CN111935145A - 一种实现网络流量安全分析的硬件无关化方法及系统 - Google Patents
一种实现网络流量安全分析的硬件无关化方法及系统 Download PDFInfo
- Publication number
- CN111935145A CN111935145A CN202010796947.3A CN202010796947A CN111935145A CN 111935145 A CN111935145 A CN 111935145A CN 202010796947 A CN202010796947 A CN 202010796947A CN 111935145 A CN111935145 A CN 111935145A
- Authority
- CN
- China
- Prior art keywords
- flow
- network
- session
- attack
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种实现网络流量安全分析的硬件无关化方法及系统,解决现有流量分析受硬件平台限制,无法有效部署的问题,采用先物理聚类流量,在平台上部署若干个虚拟机执行流量安全分析进程,所述虚拟机可根据聚类流量的速度分布,动态部署专门的虚拟机处理指定的流量,同时在总线上布置硬件探针,可直接对流量报文进行初步关键词匹配,以及作为与其他第三方对接的接口,通过虚拟机对流量的深度检测发现异常点,再对异常点进行溯源,形态分析比较得到的攻击覆盖面和虚拟机分布,实现对防御策略的有效部署。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种实现网络流量安全分析的硬件无关化方法及系统。
背景技术
现有流量分析方法通常需要依托特定的硬件平台,网络流量越大,对硬件的要求越高,对部署的要求也越高。然而,现实场景中部署环境是多种多样的,提供的硬件设施也不一样,这给流量分析系统提出了新的要求。
未来的流量分析系统应该是可以广泛适用于各种硬件平台,用户可以忽略硬件,完全交给平台系统自己去适配。而平台系统则可以根据硬件平台当前的状态动态调整。
因此,急需一种针对性的实现网络流量安全分析的硬件无关化方法及系统。
发明内容
本发明的目的在于提供一种实现网络流量安全分析的硬件无关化方法及系统,解决现有流量分析受硬件平台限制,无法有效部署的问题,采用先物理聚类流量,在平台上部署若干个虚拟机执行流量安全分析进程,所述虚拟机可根据聚类流量的速度分布,动态部署专门的虚拟机处理指定的流量,同时在总线上布置硬件探针,可直接对流量报文进行初步关键词匹配,以及作为与其他第三方对接的接口,通过虚拟机对流量的深度检测发现异常点,再对异常点进行溯源,形态分析比较得到的攻击覆盖面和虚拟机分布,实现对防御策略的有效部署。
第一方面,本申请提供一种实现网络流量安全分析的硬件无关化方法,所述方法包括:
通过物理接口获取网络流量,在规定时间内分析网络流量速度,提取所述网络流量的标识信息,根据所述标识信息聚类获取的网络流量,结合网络流量的速度分布,得到不同标识信息聚类后的网络流量对应的速度分布;
在总线上布置若干个硬件探针,对输入的流量报文进行关键词提取和匹配,对包含指定关键词的流量报文,直接上报平台示警,记录当前异常点位置,所述硬件探针提供开放的REST服务接口、日志接口、API接口,跨过物理接口直接整合对接第三方态势感知大平台或者大数据平台;
在平台上布置若干个虚拟机,在虚拟机上运行流量安全分析进程,获取所述若干个虚拟机的工作状态和负载情况,对应将流量速度快的聚类网络流量分配给空闲的虚拟机,所述虚拟机通过内部接口与硬件探针连接,接收分配的聚类网络流量,执行深度包检测分析,提取流量中携带的协议特征,调用数据库保存的协议典型特征模型,分析流量所属网络协议类型,解析出流量中的应用数据,从相应字段中提取应用协议特征,再次调用数据库的协议典型特征模型,确定流量中携带有的应用协议类型;
其中,所述解析出流量中的应用数据包括:判断所述应用数据是否被加密或编码,所述判断包括深度分析数据片段是否符合预先设定的逻辑规律,若数据片段为杂乱随机,则初步认定所述数据片段被置乱或编码,若数据片段为具有某种规律分布,则初步认定所述数据片段为明文,进一步分析杂乱随机的数据片段,调用数据库中的保存的加密算法或随机处理方法,还原数据片段;
根据所述确定的应用协议类型和网络协议类型,确定流量中携带的会话,为所述会话赋予会话标识,进行会话分析,判断所述会话双方的身份是否合法,所述会话双方的可支持业务范围是否包括对方的业务,所述会话的时长是否超过预先设定的阈值,以及所述会话传输的数据包是否携带有敏感关键词或涉密文件,当判断所述会话出现异常时,所述虚拟机中断所述会话,通知平台异常点的位置;
所述虚拟机将所述会话分析后的流量送入第一机器学习模型,所述流量此时携带了相关的会话标识,检测是否包括第一攻击向量,当检测出所述第一攻击向量时,标记对应会话标识的会话为异常,针对会话双方进行源点传播溯源;
获取会话双方的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系,将每一种关系下每一个人作为一个子节点,扩展检测每一个子节点涉及的终端、邮箱、文件、即时通信,判断是否包括所述第一攻击向量,如果是,则标记该子节点为异常点;
获取会话双方的可支持业务范围,根据业务流程的前后关系、具体业务动作的经办人,得到业务关系链,将每一个经办人、经办人名下的终端、设备、文件、即时通信作为一个子节点,检测每一个子节点是否包括所述第一攻击向量,如果是,则标记该子节点为异常点;
确定所有异常点的位置,连接所有的异常点,形成完整的攻击覆盖面,对所述攻击覆盖面进行形态分析,根据攻击覆盖面的形态和所述若干个虚拟机的位置,调整所述虚拟机的工作权重,当有限几个虚拟机对应覆盖范围广的攻击覆盖面时,即某个范围内的单个虚拟机对应的覆盖密度小于阈值时,提高所述有限几个虚拟机的流量安全分析权重,减小指令交互的权重,赋予独立决断的权重;当有限几个虚拟机对应覆盖范围小的攻击覆盖面时,即某个范围内的单个虚拟机对应的覆盖密度大于阈值时,降低所述有限几个虚拟机的流量安全分析权重,决策需要上传平台决断。
结合第一方面,在第一方面第一种可能的实现方式中,平台根据虚拟机部署防御策略包括:完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种;
根据网络节点的负载情况自动部署防御策略,若异常攻击的源点负载小于预设的阈值,则直接在源点部署,否则,为源点选择负载小于阈值的邻近网络节点部署,切断源点向外传输的路径;
当所述邻近网络节点的负载上升大于阈值时,先判断源点负载是否还大于阈值,如果是,为源点切换到第二邻近网络节点部署策略,所述第二邻近网络节点是在源点潜在的传播路径上;
定期检测源点的负载情况,当负载稳定小于阈值时,则将部署切换回源点。
结合第一方面,在第一方面第二种可能的实现方式中,获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量;
将模拟的所述网络攻击流量送入第一机器学习模型,此时的第一机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击,完成训练。
结合第一方面,在第一方面第三种可能的实现方式中,所述机器学习模型包括神经网络模型。
第二方面,本申请提供一种实现网络流量安全分析的硬件无关化系统,所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的实现网络流量安全分析的硬件无关化方法。
第三方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面四种可能中任一项所述的实现网络流量安全分析的硬件无关化方法。
第四方面,本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得所述计算机执行第一方面四种可能中任一项所述的实现网络流量安全分析的硬件无关化方法。
本发明提供一种实现网络流量安全分析的硬件无关化方法及系统,解决现有流量分析受硬件平台限制,无法有效部署的问题,采用先物理聚类流量,在平台上部署若干个虚拟机执行流量安全分析进程,所述虚拟机可根据聚类流量的速度分布,动态部署专门的虚拟机处理指定的流量,同时在总线上布置硬件探针,可直接对流量报文进行初步关键词匹配,以及作为与其他第三方对接的接口,通过虚拟机对流量的深度检测发现异常点,再对异常点进行溯源,形态分析比较得到的攻击覆盖面和虚拟机分布,实现对防御策略的有效部署。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实现网络流量安全分析的硬件无关化方法的大致流程图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的实现网络流量安全分析的硬件无关化方法的大致流程图,所述方法包括:
通过物理接口获取网络流量,在规定时间内分析网络流量速度,提取所述网络流量的标识信息,根据所述标识信息聚类获取的网络流量,结合网络流量的速度分布,得到不同标识信息聚类后的网络流量对应的速度分布;
在总线上布置若干个硬件探针,对输入的流量报文进行关键词提取和匹配,对包含指定关键词的流量报文,直接上报平台示警,记录当前异常点位置,所述硬件探针提供开放的REST服务接口、日志接口、API接口,跨过物理接口直接整合对接第三方态势感知大平台或者大数据平台;
在平台上布置若干个虚拟机,在虚拟机上运行流量安全分析进程,获取所述若干个虚拟机的工作状态和负载情况,对应将流量速度快的聚类网络流量分配给空闲的虚拟机,所述虚拟机通过内部接口与硬件探针连接,接收分配的聚类网络流量,执行深度包检测分析,提取流量中携带的协议特征,调用数据库保存的协议典型特征模型,分析流量所属网络协议类型,解析出流量中的应用数据,从相应字段中提取应用协议特征,再次调用数据库的协议典型特征模型,确定流量中携带有的应用协议类型;
其中,所述解析出流量中的应用数据包括:判断所述应用数据是否被加密或编码,所述判断包括深度分析数据片段是否符合预先设定的逻辑规律,若数据片段为杂乱随机,则初步认定所述数据片段被置乱或编码,若数据片段为具有某种规律分布,则初步认定所述数据片段为明文,进一步分析杂乱随机的数据片段,调用数据库中的保存的加密算法或随机处理方法,还原数据片段;
根据所述确定的应用协议类型和网络协议类型,确定流量中携带的会话,为所述会话赋予会话标识,进行会话分析,判断所述会话双方的身份是否合法,所述会话双方的可支持业务范围是否包括对方的业务,所述会话的时长是否超过预先设定的阈值,以及所述会话传输的数据包是否携带有敏感关键词或涉密文件,当判断所述会话出现异常时,所述虚拟机中断所述会话,通知平台异常点的位置;
所述虚拟机将所述会话分析后的流量送入第一机器学习模型,所述流量此时携带了相关的会话标识,检测是否包括第一攻击向量,当检测出所述第一攻击向量时,标记对应会话标识的会话为异常,针对会话双方进行源点传播溯源;
获取会话双方的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系,将每一种关系下每一个人作为一个子节点,扩展检测每一个子节点涉及的终端、邮箱、文件、即时通信,判断是否包括所述第一攻击向量,如果是,则标记该子节点为异常点;
获取会话双方的可支持业务范围,根据业务流程的前后关系、具体业务动作的经办人,得到业务关系链,将每一个经办人、经办人名下的终端、设备、文件、即时通信作为一个子节点,检测每一个子节点是否包括所述第一攻击向量,如果是,则标记该子节点为异常点;
确定所有异常点的位置,连接所有的异常点,形成完整的攻击覆盖面,对所述攻击覆盖面进行形态分析,根据攻击覆盖面的形态和所述若干个虚拟机的位置,调整所述虚拟机的工作权重,当有限几个虚拟机对应覆盖范围广的攻击覆盖面时,即某个范围内的单个虚拟机对应的覆盖密度小于阈值时,提高所述有限几个虚拟机的流量安全分析权重,减小指令交互的权重,赋予独立决断的权重;当有限几个虚拟机对应覆盖范围小的攻击覆盖面时,即某个范围内的单个虚拟机对应的覆盖密度大于阈值时,降低所述有限几个虚拟机的流量安全分析权重,决策需要上传平台决断。
平台还包括可视化的防御策略,通过可视化管控操作,是可基于OMNet提供的事件信息和图形化结构,提供相关的实时展示接口和界面,管理员可以通过接口和界面,触控选择部署节点和部署范围,不同的防御策略可以作为某一个节点的部署选项,管理员可以选择部署选项中的某一个。
在一些优选实施例中,平台根据虚拟机部署防御策略包括:完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种;
根据网络节点的负载情况自动部署防御策略,若异常攻击的源点负载小于预设的阈值,则直接在源点部署,否则,为源点选择负载小于阈值的邻近网络节点部署,切断源点向外传输的路径;
当所述邻近网络节点的负载上升大于阈值时,先判断源点负载是否还大于阈值,如果是,为源点切换到第二邻近网络节点部署策略,所述第二邻近网络节点是在源点潜在的传播路径上;
定期检测源点的负载情况,当负载稳定小于阈值时,则将部署切换回源点。
在一些优选实施例中,获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量;
将模拟的所述网络攻击流量送入第一机器学习模型,此时的第一机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击,完成训练。
在一些优选实施例中,获取关系链时还包括进行逻辑关联分析,具体为:分析所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析所属用户是否相同、或用户之间是否存在关系链。
在一些优选实施例中,所述机器学习模型包括神经网络模型。
在一些优选实施例中,形成攻击溯源图之后,还可以包括:梳理出攻击事件的发生脉络和攻击路径,具体为:
对采集的所述日志信息从时间、空间多重维度进行深度关联分析和数据挖掘,建立规则库;
将疑似攻击的溯源信息与规则库中的信息进行对比,通过传播查询和追溯查询构建溯源图,根据所述溯源图获取攻击事件的发生脉络和攻击路径。
本申请提供一种实现网络流量安全分析的硬件无关化系统,所述系统包括:所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面所有实施例中任一项所述的实现网络流量安全分析的硬件无关化方法。
本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面所有实施例中任一项所述的实现网络流量安全分析的硬件无关化方法。
本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得所述计算机执行第一方面所有实施例中任一项所述的实现网络流量安全分析的硬件无关化方法
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (7)
1.一种实现网络流量安全分析的硬件无关化方法,其特征在于,所述方法包括:
通过物理接口获取网络流量,在规定时间内分析网络流量速度,提取所述网络流量的标识信息,根据所述标识信息聚类获取的网络流量,结合网络流量的速度分布,得到不同标识信息聚类后的网络流量对应的速度分布;
在总线上布置若干个硬件探针,对输入的流量报文进行关键词提取和匹配,对包含指定关键词的流量报文,直接上报平台示警,记录当前异常点位置,所述硬件探针提供开放的REST服务接口、日志接口、API接口,跨过物理接口直接整合对接第三方态势感知大平台或者大数据平台;
在平台上布置若干个虚拟机,在虚拟机上运行流量安全分析进程,获取所述若干个虚拟机的工作状态和负载情况,对应将流量速度快的聚类网络流量分配给空闲的虚拟机,所述虚拟机通过内部接口与硬件探针连接,接收分配的聚类网络流量,执行深度包检测分析,提取流量中携带的协议特征,调用数据库保存的协议典型特征模型,分析流量所属网络协议类型,解析出流量中的应用数据,从相应字段中提取应用协议特征,再次调用数据库的协议典型特征模型,确定流量中携带有的应用协议类型;
其中,所述解析出流量中的应用数据包括:判断所述应用数据是否被加密或编码,所述判断包括深度分析数据片段是否符合预先设定的逻辑规律,若数据片段为杂乱随机,则初步认定所述数据片段被置乱或编码,若数据片段为具有某种规律分布,则初步认定所述数据片段为明文,进一步分析杂乱随机的数据片段,调用数据库中的保存的加密算法或随机处理方法,还原数据片段;
根据所述确定的应用协议类型和网络协议类型,确定流量中携带的会话,为所述会话赋予会话标识,进行会话分析,判断所述会话双方的身份是否合法,所述会话双方的可支持业务范围是否包括对方的业务,所述会话的时长是否超过预先设定的阈值,以及所述会话传输的数据包是否携带有敏感关键词或涉密文件,当判断所述会话出现异常时,所述虚拟机中断所述会话,通知平台异常点的位置;
所述虚拟机将所述会话分析后的流量送入第一机器学习模型,所述流量此时携带了相关的会话标识,检测是否包括第一攻击向量,当检测出所述第一攻击向量时,标记对应会话标识的会话为异常,针对会话双方进行源点传播溯源;
获取会话双方的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系,将每一种关系下每一个人作为一个子节点,扩展检测每一个子节点涉及的终端、邮箱、文件、即时通信,判断是否包括所述第一攻击向量,如果是,则标记该子节点为异常点;
获取会话双方的可支持业务范围,根据业务流程的前后关系、具体业务动作的经办人,得到业务关系链,将每一个经办人、经办人名下的终端、设备、文件、即时通信作为一个子节点,检测每一个子节点是否包括所述第一攻击向量,如果是,则标记该子节点为异常点;
确定所有异常点的位置,连接所有的异常点,形成完整的攻击覆盖面,对所述攻击覆盖面进行形态分析,根据攻击覆盖面的形态和所述若干个虚拟机的位置,调整所述虚拟机的工作权重,当有限几个虚拟机对应覆盖范围广的攻击覆盖面时,即某个范围内的单个虚拟机对应的覆盖密度小于阈值时,提高所述有限几个虚拟机的流量安全分析权重,减小指令交互的权重,赋予独立决断的权重;当有限几个虚拟机对应覆盖范围小的攻击覆盖面时,即某个范围内的单个虚拟机对应的覆盖密度大于阈值时,降低所述有限几个虚拟机的流量安全分析权重,决策需要上传平台决断。
2.根据权利要求1所述的方法,其特征在于:平台根据虚拟机部署防御策略包括:完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种;
根据网络节点的负载情况自动部署防御策略,若异常攻击的源点负载小于预设的阈值,则直接在源点部署,否则,为源点选择负载小于阈值的邻近网络节点部署,切断源点向外传输的路径;
当所述邻近网络节点的负载上升大于阈值时,先判断源点负载是否还大于阈值,如果是,为源点切换到第二邻近网络节点部署策略,所述第二邻近网络节点是在源点潜在的传播路径上;
定期检测源点的负载情况,当负载稳定小于阈值时,则将部署切换回源点。
3.根据权利要求1-2任一项所述的方法,其特征在于:获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量;
将模拟的所述网络攻击流量送入第一机器学习模型,此时的第一机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击,完成训练。
4.根据权利要求1-3任一项所述的方法,其特征在于:所述机器学习模型包括神经网络模型。
5.一种实现网络流量安全分析的硬件无关化系统,其特征在于,所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行权利要求1-4任一项所述的实现网络流量安全分析的硬件无关化方法。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行权利要求1-4任一项所述的实现网络流量安全分析的硬件无关化方法。
7.一种包括指令的计算机程序产品,其特征在于,当其在计算机上运行时,使得所述计算机执行权利要求1-4任一项所述的实现网络流量安全分析的硬件无关化方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010796947.3A CN111935145B (zh) | 2020-08-10 | 2020-08-10 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010796947.3A CN111935145B (zh) | 2020-08-10 | 2020-08-10 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111935145A true CN111935145A (zh) | 2020-11-13 |
| CN111935145B CN111935145B (zh) | 2021-05-25 |
Family
ID=73308113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010796947.3A Active CN111935145B (zh) | 2020-08-10 | 2020-08-10 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111935145B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113098875A (zh) * | 2021-04-02 | 2021-07-09 | 北京兰云科技有限公司 | 一种网络监控方法和装置 |
| CN114422309A (zh) * | 2021-12-03 | 2022-04-29 | 中国电子科技集团公司第二十八研究所 | 基于摘要回传比对方式的业务消息传输效果分析方法 |
| CN114970546A (zh) * | 2022-05-30 | 2022-08-30 | 北京声智科技有限公司 | 信息输出方法、装置及电子设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040034800A1 (en) * | 2002-08-09 | 2004-02-19 | Anil Singhal | Intrusion detection system and network flow director method |
| CN101442489A (zh) * | 2008-12-30 | 2009-05-27 | 北京畅讯信通科技有限公司 | 基于特征库的流量识别方法 |
| CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
| CN104519016A (zh) * | 2013-09-29 | 2015-04-15 | 中国电信股份有限公司 | 防火墙自动防御分布式拒绝服务攻击的方法和装置 |
| CN106034056A (zh) * | 2015-03-18 | 2016-10-19 | 北京启明星辰信息安全技术有限公司 | 一种业务安全分析的方法和系统 |
| CN108289125A (zh) * | 2018-01-26 | 2018-07-17 | 华南理工大学 | 基于流式处理的tcp会话重组与统计数据提取方法 |
| CN109067783A (zh) * | 2018-09-17 | 2018-12-21 | 武汉思普崚技术有限公司 | 一种集中管控安全系统 |
| CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
| CN110505241A (zh) * | 2019-09-17 | 2019-11-26 | 武汉思普崚技术有限公司 | 一种网络攻击面检测方法及系统 |
| CN110636085A (zh) * | 2019-11-12 | 2019-12-31 | 中国移动通信集团广西有限公司 | 基于流量的攻击检测方法、装置及计算机可读存储介质 |
| CN111224989A (zh) * | 2020-01-09 | 2020-06-02 | 武汉思普崚技术有限公司 | 一种虚拟微隔离网络的攻击面防护方法及系统 |
-
2020
- 2020-08-10 CN CN202010796947.3A patent/CN111935145B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040034800A1 (en) * | 2002-08-09 | 2004-02-19 | Anil Singhal | Intrusion detection system and network flow director method |
| CN101442489A (zh) * | 2008-12-30 | 2009-05-27 | 北京畅讯信通科技有限公司 | 基于特征库的流量识别方法 |
| CN103281293A (zh) * | 2013-03-22 | 2013-09-04 | 南京江宁台湾农民创业园发展有限公司 | 一种基于多维分层相对熵的网络流量异常检测方法 |
| CN104519016A (zh) * | 2013-09-29 | 2015-04-15 | 中国电信股份有限公司 | 防火墙自动防御分布式拒绝服务攻击的方法和装置 |
| CN106034056A (zh) * | 2015-03-18 | 2016-10-19 | 北京启明星辰信息安全技术有限公司 | 一种业务安全分析的方法和系统 |
| CN109962891A (zh) * | 2017-12-25 | 2019-07-02 | 中国移动通信集团安徽有限公司 | 监测云安全的方法、装置、设备和计算机存储介质 |
| CN108289125A (zh) * | 2018-01-26 | 2018-07-17 | 华南理工大学 | 基于流式处理的tcp会话重组与统计数据提取方法 |
| CN109067783A (zh) * | 2018-09-17 | 2018-12-21 | 武汉思普崚技术有限公司 | 一种集中管控安全系统 |
| CN110505241A (zh) * | 2019-09-17 | 2019-11-26 | 武汉思普崚技术有限公司 | 一种网络攻击面检测方法及系统 |
| CN110636085A (zh) * | 2019-11-12 | 2019-12-31 | 中国移动通信集团广西有限公司 | 基于流量的攻击检测方法、装置及计算机可读存储介质 |
| CN111224989A (zh) * | 2020-01-09 | 2020-06-02 | 武汉思普崚技术有限公司 | 一种虚拟微隔离网络的攻击面防护方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113098875A (zh) * | 2021-04-02 | 2021-07-09 | 北京兰云科技有限公司 | 一种网络监控方法和装置 |
| CN113098875B (zh) * | 2021-04-02 | 2023-01-10 | 北京兰云科技有限公司 | 一种网络监控方法和装置 |
| CN114422309A (zh) * | 2021-12-03 | 2022-04-29 | 中国电子科技集团公司第二十八研究所 | 基于摘要回传比对方式的业务消息传输效果分析方法 |
| CN114422309B (zh) * | 2021-12-03 | 2023-08-11 | 中国电子科技集团公司第二十八研究所 | 基于摘要回传比对方式的业务消息传输效果分析方法 |
| CN114970546A (zh) * | 2022-05-30 | 2022-08-30 | 北京声智科技有限公司 | 信息输出方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111935145B (zh) | 2021-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111935143B (zh) | 一种攻击防御策略可视化的方法及系统 | |
| CN111935145B (zh) | 一种实现网络流量安全分析的硬件无关化方法及系统 | |
| CN112003840B (zh) | 一种基于攻击面的漏洞检测方法及系统 | |
| CN111917792B (zh) | 一种流量安全分析挖掘的方法及系统 | |
| Thanthrige et al. | Machine learning techniques for intrusion detection on public dataset | |
| CN111866027B (zh) | 一种基于情报分析的资产安全评估方法及系统 | |
| Ahmadinejad et al. | A hybrid model for correlating alerts of known and unknown attack scenarios and updating attack graphs | |
| US20160378978A1 (en) | Scoring for threat observables | |
| Hassan | Network intrusion detection system using genetic algorithm and fuzzy logic | |
| CN110365674B (zh) | 一种预测网络攻击面的方法、服务器和系统 | |
| WO2018044659A1 (en) | Clustering approach for detecting ddos botnets on the cloud from ipfix data | |
| CN107733834B (zh) | 一种数据泄露防护方法及装置 | |
| Abdulrahaman et al. | Ensemble learning approach for the enhancement of performance of intrusion detection system | |
| CN110365673B (zh) | 一种隔离网络攻击面的方法、服务器和系统 | |
| CN110381047B (zh) | 一种网络攻击面追踪的方法、服务器和系统 | |
| CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
| Kendrick et al. | A self-organising multi-agent system for decentralised forensic investigations | |
| US20220303290A1 (en) | Systems and methods for utilizing a machine learning model to detect anomalies and security attacks in software-defined networking | |
| CN111866028B (zh) | 一种攻击面可视化的方法、系统及存储介质 | |
| Jama et al. | Novel approach for IP-PBX denial of service intrusion detection using support vector machine algorithm | |
| Yan et al. | Sim-watchdog: Leveraging temporal similarity for anomaly detection in dynamic graphs | |
| Sapavath et al. | Prediction and detection of cyberattacks using AI model in virtualized wireless networks | |
| CN108881255B (zh) | 一种基于c&c通信状态转换检测僵尸网络的方法 | |
| CN111935144B (zh) | 一种流量安全分析的方法及系统 | |
| Patel et al. | Novel attribute selection technique for an efficient intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |