络会话。
在一种可能实施方式中,所述获取模块用于:
获取所述至少一个网络会话所对应的一个或多个源IP地址、一个或多个目标IP地址以及一个或多个目标端口;
对每个源IP地址,获取所述源IP地址的会话特征,所述源IP地址的会话特征包括所述源IP地址所对应的网络会话个数、所述源IP地址所对应的网络会话占所述源IP地址所建立的全部网络会话的比值、所述源IP地址与任一目标IP地址下任一目标端口在会话时所使用的端口个数、与所述源IP地址建立会话的常见端口个数、与所述源IP地址建立会话的不常见端口个数,或者所述源IP地址所对应的网络会话中平均传输字节数的最大值、最小值和平均值中的至少一项;
对每个目标IP地址,获取所述目标IP地址的会话特征,所述目标IP地址的会话特征包括所述目标IP地址所对应的网络会话个数、与所述目标IP地址建立会话的源IP地址个数或者所述目标IP地址下的各个目标端口是否为常见端口中的至少一项;
对每个网络会话,获取所述网络会话的传输特征,所述网络会话的传输特征包括传输字节数的平均值、方差、最大值或者最小值中的至少一项;
将各个源IP地址的会话特征、各个目标IP地址的会话特征或者各个网络会话的传输特征中的至少一项,确定为所述至少一个网络会话的会话特征。
在一种可能实施方式中,所述检测模块包括:
标准化单元,用于对所述至少一个网络会话的会话特征进行标准化,得到所述至少一个网络会话的标准化特征;
异常检测单元,用于基于所述至少一个网络会话的标准化特征进行异常检测,得到所述至少一个网络会话中的至少一个异常会话;
攻击检测单元,用于基于所述至少一个异常会话进行网络攻击检测,得到所述至少一个异常会话中的目标会话。
在一种可能实施方式中,所述异常检测单元用于:
通过多种异常检测方式,分别对所述至少一个网络会话的标准化特征进行异常检测,得到所述至少一个网络会话的异常指数,一个网络会话的异常指数用于表示将所述网络会话确定为异常会话的检测方式个数;
将异常指数大于或等于第二目标阈值的各个网络会话确定为所述至少一个异常会话。
在一种可能实施方式中,所述攻击检测单元用于:
基于所述至少一个异常会话的历史检测结果和异常指数,确定所述至少一个异常会话的目标指数;
将目标指数大于或等于第三目标阈值的各个异常会话确定为目标会话。
一方面,提供了一种计算机设备,该计算机设备包括一个或多个处理器和一个或多个存储器,该一个或多个存储器中存储有至少一条程序代码,该至少一条程序代码由该一个或多个处理器加载并执行以实现如上述任一种可能实现方式的网络攻击检测方法所执行的操作。
一方面,提供了一种存储介质,该存储介质中存储有至少一条程序代码,该至少一条程序代码由处理器加载并执行以实现如上述任一种可能实现方式的网络攻击检测方法所执行的操作。
本申请实施例提供的技术方案带来的有益效果至少包括:
通过确定待检测的多个网络会话,获取该多个网络会话中至少一个网络会话的会话特征,这些会话特征能够反映出各个网络会话自身的通信状况,从而基于该至少一个网络会话的会话特征进行网络攻击检测,得到该至少一个网络会话中的目标会话,由于没有根据静态规则来检测网络攻击,而是根据各个网络会话本身的会话特征来检测网络攻击,因此能够克服静态规则具有滞后性的缺陷,能够适应于动态变化的网络安全环境,能够降低漏报率和误报率,提升了网络攻击检测的准确性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种网络攻击检测方法的实施环境示意图;
图2是本申请实施例提供的一种网络攻击检测方法的流程图;
图3是本申请实施例提供的一种网络攻击检测方法的原理性示意图;
图4是本申请实施例提供的一种网络攻击检测装置的结构示意图;
图5是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
图1是本申请实施例提供的一种网络攻击检测方法的实施环境示意图。参见图1,在该实施环境中可以包括一个或多个第一节点设备101、一个或多个第二节点设备102和服务器103。
在上述过程中,该一个或多个第一节点设备101可以为处于同一局域网内的终端设备,该一个或多个第二节点设备102可以为该局域网外的终端设备,该服务器103用于对该局域网内各第一节点设备与局域网外各第二节点设备之间的网络会话进行网络攻击检测,也即是说,本申请实施例的网络攻击检测方法不仅可以适用于检测某一节点设备是否遭受网络攻击,而且还可以适用于检测某一局域网是否遭受网络攻击。
示意性地,在一些场景中,在指定了待检测时间段之后,服务器可以确定出该时间段内局域网中各个第一节点设备所建立的各个网络会话,从而对这些网络会话进行网络攻击检测,能够检测出上述各个网络会话中的目标会话,该目标会话是指具有遭受网络攻击可能性的网络会话,进一步地,定位出目标会话之后,可以由技术人员对目标会话进行更加细致的排查和分析,从而确定出遭受网络攻击的网络会话,便于提升局域网的网络安全性。
图2是本申请实施例提供的一种网络攻击检测方法的流程图。参见图2,该实施例可以应用于上述实施环境中的服务器,当然,也可以应用于除了服务器之外的计算机设备,该实施例包括下述步骤:
201、服务器确定待检测的多个网络会话。
在上述过程中,服务器可以按照用户输入的检测指令,确定待检测的多个网络会话,不同的检测指令可以用于表示不同的检测范围。
可选地,当检测指令中携带指定时间段时,服务器可以将各个终端设备在指定时间段内建立的所有网络会话确定为待检测的多个网络会话,其中,上述各个终端设备可以是服务器具有检测权限的所有终端设备,各个终端设备可以位于同一局域网,也可以不位于同一局域网。
可选地,在检测指令中除了指定时间段之外,还可以携带终端标识,从而不仅可以指定本次检测所处时段,还可以指定本次检测的终端设备,能够实现更加灵活地控制网络攻击的检测范围。
202、服务器将该多个网络会话的传输字节数映射至多个时间窗口,得到多个会话数组,一个会话数组包括一个网络会话分别在该多个时间窗口内的传输字节数。
在上述过程中,服务器可以通过采集多个网络会话的流量数据,再从该多个网络会话的流量数据中提取出该多个网络会话的传输字节数。其中,该流量数据也即是指该多个网络会话基于各种传输协议所传输的通信数据,例如,该流量数据可以包括TCP(Transmission Control Protocol,传输控制协议)流量数据、UDP(User DatagramProtocol,用户数据报协议)流量数据或者DNS(Domain Name System,域名系统)流量数据中的至少一项。
在一些实施例中,如果服务器对某一局域网进行某一指定时间段内的网络攻击检测,那么服务器可以采集指定时间段内局域网中所有终端设备的流量数据。需要说明的是,对一些设置了代理节点设备的局域网而言,服务器需要采集的流量数据是未经代理节点设备封装的流量数据,而无需采集经过代理节点设备二次封装后的流量数据。
可选地,对任一TCP流量数据或者UDP流量数据而言,服务器可以采集指定时间段内外网任一IP(Internet Protocol,互联网协议)地址向局域网内任一IP地址所传输的流量数据,该流量数据可以包括外网IP地址向局域网内IP地址的请求,也可以包括局域网内IP地址向外网IP地址的请求。例如,该流量数据可以包括源IP地址、源端口、目标IP地址、目标端口、源IP地址向目标IP地址发送的数据包数量与传输字节数、目标IP地址向源IP地址发送的数据包数量与传输字节数、该流量数据的通信时间(包括起始时间和终止时间)或者该流量数据的通信时长中的至少一项。
可选地,对任一DNS流量数据而言,服务器可以采集指定时间段中各个内网IP地址请求域名的记录,例如,上述记录可以包括源IP地址、域名或者请求时间点中的至少一项。
服务器在采集到多个网络会话的流量数据之后,由于服务器无法分辨具体哪个流量数据属于哪个网络会话,而{源IP地址,目标IP地址,目标端口}所构成的三元组可以唯一标识任一个网络会话,因此,服务器可以按照上述{源IP地址,目标IP地址,目标端口}三元组对采集到的海量的流量数据进行分组,从而能够梳理出每个网络会话各自所对应的流量数据,每个网络会话所对应的流量数据为至少一个。
在一些实施例中,为了方便统计各个网络会话的会话数组,上述{源IP地址,目标IP地址,目标端口}所构成的三元组可以作为各个网络会话的标识信息,从而在上述步骤202中,对每个三元组所标识的网络会话,服务器均构建对应的会话数组,并且在后续的网络攻击检测流程中,以三元组为单位来标识不同的网络会话。需要说明的是,对传输DNS流量数据的网络会话而言,该网络会话的标识信息可以是{源IP地址,域名}二元组。
进一步地,在梳理出各个网络会话的流量数据之后,服务器可以对采集到的各个流量数据进行降噪,也即是从海量的、未经梳理的流量数据中,过滤出有效的流量数据,以便于减少后续处理的数据量,减少服务器的计算开销。
可选地,在进行降噪时,服务器可以将通信时长小于时长阈值的流量数据删除,或者,服务器可以将传输字节数大于字节数阈值的流量数据删除,或者,服务器还可以将指定时间段内通信次数小于通信次数阈值的流量数据删除。例如,该时长阈值可以设置为6秒,字节数阈值可以设置为1500字节,通信次数阈值可以设置为3次。
当然,服务器也可以不执行上述降噪过程,从而能够简化网络攻击检测流程,并且还对各个网络会话的流量数据进行更加全面的检测。
在降噪完毕后,一方面,服务器将可以将指定时间段划分为多个时间窗口,另一方面,对经分组的多个网络会话的指定时间段内的流量数据,按照通信时间从前往后的顺序对各个网络会话的流量数据进行排序,提取各个网络会话的流量数据的传输字节数,从而对任一网络会话的任一流量数据,按照该流量数据的通信时间,将该流量数据的传输字节数映射至该通信时间所在的时间窗口,对每个网络会话的每个流量数据重复执行上述过程,即可将该各个网络会话的数据流量的传输字节数映射至该多个时间窗口,得到多个会话数组。
例如,假设指定时间段为24小时,那么可以每6秒钟设置一个时间窗口,从而24小时可以划分为14400个时间窗口,对每个网络会话,服务器可以统计每个6秒钟所覆盖的时间窗口内的传输字节数,从而可以构建一个长度为14400(24×3600/6=14400)的会话数组,会话数组中每个元素代表该网络会话在一个时间窗口内的传输字节数,如果存在多个流量数据的传输字节数映射至同一时间窗口,那么可以对各个流量数据的传输字节数求和,将求和所得的数值确定为会话数组中与该时间窗口对应的元素,如果没有任何流量数据的传输字节数映射至某一时间窗口,那么可以将会话数组中与该时间窗口对应的元素置为0。需要说明的是,服务器也可以设置任意长度的时间窗口,这里仅以6秒钟作为一个示例性说明,本申请实施例不对时间窗口的长度进行具体限定。
以TCP流量数据为例,假设对一个{192.168.190.191,53.220.174.101,80}所标识的TCP网络会话而言,在某天的00:00:03、00:00:04、00:00:08、00:00:24时刻分别传输了流量数据,对应的传输字节数为600bytes(bytes也即是字节数,1bytes等于8个比特位)、600bytes、800bytes、1200bytes,那么服务器对这4个流量数据的传输字节数进行映射,映射至从当天0点到当天24点之间14400个长度为6秒的时间窗口,则第一个时间窗口对应的元素取值为1200,第二个时间窗口对应的元素取值为800,第三个时间窗口对应的元素取值为0,第四个时间窗口对应的元素取值为1200,后续的各个时间窗口对应的元素均取值为0。最终,可以生成一个会话数组[1200,800,0,1200,0,0,0,…],该会话数组的长度为14400,由于能够表示一天中各个时间窗口内产生的传输字节数之和,该会话数组也可以形象地称之为“时间序列”。
203、服务器对该多个会话数组进行时频转换,得到多个频响数组,该多个频响数组用于表示该多个会话数组在频域中各个频率上的响应值。
在上述过程中,服务器可以通过快速傅里叶变换(Fast Fourier Transform,FFT)将该多个会话数组从时域转换到频域,当然,服务器也可以通过FFT以外的时频转换方式获取频响数组,本申请实施例不对时频转换的方式进行具体限定。
204、服务器将各个频响数组中非零频上的频响值进行从大到小排序,得到多个降序数组。
在上述过程中,对每个频响数组,服务器可以确定该频响数组中非零频的频响值,并按照频响值从大到小的顺序进行排序,得到一个降序数组,其中,每个降序数组均对应于一个频响数组。
205、服务器将该多个降序数组的最大一阶差分分别除以该多个会话数组的平均传输字节数,得到该多个会话数组的参考心跳值。
在上述过程中,服务器对每个降序数组计算一阶差分,将该降序数组的一阶差分中的最大值(也即最大一阶差分)除以该降序数组所对应的会话数组的平均传输字节数,即可得到该降序数组所对应会话数组的参考心跳值,重复执行上述过程即可得到所有会话数组的参考心跳值。
例如,服务器对第i个降序数组计算一阶差分,将该第i个降序数组的一阶差分中的最大值除以第i个会话数组的平均传输字节数,得到该第i个会话数组的参考心跳值,其中,第i个会话数组的平均传输字节数为第i个会话数组中各个元素相加后除以时间窗口的个数所得的数值,i为大于或等于1且小于或等于会话数组个数的任一整数。
206、服务器将参考心跳值大于第一目标阈值的各个会话数组对应的网络会话确定为具有周期性心跳活动的至少一个网络会话。
其中,该第一目标阈值可以是任一大于或等于0的数值,例如,该第一目标阈值可以设置为0.003。
在本申请实施例中,心跳是指一种网络会话的行为模式,当一个请求者按照固定的时间间隔,从源IP地址向某个目标IP地址发起请求,那么可以认为该网络会话具有周期性的心跳活动。
在上述过程中,服务器可以对每个会话数组判断参考心跳值是否大于第一目标阈值,若大于第一目标阈值,将该会话数组对应的网络会话确定为一个具有周期性心跳活动的网络会话,若小于第一目标阈值,服务器则可以直接删除该会话数组所对应的网络会话,从而减少后续需要处理的数据量。
在上述203-206中,服务器基于该多个会话数组进行心跳活动检测,得到具有周期性心跳活动的至少一个网络会话。服务器通过将各个会话数组的传输字节数映射至多个时间窗口,能够将一个时间段内某一网络会话的流量数据整理成一个会话数组,该会话数组能够将具体到时间戳的流量数据映射至多个时间窗口所构成时间序列中的一个元素,映射完成后,即可根据各个网络会话的会话数组,区分出“有心跳”和“无心跳”的两种不同通信模式下的网络会话,对于“无心跳”的网络会话,由于遭受网络攻击的风险通常很低,因此服务器可以直接舍弃。
在上述步骤202-206中,服务器对该多个网络会话进行心跳活动检测,从该多个网络会话中,确定具有周期性心跳活动的至少一个网络会话,相当于从多个网络会话中筛选出了“有心跳”的网络会话,从而仅获取“有心跳”的网络会话的会话特征,从而节约了服务器的计算开销。
在一些实施例中,服务器也可以不执行上述步骤202-206,而是在确定待检测的网络会话之后,直接获取所有的网络会话的会话特征,能够简化网络攻击检测的流程,对所有的网络进行更加全面的检测。
207、服务器获取该至少一个网络会话的会话特征。
其中,该至少一个网络会话的会话特征用于表示该至少一个网络会话的通信状态。
可选地,TCP/UDP网络会话的会话特征可以包括源IP地址的会话特征、目标IP地址的会话特征或者网络会话的传输特征中的至少一项,DNS网络会话的会话特征则可以包括源IP地址的会话特征、域名的会话特征或者网络会话的传输特征中的至少一项,本申请实施例不对各个会话特征的具体内容进行限定。
在上述过程中,服务器可以获取该至少一个网络会话所对应的一个或多个源IP地址、一个或多个目标IP地址以及一个或多个目标端口;对每个源IP地址,获取该源IP地址的会话特征;对每个目标IP地址,获取该目标IP地址的会话特征;对每个网络会话,获取该网络会话的传输特征;将各个源IP地址的会话特征、各个目标IP地址的会话特征或者各个网络会话的传输特征中的至少一项,确定为该至少一个网络会话的会话特征。
其中,该源IP地址的会话特征可以包括该源IP地址所对应的网络会话个数、该源IP地址所对应的网络会话占该源IP地址所建立的全部网络会话的比值(也即是具有周期性心跳活动的网络会话占已建立的全部网络会话的比值)、该源IP地址与任一目标IP地址下任一目标端口在会话时所使用的端口个数、与该源IP地址建立会话的常见端口个数、与该源IP地址建立会话的不常见端口个数,或者该源IP地址所对应的网络会话中平均传输字节数的最大值、最小值和平均值中的至少一项。其中,该常见端口及常见端口个数可以由技术人员进行自定义。
其中,该目标IP地址的会话特征可以包括该目标IP地址所对应的网络会话个数、与该目标IP地址建立会话的源IP地址个数或者该目标IP地址下的各个目标端口是否为常见端口中的至少一项。
其中,该网络会话的传输特征可以包括传输字节数的平均值、方差、最大值或者最小值中的至少一项。
需要说明的是,对于传输DNS流量数据的至少一个网络会话而言,可以获取该至少一个网络会话所对应的一个或多个源IP地址以及一个或多个域名;对每个源IP地址,获取该源IP地址的会话特征,其中,该源IP地址的会话特征可以包括该源IP地址所对应的网络会话个数,具有周期性心跳活动的网络会话占已建立的全部网络会话的比值,或者该源IP地址所对应的网络会话中平均传输字节数的最大值、最小值和平均值中的至少一项;对每个域名,获取该域名的会话特征,其中,该域名的会话特征可以包括域名级数、域名的字符串长度、各个域名对应的主域名所涉及的网络会话个数中的至少一项;对每个网络会话,获取该网络会话的传输特征,其中,该网络会话的传输特征可以包括传输字节数的平均值、方差、最大值或者最小值中的至少一项;将各个源IP地址的会话特征、各个域名的会话特征或者各个网络会话的传输特征中的至少一项,确定为该至少一个网络会话的会话特征。
可选地,不管是TCP/UDP网络会话还是DNS网络会话,服务器均可以以特征矩阵的形式输出上述至少一个网络会话的会话特征,特征矩阵的每一行代表一个网络会话的会话特征。
在上述步骤202-207中,服务器获取该多个网络会话中至少一个网络会话的会话特征。对上述至少一个网络会话而言,服务器不仅以网络会话为单位,获取各个网络会话的传输特征,而且还对该至少一个网络会话,分别从源IP地址和目标IP地址的维度,提取了源IP地址的会话特征和目标IP地址的会话特征,相当于对该至少一个网络会话提取了更深层次、更丰富的富化通信特征,增强了该至少一个网络的会话特征的表达能力。
在本申请实施例中,服务器仅对检测出具有周期性心跳活动的各个网络会话提取了会话特征,在一些实施例中,由于服务器可以不对网络会话进行心跳活动检测,也即是说,服务器也可以对所有采集到的网络会话均提取会话特征,这里不做赘述。
208、服务器对该至少一个网络会话的会话特征进行标准化,得到该至少一个网络会话的标准化特征。
在上述过程中,当服务器以特征矩阵的形式表示该至少一个网络会话的会话特征时,该特征矩阵可以视为一个异常检测的数据集,特征矩阵的每一行代表一个样本,每一列代表一种特征。服务器可以对特征矩阵中每一列特征均进行标准化,从而得到该至少一个网络会话的标准化特征。
209、服务器基于该至少一个网络会话的标准化特征进行异常检测,得到该至少一个网络会话中的至少一个异常会话。
可选地,服务器可以通过多种异常检测方式,分别对该至少一个网络会话的标准化特征进行异常检测,得到该至少一个网络会话的异常指数,一个网络会话的异常指数用于表示将该网络会话确定为异常会话的检测方式个数;将异常指数大于或等于第二目标阈值的各个网络会话确定为该至少一个异常会话。其中,该第二目标阈值可以为任一大于或等于0的数值,例如该第二目标阈值可以设置为2。
在上述过程中,该多种异常检测方式可以包括孤立森林、K均值聚类、单分类支持向量机(one-class Support Vector Machine,简称one-class SVM)中的任一种或至少两种,本申请实施例不对具体采用哪几种异常检测方式进行具体限定。
对任一种异常检测方式而言,服务器能够基于该任一种异常检测方式,对该至少一个网络会话的标准化特征进行异常检测,得到该至少一个网络会话的评估指标,可选地,该评估指标可以是一个二值化的数值,例如,评估指标为1表示异常,评估指标为0表示非异常。
进一步地,对任一网络会话,服务器对多种异常检测方式所计算出该网络会话的评估指标进行求和,将求和所得的数值即可确定为该网络会话的异常指数,从而将异常指数大于或等于第二目标阈值的各个网络会话确定为异常会话。
例如,对某一网络会话,在共计5种异常检测方式中,4种异常检测方式的评估指标均为1,那么该网络会话的异常指数则为4,假设第二目标阈值为2,由于该网络会话的异常指数4>第二目标阈值2,那么将该网络会话确定为一个异常会话。
在一些实施例中,服务器还可以仅采用一种异常检测方式,对上述至少一个网络会话的会话特征进行异常检测,能够简化网络攻击检测的流程。
210、服务器基于该至少一个异常会话进行网络攻击检测,得到该至少一个异常会话中的目标会话。
在一些实施例中,在服务器采用多种异常检测方式进行异常检测的情况下,服务器可以基于该至少一个异常会话的历史检测结果和异常指数,确定该至少一个异常会话的目标指数;将目标指数大于或等于第三目标阈值的各个异常会话确定为目标会话。其中,该第三目标阈值为任一大于或等于0的数值。
例如,服务器可以根据下述公式来确定目标指数:
在上述公式中,Score表示目标指数,α和β是可调参数,例如,α可以设置为0.6,β可以设置为0.4。w表示自定义的历史检测周期个数,i为0~w之间的任一整数,Ii表示在当前检测周期前的第i个检测周期的历史检测结果,该历史检测结果用于表示该异常会话是否被判定为网络攻击会话,s表示上述步骤210中所计算出的异常指数。
例如,w可以设置为6天,那么服务器需要获取该异常会话在过去的6天内的历史检测结果{I1,I2,I3,I4,I5,I6},从而带入上述公式得到该异常会话在本次检测中的目标指数。
进一步地,服务器可以按照目标指数从大到小的顺序对该至少一个异常会话进行排序,将目标指数大于第三目标阈值的各个异常会话确定为目标会话,从而将目标会话的标识信息、会话数组、参考心跳值、首次通信时间、目标指数等展示给技术人员,由技术人员判断是否为网络攻击会话。
在一些实施例中,服务器还可以将排序位于前目标数量的异常会话确定为目标会话,从而无需按照第三目标阈值来进行筛选,而是根据目标指数的严重程度来进行筛选。当然,服务器还可以不进行筛选,而是在排序完成后,直接输出排序后的各个异常会话所构成的序列,并由技术人员来判断是否为网络攻击会话,这里不做赘述。
在上述步骤208-210中,服务器基于该至少一个网络会话的会话特征进行网络攻击检测,得到该至少一个网络会话中的目标会话,需要说明的是,上述目标会话并非是网络攻击会话,而是具有遭受网络攻击可能性的网络会话,还需要经由技术人员的排查、分析之后,才能够从目标会话中挑选出网络攻击会话。
图3是本申请实施例提供的一种网络攻击检测方法的原理性示意图,参见
图3,本申请实施例可以用于进行局域网内的网络攻击检测。具体地,服务器收集指定时间段内海量的流量数据(也即是海量数据收集),对海量的流量数据进行降噪处理(也即是海量数据清洗),对降噪后的流量数据进行分组,将分组后得到的各个网络会话的流量数据映射至多个时间窗口,得到各个网络会话的会话数组(也即是流量数据组织),基于各个网络会话的会话数组进行心跳活动检测,确定出多个网络会话中具有周期性心跳活动的至少一个网络会话,获取该至少一个网络会话的会话特征,这些会话特征在本质上是一些富化的通信特征,基于至少一个网络会话的会话特征进行异常检测,得到至少一个网络会话中至少一个异常会话,对至少一个异常会话进行网络攻击检测,即可确定出至少一个异常会话中的目标会话。
本申请实施例提供的方法,通过确定待检测的多个网络会话,获取该多个网络会话中至少一个网络会话的会话特征,这些会话特征能够反映出各个网络会话自身的通信状况,从而基于该至少一个网络会话的会话特征进行网络攻击检测,得到该至少一个网络会话中的目标会话,由于没有根据静态规则来检测网络攻击,而是根据各个网络会话本身的会话特征来检测网络攻击,因此能够克服静态规则具有滞后性的缺陷,能够适应于动态变化的网络安全环境,能够降低漏报率和误报率,提升了网络攻击检测的准确性。
进一步地,对多个网络会话进行心跳活动检测,能够挑选出具有周期性心跳活动的至少一个网络会话,从而可以仅获取该至少一个网络会话的会话特征,能够缩小排查目标会话的范围,降低网络攻击检测过程的计算量,减少服务器的计算开销。
进一步地,通过多种异常检测方式,对至少一个网络会话的会话特征分别进行异常检测,计算各个网络会话的异常指数,根据异常指数从至少一个网络会话中过滤掉正常业务中具有心跳连接的网络会话,留下至少一个异常会话,再基于异常指数和历史检测结果计算目标指数,根据目标指数来确定出异常会话中的目标会话,从而能够通过大数据处理技术以及机器学习技术的层层筛选,提升网络攻击检测的准确率、灵活性,从而对于网络攻击会话也具有更强的覆盖率。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
图4是本申请实施例提供的一种网络攻击检测装置的结构示意图,参见图4,该装置包括:
确定模块401,用于确定待检测的多个网络会话;
获取模块402,用于获取该多个网络会话中至少一个网络会话的会话特征;
检测模块403,用于基于该至少一个网络会话的会话特征进行网络攻击检测,得到该至少一个网络会话中的目标会话。
本申请实施例提供的装置,通过确定待检测的多个网络会话,获取该多个网络会话中至少一个网络会话的会话特征,这些会话特征能够反映出各个网络会话自身的通信状况,从而基于该至少一个网络会话的会话特征进行网络攻击检测,得到该至少一个网络会话中的目标会话,由于没有根据静态规则来检测网络攻击,而是根据各个网络会话本身的会话特征来检测网络攻击,因此能够克服静态规则具有滞后性的缺陷,能够适应于动态变化的网络安全环境,能够降低漏报率和误报率,提升了网络攻击检测的准确性。
在一种可能实施方式中,基于图4的装置组成,该获取模块402包括:
获取单元,用于对该多个网络会话进行心跳活动检测,从该多个网络会话中,确定具有周期性心跳活动的至少一个网络会话,获取该至少一个网络会话的会话特征。
在一种可能实施方式中,基于图4的装置组成,该获取单元包括:
映射子单元,用于将该多个网络会话的传输字节数映射至多个时间窗口,得到多个会话数组,一个会话数组包括一个网络会话分别在该多个时间窗口内的传输字节数;
心跳检测子单元,用于基于该多个会话数组进行心跳活动检测,得到该具有周期性心跳活动的至少一个网络会话。
在一种可能实施方式中,该心跳检测子单元用于:
对该多个会话数组进行时频转换,得到多个频响数组,该多个频响数组用于表示该多个会话数组在频域中各个频率上的响应值;
将各个频响数组中非零频上的频响值进行从大到小排序,得到多个降序数组;
将该多个降序数组的最大一阶差分分别除以该多个会话数组的平均传输字节数,得到该多个会话数组的参考心跳值;
将参考心跳值大于第一目标阈值的各个会话数组对应的网络会话确定为该至少一个网络会话。
在一种可能实施方式中,该获取模块402用于:
获取该至少一个网络会话所对应的一个或多个源IP地址、一个或多个目标IP地址以及一个或多个目标端口;
对每个源IP地址,获取该源IP地址的会话特征,该源IP地址的会话特征包括该源IP地址所对应的网络会话个数、该源IP地址所对应的网络会话占该源IP地址所建立的全部网络会话的比值、该源IP地址与任一目标IP地址下任一目标端口在会话时所使用的端口个数、与该源IP地址建立会话的常见端口个数、与该源IP地址建立会话的不常见端口个数,或者该源IP地址所对应的网络会话中平均传输字节数的最大值、最小值和平均值中的至少一项;
对每个目标IP地址,获取该目标IP地址的会话特征,该目标IP地址的会话特征包括该目标IP地址所对应的网络会话个数、与该目标IP地址建立会话的源IP地址个数或者该目标IP地址下的各个目标端口是否为常见端口中的至少一项;
对每个网络会话,获取该网络会话的传输特征,该网络会话的传输特征包括传输字节数的平均值、方差、最大值或者最小值中的至少一项;
将各个源IP地址的会话特征、各个目标IP地址的会话特征或者各个网络会话的传输特征中的至少一项,确定为该至少一个网络会话的会话特征。
在一种可能实施方式中,基于图4的装置组成,该检测模块403包括:
标准化单元,用于对该至少一个网络会话的会话特征进行标准化,得到该至少一个网络会话的标准化特征;
异常检测单元,用于基于该至少一个网络会话的标准化特征进行异常检测,得到该至少一个网络会话中的至少一个异常会话;
攻击检测单元,用于基于该至少一个异常会话进行网络攻击检测,得到该至少一个异常会话中的目标会话。
在一种可能实施方式中,该异常检测单元用于:
通过多种异常检测方式,分别对该至少一个网络会话的标准化特征进行异常检测,得到该至少一个网络会话的异常指数,一个网络会话的异常指数用于表示将该网络会话确定为异常会话的检测方式个数;
将异常指数大于或等于第二目标阈值的各个网络会话确定为该至少一个异常会话。
在一种可能实施方式中,该攻击检测单元用于:
基于该至少一个异常会话的历史检测结果和异常指数,确定该至少一个异常会话的目标指数;
将目标指数大于或等于第三目标阈值的各个异常会话确定为目标会话。
上述所有可选技术方案,可以采用任意结合形成本公开的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的网络攻击检测装置在检测网络攻击时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将计算机设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的网络攻击检测装置与网络攻击检测方法实施例属于同一构思,其具体实现过程详见网络攻击检测方法实施例,这里不再赘述。
图5是本申请实施例提供的一种计算机设备的结构示意图,该计算机设备500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(CentralProcessing Units,CPU)501和一个或一个以上的存储器502,其中,该存储器502中存储有至少一条程序代码,该至少一条程序代码由该处理器501加载并执行以实现上述各个实施例提供的网络攻击检测方法。当然,该计算机设备500还可以具有有线或无线网络接口、键盘以及输入输出接口等部件,以便进行输入输出,该计算机设备500还可以包括其他用于实现设备功能的部件,在此不做赘述。
在示例性实施例中,还提供了一种计算机可读存储介质,例如包括至少一条程序代码的存储器,上述至少一条程序代码可由终端中的处理器执行以完成上述实施例中网络攻击检测方法。例如,该计算机可读存储介质可以是ROM(Read-Only Memory,只读存储器)、RAM(Random-Access Memory,随机存取存储器)、CD-ROM(Compact Disc Read-OnlyMemory,只读光盘)、磁带、软盘和光数据存储设备等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种网络攻击检测方法,其特征在于,所述方法包括:
确定待检测的多个网络会话;
获取所述多个网络会话中至少一个网络会话的会话特征;
基于所述至少一个网络会话的会话特征进行网络攻击检测,得到所述至少一个网络会话中的目标会话。
2.根据权利要求1所述的方法,其特征在于,所述获取所述多个网络会话中至少一个网络会话的会话特征包括:
对所述多个网络会话进行心跳活动检测,从所述多个网络会话中,确定具有周期性心跳活动的至少一个网络会话,获取所述至少一个网络会话的会话特征。
3.根据权利要求2所述的方法,其特征在于,所述对所述多个网络会话进行心跳活动检测,从所述多个网络会话中,确定具有周期性心跳活动的至少一个网络会话包括:
将所述多个网络会话的传输字节数映射至多个时间窗口,得到多个会话数组,一个会话数组包括一个网络会话分别在所述多个时间窗口内的传输字节数;
基于所述多个会话数组进行心跳活动检测,得到所述具有周期性心跳活动的至少一个网络会话。
4.根据权利要求3所述的方法,其特征在于,所述基于所述多个会话数组进行心跳活动检测,得到所述具有周期性心跳活动的至少一个网络会话包括:
对所述多个会话数组进行时频转换,得到多个频响数组,所述多个频响数组用于表示所述多个会话数组在频域中各个频率上的响应值;
将各个频响数组中非零频上的频响值进行从大到小排序,得到多个降序数组;
将所述多个降序数组的最大一阶差分分别除以所述多个会话数组的平均传输字节数,得到所述多个会话数组的参考心跳值;
将参考心跳值大于第一目标阈值的各个会话数组对应的网络会话确定为所述至少一个网络会话。
5.根据权利要求2所述的方法,其特征在于,所述获取所述至少一个网络会话的会话特征包括:
获取所述至少一个网络会话所对应的一个或多个源IP地址、一个或多个目标IP地址以及一个或多个目标端口;
对每个源IP地址,获取所述源IP地址的会话特征,所述源IP地址的会话特征包括所述源IP地址所对应的网络会话个数、所述源IP地址所对应的网络会话占所述源IP地址所建立的全部网络会话的比值、所述源IP地址与任一目标IP地址下任一目标端口在会话时所使用的端口个数、与所述源IP地址建立会话的常见端口个数、与所述源IP地址建立会话的不常见端口个数,或者所述源IP地址所对应的网络会话中平均传输字节数的最大值、最小值和平均值中的至少一项;
对每个目标IP地址,获取所述目标IP地址的会话特征,所述目标IP地址的会话特征包括所述目标IP地址所对应的网络会话个数、与所述目标IP地址建立会话的源IP地址个数或者所述目标IP地址下的各个目标端口是否为常见端口中的至少一项;
对每个网络会话,获取所述网络会话的传输特征,所述网络会话的传输特征包括传输字节数的平均值、方差、最大值或者最小值中的至少一项;
将各个源IP地址的会话特征、各个目标IP地址的会话特征或者各个网络会话的传输特征中的至少一项,确定为所述至少一个网络会话的会话特征。
6.根据权利要求1所述的方法,其特征在于,所述基于所述至少一个网络会话的会话特征进行网络攻击检测,得到所述至少一个网络会话中的目标会话包括:
对所述至少一个网络会话的会话特征进行标准化,得到所述至少一个网络会话的标准化特征;
基于所述至少一个网络会话的标准化特征进行异常检测,得到所述至少一个网络会话中的至少一个异常会话;
基于所述至少一个异常会话进行网络攻击检测,得到所述至少一个异常会话中的目标会话。
7.根据权利要求6所述的方法,其特征在于,所述基于所述至少一个网络会话的标准化特征进行异常检测,得到所述至少一个网络会话中的至少一个异常会话包括:
通过多种异常检测方式,分别对所述至少一个网络会话的标准化特征进行异常检测,得到所述至少一个网络会话的异常指数,一个网络会话的异常指数用于表示将所述网络会话确定为异常会话的检测方式个数;
将异常指数大于或等于第二目标阈值的各个网络会话确定为所述至少一个异常会话。
8.一种网络攻击检测装置,其特征在于,所述装置包括:
确定模块,用于确定待检测的多个网络会话;
获取模块,用于获取所述多个网络会话中至少一个网络会话的会话特征;
检测模块,用于基于所述至少一个网络会话的会话特征进行网络攻击检测,得到所述至少一个网络会话中的目标会话。
9.一种计算机设备,其特征在于,所述计算机设备包括一个或多个处理器和一个或多个存储器,所述一个或多个存储器中存储有至少一条程序代码,所述至少一条程序代码由所述一个或多个处理器加载并执行以实现如权利要求1至权利要求7任一项所述的网络攻击检测方法所执行的操作。
10.一种存储介质,其特征在于,所述存储介质中存储有至少一条程序代码,所述至少一条程序代码由处理器加载并执行以实现如权利要求1至权利要求7任一项所述的网络攻击检测方法所执行的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910871511.3A CN110430226B (zh) | 2019-09-16 | 2019-09-16 | 网络攻击检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910871511.3A CN110430226B (zh) | 2019-09-16 | 2019-09-16 | 网络攻击检测方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110430226A true CN110430226A (zh) | 2019-11-08 |
CN110430226B CN110430226B (zh) | 2021-08-17 |
Family
ID=68419097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910871511.3A Active CN110430226B (zh) | 2019-09-16 | 2019-09-16 | 网络攻击检测方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110430226B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111224891A (zh) * | 2019-12-24 | 2020-06-02 | 北京百卓网络技术有限公司 | 一种基于动态学习三元组的流量应用识别系统及方法 |
CN111679931A (zh) * | 2020-06-12 | 2020-09-18 | 恒为科技(上海)股份有限公司 | 一种心跳包的发送方法及待测系统 |
CN112422554A (zh) * | 2020-11-17 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种检测异常流量外连的方法、装置、设备及存储介质 |
CN113656535A (zh) * | 2021-08-31 | 2021-11-16 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
CN114338593A (zh) * | 2021-12-23 | 2022-04-12 | 上海观安信息技术股份有限公司 | 利用地址解析协议进行网络扫描的行为检测方法及装置 |
CN116545650A (zh) * | 2023-04-03 | 2023-08-04 | 中国华能集团有限公司北京招标分公司 | 一种网络动态防御方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102201937A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于心跳行为分析的快速木马检测方法 |
US20150350242A1 (en) * | 2014-06-03 | 2015-12-03 | Electronics And Telecommunications Research Institute | Apparatus and method of displaying network security situation |
CN105991637A (zh) * | 2015-06-15 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的防护方法和装置 |
CN106027546A (zh) * | 2016-06-28 | 2016-10-12 | 华为技术有限公司 | 网络攻击的检测方法、装置及系统 |
CN106416171A (zh) * | 2014-12-30 | 2017-02-15 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
CN109474623A (zh) * | 2018-12-25 | 2019-03-15 | 杭州迪普科技股份有限公司 | 网络安全防护及其参数确定方法、装置及设备、介质 |
CN109922052A (zh) * | 2019-02-22 | 2019-06-21 | 中南大学 | 一种结合多重特征的恶意url检测方法 |
CN109951500A (zh) * | 2019-04-29 | 2019-06-28 | 宜人恒业科技发展(北京)有限公司 | 网络攻击检测方法及装置 |
CN109951527A (zh) * | 2019-02-20 | 2019-06-28 | 华东师范大学 | 面向虚拟化系统的hypervisor完整性检测方法 |
-
2019
- 2019-09-16 CN CN201910871511.3A patent/CN110430226B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102201937A (zh) * | 2011-06-13 | 2011-09-28 | 刘胜利 | 基于心跳行为分析的快速木马检测方法 |
US20150350242A1 (en) * | 2014-06-03 | 2015-12-03 | Electronics And Telecommunications Research Institute | Apparatus and method of displaying network security situation |
CN106416171A (zh) * | 2014-12-30 | 2017-02-15 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
CN105991637A (zh) * | 2015-06-15 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的防护方法和装置 |
CN106027546A (zh) * | 2016-06-28 | 2016-10-12 | 华为技术有限公司 | 网络攻击的检测方法、装置及系统 |
CN109474623A (zh) * | 2018-12-25 | 2019-03-15 | 杭州迪普科技股份有限公司 | 网络安全防护及其参数确定方法、装置及设备、介质 |
CN109951527A (zh) * | 2019-02-20 | 2019-06-28 | 华东师范大学 | 面向虚拟化系统的hypervisor完整性检测方法 |
CN109922052A (zh) * | 2019-02-22 | 2019-06-21 | 中南大学 | 一种结合多重特征的恶意url检测方法 |
CN109951500A (zh) * | 2019-04-29 | 2019-06-28 | 宜人恒业科技发展(北京)有限公司 | 网络攻击检测方法及装置 |
Non-Patent Citations (1)
Title |
---|
陈时敏; 韩心慧: "基于机器学习的网页木马识别方法研究", 《信息网络安全》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111224891A (zh) * | 2019-12-24 | 2020-06-02 | 北京百卓网络技术有限公司 | 一种基于动态学习三元组的流量应用识别系统及方法 |
CN111224891B (zh) * | 2019-12-24 | 2023-05-09 | 北京百卓网络技术有限公司 | 一种基于动态学习三元组的流量应用识别系统及方法 |
CN111679931A (zh) * | 2020-06-12 | 2020-09-18 | 恒为科技(上海)股份有限公司 | 一种心跳包的发送方法及待测系统 |
CN111679931B (zh) * | 2020-06-12 | 2023-11-24 | 恒为科技(上海)股份有限公司 | 一种心跳包的发送方法及待测系统 |
CN112422554A (zh) * | 2020-11-17 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种检测异常流量外连的方法、装置、设备及存储介质 |
CN113656535A (zh) * | 2021-08-31 | 2021-11-16 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
CN113656535B (zh) * | 2021-08-31 | 2023-11-14 | 上海观安信息技术股份有限公司 | 一种异常会话检测方法、装置及计算机存储介质 |
CN114338593A (zh) * | 2021-12-23 | 2022-04-12 | 上海观安信息技术股份有限公司 | 利用地址解析协议进行网络扫描的行为检测方法及装置 |
CN114338593B (zh) * | 2021-12-23 | 2023-07-04 | 上海观安信息技术股份有限公司 | 利用地址解析协议进行网络扫描的行为检测方法及装置 |
CN116545650A (zh) * | 2023-04-03 | 2023-08-04 | 中国华能集团有限公司北京招标分公司 | 一种网络动态防御方法 |
CN116545650B (zh) * | 2023-04-03 | 2024-01-30 | 中国华能集团有限公司北京招标分公司 | 一种网络动态防御方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110430226B (zh) | 2021-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110430226A (zh) | 网络攻击检测方法、装置、计算机设备及存储介质 | |
CN111092852B (zh) | 基于大数据的网络安全监控方法、装置、设备及存储介质 | |
CN110149343A (zh) | 一种基于流的异常通联行为检测方法和系统 | |
CN104967629B (zh) | 网络攻击检测方法及装置 | |
CA2309034C (en) | Systems and methods for adaptive profiling, fault detection, and alert generation in a changing environment which is measurable by at least two different measures of state | |
CN105027510B (zh) | 网络监视装置和网络监视方法 | |
CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
CN105812200B (zh) | 异常行为检测方法及装置 | |
US20040103021A1 (en) | System and method of detecting events | |
CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
CN110071829A (zh) | Dns隧道检测方法、装置及计算机可读存储介质 | |
CN108989136A (zh) | 业务端到端性能监控方法及装置 | |
CN110392039A (zh) | 基于日志和流量采集的网络系统事件溯源方法及系统 | |
CN108206769A (zh) | 过滤网络质量告警的方法、装置、设备和介质 | |
CN106686157A (zh) | 一种识别代理ip的方法及系统 | |
CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
CN106850647A (zh) | 基于dns请求周期的恶意域名检测算法 | |
CN110035062A (zh) | 一种网络验伤方法及设备 | |
CN109428857A (zh) | 一种恶意探测行为的检测方法和装置 | |
CN107623691A (zh) | 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法 | |
CN105099762B (zh) | 一种系统运维功能的自检方法及自检系统 | |
CN111526109B (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
CN109728977B (zh) | Jap匿名流量检测方法及系统 | |
CN108759920B (zh) | 一种基于物联网的仓库安全监测系统 | |
CN108881179A (zh) | 应用于智能电网的输电线路可靠监测系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |