CN110636076B - 一种主机攻击检测方法及系统 - Google Patents
一种主机攻击检测方法及系统 Download PDFInfo
- Publication number
- CN110636076B CN110636076B CN201910966779.5A CN201910966779A CN110636076B CN 110636076 B CN110636076 B CN 110636076B CN 201910966779 A CN201910966779 A CN 201910966779A CN 110636076 B CN110636076 B CN 110636076B
- Authority
- CN
- China
- Prior art keywords
- attack
- request
- information
- host
- system log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开一种主机攻击检测方法及系统。该主机攻击检测方法包括:获取目标主机网络数据、安全设备系统日志和目标主体系统日志;提取目标主体网络数据、安全设备系统日志和目标主体系统日志的特征信息;将特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;若判断结果表示是,则确定发生主机攻击;若判断结果表示否,则确定未发生主机攻击。本发明的主机攻击检测方法及系统,能够提高检测准确度。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种主机攻击检测方法及系统。
背景技术
随着互联网的发展,网络用户的数量越来越多,投入互联网的主机设备也越来越多。伴随着互联网的发展,利用漏洞对主机进行攻击行为也越发普遍,主机设备的安全性显得更加重要。为了最大程度上保证主机的安全运行,需要实时监测主机攻击行为的发生,以及时发现危险的存在。
基于规则匹配的方法是较为常见的主机攻击检测方法。该方法主要通过关联查询的方式从日志中提取关键信息,而后根据关键信息对操作行为进行判断。然而该方法仅利用日志信息进行攻击检测的判断,分析结果准确性不高。
发明内容
本发明的目的是提供一种主机攻击检测方法及系统,提高检测准确度。
为实现上述目的,本发明提供了如下方案:
一种主机攻击检测方法,包括:
获取目标主机网络数据、安全设备系统日志和目标主体系统日志;
提取所述目标主机网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息;
将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;
若所述判断结果表示是,则确定发生主机攻击;
若所述判断结果表示否,则确定未发生主机攻击。
可选的,所述提取所述目标主机网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息,具体包括:
从所述目标主机网络数据中解析提取请求和响应信息;
从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息;
从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。
可选的,利用集成学习方法对已公开的漏洞数据进行训练的具体过程为:
获取已公开的漏洞数据,得到训练样本;
提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项;
将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分;
利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
可选的,在所述确定发生主机攻击之后,还包括:
发出主机攻击报警信号。
可选的,所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
一种主机攻击检测系统,包括:
主机数据获取模块,用于获取目标主机网络数据、安全设备系统日志和目标主体系统日志;
特征提取模块,用于提取所述目标主机网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息;
攻击判断模块,用于将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;
攻击确定模块,用于若所述判断结果表示是,则确定发生主机攻击;
安全确定模块,用于若所述判断结果表示否,则确定未发生主机攻击。
可选的,所述特征提取模块包括:
目标主机网络数据解析单元,用于从所述目标主机网络数据中解析提取请求和响应信息;
安全设备系统日志解析单元,用于从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息;
系统日志特征提取单元,用于从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。
可选的,该主机攻击检测系统还包括训练模块,用于利用集成学习方法对已公开的漏洞数据进行训练;
所述训练模块包括:
样本获取单元,用于获取已公开的漏洞数据,得到训练样本;
系统日志特征提取单元,用于提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项;
攻击类型划分单元,用于将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分;
集成学习训练单元,用于利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
可选的,该主机攻击检测系统还包括:
报警模块,用于发出主机攻击报警信号。
可选的,所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明的主机攻击检测方法及系统,通过结合目标主机网络数据、安全设备系统日志和目标主体系统日志等信息对主机进行全方位的快速安全监测,准确分析出主机受到的攻击类型,提高检测准确度,并提高检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1主机攻击检测方法的方法流程图;
图2为本发明实施例2主机攻击检测系统的系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例1:
图1为本发明实施例1主机攻击检测方法的方法流程图。
参见图1,该主机攻击检测方法,包括:
步骤101:获取目标主机网络数据、安全设备系统日志和目标主体系统日志。
目标主机网络数据的获取方式为:通过网络端口镜像的方式获取目标主机网络数据。
安全设备系统日志的获取方式为:通过syslog(系统日志或系统记录)转发方式获取安全设备系统日志。安全设备包括ids、ips、waf等。安全设备系统日志是指安全设备系统所产生或记录的日志。
目标主体系统日志的获取方式为:通过日志采集客户端软件采集目标主体系统日志。
步骤102:提取所述目标主机网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息。
该步骤102具体包括:
(1)从所述目标主机网络数据中解析提取请求和响应信息。
访问目标主机可能采用多种协议,包括但不限于http、https、smb、svn、pop3、snmp、ssh、telnet、rpc、soap等协议。以http请求为例,请求主要包括请求行,请求头、请求主体三部分,其中请求行由三部分组成:分别是请求方法(GET/POST/DELETE/PUT/HEAD)、URI路径、HTTP版本号。请求头由散两部分组成:分别是缓存相关信息(Cache-Control,If-Modified-Since)、客户端身份信息(User-Agent)等键值对信息。请求主体是客户端发给服务端的请求数据,这部分数据并不是每个请求必须的。通过网络端口镜像获取到原始网络数据后,根据不同的协议对应的字段进行逐个解析,获取相应的监测特征。
常用的请求信息类型参见表1。常用的响应信息类型参见表2。
表1常用请求信息类型
表2常用响应信息类型
(2)从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息。在解析处设备日志特征后,将提取的设备日志特征转换成统一格式并存储到数据库中。
(3)从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。在提取到系统日志特征后,将提取的系统日志特征存储到数据库中。
步骤103:将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果。
该步骤103中,利用集成学习方法对已公开的漏洞数据进行训练的具体过程为:
(1)获取已公开的漏洞数据,得到训练样本。
漏洞数据包括但不限于国家信息安全漏洞库、国家信息安全漏洞共享平台漏洞、赛门铁克漏洞库、美国国家信息安全漏洞库、全球信息安全漏洞指纹库、OffensiveSecurity公司的漏洞库、CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)漏洞库、乌云安全漏洞报告平台、Sebug漏洞库等漏洞数据库相关信息。
(2)提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项。
(3)将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分。所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
网络攻击类型下的攻击事件参见表3。
表3网络攻击类型下的攻击事件
系统入侵类型下的攻击事件参见表4。
表4系统入侵类型下的攻击事件
信息破坏类型下的攻击事件参见表5。
表5信息破坏类型下的攻击事件
安全隐患类型下的攻击事件参见表6。
表6安全隐患类型下的攻击事件
(4)利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
集成学习方法本身并不是一个单独的机器学习算法,而是通过构建并结合多个机器学习器来完成学习任务,采用集成学习方法能够平均单个维度的偏差,减少方差,提高机器学习的效率。训练后的攻击特征与攻击类型的匹配关系存储在数据库中。
步骤104:若所述判断结果表示是,则确定发生主机攻击;
步骤105:发出主机攻击报警信号。可以通过短信、邮件等方式将报警信号传递到用户。
步骤106:若所述判断结果表示否,则确定未发生主机攻击。
实施例2:
该实施例2提供一种主机攻击检测系统。
图2为本发明实施例2主机攻击检测系统的系统结构图。
参见图2,该主机攻击检测系统包括:
主机数据获取模块1,用于获取目标主机网络数据、安全设备系统日志和目标主体系统日志。
特征提取模块2,用于提取所述目标主机网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息。
所述特征提取模块2包括:
目标主机网络数据解析单元,用于从所述目标主机网络数据中解析提取请求和响应信息。
安全设备系统日志解析单元,用于从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息。
系统日志特征提取单元,用于从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果。
训练模块3,用于利用集成学习方法对已公开的漏洞数据进行训练。
训练模块3包括:
样本获取单元,用于获取已公开的漏洞数据,得到训练样本。
系统日志特征提取单元,用于提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项。
攻击类型划分单元,用于将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分。所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
集成学习训练单元,用于利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
攻击判断模块4,用于将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果。
攻击确定模块5,用于若所述判断结果表示是,则确定发生主机攻击。
报警模块6,用于发出主机攻击报警信号。
安全确定模块7,用于若所述判断结果表示否,则确定未发生主机攻击。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明的主机攻击检测方法及系统,通过结合目标主机网络数据、安全设备系统日志和目标主体系统日志等信息对主机进行全方位的快速安全监测,准确分析出主机受到的攻击类型,提高检测准确度,并提高检测效率。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (6)
1.一种主机攻击检测方法,其特征在于,包括:
获取目标主机网络数据、安全设备系统日志和目标主体系统日志;
目标主机网络数据的获取方式为:采用多种协议通过网络端口镜像的方式获取目标主机网络数据;多种协议包括:http、https、smb、svn、pop3、snmp、ssh、telnet、rpc或soap协议;
提取所述目标主机网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息;
所述提取所述目标主体网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息,具体包括:
从所述目标主机网络数据中解析提取请求和响应信息;
请求信息类型包括:接受的内容类型;接受的字符编码;接受的编码格式;接受的版本时间;接受的语言;HTTP身份验证的凭证;请求响应链上所有的缓存机制必须遵守的指令;当前连接和hop-by-hop协议请求字段列表的控制选项;请求体的字节长度;基于MD5算法对请求体内容进行Base64二进制编码;请求体的MIME类型;服务器使用Set-Cookie发送的http cookie;消息发送的日期和时间;标识客户端需要的特殊浏览器行为;披露客户端通过http代理连接web服务的源信息;发送请求的用户的email地址;服务器IP和TCP端口号,如果使用的是服务请求标准端口号,端口号可以省略;客户端的ETag;更新时间;标识跨域资源请求;特殊实现字段,会对请求响应链有多种影响;为连接代理授权认证信息;请求部分实体;前一个页面的地址;请求服务端升级协议和用户代理的字符串值;
响应信息类型包括:指定站点参与跨站资源共享;指定器支持的补丁文档格式;服务器通过byte serving支持的部分内容范围类型;对象在代理缓存中暂存的秒数;特定资源的有效行为;当前连接和hop-by-hop协议请求字段列表的控制选项;告诉客户端弹出一个文件下载框,并且指定下载文件名;数据使用的编码类型;为封闭内容设置自然语言或者目标用户语言;响应体的字节长度;返回数据的另一个位置;基于MD5算法对响应体内容进行Base64二进制编码;标识响应体内容属于完整消息体中的那一部分;响应体的MIME类型;消息发送的日期和时间;版本资源的标识符;响应体的过期时间;请求对象最后一次的修改日期;与其他资源的类型关系;在重定向中或者创建新资源时使用;特殊实现字段;访问代理的请求权限;站点的授权TLS证书;重定向;服务器名称;Cookie;响应状态;请求客户端升级协议;实体发生的问题的通用警告;标识访问请求实体的身份验证方案和点击劫持保护;
从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息;
从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果;
将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;
若所述判断结果表示是,则确定发生主机攻击;
若所述判断结果表示否,则确定未发生主机攻击;
在所述确定发生主机攻击之后,还包括:发出主机攻击报警信号;
所述发出主机攻击报警信号的方式包括:短信和邮件任意一种;
利用集成学习方法对已公开的漏洞数据进行训练的具体过程为:
获取已公开的漏洞数据,得到训练样本;
提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项;
将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分;
利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
2.根据权利要求1所述的主机攻击检测方法,其特征在于,所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
3.根据权利要求1所述的主机攻击检测方法,其特征在于,以http请求为例,请求包括请求行,请求头和请求主体三部分,其中请求行由三部分组成:分别是请求方法、URI路径和HTTP版本号;请求头由两部分组成:分别是缓存相关信息和客户端身份信息;请求主体是客户端发给服务端的请求数据。
4.一种主机攻击检测系统,其特征在于,包括:
主机数据获取模块,用于获取目标主机网络数据、安全设备系统日志和目标主体系统日志;
目标主机网络数据的获取方式为:采用多种协议通过网络端口镜像的方式获取目标主机网络数据;多种协议包括:http、https、smb、svn、pop3、snmp、ssh、telnet、rpc或soap协议;
特征提取模块,用于提取所述目标主机网络数据、所述安全设备系统日志和所述目标主体系统日志的特征信息;
所述特征提取模块包括:
目标主机网络数据解析单元,用于从所述目标主机网络数据中解析提取请求和响应信息;
请求信息类型包括:接受的内容类型;接受的字符编码;接受的编码格式;接受的版本时间;接受的语言;HTTP身份验证的凭证;请求响应链上所有的缓存机制必须遵守的指令;当前连接和hop-by-hop协议请求字段列表的控制选项;请求体的字节长度;基于MD5算法对请求体内容进行Base64二进制编码;请求体的MIME类型;服务器使用Set-Cookie发送的http cookie;消息发送的日期和时间;标识客户端需要的特殊浏览器行为;披露客户端通过http代理连接web服务的源信息;发送请求的用户的email地址;服务器IP和TCP端口号,如果使用的是服务请求标准端口号,端口号可以省略;客户端的ETag;更新时间;标识跨域资源请求;特殊实现字段;会对请求响应链有多种影响;为连接代理授权认证信息;请求部分实体;前一个页面的地址;请求服务端升级协议和用户代理的字符串值;
响应信息类型包括:指定站点参与跨站资源共享;指定器支持的补丁文档格式;服务器通过byte serving支持的部分内容范围类型;对象在代理缓存中暂存的秒数;特定资源的有效行为;当前连接和hop-by-hop协议请求字段列表的控制选项;告诉客户端弹出一个文件下载框,并且指定下载文件名;数据使用的编码类型;为封闭内容设置自然语言或者目标用户语言;响应体的字节长度;返回数据的另一个位置;基于MD5算法对响应体内容进行Base64二进制编码;标识响应体内容属于完整消息体中的那一部分;响应体的MIME类型;消息发送的日期和时间;版本资源的标识符;响应体的过期时间;请求对象最后一次的修改日期;与其他资源的类型关系;在重定向中或者创建新资源时使用;特殊实现字段;访问代理的请求权限;站点的授权TLS证书;重定向;服务器名称;Cookie;响应状态;请求客户端升级协议;实体发生的问题的通用警告;标识访问请求实体的身份验证方案和点击劫持保护;
安全设备系统日志解析单元,用于从所述安全设备系统日志中解析设备日志特征;所述设备日志特征包括但不限于:时间、级别、协议、目的IP、源IP、目的端口、资源账号、目的MAC、源MAC、认证账号、重定向端口、访问方向和阻断信息;
系统日志特征提取单元,用于从所述目标主体系统日志中提取系统日志特征;所述系统日志特征包括但不限于:操作系统、版本号、时间、源IP、端口、类型、级别、用户和结果;
攻击判断模块,用于将所述特征信息输入到利用集成学习方法对已公开的漏洞数据进行训练所得到的多个机器学习器中,判断是否输出攻击类别,得到判断结果;
攻击确定模块,用于若所述判断结果表示是,则确定发生主机攻击;
安全确定模块,用于若所述判断结果表示否,则确定未发生主机攻击;
报警模块,用于发出主机攻击报警信号;
所述报警模块发出所述主机攻击报警信号方式包括:短信和邮件任意一种;
训练模块,用于利用集成学习方法对已公开的漏洞数据进行训练;
所述训练模块包括:
样本获取单元,用于获取已公开的漏洞数据,得到训练样本;
系统日志特征提取单元,用于提取所述训练样本的攻击特征;所述攻击特征包括但不限于:时间、行为、源IP、目的IP、通讯协议、进程信息、配置信息、端口信息、请求连接信息、阻断信息、账号信息、协议内部信息中的至少一项;
攻击类型划分单元,用于将按照各所述攻击特征所属的攻击类型,对各所述攻击特征进行攻击类型的划分;
集成学习训练单元,用于利用集成学习方法对所述攻击特征和各所述攻击特征所属的攻击类型进行训练,得到训练好的多个机器学习器。
5.根据权利要求4所述的主机攻击检测系统,其特征在于,所述攻击类型包括但不限于:网络攻击、系统入侵、信息破坏和安全隐患。
6.根据权利要求4所述的主机攻击检测系统,其特征在于,以http请求为例,请求包括请求行,请求头和请求主体三部分,其中请求行由三部分组成:分别是请求方法、URI路径和HTTP版本号;请求头由两部分组成:分别是缓存相关信息和客户端身份信息;请求主体是客户端发给服务端的请求数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910966779.5A CN110636076B (zh) | 2019-10-12 | 2019-10-12 | 一种主机攻击检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910966779.5A CN110636076B (zh) | 2019-10-12 | 2019-10-12 | 一种主机攻击检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110636076A CN110636076A (zh) | 2019-12-31 |
| CN110636076B true CN110636076B (zh) | 2021-06-11 |
Family
ID=68976197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910966779.5A Active CN110636076B (zh) | 2019-10-12 | 2019-10-12 | 一种主机攻击检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110636076B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314310B (zh) * | 2020-01-19 | 2021-02-12 | 浙江大学 | 一种基于机器学习的不可解析网络数据特征选择的攻击检测方法 |
| CN111881460B (zh) * | 2020-08-06 | 2024-04-09 | 深信服科技股份有限公司 | 一种漏洞利用检测方法、系统、设备及计算机存储介质 |
| CN111953697B (zh) * | 2020-08-14 | 2023-08-18 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546624A (zh) * | 2011-12-26 | 2012-07-04 | 西北工业大学 | 一种网络多路入侵检测防御方法及系统 |
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
| CN107241352B (zh) * | 2017-07-17 | 2020-01-21 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
| US11223637B2 (en) * | 2018-01-07 | 2022-01-11 | Microsoft Technology Licensing, Llc | Detecting attacks on web applications using server logs |
-
2019
- 2019-10-12 CN CN201910966779.5A patent/CN110636076B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108881265A (zh) * | 2018-06-29 | 2018-11-23 | 北京奇虎科技有限公司 | 一种基于人工智能的网络攻击检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110636076A (zh) | 2019-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Anderson et al. | Identifying encrypted malware traffic with contextual flow data | |
| US9912680B2 (en) | Detecting malicious HTTP redirections using user browsing activity trees | |
| US10853484B2 (en) | Cookies watermarking in malware analysis | |
| US7302480B2 (en) | Monitoring the flow of a data stream | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| CN110636076B (zh) | 一种主机攻击检测方法及系统 | |
| CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| US11201880B2 (en) | Network attack tainting and tracking | |
| US10728216B2 (en) | Web application security architecture | |
| KR20140113705A (ko) | 웹 호스트에 의해 제공된 웹 콘텐츠의 진본성을 보장하기 위한 방법, 디바이스, 시스템 및 컴퓨터 판독가능 저장 매체 | |
| US20190190960A1 (en) | Selective information extraction from network traffic traces both encrypted and non-encrypted | |
| JP6084278B1 (ja) | 情報処理装置、方法およびプログラム | |
| CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
| US20150358343A1 (en) | Detection and classification of malicious clients based on message alphabet analysis | |
| Baykara et al. | A novel hybrid approach for detection of web-based attacks in intrusion detection systems | |
| CN103685298A (zh) | 一种基于深度包检测的ssl中间人攻击发现方法 | |
| CN113922992B (zh) | 一种基于http会话的攻击检测方法 | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
| KR101896267B1 (ko) | 실시간 로그 분석 기반의 공격 탐지 시스템 및 방법 | |
| Pickel et al. | Enabling automated detection of security events that affect multiple administrative domains | |
| US20220131885A1 (en) | Methods for tracing malicious endpoints in direct communication with application back ends using tls fingerprinting techniques | |
| Karuppanchetty et al. | Artificially augmented training for anomaly-based network intrusion detection systems | |
| AR | Identifying SOA security threats using web mining | |
| CN117040904A (zh) | 拦截策略的生成方法、装置、设备及存储介质 | |
| KR101394542B1 (ko) | Ssl/tls 도메인 이름 수집/관리 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |