CN111277598B - 一种基于流量的应用攻击识别方法及系统 - Google Patents
一种基于流量的应用攻击识别方法及系统 Download PDFInfo
- Publication number
- CN111277598B CN111277598B CN202010072272.8A CN202010072272A CN111277598B CN 111277598 B CN111277598 B CN 111277598B CN 202010072272 A CN202010072272 A CN 202010072272A CN 111277598 B CN111277598 B CN 111277598B
- Authority
- CN
- China
- Prior art keywords
- application
- flow information
- traffic
- attack
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
Abstract
本发明给出了一种基于流量的应用攻击识别方法及系统,包括在服务器端获取应用的流量信息,其中,流量信息包括应用的访问请求数、连接数、响应时间、报文大小和对外连接方式;将流量信息进行时间维度的回归,并将流量信息在多维空间上叠加生成应用的特征画像;响应于一时刻应用的特征画像的波动超过预设的阈值,确定该时刻事件为攻击事件。本发明适合应用在多种场景,尤其在数据报文加密、没有协议说明的场景,通过纯流量的监测和分析,实现对应用的区分,抛弃了对应用本身的依赖,使得对应用的识别可以完全不需要将应用数据落地,避免了可能造成的应用中隐私的泄露。
Description
技术领域
本发明涉及网络安全技术领域,尤其是一种基于流量的应用攻击识别方法及系统。
背景技术
应用识别和威胁识别是网络安全的基础,尤其在用户应用侧无法部署响应安全代码或者设备的前提下,就需要通过特殊的技术实现应用呈现黑盒状态下的对应用的识别和针对性防护,对于威胁一样的道理,任何威胁对于防护方来说都是黑盒,没有办法获得响应的具体信息。现有的技术会涉及到DPI技术和APT防护所用到的一些技术,重点是沙盒技术。
DPI(Deep Packet Inspection)深度报文解析已经是一个主要的网络安全基础手段,在DPI过程中,协议识别和应用识别是一个重要的内容,现在主流的DPI技术通过以下几个方式实现对协议或者应用资产的识别:
最早期的DPI是基于port的协议识别或者是关键字的协议识别,这种方式有它先天不足,首先端口很容易修改,其次关键字也很容易被模仿。
第二种是根据业务流交互特征识别协议,这种方式无需分析报文体的内容,仅仅要依据报文头中的域值、报文大小、报文间隙等特征分析流量所属的应用类型。基于測度的协议识别一般采用机器学习的方式,利用已经按协议类型分类的报文来训练系统,使其把握该类应用的报文特征以识别新的流量。
第三种是基于报文分析的协议识别,这种分析方式也被很多公司成为智能分析,从简单的通过识别指令格式和指令的逻辑关系判断应用协议,也可以通过跟踪数据报文找到特殊的应用特征,本质上是相同的,核心思想就是对协议交互过程中产生报文的内容进行分析,找出不同于其他协议的模式特征,依据各协议特有的模式特征确定流量所属协议类型。基于负载的协议识别主要有采用固定字符串和正則表達式来表示议特征两种方式。一般采用正则表达式构建一个比较复杂的识别公式,如果报文交互过程匹配,则说明协议命中,如果没有匹配,则继续监听报文,如果所有都匹配不了,则检测系统会认为这是一个新的协议。
目前进行系统的另一个大类是APT防护系统的相关技术,APT防护是对未知攻击的或者威胁的一种识别,除了类似DPI基于流量的检测外,沙盒也是一个重点,沙盒是将流量中捕捉的可执行程序下载到一个安全环境,并在这个环境中运行程序,从而判断程序有没有异常的行为和访问。
现有技术方案的缺点大致可以分为以下几点:
1、有效识别率低,识别程度低,通用的协议具有很强的识别能力,但是仅仅可以识别应用类型,而对该应用是否正常无法判断。比如很多恶意程序,替换了之前的WEB应用,或者通过很长时间的监听,模拟正常WEB应用访问过程进行正常访问,现有技术只能通过在应用中部署探测系统实现检测这种变化,通过旁路流量无法给出是正常的WEB的访问还是异常WEB访问;
2、很容易被绕过,从特征值识别到行为属性识别,都可以被恶意绕过,恶意程序可以假冒任何一个应用进行恶意数据传输,比如现在很常见的机遇HTTP的跳板程序,如果通过流量特征分析,基本没有检出的可能性;如果通过数据报文内容分析,因为这个报文一般是加密的,也没有办法得出结论;
3、加密应用和无协议格式的引用无法被识别,采用传统方式,对加密协议和无格式协议都是很难进行有效识别的;
4、在WEB全站HTTPS的背景前提下,应用识别用传统的方式已经完全不可行,恶意程序也是通过HTTPS的方式进行通信,有效数据传输,而行为识别程序却一直以为是一个正常的程序在通信,沙盒系统可能发现,但是沙盒系统需要一定的人工分析周期,无法满足实际的需要。
发明内容
为了解决现有技术中识别效率低、识别程度低、容易被绕过、加密应用和无协议格式的引用无法被识别以及沙盒系统难以满足实际需要的问题,本发明提出了一种基于流量的应用攻击识别方法及系统,用以解决上述的技术问题。
在一个方面,本发明提出了一种基于流量的应用攻击识别方法,该方法包括以下步骤:
S1:在服务器端获取应用的流量信息,其中,流量信息包括应用的访问请求数、连接数、响应时间、报文大小和对外连接方式;
S2:将流量信息进行时间维度的回归,并将流量信息在多维空间上叠加生成应用的特征画像,获取并保存应用的正常使用状态下的特征画像集合;以及
S3:响应于该时刻应用的特征画像的波动超过预设的阈值且前一时刻的特征画像介于特征画像集合的区间内,确定该时刻事件为攻击事件。
优选的,步骤S1中的获取流量信息的方式包括利用设置于服务器的网卡或利用软件的采集agent对流量信息进行提取。在每个服务器内部部署一个流量采集Agent,采集Agent可以是一个软件,也可以是一个硬件,硬件被称为采集卡,采集卡可以替换原来的网卡,同时具有全流量采集的功能。
优选的,步骤S2中的特征画像的生成方式具体包括:将访问请求数、连接数、响应时间、报文大小和对外连接方式在三维图像上基于时间对应关系进行叠加。这些信息在三维图像上进行叠加,在对应二维投影平面上产生的图形就被定义为这个虚拟机内业务系统的特征画像。
优选的,还包括将攻击事件对应的特征画像存储至攻击特征画像集合中。攻击特征画像集合可以作为后续分析的画像数据基础。
优选的,步骤S2还包括,基于时间分割生成多个时间段的特征画像。在一个三维空间内构建各个数值之间的的对应关系,然后形成这个访问过程的特征模型,这个模型在二维上的投影就可以定义为这个应用或者访问过程的特定画像。
根据本发明的第二方面,提出了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如上述的任一方法。
根据本发明的第三方面,提出了一种基于流量的应用攻击识别系统,该系统包括:
流量信息采集单元:配置用于在服务器端获取应用的流量信息,其中,流量信息包括应用的访问请求数、连接数、响应时间、报文大小和对外连接方式;
特征画像生成单元:配置用于将流量信息进行时间维度的回归,并将流量信息在多维空间上叠加生成应用的特征画像,获取并保存应用的正常使用状态下的特征画像集合;
攻击事件判断单元:配置用于响应于该时刻应用的特征画像的波动超过预设的阈值且前一时刻的特征画像介于特征画像集合的区间内,确定该时刻事件为攻击事件。
优选的,还包括数据存储单元和策略单元,存储单元用于存储特征画像,策略单元用于对已知的特征画像的匹配,数据存储单元和策略单元通过总线和各个节点的检测代理系统连接。
优选的,系统基于数据的优先级采用同步或异步的处理模式,对优先级高的数据同步处理,优先级低的数据异步处理。整体的通信过程必须是闭环的、可追溯的,应是基于过程的消息交互,而非无状态的。
优选的,系统采用基于分布式的消息处理架构的单独的数据上报信道以及策略交互信道。该系统可以处理高并发、高吞吐量的数据上报动作以及策略下发动作。
本发明提出了一个新的针对应用识别和恶意行为识别的方法,这种方法和传统的方法不同,它不是在网络的出入口或者核心交换节点进行流量截取和分析,而是在服务器的出入口进行流量截取,流量截取位置下沉得到的第一个特点就是数据是新鲜的,其次可以得到很多应用其它参数。流量采集下沉是本方案实现的基础。主要解决了一种通过应用流量特征进行应用、攻击和恶意程序识别的方法,通过采集流过服务器网络出入口的一些关键信息,利用自身的积累对应用和攻击进行定义和判断,具有比目前通过关键字或者特征码判断的方法具有更高的准确度,同时检测工具可以旁路部署,避免了一些隐私问题,而且系统单纯根据直观特征进行判断,在用户加密的情况下依然可以得出有效结论,本方法明显优于当前市场上存在的各类识别手段。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本发明的一个实施例的一种基于流量的应用攻击识别方法的流程图;
图2是本发明的一个具体的实施例的特征画像的示意图;
图3是本发明的一个的实施例的一种基于流量的应用攻击识别系统的框架图;
图4是本发明的一个具体的实施例的一种基于流量的应用攻击识别系统的框架图;
图5是本发明的一个具体的实施例的数据上报的交互逻辑示意图;
图6是本发明的一个具体的实施例的策略交互的交互逻辑示意图;
图7是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
根据本发明的一个实施例的一种基于流量的应用攻击识别方法,图1示出了根据本发明的实施例的一种一种基于流量的应用攻击识别方法的流程图。如图1所示,该方法包括以下步骤:
S101:在服务器端获取应用的流量信息,其中,流量信息包括应用的访问请求数、连接数、响应时间、报文大小和对外连接方式。在服务器端流量采集,这种方式使得有些参数成为可用,比如应用响应时间,这个位置采集的应用响应时间是最准确的时间,从而使得从外在的角度,对应用本身的特征有了新的参数。
在具体的实施例中,在服务器的出入口进行流量截取,流量截取位置下沉得到的第一个特点就是数据是新鲜的,其次可以得到很多应用其它参数。流量采集下沉是本方案实现的基础。在每个服务器内部部署一个流量采集Agent,采集Agent可以是一个软件,也可以是一个硬件,硬件被称为采集卡,采集卡可以替换原来的网卡,同时具有全流量采集的功能。应当认识到,采集卡可以部署在服务器内,替代原来的网卡,也可以只利用服务器的PCI插槽,利用短条线和该硬件卡相连。在软件模式下,软件部署在服务器内,工作在驱动层,通过流量复制的方式进行流量监听和采集,软件可以做为通用网卡的驱动方式出现。不同于传统的基于标志信息的对协议进行断定的方法,本申请采用了纯流量的各种属性叠加进行分析判断的方法,抛弃了对应用本身的依赖,使得对应用的识别可以完全不需要将应用数据落地,避免了应用中隐私的泄露,在保证隐私和安全性的同时实现了对应用的检测。
S102:将流量信息进行时间维度的回归,并将流量信息在多维空间上叠加生成应用的特征画像,获取并保存应用的正常使用状态下的特征画像集合。每个应用的画像描述信息时一个时间段的可观测属性集合,这种属性集合是一个时间段内有关网络的各项数据的结合,包括针对服务的访问请求数、连结数、每个请求响应时间、报文大小和对外连接方式等参数的关系曲线。
在具体的实施例中,通过部署在虚拟机或者物理服务器内专用网卡,或者软件的采集Agent对流量属性进行提取,这些数据包括采集时刻的访问请求书、连接数、此时请求的响应时间、响应的报文大小、对外的连接时长等信息,这些信息在三维图像上进行叠加,在对应二维投影平面上产生的图形就被定义为这个虚拟机内业务系统的特征画像。可替代的,除了将数据在三维图象上进行叠加之外,还可以在二维或者其他多维图像中进行叠加,生成应用或者业务系统的特征画像,同样可以实现本发明的技术效果。在一个三维空间内构建各个数值之间的的对应关系,然后形成这个访问过程的特征模型,这个模型在二维上的投影就可以定义为这个应用或者访问过程的特定画像。特征画像的示意图具体如图2所示。
在具体的实施例中,获取并保存应用的正常使用状态下的特征画像集合,作为判断应用是否正常使用,以此为基础判断应用是否处于被攻击等异常状态,能够避免应用被误识别的情况出现。
S103:响应于该时刻应用的特征画像的波动超过预设的阈值且前一时刻的特征画像介于特征画像集合的区间内,确定该时刻事件为攻击事件。利用特征画像进行攻击事件的判断,可以有效的识别出应用在使用过程中的异常情况和攻击事件。
在具体的实施例中,基于应用的使用情况进行判断,在应用正常使用的情况下,特征画像的波动范围超过预设的阈值,例如超过50%的情况下,结合前一时刻的特征画像情况进行分析,在前一时刻特征画像为正常使用情况的条件下,认定该应用处于被攻击的状态,此时的时间定义为攻击事件,并将该时刻的攻击事件对应的特征画像保存,作为下次分析的特征画像的数据基础。具体的阈值根据实际场景进行设定,可以根据应用的流量敏感程度进行调节,满足不同需求的应用使用要求。
在具体的实施例中,将攻击事件对应的特征画像存储至攻击特征画像集合中,作为后续攻击事件分析的特征画像数据基础,可以进一步提高识别的效率和准确性。
继续参考图3,图3示出了本发明的一个的实施例的一种基于流量的应用攻击识别系统的框架图,如图3所示,该系统包括依次连接的流量信息采集单元301、特征画像生成单元302和攻击事件判断单元303。
在具体的实施例中,流量信息采集单元301:配置用于在服务器端获取应用的流量信息,其中,流量信息包括应用的访问请求数、连接数、响应时间、报文大小和对外连接方式;特征画像生成单元302:配置用于将流量信息进行时间维度的回归,并将流量信息在多维空间上叠加生成应用的特征画像;攻击事件判断单元303:配置用于响应于一时刻应用的特征画像的波动超过预设的阈值,确定该时刻事件为攻击事件。
在具体的实施例中,在系统内还部署有数据存储平台和策略平台,数据存储和策略通过总线和各个节点的检测代理系统相连。数据存储被用于存储相应的流量数据、应用的正常使用状态下的特征画像集合和攻击事件对应的特征画像集合,作为分析的数据库基础。
在具体的实施例中,整个系统的服务端、各个客户端之间的消息通讯,拥有高实时性、高并发性和高可用性,能够做到消息的精准投递和实时投递;在此基础上的大规模消息分发和并行传输的过程中,允许进行各个优先级的消息定义,来决策数据被投递和处理的时机;同时,系统间的数据交互允许同步+异步的混杂处理模式,即由具体的业务需求,决策具体的交互模式,高优先级和高响应需求的交互过程必须遵循同步实施处理,低优先级的批量交互业务,可以遵循异步投放与处理,但整体的通信过程必须是闭环的、可追溯的,应是基于过程的消息交互,而非无状态的。
继续参考图4,图4示出了本发明的一个具体的实施例的一种基于流量的应用攻击识别系统的框架图。该系统具体包括上层应用401、本地缓存402、网卡驱动403、采集agent404和硬件平台405。上层应用401作为被采集的对象,利用网卡驱动403、采集agent404或者硬件平台405获得上层应用401服务器的相关流量数据,构建特征画像用于进行攻击识别,并将相应的数据以及特征画像保存至本地缓存405中,以此实现对已知的系统特征的匹配,整个系统的逻辑构成具体为数据的采集、存储、分析三个部分。
在具体的实施例中,上述系统中的数据上报是以单独的数据上报信道进行的,该设置可以保证硬件设备端的安全数据和业务数据,能够以高实时性、高可用性的送达消息管控平台。同时支持分布式的消息处理架构,以处理高并发、高吞吐量的数据上报动作。数据上报的交互逻辑具体如图5所示。终端网卡周期性发送流量数据通过流量交换捆绑至对应的流量队列中,管控平台监听各队列,有消息上报可立即获取。
在具体的实施例中,上述系统中的策略交互是以单独的策略交互信道,该设置可以保证安全策略中心与硬件防护端的安全策略交互,保障交互的质量。同时支持分布式的消息处理架构,以处理高并发的策略下发动作。策略交互的交互逻辑具体如下图6所示。管控平台下发控制指令通过交换节点捆绑下行队列,终端网卡从下行队列中接收控制指令并发送返回值或执行结果至上行队列,管控平台接收设备返回数据至上行队列中。
本发明适合应用在多种场景,尤其在数据报文加密、没有协议说明的场景,通过纯流量的监测和分析,实现对应用的区分,抛弃了对应用本身的依赖,使得对应用的识别可以完全不需要将应用数据落地,避免了可能造成的应用中隐私的泄露。本方法仅仅采用网络访问过程的直接属性对应用的响应进行分析,所以这个过程不需要还原应用,也不需要对应用特征字符串进行获取,有效避免了由于应用识别带来的信息泄露问题,而对于加密的报文,也有一定识别能力,如下图,就是一个应用访问过程的记录图像,可以用作对此应用的识别,单纯从图像上,无法对该应用进行信息恢复。同时,解决了现有此类安全设备的不足。现有安全设备基本上采集点都在交换机上或者干路上,这种方式可以采集会话过程报文的特征,但是很多应用独有的特征无法采集,比如应用响应时间得准确程度,应用在不同连接数下的响应时间,这些信息只有在服务器上,最靠近应用端才可以准确采集。
下面参考图7,其示出了适于用来实现本申请实施例的电子设备的计算机系统700的结构示意图。图7示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备可以:在服务器端获取应用的流量信息,其中,流量信息包括应用的访问请求数、连接数、响应时间、报文大小和对外连接方式;将流量信息进行时间维度的回归,并将流量信息在多维空间上叠加生成应用的特征画像;以及响应于一时刻应用的特征画像的波动超过预设的阈值,确定该时刻事件为攻击事件。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (9)
1.一种基于流量的应用攻击识别方法,其特征在于,包括以下步骤:
S1:在服务器端获取应用的流量信息,其中,所述流量信息包括所述应用的访问请求数、连接数、响应时间、报文大小和对外连接方式;
S2:将所述流量信息进行时间维度的回归,并将所述流量信息在多维空间上叠加生成所述应用的特征画像,获取并保存所述应用的正常使用状态下的特征画像集合;以及
S3:响应于该时刻所述应用的特征画像的波动超过预设的阈值且前一时刻的特征画像介于所述特征画像集合的区间内,确定该时刻事件为攻击事件;
步骤S2中的特征画像的生成方式具体包括:将所述访问请求数、所述连接数、所述响应时间、所述报文大小和所述对外连接方式在三维图像上基于时间对应关系进行叠加。
2.根据权利要求1所述的一种基于流量的应用攻击识别方法,其特征在于,所述步骤S1中的获取所述流量信息的方式包括利用设置于服务器的网卡或利用软件的采集agent对所述流量信息进行提取。
3.根据权利要求1所述的一种基于流量的应用攻击识别方法,其特征在于,还包括将所述攻击事件对应的特征画像存储至攻击特征画像集合中。
4.根据权利要求1所述的一种基于流量的应用攻击识别方法,其特征在于,所述步骤S2还包括,基于时间分割生成多个时间段的所述特征画像。
5.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一所述的方法。
6.一种基于流量的应用攻击识别系统,其特征在于,包括:
流量信息采集单元:配置用于在服务器端获取应用的流量信息,其中,所述流量信息包括所述应用的访问请求数、连接数、响应时间、报文大小和对外连接方式;
特征画像生成单元:配置用于将所述流量信息进行时间维度的回归,并将所述流量信息在多维空间上叠加生成所述应用的特征画像,获取并保存所述应用的正常使用状态下的特征画像集合,其中,特征画像的生成方式具体包括:将所述访问请求数、所述连接数、所述响应时间、所述报文大小和所述对外连接方式在三维图像上基于时间对应关系进行叠加;
攻击事件判断单元:配置用于响应于该时刻所述应用的特征画像的波动超过预设的阈值且前一时刻的特征画像介于所述特征画像集合的区间内,确定该时刻事件为攻击事件。
7.根据权利要求6所述的一种基于流量的应用攻击识别系统,其特征在于,还包括数据存储单元和策略单元,所述存储单元用于存储所述特征画像,所述策略单元用于对已知的所述特征画像的匹配,所述数据存储单元和所述策略单元通过总线和各个节点的检测代理系统连接。
8.根据权利要求6所述的一种基于流量的应用攻击识别系统,其特征在于,所述系统基于数据的优先级采用同步或异步的处理模式,对优先级高的数据同步处理,优先级低的数据异步处理。
9.根据权利要求7所述的一种基于流量的应用攻击识别系统,其特征在于,所述系统采用基于分布式的消息处理架构的单独的数据上报信道以及策略交互信道。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010072272.8A CN111277598B (zh) | 2020-01-21 | 2020-01-21 | 一种基于流量的应用攻击识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010072272.8A CN111277598B (zh) | 2020-01-21 | 2020-01-21 | 一种基于流量的应用攻击识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111277598A CN111277598A (zh) | 2020-06-12 |
| CN111277598B true CN111277598B (zh) | 2022-11-04 |
Family
ID=71002292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010072272.8A Active CN111277598B (zh) | 2020-01-21 | 2020-01-21 | 一种基于流量的应用攻击识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111277598B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112214764B (zh) * | 2020-09-08 | 2024-01-09 | 中国科学院信息工程研究所 | 一种面向复杂网络恶意程序分类方法及系统 |
| CN112351031B (zh) * | 2020-11-05 | 2023-05-05 | 中国电子信息产业集团有限公司 | 攻击行为画像的生成方法、装置、电子设备和存储介质 |
| CN113923021B (zh) * | 2021-10-09 | 2023-09-22 | 中国联合网络通信集团有限公司 | 基于沙箱的加密流量处理方法、系统、设备及介质 |
| CN114422174B (zh) * | 2021-12-09 | 2023-07-25 | 绿盟科技集团股份有限公司 | 一种网络流量过滤方法、装置、介质和设备 |
| CN114363010A (zh) * | 2021-12-14 | 2022-04-15 | 杭州安恒信息技术股份有限公司 | 一种服务器的apt攻击检测方法、装置、系统及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160110819A1 (en) * | 2014-10-21 | 2016-04-21 | Marc Lauren Abramowitz | Dynamic security rating for cyber insurance products |
| CN108270620B (zh) * | 2018-01-15 | 2020-07-31 | 深圳市联软科技股份有限公司 | 基于画像技术的网络异常检测方法、装置、设备及介质 |
| CN108965347B (zh) * | 2018-10-10 | 2021-06-11 | 腾讯科技(深圳)有限公司 | 一种分布式拒绝服务攻击检测方法、装置及服务器 |
| CN109600363B (zh) * | 2018-11-28 | 2020-01-21 | 南京财经大学 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
| CN110166418B (zh) * | 2019-03-04 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 攻击检测方法、装置、计算机设备和存储介质 |
| CN109802973A (zh) * | 2019-03-15 | 2019-05-24 | 北京百度网讯科技有限公司 | 用于检测流量的方法和装置 |
-
2020
- 2020-01-21 CN CN202010072272.8A patent/CN111277598B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111277598A (zh) | 2020-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111277598B (zh) | 一种基于流量的应用攻击识别方法及系统 | |
| US10795992B2 (en) | Self-adaptive application programming interface level security monitoring | |
| CN109977690A (zh) | 一种数据处理方法、装置和介质 | |
| US10958657B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| US20120311562A1 (en) | Extendable event processing | |
| CN102710770A (zh) | 一种上网设备识别方法及其实现系统 | |
| CN114584401A (zh) | 一种面向大规模网络攻击的追踪溯源系统及方法 | |
| CN107948199B (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
| CN112351031A (zh) | 攻击行为画像的生成方法、装置、电子设备和存储介质 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| Ren et al. | App identification based on encrypted multi-smartphone sources traffic fingerprints | |
| EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
| CN110830416A (zh) | 网络入侵检测方法和装置 | |
| CN112448919B (zh) | 网络异常检测方法、装置和系统、计算机可读存储介质 | |
| Zhang et al. | Software defined security architecture with deep learning-based network anomaly detection module | |
| CN108540471B (zh) | 移动应用网络流量聚类方法、计算机可读存储介质和终端 | |
| CN116248334A (zh) | 流量安防方法、装置、计算机设备和计算机可读存储介质 | |
| CN103095529A (zh) | 检测引擎装置、防火墙、检测网络传输文件的方法及装置 | |
| KR100799558B1 (ko) | P2p 네트워크에서의 유해 파일 추적 장치 및 방법 | |
| CN108667685B (zh) | 移动应用网络流量聚类装置 | |
| CN112929357A (zh) | 一种虚拟机数据的分析方法、装置、设备及存储介质 | |
| Zaki et al. | Grano-GT: A granular ground truth collection tool for encrypted browser-based Internet traffic | |
| CN116599697B (zh) | 基于双向身份认证的情报板信息传输硬加密方法及系统 | |
| CN111314266B (zh) | 一种流量欺诈检测方法、装置、电子设备及存储介质 | |
| CN114401112B (zh) | 旁路部署针对tls加密的恶意流量实时深度包检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |