CN111600865A - 一种异常通信检测方法、装置及电子设备和存储介质 - Google Patents
一种异常通信检测方法、装置及电子设备和存储介质 Download PDFInfo
- Publication number
- CN111600865A CN111600865A CN202010392083.9A CN202010392083A CN111600865A CN 111600865 A CN111600865 A CN 111600865A CN 202010392083 A CN202010392083 A CN 202010392083A CN 111600865 A CN111600865 A CN 111600865A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- address
- dns
- traffic
- types
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种异常通信检测方法、装置及一种电子设备和存储介质,该方法包括:对流经DNS端口的流量进行采集;获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。由上可知,本申请能够检测出使用DNS端口但不使用DNS协议进行通信的情况,识别出使用DNS端口进行异常通信的行为,使得DNS端口的通信异常检测更加全面,提高通信安全性。
Description
技术领域
本申请涉及计算机技术领域,更具体地说,涉及一种异常通信检测方法、装置及一种电子设备和一种计算机可读存储介质。
背景技术
DNS是万维网上作为域名和IP地址相互映射的一个分布式数据库,能够帮助用户更方便的使用互联网,一般防火墙不会阻断DNS流量,而大部分防火墙在实现时往往不阻断DNS协议所用的端口,因此有用户使用DNS端口进行异常通信以绕过防火墙,有些病毒、木马也使用DNS端口进行回连访问命令与控制服务器。
因此,如何解决上述问题是本领域技术人员需要重点关注的。
发明内容
本申请的目的在于提供一种异常通信检测方法、装置及一种电子设备和一种计算机可读存储介质,能够检测出使用DNS端口但不使用DNS协议进行通信的情况。
为实现上述目的,本申请提供了一种异常通信检测方法,包括:
对流经DNS端口的流量进行采集;
获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;
分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;
若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。
可选的,所述分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数,包括:
获取采集到的流量的传输层内容,得到各个流量对应的源IP地址和目的IP地址;
将所述源IP地址和所述目的IP地址作为地址对,分别统计各个地址对不符合DNS协议规范的异常种类和异常次数。
可选的,还包括:
将不符合DNS协议规范的流量数据保存至存储区,以便进行回溯分析。
可选的,所述判断所述应用层内容是否符合DNS协议规范,包括:
判断请求类型是否在有效请求类型范围内,和/或判断数据偏移长度是否低于数据总长度,和/或判断响应类型是否在有效响应类型范围内,和/或判断响应类型与实际响应内容是否相同,和/或域名是否符合域名基本特征。
可选的,所述判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息之后,还包括:
根据所述流量IP地址确定对应的目标进程,对所述目标进程进行关闭操作。
可选的,所述告警信息包括:流量IP地址、异常种类、异常次数,异常次数占总次数的比例和异常对应的流量数据中任一项或任几项的组合。
为实现上述目的,本申请提供了一种异常通信检测装置,包括:
流量采集模块,用于对流经DNS端口的流量进行采集;
协议判断模块,用于获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;
异常统计模块,用于分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;
异常告警模块,用于若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。
可选的,所述异常统计模块,包括:
确定单元,用于获取采集到的流量的传输层内容,得到各个流量对应的源IP地址和目的IP地址;
统计单元,用于将所述源IP地址和所述目的IP地址作为地址对,分别统计各个地址对不符合DNS协议规范的异常种类和异常次数。
为实现上述目的,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现前述公开的任一种异常通信检测方法的步骤。
为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现前述公开的任一种异常通信检测方法的步骤。
通过以上方案可知,本申请提供的一种异常通信检测方法,包括:对流经DNS端口的流量进行采集;获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。由上可知,本申请采集到DNS端口的流量之后,通过对其进行解析,识别流量是否使用DNS协议,若流量不符合DNS协议规范,则统计该流量IP地址的异常种类和异常次数,并在异常种类和异常次数满足告警条件后生成异常通信的告警信息,也即,本申请能够检测出使用DNS端口但不使用DNS协议进行通信的情况,识别出使用DNS端口进行异常通信的行为,使得异常检测更加全面,提高通信安全性。
本申请还公开了一种异常通信检测装置及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种异常通信检测方法的流程图;
图2为本申请实施例公开的异常通信检测方法的一种具体实施方式的流程图;
图3为本申请实施例公开的一种异常通信检测装置的结构图;
图4为本申请实施例公开的一种电子设备的结构图;
图5为本申请实施例公开的另一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在传统技术中,一般防火墙不会阻断DNS流量,而大部分防火墙在实现时往往不阻断DNS协议所用的端口,因此有用户使用DNS端口进行异常通信以绕过防火墙,有些病毒、木马也使用DNS端口进行回连访问命令与控制服务器。
因此,本申请实施例公开了一种异常通信检测方法,能够检测出使用DNS端口但不使用DNS协议进行通信的情况。
参见图1所示,本申请实施例公开的一种异常通信检测方法包括:
S101:对流经DNS端口的流量进行采集;
本申请实施例中,将对流经DNS端口的流量进行采集。具体地,可以使用DPDK采集流经网卡的常用DNS端口的流量。
S102:获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;
在本步骤中,可以对上述采集到的流量进行解析,获取其应用层的内容,判断应用层内容是否符合DNS协议规范,即判断该流量是否采用DNS协议。
作为一种可行的实施方式,上述判断应用层内容是否符合DNS协议规范的过程,可以具体包括:判断请求类型是否在有效请求类型范围内,和/或判断数据偏移长度是否低于数据总长度,和/或判断响应类型是否在有效响应类型范围内,和/或判断响应类型与实际响应内容是否相同,和/或域名是否符合域名基本特征。
S103:分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;
在具体实施中,可以对上述采集到的流量进行解析,获取其传输层内容,从而确定各个流量对应的源IP地址和目的IP地址。进而可以将源IP地址和目的IP地址作为地址对,以IP地址对为维度,统计各个IP地址对不符合DNS协议规范的异常种类和异常次数.
可以理解的是,本申请实施例在检测到流量应用层不符合DNS协议规范之后,还可以将不符合DNS协议规范的流量数据保存至存储区,以便进行回溯分析。
S104:若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。
作为一种可行的实施方式,本申请实施例当任一IP地址对异常种类超过第一阈值,且异常次数占总次数的比例超过第二预设阈值时,则判定对应的流量IP地址使用DNS端口进行异常通信,此时可生成相应的告警信息并推送至对应的管理终端实现异常上报。
需要说明的是,由于程序异常引起的协议异常往往是单一的,不会覆盖多种不同类型的异常,由于网络异常引起的协议异常依然会有大比例的数据是正常的,而本身不是DNS协议的数据往往会出现多种不同类型的异常,且正好符合DNS协议规范的数据会很少,由此,通过统计异常的种类以及异常的占比(即可推出正常的占比),可以避免由于程序异常、网络异常等原因引起的协议异常,减少异常的误报率,提升检测准确性。
上述第一预设阈值和第二预设阈值均可在实际实施过程中根据具体情况进行设定,本申请对此不进行限定。
需要指出的是,上述告警信息可以包括但不限于:流量IP地址、异常种类、异常次数,异常次数占总次数的比例和异常对应的流量数据,流量IP地址可以包括源IP地址和目的IP地址。
进一步地,当判定流量IP地址使用DNS端口进行异常通信之后,本申请实施例还可以根据流量IP地址确定对应的目标进程,并对目标进程进行关闭操作,以及时对异常通信进行处理。
通过以上方案可知,本申请提供的一种异常通信检测方法,包括:对流经DNS端口的流量进行采集;获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。由上可知,本申请采集到DNS端口的流量之后,通过对其进行解析,识别流量是否使用DNS协议,若流量不符合DNS协议规范,则统计该流量IP地址的异常种类和异常次数,并在异常种类和异常次数满足告警条件后生成异常通信的告警信息,也即,本申请能够检测出使用DNS端口但不使用DNS协议进行通信的情况,识别出使用DNS端口进行异常通信的行为,使得异常检测更加全面,提高通信安全性。
下面通过一种具体的实施方式对本申请实施例提供的异常通信检测方法进行详细的说明和介绍。参见图2所示,具体的:
步骤1:采集常用DNS端口流量:
使用DPDK采集流经网卡的常用DNS端口的流量。
步骤2:解析采集的流量的传输层协议:
按照UDP协议格式解析采集的流量的传输层内容,得到发起请求的源IP、响应的目的IP。
步骤3:判断是否使用了DNS协议:
按照DNS协议格式解析捕获的流量的应用层内容,判断是否符合DNS协议规范。
上述判断是否符合DNS协议规范的过程可以包括:判断请求类型是否在有效的类型范围内;解析时的偏移长度是否低于数据总长度;响应类型是否在有效的类型范围内;响应类型与响应内容实际类型是否相同;例如返回的类型是IPv4类型,但实际内容并不是IPv4类型;解析出来的域名是否符合域名的基本特征等。
具体地,上述有效的类型范围可以具体包括但不限于A类型、CNAME类型、MX类型、NS类型、TXT类型、AAAA类型等协议标准中有定义的类型。
判断解析出来的域名是否符合域名的基本特征时,可以具体判断域名中是否有英文点(.),如果域名中不存在英文字符点,则认为不符合域名的基本特征;或判断域名中是否存在不可见字符,如果域名中存在不可见字符,则认为不符合域名的基本特征。
步骤4:以IP地址对为维度进行统计:
基于步骤3的判断结果,以源IP地址和目的IP地址组成的IP地址对作为维度进行统计,分别统计其符合DNS协议规范的次数。对于不符合DNS协议规范的流量数据,可将该流量数据保存为数据包用于后续回溯分析。针对每个IP地址对,每种不符合协议规范的类型最多保存Y1个数据包。在具体实施中,Y1可以具体设置为100。
步骤5:识别是否使用DNS端口进行异常通信:
每隔一定的时间周期,对每个IP地址对进行异常统计。如果一个IP地址对中异常的种类超过阈值Y2种,且符合DNS协议规范的次数占通信总次数的比例小于阈值Y3,则判定为该IP地址对使用DNS端口进行异常通信。在全部IP地址对识别完成之后,可清理历史统计信息并重新开始统计。本申请实施例中,上述时间周期可以具体设置为30分钟,阈值Y2设置为3种,阈值Y3设置为50%。
步骤6:产生告警信息:
在判定IP地址对使用DNS端口进行异常通信之后,可以生成相应的告警信息,上述告警信息可以包括但不限于发起请求的源IP地址、目的IP地址、不符合DNS协议规范的种类、各种类对应的异常次数、异常次数占比和保存的异常流量数据包。
步骤7:分析与排查:
将上述告警信息推送至相应的管理终端,当管理人员看到告警信息后,可以根据告警内容以及保存的数据包判断是否误报以及是否有造成严重危害。若判断不是误报后,则根据源IP地址定位到具体的设备,进而根据IP地址对的连接情况定位到具体的进程,停止进程并清除恶意软件。
进一步地,还可以根据目的IP地址查询威胁情报库,获取IP地址所属是否是某个黑客组织所有等,以进一步排查隐患。
本申请实施例能够检测使用DNS端口进行异常通信的行为,找出使用DNS端口进行通信的源IP地址和目的IP地址,管理人员可以根据源IP地址找到相应的设备并清除相应的恶意软件,实现异常排查,提高通信的安全性。
下面对本申请实施例提供的一种异常通信检测装置进行介绍,下文描述的一种异常通信检测装置与上文描述的一种异常通信检测方法可以相互参照。
参见图3所示,本申请实施例提供的一种异常通信检测装置包括:
流量采集模块201,用于对流经DNS端口的流量进行采集;
协议判断模块202,用于获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;
异常统计模块203,用于分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;
异常告警模块204,用于若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。
关于上述模块201至204的具体实施过程可参考前述实施例公开的相应内容,在此不再进行赘述。
在上述实施例的基础上,作为一种优选实施方式,本申请实施例提供的异常统计模块可以具体包括:
确定单元,用于获取采集到的流量的传输层内容,得到各个流量对应的源IP地址和目的IP地址;
统计单元,用于将所述源IP地址和所述目的IP地址作为地址对,分别统计各个地址对不符合DNS协议规范的异常种类和异常次数。
本申请还提供了一种电子设备,参见图5,本申请实施例提供的一种电子设备的结构图,如图4所示,包括:
存储器100,用于存储计算机程序;
处理器200,用于执行所述计算机程序时可以实现前述任一实施例所提供的步骤。
具体的,存储器100包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机可读指令,该内存储器为非易失性存储介质中的操作系统和计算机可读指令的运行提供环境。处理器200在一些实施例中可以是一中央处理器(CentralProcessing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,为电子设备提供计算和控制能力,执行所述存储器100中保存的计算机程序时,可以实现前述任一实施例提供的异常通信检测方法。
在上述实施例的基础上,作为优选实施方式,参见图5所示,所述电子设备还包括:
输入接口300,与处理器200相连,用于获取外部导入的计算机程序、参数和指令,经处理器200控制保存至存储器100中。该输入接口300可以与输入装置相连,接收用户手动输入的参数或指令。该输入装置可以是显示屏上覆盖的触摸层,也可以是终端外壳上设置的按键、轨迹球或触控板,也可以是键盘、触控板或鼠标等。
显示单元400,与处理器200相连,用于显示处理器200处理的数据以及用于显示可视化的用户界面。该显示单元400可以为LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。
网络端口500,与处理器200相连,用于与外部各终端设备进行通信连接。该通信连接所采用的通信技术可以为有线通信技术或无线通信技术,如移动高清链接技术(MHL)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术等。
图5仅示出了具有组件100-500的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本申请还提供了一种计算机可读存储介质,该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。该存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现前述任一实施例提供的异常通信检测方法。
本申请采集到DNS端口的流量之后,通过对其进行解析,识别流量是否使用DNS协议,若流量不符合DNS协议规范,则统计该流量IP地址的异常种类和异常次数,并在异常种类和异常次数满足告警条件后生成异常通信的告警信息,也即,本申请能够检测出使用DNS端口但不使用DNS协议进行通信的情况,识别出使用DNS端口进行异常通信的行为,使得异常检测更加全面,提高通信安全性。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种异常通信检测方法,其特征在于,包括:
对流经DNS端口的流量进行采集;
获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;
分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;
若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。
2.根据权利要求1所述的异常通信检测方法,其特征在于,所述分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数,包括:
获取采集到的流量的传输层内容,得到各个流量对应的源IP地址和目的IP地址;
将所述源IP地址和所述目的IP地址作为地址对,分别统计各个地址对不符合DNS协议规范的异常种类和异常次数。
3.根据权利要求2所述的异常通信检测方法,其特征在于,还包括:
将不符合DNS协议规范的流量数据保存至存储区,以便进行回溯分析。
4.根据权利要求1所述的异常通信检测方法,其特征在于,所述判断所述应用层内容是否符合DNS协议规范,包括:
判断请求类型是否在有效请求类型范围内,和/或判断数据偏移长度是否低于数据总长度,和/或判断响应类型是否在有效响应类型范围内,和/或判断响应类型与实际响应内容是否相同,和/或域名是否符合域名基本特征。
5.根据权利要求1至4任一项所述的异常通信检测方法,其特征在于,所述判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息之后,还包括:
根据所述流量IP地址确定对应的目标进程,对所述目标进程进行关闭操作。
6.根据权利要求5所述的异常通信检测方法,其特征在于,所述告警信息包括:流量IP地址、异常种类、异常次数,异常次数占总次数的比例和异常对应的流量数据中任一项或任几项的组合。
7.一种异常通信检测装置,其特征在于,包括:
流量采集模块,用于对流经DNS端口的流量进行采集;
协议判断模块,用于获取采集到的流量的应用层内容,并判断所述应用层内容是否符合DNS协议规范;
异常统计模块,用于分别对不符合DNS协议规范的种类和次数进行统计,得到各个流量IP地址对应的异常种类和异常次数;
异常告警模块,用于若所述异常种类超过第一阈值,且所述异常次数占总次数的比例超过第二预设阈值,则判定对应的流量IP地址使用DNS端口进行异常通信,生成告警信息。
8.根据权利要求7所述的异常通信检测装置,其特征在于,所述异常统计模块,包括:
确定单元,用于获取采集到的流量的传输层内容,得到各个流量对应的源IP地址和目的IP地址;
统计单元,用于将所述源IP地址和所述目的IP地址作为地址对,分别统计各个地址对不符合DNS协议规范的异常种类和异常次数。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述异常通信检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述异常通信检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010392083.9A CN111600865B (zh) | 2020-05-11 | 2020-05-11 | 一种异常通信检测方法、装置及电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010392083.9A CN111600865B (zh) | 2020-05-11 | 2020-05-11 | 一种异常通信检测方法、装置及电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111600865A true CN111600865A (zh) | 2020-08-28 |
| CN111600865B CN111600865B (zh) | 2022-06-07 |
Family
ID=72191084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010392083.9A Active CN111600865B (zh) | 2020-05-11 | 2020-05-11 | 一种异常通信检测方法、装置及电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111600865B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112543199A (zh) * | 2020-12-07 | 2021-03-23 | 北京明略昭辉科技有限公司 | Ip异常流量检测方法、系统、计算机设备及存储介质 |
| CN112640392A (zh) * | 2020-11-20 | 2021-04-09 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
| CN112882905A (zh) * | 2021-03-22 | 2021-06-01 | 四川英得赛克科技有限公司 | 一种判断网络通信行为是否异常的方法、系统和电子设备 |
| CN113206761A (zh) * | 2021-04-30 | 2021-08-03 | 深信服科技股份有限公司 | 一种应用连接检测方法、装置、电子设备及存储介质 |
| CN114338109A (zh) * | 2021-12-17 | 2022-04-12 | 北京安天网络安全技术有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
| CN115134306A (zh) * | 2022-09-01 | 2022-09-30 | 杭州安恒信息技术股份有限公司 | 一种物联网终端的数据流量检测方法、装置、设备及介质 |
| CN116405274A (zh) * | 2023-03-27 | 2023-07-07 | 中国华能集团有限公司北京招标分公司 | 一种异常流量检测分析方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010037261A1 (zh) * | 2008-09-26 | 2010-04-08 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN109120733A (zh) * | 2018-07-20 | 2019-01-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
| CN111131126A (zh) * | 2018-10-30 | 2020-05-08 | 中国电信股份有限公司 | 攻击检测方法和装置 |
-
2020
- 2020-05-11 CN CN202010392083.9A patent/CN111600865B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010037261A1 (zh) * | 2008-09-26 | 2010-04-08 | 中联绿盟信息技术(北京)有限公司 | 网络异常流量分析设备和方法 |
| CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
| CN109120733A (zh) * | 2018-07-20 | 2019-01-01 | 杭州安恒信息技术股份有限公司 | 一种利用dns进行通信的检测方法 |
| CN111131126A (zh) * | 2018-10-30 | 2020-05-08 | 中国电信股份有限公司 | 攻击检测方法和装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112640392A (zh) * | 2020-11-20 | 2021-04-09 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
| WO2022104738A1 (zh) * | 2020-11-20 | 2022-05-27 | 华为技术有限公司 | 一种木马检测方法、装置和设备 |
| CN112543199A (zh) * | 2020-12-07 | 2021-03-23 | 北京明略昭辉科技有限公司 | Ip异常流量检测方法、系统、计算机设备及存储介质 |
| CN112543199B (zh) * | 2020-12-07 | 2022-12-23 | 北京明略昭辉科技有限公司 | Ip异常流量检测方法、系统、计算机设备及存储介质 |
| CN112882905A (zh) * | 2021-03-22 | 2021-06-01 | 四川英得赛克科技有限公司 | 一种判断网络通信行为是否异常的方法、系统和电子设备 |
| CN113206761A (zh) * | 2021-04-30 | 2021-08-03 | 深信服科技股份有限公司 | 一种应用连接检测方法、装置、电子设备及存储介质 |
| CN114338109A (zh) * | 2021-12-17 | 2022-04-12 | 北京安天网络安全技术有限公司 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
| CN115134306A (zh) * | 2022-09-01 | 2022-09-30 | 杭州安恒信息技术股份有限公司 | 一种物联网终端的数据流量检测方法、装置、设备及介质 |
| CN116405274A (zh) * | 2023-03-27 | 2023-07-07 | 中国华能集团有限公司北京招标分公司 | 一种异常流量检测分析方法 |
| CN116405274B (zh) * | 2023-03-27 | 2024-02-27 | 中国华能集团有限公司北京招标分公司 | 一种异常流量检测分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111600865B (zh) | 2022-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111600865B (zh) | 一种异常通信检测方法、装置及电子设备和存储介质 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US20230117494A1 (en) | Cyberanalysis Workflow Acceleration | |
| Jiang et al. | Identifying suspicious activities through dns failure graph analysis | |
| CN105099821B (zh) | 基于云的虚拟环境下流量监控的方法和装置 | |
| US8423894B2 (en) | Method and system for displaying network security incidents | |
| US20050108377A1 (en) | Method for detecting abnormal traffic at network level using statistical analysis | |
| JPWO2014119669A1 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| CN106302450B (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN105516390B (zh) | 域名管理的方法和装置 | |
| CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
| EP2854362A1 (en) | Software network behavior analysis and identification system | |
| KR20120087393A (ko) | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 | |
| CN108270778A (zh) | 一种dns域名异常访问检测方法及装置 | |
| EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
| CN111079138A (zh) | 异常访问检测方法、装置、电子设备及可读存储介质 | |
| CN112437062A (zh) | 一种icmp隧道的检测方法、装置、存储介质和电子设备 | |
| WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| CN113472798A (zh) | 一种网络数据包的回溯解析方法、装置、设备及介质 | |
| CN115664833B (zh) | 基于局域网安全设备的网络劫持检测方法 | |
| CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
| JP2011199507A (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
| CN114465743B (zh) | 一种数据流量监测分析方法 | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
| EP4081923B1 (en) | Human activity detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |