CN112019574A - 异常网络数据检测方法、装置、计算机设备和存储介质 - Google Patents

异常网络数据检测方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN112019574A
CN112019574A CN202011136505.2A CN202011136505A CN112019574A CN 112019574 A CN112019574 A CN 112019574A CN 202011136505 A CN202011136505 A CN 202011136505A CN 112019574 A CN112019574 A CN 112019574A
Authority
CN
China
Prior art keywords
data packet
fingerprint
target
confidence
candidate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011136505.2A
Other languages
English (en)
Other versions
CN112019574B (zh
Inventor
彭婧
杨勇
甘祥
郑兴
许艾斯
华珊珊
郭晶
常优
范宇河
唐文韬
申军利
何澍
王悦
刘羽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202011136505.2A priority Critical patent/CN112019574B/zh
Publication of CN112019574A publication Critical patent/CN112019574A/zh
Application granted granted Critical
Publication of CN112019574B publication Critical patent/CN112019574B/zh
Priority to PCT/CN2021/117975 priority patent/WO2022083353A1/zh
Priority to US17/994,944 priority patent/US20230089187A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种异常网络数据检测方法、装置、计算机设备和存储介质。所述方法包括:获取待检测网络数据包;根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合;目标数据包指纹集合包括至少一个目标数据包指纹;将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配;基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度;获取参考置信度,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。采用本方法能够异常网络数据包的检测准确性和检测效率,提高网络安全。

Description

异常网络数据检测方法、装置、计算机设备和存储介质
技术领域
本申请涉及计算机技术领域,特别是涉及一种异常网络数据检测方法、装置、计算机设备和存储介质。
背景技术
计算机技术的快速发展,为信息的传播带来了极大便利,但与此同时,人们也面临着巨大的信息安全挑战。由于信息安全问题日益突出,例如,黑客可以在网络上发起攻击,以窃取网络上的机密信息。
传统技术中,对网络攻击事件的检测主要是通过搜集公开的黑名单IP,若检测到当前网络数据包的IP为公开的黑名单IP,则确定该网络数据包为异常网络数据包,确定出现网络攻击事件。然而,网络上IP的数量非常庞大,公开的黑名单IP只是包括黑客使用的部分IP,容易出现漏判,从而导致异常网络数据包的检测准确性低,异常网络数据包的检测效率低。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高异常网络数据包的检测准确性和检测效率的异常网络数据检测方法、装置、计算机设备和存储介质。
一种异常网络数据检测方法,所述方法包括:
获取待检测网络数据包;
根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合;目标数据包指纹集合包括至少一个目标数据包指纹;
将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配;
基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度;
获取参考置信度,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。
一种异常网络数据检测装置,所述装置包括:
数据包获取模块,用于获取待检测网络数据包;
数据包指纹生成模块,用于根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合;目标数据包指纹集合包括至少一个目标数据包指纹;
数据包指纹匹配模块,用于将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配;
置信度计算模块,用于基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度;
检测结果确定模块,用于获取参考置信度,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取待检测网络数据包;
根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合;目标数据包指纹集合包括至少一个目标数据包指纹;
将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配;
基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度;
获取参考置信度,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取待检测网络数据包;
根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合;目标数据包指纹集合包括至少一个目标数据包指纹;
将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配;
基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度;
获取参考置信度,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。
上述异常网络数据检测方法、装置、计算机设备和存储介质,通过获取待检测网络数据包,根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合,目标数据包指纹集合包括至少一个目标数据包指纹。这样,生成的目标数据包指纹可以表征待检测网络数据包的特征信息,多个目标数据包指纹可以从不同维度表征待检测网络数据包的特征信息,从而丰富了异常网络数据包的检测维度,提高了异常网络数据包的检测准确性。将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配,基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度,获取参考置信度,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。这样,参考数据包指纹库集成了多个异常的参考数据包指纹,因此匹配成功的目标数据包指纹可以表征待检测网络数据包异常的特征信息,基于匹配成功的目标数据包指纹对应的置信度关联信息计算得到的目标置信度可以表征待检测网络数据包的异常程度,基于参考置信度和目标置信度可以快速确定待检测网络数据包的异常检测结果,提高了异常网络数据包的检测准确性和检测效率,提高网络安全。
附图说明
图1为一个实施例中异常网络数据检测方法的应用环境图;
图2为一个实施例中异常网络数据检测方法的流程示意图;
图3为一个实施例中对数据包指纹进行分类的示意图;
图4为一个实施例中建立参考数据包指纹库的流程示意图;
图5为一个实施例中计算目标置信度的流程示意图;
图6为另一个实施例中计算目标置信度的流程示意图;
图7为一个实施例中确定待检测网络数据包的异常检测结果的流程示意图;
图8为另一个实施例中异常网络数据检测方法的应用环境图;
图9为另一个实施例中异常网络数据检测方法的流程示意图;
图10为一个实施例中异常网络数据检测装置的结构框图;
图11为另一个实施例中异常网络数据检测装置的结构框图;
图12为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
云安全(Cloud Security) 是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1. 云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2. 安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3. 云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
本申请提供的异常网络数据检测方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与业务服务器104进行通信,终端102通过网络与检测服务器106进行通信,业务服务器104通过网络与检测服务器106进行通信。终端102和业务服务器104可以通过发送网络数据包进行通信。检测服务器106可以获取待检测网络数据包,根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合,目标数据包指纹集合包括至少一个目标数据包指纹。检测服务器106可以将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配,基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度,获取参考置信度,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。
其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端可以不止一个,终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
在一个实施例中,如图2所示,提供了一种异常网络数据检测方法,以该方法应用于图1中的检测服务器106为例进行说明,包括以下步骤:
步骤S202,获取待检测网络数据包。
其中,待检测网络数据包是指待检测是否为异常的网络数据包。待检测网络数据包可以是实时获取的网络数据包,即实时流量。网络数据包用于在终端和业务服务器之间传输数据。网络数据包具体可以包括目的IP地址、源IP地址、净载数据等信息。目的IP地址是指网络数据包对应的接收方的地址,源IP地址是指网络数据包对应的发送方的地址,净载数据是指具体的请求内容或应答内容,例如终端可以向业务服务器发送请求打开新闻网页的网络数据包,业务服务器可以向终端返回当前新闻网页对应的网络数据包。请求内容包括文字、图片、视频等中的至少一种。
具体地,终端和业务服务器之间可以通过发送网络数据包进行通信。在通信过程中,检测服务器可以获取终端或业务服务器发送的当前网络数据包作为待检测网络数据包。
在一个实施例中,终端和业务服务器之间可以借助交换机传输网络数据包。检测服务器可以采用旁路的方式从交换机中侦听网络数据包。
步骤S204,根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合;目标数据包指纹集合包括至少一个目标数据包指纹。
其中,目标协议类型是指待检测网络数据包对应的协议类型。协议类型是指传输网络数据包的网络协议类型。协议类型包括当前层协议类型和关联层协议类型中的至少一种。当前层协议类型是指网络数据包对应的应用层协议类型,关联层协议类型是指网络数据包对应的其他层协议类型,具体可以包括网络数据包对应的传输层协议类型、网络层协议类型、数据链路层协议类型中的至少一种。例如,网络数据包为HTTP协议(Hyper TextTransfer Protocol,超文本传输协议)网络数据包,那么待检测网络数据包对应的当前层协议类型可以为HTTP协议,由于HTTP协议对应的传输层协议类型为TCP协议(TransmissionControl Protocol,传输控制协议),那么该网络数据包对应的关联层协议类型可以为TCP协议。
目标数据包指纹是指待检测网络数据包对应的数据包指纹。数据包指纹是根据网络协议类型从网络数据包中提取对应的特征信息,根据提取到的特征信息生成的标识,用于标识网络数据包。一个网络数据包可以对应至少一个数据包指纹。一种协议类型可以生成至少一个数据包指纹,例如,网络数据包对应的协议类型包括HTTP协议和TCP协议,基于HTTP协议可以生成至少一个数据包指纹,基于TCP协议可以生成至少一个数据包指纹。一个网络数据包对应的不同数据包指纹可以从不同的维度表征网络数据包的特征信息。不同的网络数据包对应不同的数据包指纹集合,但是不同的数据包指纹集合可以包括至少一个不同的数据包指纹,例如,从同一终端发送的网络数据包A和网络数据包B,由于网络数据包A和网络数据包B对应的发送方相同,网络数据包A和网络数据包B可以存在相同的数据包指纹,该相同的数据包指纹可以是根据特征信息中发送方的相关信息生成。
具体地,检测服务器可以从待检测网络数据包中获取待检测网络数据包对应的目标协议类型,根据目标协议类型从待检测网络数据包中提取特征信息,根据提取的特征信息生成对应的至少一个目标数据包指纹,各个目标数据包指纹组成目标数据包指纹集合。检测服务器可以根据待检测网络数据包对应的当前层协议类型对待检测网络数据包提取特征生成对应的目标数据包指纹集合,也可以根据待检测网络数据包对应的关联层协议类型对待检测网络数据包提取特征生成对应的目标数据包指纹集合,还可以根据待检测网络数据包对应的当前层协议类型和关联层协议类型对待检测网络数据包提取特征生成对应的目标数据包指纹集合。
在一个实施例中,检测服务器可以从待检测网络数据包中获取待检测网络数据包对应的当前层协议类型,在本地或从其他终端、服务器获取当前层协议类型对应的指纹生成算法,基于指纹生成算法从待检测网络数据包中提取与该指纹生成算法匹配的特征字段,根据提取到的特征字段得到由当前层协议类型对应的指纹生成算法生成的目标数据包指纹。当前层协议类型对应的指纹生成算法可以为至少一个。若当前层协议类型对应的指纹生成算法为多个,可以生成当前层协议类型对应的多个目标数据包指纹。同理,检测服务器可以从待检测网络数据包中获取待检测网络数据包对应的关联层协议类型,在本地或从其他终端、服务器获取关联层协议类型对应的指纹生成算法,基于指纹生成算法从待检测网络数据包中提取与该指纹生成算法匹配的特征字段,根据提取到的特征字段得到由关联层协议类型对应的指纹生成算法生成的目标数据包指纹。关联层协议类型对应的指纹生成算法可以为至少一个。当关联层协议类型对应的指纹生成算法为多个时,可以生成关联层协议类型对应的多个目标数据包指纹。可以是当前层协议类型对应的各个目标数据包指纹组合得到目标数据包指纹集合,也可以是关联层协议类型对应的各个目标数据包指纹组合得到目标数据包指纹集合,还可以是当前层协议类型对应的各个目标数据包指纹和关联层协议类型对应的各个目标数据包指纹组合得到目标数据包指纹集合。
在一个实施例中,网络数据包包括多个字段,不同的字段可以表征网络数据包不同的特征信息。例如,网络数据包的字段包括目的IP地址、源IP地址、协议类型、发送时间、包大小、净载数据等。根据提取到的特征字段生成数据包指纹具体可以是将特征字段按照指纹生成算法规定的字段顺序进行排列组合得到目标特征信息,计算目标特征信息的哈希值得到数据包指纹。可以理解,不同协议类型对应的网络数据包中相同类型字段的字段位置可以相同可以不同,目标特征信息还可以进一步包括各个特征字段在网络数据包中的字段位置。
在一个实施例中,每一种协议可以分别对应多种指纹生成算法,那么根据协议类型和指纹生成算法可以对数据包指纹进行分类。如图3所示,网络协议包括HTTP协议、DHCP协议(Dynamic Host Configuration Protocol,动态主机配置协议)、SSH协议(SecureShell,安全外壳协议)、SSL协议(Secure Sockets Layer,安全套接字协议)、TLS协议(Transport Layer Security,安全传输层协议)、RDP协议(Remote Display Protocol,远程显示协议)、TCP协议和UDP协议(User Datagram Protocol,用户数据报协议)。DHCP协议是基于UDP协议,SSH协议是基于TCP协议传输的,SSL协议/ TLS协议是基于TCP协议传输的,RDP协议是基于TCP协议传输的。HTTP协议对应的指纹生成算法可以包括fatt、pmercury等。fatt(Fingerprint All The Things)是一个基于pyshark的脚本,用于从pcap(PacketCapture Data)文件和网络数据包中提取数据包指纹。pmercury是mercury的python实现,mercury是一个Linux应用程序,用于从网络数据包中提取数据包指纹。DHCP协议对应的指纹生成算法可以包括pmercury等。SSH协议对应的指纹生成算法可以包括HASSH-SSH_MSG_KEXINIT、pmercury等。HASSH是一个开源的算法,SSH_MSG_KEXINIT是密钥交换数据包头,HASSH-SSH_MSG_KEXINIT是一种识别SSH客户端指纹的方法。SSL协议和TLS协议对应的指纹生成算法可以包括JA3、pmercury等。JA3是一种在线识别TLS客户端指纹的方法。RDP协议对应的指纹生成算法可以包括fatt等。TCP协议和UDP协议对应的指纹生成算法可以包括pmercury等。一种协议对应的一种指纹生成算法作为一个类别,这样分类使得在计算数据包指纹的时候,一个网络数据包可以对应多个协议,也可以对应多重指纹生成算法,在分类网络数据包的时候,可以从不同维度进行分类,做出更加准确的判断。例如,对于HTTP协议,其本身是基于TCP协议的,所以一个HTTP协议网络数据包对应的数据包指纹可以包括由TCP协议对应的指纹生成算法pmercury生成的数据包指纹、由HTTP协议对应的指纹生成算法pmercury生成的数据包指纹、由HTTP协议对应的指纹生成算法fatt生成的数据包指纹。不同的指纹生成算法从网络数据包中提取的特征字段可以相同可以不同。对于同一网络数据包,通过不同协议对应的同一指纹生成算法生成的数据包指纹是不同的,因为针对不同的协议,同一指纹生成算法从网络数据包中提取的特征字段不同。例如,对于HTTP协议和TCP协议,指纹生成算法pmercury从网络数据包中提取的特征字段不同。
步骤S206,将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配。
其中,参考数据包指纹库包括多个参考数据包指纹。参考数据包指纹库是对多个候选网络数据包对应的数据包指纹进行聚类分析后生成的。各个候选网络数据包是指设定历史时间段内的网络数据包,例如获取在当前时刻之前的5分钟内采集到的网络数据包作为候选网络数据包。其中,历史时间段的长短可以根据实际情况确定,本发明实施例对此不做限定。可以理解,黑客的攻击行为是一个持续性且有共性的攻击行为,例如,黑客主要从同一终端发起攻击,黑客主要从同一浏览器发起攻击,黑客主要从同一账号发起攻击等,那么在进行聚类分析时,若同一数据包指纹的数量大于阈值时,可以认为该数据包指纹为异常的数据包指纹,将该数据包指纹作为参考数据包指纹加入参考数据包指纹库。
具体地,在计算得到待检测网络数据包对应的目标数据包指纹后,检测服务器可以将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配,根据匹配结果进一步确定待检测网络数据包的异常检测结果。当目标数据包指纹和参考数据包指纹相同,并且目标数据包指纹和参考数据包指纹对应的指纹关联信息也相同时,可以确定该目标数据包指纹和参考数据包指纹匹配成功。指纹关联信息包括数据包指纹对应的协议类型和指纹生成算法中的至少一种。可以理解,一个待检测网络数据包可以对应多个目标数据包指纹,各个目标数据包指纹可以分别与参考数据包指纹库中的各个参考数据包指纹进行匹配,各个目标数据包指纹可以均匹配成功,也可以均匹配失败,还可以是有至少一个匹配成功。
在一个实施例中,参考数据包指纹库可以是由检测服务器生成的,也可以是由其他终端或服务器生成后发送至检测服务器。
步骤S208,基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度。
其中,置信度关联信息是指用于计算网络数据包对应的置信度的关联信息。数据包指纹的置信度关联信息包括数据包指纹对应的协议类型的协议置信度、在该协议类型下数据包指纹对应的指纹生成算法的算法置信度中的至少一种。例如,匹配成功的目标数据包指纹为由HTTP协议对应的指纹生成算法1生成的数据包指纹,那么该目标数据包指纹对应的置信度关联信息包括HTTP协议对应的协议置信度和在HTTP协议下指纹生成算法1所对应的算法置信度。协议置信度和算法置信度可以是根据实际情况确定的,例如,根据安全经验人工设置的,根据自定义公式计算得到。不同协议下同一指纹生成算法对应的算法置信度可以相同可以不同。目标置信度是用于确定网络数据包的异常程度,目标置信度越大,网络数据包的异常程度越大。
具体地,检测服务器根据匹配结果可以筛选出匹配成功的目标数据包指纹,获取匹配成功的目标数据包指纹对应的置信度关联信息,根据该置信度关联信息计算得到待检测网络数据包对应的目标置信度。
在一个实施例中,检测服务器可以将各个匹配成功的目标数据包指纹对应的协议置信度和算法置信度进行加权求和得到目标置信度。检测服务器也可以将各个协议置信度和各个算法置信度进行加权相乘得到目标置信度。当匹配成功的目标数据包指纹包括不同协议类型对应的目标数据包指纹时,可以先分别计算各个协议类型对应的中间置信度,将各个中间置信度进行加权求和得到目标置信度。在计算各个协议类型对应的中间置信度时,可以将同一协议类型对应的各个算法置信度进行加权求和得到算法置信度统计值,将算法置信度统计值和对应的协议置信度进行加权相乘得到对应的中间置信度。也可以将各个协议类型对应的中间置信度分别作为待检测网络数据包对应的目标置信度。
步骤S210,获取参考置信度,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。
其中,参考置信度可以是根据实际情况确定的,例如,根据安全经验人工设置的,根据自定义公式计算得到。
具体地,检测服务器可以获取参考置信度,将参考置信度和目标置信度进行比较,根据比较结果确定待检测网络数据包的异常检测结果。异常检测结果包括网络数据包异常和网络数据包正常。当待检测网络数据包的异常检测结果为网络数据包异常时,检测服务器可以向运维人员发送告警信息,以便运维人员及时进行安全维护。当待检测网络数据包的异常检测结果为网络数据包异常时,检测服务器还可以直接阻断待检测网络数据包,阻止黑客攻击。
在一个实施例中,可以是所有待检测网络数据包都使用同一个参考置信度,也就是,只有一个参考置信度。也可以是一个协议类型对应一个参考置信度,例如,匹配成功的目标数据包指纹对应的协议类型包括http协议和tcp协议,http协议对应参考置信度1,tcp协议对应参考置信度2,那么当基于http协议对应的目标数据包指纹的置信度关联信息计算得到的置信度统计值大于参考置信度1,并且基于tcp协议对应的目标数据包指纹的置信度关联信息计算得到的置信度统计值大于参考置信度2时,确定待检测网络数据包的异常检测结果为网络数据包异常。
上述异常网络数据检测方法中,通过获取待检测网络数据包,根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合,目标数据包指纹集合包括至少一个目标数据包指纹。这样,生成的目标数据包指纹可以表征待检测网络数据包的特征信息,多个目标数据包指纹可以从不同维度表征待检测网络数据包的特征信息,从而丰富了异常网络数据包的检测维度,提高了异常网络数据包的检测准确性。将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配,基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度,获取参考置信度,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果。这样,参考数据包指纹库集成了多个异常的参考数据包指纹,因此匹配成功的目标数据包指纹可以表征待检测网络数据包异常的特征信息,基于匹配成功的目标数据包指纹对应的置信度关联信息计算得到的目标置信度可以表征待检测网络数据包的异常程度,基于参考置信度和目标置信度可以快速确定待检测网络数据包的异常检测结果,提高了异常网络数据包的检测准确性和检测效率。
在一个实施例中,如图4所示,获取待检测网络数据包之前,所述方法还包括:
步骤S402,获取候选网络数据包集合;候选网络数据包集合包括在同一时间窗内的多个候选网络数据包。
步骤S404,根据候选网络数据包对应的候选协议类型对候选网络数据包提取特征,生成对应的候选数据包指纹集合,候选数据包指纹集合包括各个候选网络数据包对应的候选数据包指纹。
具体地,检测服务器可以在一个时间窗内获取多个候选网络数据包,各个候选网络数据包组成候选网络数据包集合。检测服务器可以根据候选网络数据包对应的候选协议类型对候选网络数据包提取特征,生成各个候选网络数据包对应的至少一个候选数据包指纹,各个候选网络数据包对应的候选数据包指纹组成候选数据包指纹集合。
在一个实施例中,检测服务器可以从候选网络数据包中获取候选网络数据包对应的当前层协议类型,在本地或从其他终端、服务器获取当前层协议类型对应的指纹生成算法,基于指纹生成算法从候选网络数据包中提取与该指纹生成算法匹配的特征字段,根据提取到的特征字段得到由当前层协议类型对应的指纹生成算法生成的候选数据包指纹。当前层协议类型对应的指纹生成算法可以为至少一个。若当前层协议类型对应的指纹生成算法为多个,可以生成当前层协议类型对应的多个候选数据包指纹。同理,检测服务器可以从候选网络数据包中获取候选网络数据包对应的关联层协议类型,在本地或从其他终端、服务器获取关联层协议类型对应的指纹生成算法,基于指纹生成算法从候选网络数据包中提取与该指纹生成算法匹配的特征字段,根据提取到的特征字段得到由关联层协议类型对应的指纹生成算法生成的候选数据包指纹。关联层协议类型对应的指纹生成算法可以为至少一个。当关联层协议类型对应的指纹生成算法为多个时,可以生成关联层协议类型对应的多个候选数据包指纹。可以是各个候选网络数据包的当前层协议类型对应的各个候选数据包指纹组合得到候选数据包指纹集合,也可以是各个候选网络数据包的关联层协议类型对应的各个候选数据包指纹组合得到候选数据包指纹集合,还可以是各个候选网络数据包的当前层协议类型对应的各个候选数据包指纹和关联层协议类型对应的各个候选数据包指纹组合得到候选数据包指纹集合。
步骤S406,基于指纹关联信息对候选数据包指纹集合中的候选数据包指纹进行聚类,得到聚类结果。
其中,指纹关联信息是指数据包指纹的关联信息。数据包指纹的指纹关联信息包括用于生成数据包指纹的协议类型和指纹生成算法。
具体地,检测服务器可以基于指纹关联信息对候选数据包指纹集合中的候选数据包指纹进行聚类,具体可以将基于同一指纹关联信息生成的相同候选数据包指纹聚类在一起,得到各个不同的聚类簇。
在一个实施例中,基于指纹关联信息对候选数据包指纹集合中的候选数据包指纹进行聚类,得到聚类结果,包括:将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇,统计同一聚类簇内的候选数据包指纹的数量,得到各个聚类簇对应的统计值。
具体地,检测服务器可以将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类,得到多个不同的聚类簇。一个聚类簇表示一种类别的候选数据包指纹。检测服务器可以统计同一聚类簇内的候选数据包指纹的数量,得到各个聚类簇对应的统计值。也就是,检测服务器可以在一个时间窗内,统计同协议类型、同指纹生成算法下生成的相同候选数据包指纹的数量,得到多个统计值。例如,统计由HTTP协议对应的指纹生成算法1生成的候选数据包指纹a的数量,统计由HTTP协议对应的指纹生成算法2生成的候选数据包指纹b的数量,统计由SSH协议对应的指纹生成算法3生成的候选数据包指纹c的数量,统计由SSH协议对应的指纹生成算法1生成的候选数据包指纹d的数量。
步骤S408,根据聚类结果从候选数据包指纹集合中确定参考数据包指纹,各个参考数据包指纹组合得到参考数据包指纹库。
具体地,检测服务器可以根据聚类结果从候选数据包指纹集合中确定参考数据包指纹,具体可以是当聚类簇对应的统计值大于统计阈值时,将该聚类簇对应的候选数据包指纹作为参考数据包指纹,各个参考数据包指纹组合得到参考数据包指纹库。参考数据包指纹库还可以包括各个参考数据包指纹对应的指纹关联信息和统计值。
在一个实施例中,根据聚类结果从候选数据包指纹集合中确定参考数据包指纹,各个参考数据包指纹组合得到参考数据包指纹库,包括:将统计值大于统计阈值的聚类簇内的候选数据包指纹作为参考数据包指纹。
具体地,当聚类簇对应的统计值大于统计阈值时,表明该聚类簇内的候选数据包指纹在同一时间窗内频繁出现,极有可能是黑客攻击所导致的,因此检测服务器可以将该聚类簇内的候选数据包指纹作为参考数据包指纹。其中,统计阈值可以根据时间窗的大小进行设置,时间窗越大,统计阈值越大。
在一个实施例中,时间窗可以是动态变化的,那么参考数据包指纹库也是动态更新的。例如,时间窗始终保持为当前时刻之前的5分钟,那么检测服务器可以每隔5分钟对5分钟内获取到的各个候选网络数据包所对应的候选数据包指纹进行聚类,根据聚类结果对参考数据包指纹库进行更新。
在一个实施例中,参考数据包指纹库中基于同一协议类型对应的同一指纹生成算法生成的参考数据包指纹可以有多个。例如,参考数据包指纹库包括基于HTTP协议对应的指纹生成算法fatt生成的参考数据包指纹1、基于HTTP协议对应的指纹生成算法fatt生成的参考数据包指纹2和基于HTTP协议对应的指纹生成算法fatt生成的参考数据包指纹3。
本实施例中,通过获取同一时间窗内的多个候选网络数据包,计算各个候选网络数据包对应的候选数据包指纹,基于指纹关联信息对候选数据包指纹进行聚类分析,得到各个聚类簇,计算各个聚类簇对应的统计值,将统计值大于统计阈值的聚类簇内的候选数据包指纹作为参考数据包指纹,各个参考数据包指纹组合得到参考数据包指纹库。这样,因为黑客攻击通常是一个持续性的攻击,所以对同一时间窗内的候选网络数据包对应的候选数据包指纹进行聚类分析,通过将各个聚类簇对应的统计值和统计阈值进行比较可以快速建立数据包指纹黑库。
在一个实施例中,将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配,包括:将目标数据包指纹和当前参考数据包指纹进行比较,得到数据包指纹比较结果;将目标数据包指纹对应的指纹关联信息和当前参考数据包指纹对应的指纹关联信息进行比较,得到指纹关联信息比较结果;当数据包指纹比较结果和指纹关联信息比较结果均为一致时,确定目标数据包指纹和当前参考数据包指纹匹配成功。
具体地,在将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配时,检测服务器可以将目标数据包指纹和当前参考数据包指纹进行比较,得到数据包指纹比较结果,数据包指纹比较结果包括一致和不一致,将目标数据包指纹对应的指纹关联信息和当前参考数据包指纹对应的指纹关联信息进行比较,得到指纹关联信息比较结果,指纹关联信息比较结果包括一致和不一致。当数据包指纹比较结果和指纹关联信息比较结果均为一致时,检测服务器可以确定目标数据包指纹和当前参考数据包指纹匹配成功。
举例说明,当目标数据包指纹a和当前参考数据包指纹b一致,目标数据包指纹a对应的协议类型和当前参考数据包指纹b对应的协议类型均为HTTP协议,目标数据包指纹a对应的指纹生成算法和当前参考数据包指纹b对应的指纹生成算法均为pmercury时,确定目标数据包指纹a和当前参考数据包指纹b匹配成功。可以理解,即使目标数据包指纹a对应的网络数据包A和当前参考数据包指纹b对应的网络数据包B不一样,但是当目标数据包指纹a和当前参考数据包指纹b一致,并且用于生成目标数据包指纹a和当前参考数据包指纹b的协议类型和指纹生成算法也一致时,表明网络数据包A和网络数据包B包括相同的特征信息,极有可能是同一黑客发送的两个网络数据包。
本实施例中,通过数据包指纹比较结果和指纹关联信息可以快速确定目标数据包指纹和参考数据包指纹的匹配结果,从而提高待检测网络数据包的检测效率。
在一个实施例中,如图5所示,基于匹配成功的目标数据包指纹对应的置信度关联信息计算得到待检测网络数据包对应的目标置信度,包括:
步骤S502,获取目标协议类型对应的目标协议置信度。
步骤S504,基于匹配成功的目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度。
步骤S506,基于目标协议置信度和目标算法置信度得到目标置信度。
具体地,检测服务器可以获取目标协议类型对应的目标协议置信度,获取各个匹配成功的目标数据包指纹对应的指纹生成算法所对应的目标算法置信度,根据各个目标算法置信度得到算法置信度统计值。具体可以是将各个目标算法置信度相加得到算法置信度统计值,也可以是按照预设公式将各个目标算法置信度进行融合得到算法置信度统计值。检测服务器可以根据目标协议置信度和目标算法置信度得到目标置信度。具体可以是将目标协议置信度和目标算法置信度相乘得到目标置信度。
本实施例中,通过获取目标协议类型对应的目标协议置信度,基于匹配成功的目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度,基于目标协议置信度和目标算法置信度得到目标置信度。这样,目标置信度的计算综合考虑了目标协议类型和匹配成功的目标数据包指纹对应的指纹生成算法,计算得到的目标置信度更准确、更可靠。
在一个实施例中,如图6所示,目标协议类型包括当前层协议类型和关联层协议类型,基于目标协议置信度和目标算法置信度得到目标置信度,包括:
步骤S602,将同一层协议类型对应的各个目标算法置信度从大到小进行排序,得到各层协议类型对应的排序结果。
步骤S604,根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度。
步骤S606,根据同一层协议类型对应的排序结果中剩余的目标算法置信度和对应的第一置信度得到各层协议类型对应的第二置信度。
步骤S608,基于同一层协议类型对应的目标协议置信度和第二置信度得到各层协议类型对应的中间置信度,根据各个中间置信度得到目标置信度。
具体地,因为目标协议类型包括当前层协议类型和关联层协议类型,所以不同层的协议类型需要区分计算。检测服务器可以将同一层协议类型对应的各个目标算法置信度从大到小进行排序,得到各层协议类型对应的排序结果。获取同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度,将同一层协议类型对应的排序第一和排序第二的目标算法置信度进行加权求和得到各层协议类型对应的第一置信度。同一层协议类型对应的排序结果中剩余的目标算法置信度和对应的第一置信度从大到小进行排序,得到各层协议类型对应的更新排序结果,获取同一层协议类型对应的更新排序结果中排序第一和排序第二的目标算法置信度,将同一层协议类型对应的排序第一和排序第二的目标算法置信度进行加权求和得到各层协议类型对应的第一更新置信度,以此类推,直到同一层协议类型对应的各个目标算法置信度都参与计算后,得到各层协议类型对应的第二置信度。将同一层协议类型对应的目标协议置信度和第二置信度进行相乘得到各层协议类型对应的中间置信度。可以将各个中间置信度进行加权求和得到目标置信度,也可以将各个中间置信度分别作为目标置信度。
在一个实施例中,协议置信度可以用scorepro(proi)=Mi表示,其中scorepro表示协议置信度,proi表示协议类型i,Mi表示协议类型i对应的协议置信度。Mi的取值范围为[0,1],Mi越大,对应的网络数据包的异常程度越大。算法置信度可以用scorealg(<proi,algj>)=Nk表示,其中scorealg表示算法置信度,<proi,algj>表示协议类型i下的指纹生成算法j,Nk表示协议类型i下的指纹生成算法j对应的算法置信度。Nk的取值范围为[0,1],Nk越大,对应的网络数据包的异常程度越大。
参考图7,<proi,algj,hashij>表示目标数据包指纹数组,<l_proi,l_algj,l_hashij,l_countij>表示参考数据包指纹数组。proi表示目标数据包指纹对应的协议类型i,algj表示目标数据包指纹对应的指纹生成算法j,hashij表示基于协议类型i对应的指纹生成算法j生成的目标数据包指纹,l_proi表示参考数据包指纹对应的协议类型i,l_algj表示参考数据包指纹对应的指纹生成算法j,l_hashij表示基于协议类型i对应的指纹生成算法j生成的参考数据包指纹,l_countij表示参考数据包指纹对应的统计值。根据l_hashij和hashij的比对结果可以确定各个匹配成功的目标数据包指纹,然后循环累加各个匹配成功的目标数据包指纹对应的协议类型的中间置信度,得到待检测网络数据包对应的目标置信度score。目标置信度score+=sum(Mi*sumN),i++。当目标置信度score超过参考置信度mb_THR时,则认为待检测网络数据包为异常网络数据包,否则认为待检测网络数据包为正常网络数据包。当待检测网络数据包为异常网络数据包时,向运维人员发出告警信息,也可以阻断待检测网络数据包。其中,在生成目标置信度score时,对同一层协议类型对应的各个目标算法置信度从大到小进行逆序排序,即sort(score(<P,algk>),greater),再按照累加公式进行累加。累加公式为sumN+=(1-sumN)*Nk,k++。该累加公式可以保证当匹配成功的目标数据包指纹越多时,在同一层协议类型下累加得到的算法置信值越接近1,但是不超过1,可以保证在同一层协议类型下累加得到的算法置信值大于最大的目标算法置信度。
举例说明,scorepro(http)=0.9,scorealg(<http,fatt>)=0.8,scorealg(<http,pmercury>)=0.6,mb_THR=0.7。其中,
Figure 375805DEST_PATH_IMAGE001
表示参考置信度。
待检测网络数据包的一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法fatt生成的某个参考数据包指纹匹配,以及另一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法pmercury生成的某个参考数据包指纹匹配。那么,待检测网络数据包对应的目标置信度score=0.9*[0.8+(1-0.8)*0.6]=0.828>0.7,因此确定待检测网络数据包为异常网络数据包。可以理解,由于待检测网络数据包的目标数据包指纹和参考数据包指纹库中基于TCP协议生成的参考数据包指纹不匹配,因此可以不需要计算TCP协议对应的中间置信度,直接将HTTP协议对应的中间置信度作为待检测网络数据包对应的目标置信度。
在一个实施例中,基于参考置信度和目标置信度确定待检测网络数据包的异常检测结果,包括:当目标置信度大于参考置信度时,确定异常检测结果为网络数据包异常;当目标置信度小于或等于参考置信度时,确定异常检测结果为网络数据包正常。
具体地,参考置信度可以是一个综合的置信度阈值。也可以是一个协议类型对应一个置信度阈值,即存在多个参考置信度。当目标置信度大于参考置信度时,确定异常检测结果为网络数据包异常,当目标置信度小于或等于参考置信度时,确定异常检测结果为网络数据包正常。不同的协议类型对应的置信度阈值可以相同可以不同。例如,HTTP协议对应的置信度阈值为0.7,TCP协议对应的置信度阈值为0.65。
本实施例中,通过比较目标置信度和参考置信度,可以快速确定待检测网络数据包的异常检测结果。
在一个实施例中,所述方法还包括:当异常检测结果为网络数据包异常时,获取阻断数据包;将阻断数据包发送至待检测网络数据包对应的接收方,以使接收方停止建立与待检测网络数据包对应的发送方的通信连接。
具体地,当待检测网络数据包的异常检测结果为网络数据包异常时,检测服务器可以获取阻断数据包,将阻断数据包发送至待检测网络数据包对应的接收方。检测服务器可以从待检测网络数据包中获取发送方的相关信息,将发送方的相关信息携带至阻断数据包中,那么当接受方接收到该阻断数据包后,可以主动停止建立与该发送方的通信连接,以此来阻断待检测网络数据包。
在一个实施例中,阻断数据包可以是RST(Reset)包。RST包用于断开通信双方的通信连接。
本实施例中,当待检测网络数据包的异常检测结果为网络数据包异常时,将阻断数据包发送至待检测网络数据包对应的接收方,可以快速断开待检测网络数据包对应的发送方和接受方的通信连接,有效阻止黑客攻击。
在一个实施例中,所述方法还包括:定时统计各个参考数据包指纹对应的匹配成功率;将匹配成功率小于预设阈值的参考数据包指纹从参考数据包指纹库中滤除。
具体地,为了提高参考数据包指纹库的空间利用率,可以定时对参考数据包指纹库中的参考数据包指纹进行过滤,滤除长期未匹配到的参考数据包指纹。可以理解,若参考数据包指纹长期未匹配成功,则可以认为该参考数据包指纹对应的黑客攻击已经停止。因为参考数据包指纹库是不断扩充的,所以可以将长期未匹配到的参考数据包指纹滤除,以此来提高参考数据包指纹库的空间利用率。检测服务器可以定时统计参考数据包指纹库中各个参考数据包指纹对应的匹配成功率,将匹配成功率小于预设阈值的参考数据包指纹从参考数据包指纹库中滤除。检测服务器具体可以根据参考数据包指纹的匹配成功次数和参考数据包指纹在参考数据包指纹库中存储时间得到参考数据包指纹对应的匹配成功率。不同的存储时间对应不同的参考匹配次数,将匹配成功次数和参考匹配次数的比值作为匹配成功率。其中,预设阈值可以根据实际需要进行设置。
本申请还提供一种应用场景,该应用场景应用上述的异常网络数据检测方法。具体地,该异常网络数据检测方法在该应用场景的应用如下:
该异常网络数据检测方法可以用于秒拨攻击检测。秒拨是指利用国内家用宽带拨号上网的原理,每一次断线重连就会获取一个新的IP,实现按秒拨号的IP跳变。黑客可以利用秒拨技术攻击计算机设备,以窃取核心数据。
如图8所示,正常用户和秒拨用户都可以通过终端向业务服务器发送网络数据包。终端可以利用交换机和业务服务器进行通信。检测服务器可以从交换机上通过旁路引流的方式获取同一时间窗内的候选网络数据包,生成各个候选网络数据包对应的候选数据包指纹,根据候选数据包指纹建立秒拨黑库。检测服务器可以从交换机上通过旁路引流的方式获取目标网络数据包(实时流量),生成目标网络数据包对应的目标数据包指纹,将目标数据包指纹和参考数据包指纹进行匹配,计算匹配成功的目标数据包指纹对应的目标置信度,根据目标置信度和置信度阈值的比较结果来识别秒拨IP。当目标置信度大于置信度阈值时,确定目标网络数据包为异常网络数据包,确定匹配到秒拨IP攻击,进行告警。当目标置信度小于或等于置信度阈值时,确定目标网络数据包为正常网络数据包。
如图9所示,检测服务器识别秒拨攻击的具体过程如下:
1、建立秒拨黑库。
1-1、从交换机中采集同一时间窗内的多个候选网络数据包(即在时间窗内统计流量)。
1-2、生成各个候选网络数据包对应的至少一个候选数据包指纹,各个候选数据包指纹组合得到候选数据包指纹集合。
具体地,获取候选网络数据包对应的当前层协议类型和关联层协议类型,基于当前层协议类型对应的至少一个指纹生成算法从候选网络数据包中获取匹配的特征字段,根据特征字段生成对应的候选数据包指纹,基于关联层协议类型对应的至少一个指纹生成算法从候选网络数据包中获取匹配的特征字段,根据特征字段生成对应的候选数据包指纹,各个候选网络数据包对应的多个候选数据包指纹组合得到候选数据包指纹集合。
举例说明,HTTP协议网络数据包对应的当前层协议类型为HTTP协议,对应的关联层协议类型为TCP协议,HTTP协议对应的指纹生成算法包括fatt和pmercury,TCP协议对应的指纹生成算法包括pmercury。基于HTTP协议对应的指纹生成算法fatt从候选网络数据包中获取匹配的特征字段,根据特征字段生成对应的候选数据包指纹hash1。基于HTTP协议对应的指纹生成算法pmercury从候选网络数据包中获取匹配的特征字段,根据特征字段生成对应的候选数据包指纹hash2。基于TCP协议对应的指纹生成算法pmercury从候选网络数据包中获取匹配的特征字段,根据特征字段生成对应的候选数据包指纹hash3。HTTP协议网络数据包对应的候选数据包指纹包括候选数据包指纹hash1、候选数据包指纹hash2和候选数据包指纹hash3。
1-3、对候选数据包指纹进行聚类,根据聚类结果建立秒拨黑库。
具体地,基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇,统计同一聚类簇内的候选数据包指纹的数量,得到各个聚类簇对应的统计值。将统计值大于统计阈值的聚类簇内的候选数据包指纹作为参考数据包指纹,各个参考数据包指纹组合得到秒拨黑库(即参考数据包指纹库)。
举例说明,假设统计阈值为50。在候选数据包指纹库中,若基于HTTP协议对应的指纹生成算法fatt生成的候选数据包指纹hash1的总数为55>50,则可以将候选数据包指纹hash1作为参考数据包指纹加入秒拨黑库。秒拨黑库可以按照<HTTP协议,指纹生成算法fatt,hash1,55>这样的数组存储候选数据包指纹hash1。
2、从交换机中采集实时流量,基于秒拨黑库对实时流量进行秒拨攻击检测。
2-1、生成待检测网络数据包(即实时流量)对应的至少一个目标数据包指纹,各个目标数据包指纹组合得到目标数据包指纹集合。
具体地,获取待检测网络数据包(即实时流量)对应的当前层协议类型和关联层协议类型,基于当前层协议类型对应的至少一个指纹生成算法从待检测网络数据包中获取匹配的特征字段,根据特征字段生成对应的目标数据包指纹。基于关联层协议类型对应的至少一个指纹生成算法从待检测网络数据包中获取匹配的特征字段,根据特征字段生成对应的目标数据包指纹,各个目标数据包指纹组合得到待检测网络数据包对应的目标数据包指纹集合。
2-2、目标数据包指纹和秒拨黑库中的参考数据包指纹进行匹配
具体地,将目标数据包指纹和秒拨黑库中的参考数据包指纹进行匹配。当目标数据包指纹和参考数据包指纹一致,目标数据包指纹对应的协议类型和参考数据包指纹对应的协议类型一致,目标数据包指纹对应的指纹生成算法和参考数据包指纹对应的指纹生成算法一致时,确定该目标数据包指纹和该参考数据包指纹成功。
2-3、基于匹配成功的各个目标数据包指纹计算待检测网络数据包对应的目标置信度。
具体地,基于匹配成功的各个目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度,将同一层协议类型对应的各个目标算法置信度从大到小进行排序,按照排序顺序,根据累加公式将同一层协议类型对应的各个目标算法置信度累加得到各层协议类型对应的算法置信度统计值。将同一层协议类型对应的目标协议置信度和算法置信度统计值进行相乘得到各层协议类型对应的中间置信度,将各个中间置信度进行相加得到目标置信度。
2-4、获取参考置信度,根据目标置信度和参考置信度的比较结果判断是否出现秒拨攻击。
具体地,获取相应的参考置信度(即置信度阈值),当目标置信度大于参考置信度时,确定待检测网络数据包的异常检测结果为网络数据包异常,当目标置信度小于或等于参考置信度时,确定待检测网络数据包的异常检测结果为网络数据包正常。当待检测网络数据包的异常检测结果为网络数据包异常时,则判断出现秒拨攻击,检测服务器可以向运维人员对应的终端发送告警信息,或者直接阻断该待检测网络数据包。
举例说明,scorepro(http)=0.9,scorealg(<http,fatt>)=0.8,scorealg(<http,pmercury>)=0.6,mb_THR(http)=0.7。scorepro(tcp)=0.7,scorealg(<tcp,pmercury>)=0.7,mb_THR(tcp)=0.45。
待检测网络数据包的一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法fatt生成的某个参考数据包指纹匹配,另一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法pmercury生成的某个参考数据包指纹匹配,另一个目标数据包指纹和参考数据包指纹库中基于HTTP协议对应的指纹生成算法pmercury生成的某个参考数据包指纹匹配。那么,score(http)=0.9*[0.8+(1-0.8)*0.6]=0.828>0.7,score(tcp)=0.7*0.7=0.49>0.45,因此确定待检测网络数据包为异常网络数据包。
上述异常网络数据检测方法,规避了传统检测手段对于IP的依赖,将关注重点放在了请求内容、客户端甚至攻击者本身,也就是网络数据包的特征信息,从而可以降低秒拨攻击的误判率,提高秒拨攻击的检测准确性。此外,同一网络数据包对应的数据包指纹集合包括多种协议类型、多种指纹生成算法对应的数据包指纹,丰富了数据包指纹,可以覆盖更多的攻击类型,可以进一步提高秒拨攻击的检测准确性。
应该理解的是,虽然图2、4、5、6的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2、4、5、6中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图10所示,提供了一种异常网络数据检测装置,该装置可以采用软件模块或硬件模块,或者是二者的结合成为计算机设备的一部分,该装置具体包括:数据包获取模块1002、数据包指纹生成模块1004、数据包指纹匹配模块1006、置信度计算模块1008和检测结果确定模块1010,其中:
数据包获取模块1002,用于获取待检测网络数据包;
数据包指纹生成模块1004,用于根据待检测网络数据包对应的目标协议类型对待检测网络数据包提取特征,生成对应的目标数据包指纹集合;目标数据包指纹集合包括至少一个目标数据包指纹;
数据包指纹匹配模块1006,用于将目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配;
置信度计算模块1008,用于基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到待检测网络数据包对应的目标置信度;
检测结果确定模块1010,用于获取参考置信度,基于参考置信度和所述目标置信度确定待检测网络数据包的异常检测结果。
在一个实施例中,如图11所示,所述装置还包括:
参考数据包指纹库建立模块1001,用于获取候选网络数据包集合;候选网络数据包集合包括在同一时间窗内的多个候选网络数据包;根据候选网络数据包对应的候选协议类型对候选网络数据包提取特征,生成对应的候选数据包指纹集合,候选数据包指纹集合包括各个候选网络数据包对应的候选数据包指纹;基于指纹关联信息对候选数据包指纹集合中的候选数据包指纹进行聚类,得到聚类结果;根据聚类结果从候选数据包指纹集合中确定参考数据包指纹,各个参考数据包指纹组合得到参考数据包指纹库。
在一个实施例中,当前网络数据包为待检测网络数据包,数据包指纹生成模块还用于获取当前网络数据包对应的当前协议类型,当前协议类型包括当前层协议类型和关联层协议类型;获取当前协议类型对应的至少一个指纹生成算法;基于指纹生成算法从当前网络数据包中提取匹配的特征字段,根据特征字段得到当前协议类型对应的各个指纹生成算法生成的当前数据包指纹;各个当前数据包指纹组合得到当前网络数据包对应的数据包指纹集合。
在一个实施例中,当前网络数据包为候选网络数据包,参考数据包指纹库建立模块还用于获取当前网络数据包对应的当前协议类型,当前协议类型包括当前层协议类型和关联层协议类型;获取当前协议类型对应的至少一个指纹生成算法;基于指纹生成算法从当前网络数据包中提取匹配的特征字段,根据特征字段得到当前协议类型对应的各个指纹生成算法生成的当前数据包指纹;各个当前数据包指纹组合得到当前网络数据包对应的数据包指纹集合。
在一个实施例中,指纹关联信息包括候选数据包指纹对应的候选协议类型和指纹生成算法,参考数据包指纹库建立模块还用于将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇,统计同一聚类簇内的候选数据包指纹的数量,得到各个聚类簇对应的统计值。参考数据包指纹库建立模块还用于将统计值大于统计阈值的聚类簇内的候选数据包指纹作为参考数据包指纹。
在一个实施例中,数据包指纹匹配模块还用于将目标数据包指纹和当前参考数据包指纹进行比较,得到数据包指纹比较结果;将目标数据包指纹对应的指纹关联信息和当前参考数据包指纹对应的指纹关联信息进行比较,得到指纹关联信息比较结果;当数据包指纹比较结果和指纹关联信息比较结果均为一致时,确定目标数据包指纹和当前参考数据包指纹匹配成功。
在一个实施例中,置信度计算模块还用于获取目标协议类型对应的目标协议置信度;基于匹配成功的目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度;基于目标协议置信度和目标算法置信度得到目标置信度。
在一个实施例中,目标协议类型包括当前层协议类型和关联层协议类型,置信度计算模块还用于将同一层协议类型对应的各个目标算法置信度从大到小进行排序,得到各层协议类型对应的排序结果;根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度;根据同一层协议类型对应的排序结果中剩余的目标算法置信度和对应的第一置信度得到各层协议类型对应的第二置信度;基于同一层协议类型对应的目标协议置信度和第二置信度得到各层协议类型对应的中间置信度,根据各个中间置信度得到目标置信度。
在一个实施例中,检测结果确定模块还用于当目标置信度大于参考置信度时,确定异常检测结果为网络数据包异常;当目标置信度小于或等于参考置信度时,确定异常检测结果为网络数据包正常。
在一个实施例中,如图11所示,所述装置还包括:
通信连接阻断模块1011,用于当异常检测结果为网络数据包异常时,获取阻断数据包;将阻断数据包发送至待检测网络数据包对应的接收方,以使接收方停止建立与待检测网络数据包对应的发送方的通信连接。
在一个实施例中,如图11所示,所述装置还包括:
参考数据包指纹库更新模块1012,用于定时统计各个参考数据包指纹对应的匹配成功率;将匹配成功率小于预设阈值的参考数据包指纹从参考数据包指纹库中滤除。
关于异常网络数据检测装置的具体限定可以参见上文中对于异常网络数据检测方法的限定,在此不再赘述。上述异常网络数据检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图12所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储参考数据包指纹、协议置信度、算法置信度、指纹生成算法等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种异常网络数据检测方法。
本领域技术人员可以理解,图12中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (15)

1.一种异常网络数据检测方法,其特征在于,所述方法包括:
获取待检测网络数据包;
根据所述待检测网络数据包对应的目标协议类型对所述待检测网络数据包提取特征,生成对应的目标数据包指纹集合;所述目标数据包指纹集合包括至少一个目标数据包指纹;
将所述目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配;
基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到所述待检测网络数据包对应的目标置信度;
获取参考置信度,基于所述参考置信度和所述目标置信度确定所述待检测网络数据包的异常检测结果。
2.根据权利要求1所述的方法,其特征在于,所述获取待检测网络数据包之前,所述方法还包括:
获取候选网络数据包集合;所述候选网络数据包集合包括在同一时间窗内的多个候选网络数据包;
根据所述候选网络数据包对应的候选协议类型对所述候选网络数据包提取特征,生成对应的候选数据包指纹集合,所述候选数据包指纹集合包括各个候选网络数据包对应的候选数据包指纹;
基于指纹关联信息对所述候选数据包指纹集合中的候选数据包指纹进行聚类,得到聚类结果;
根据所述聚类结果从所述候选数据包指纹集合中确定参考数据包指纹,各个参考数据包指纹组合得到所述参考数据包指纹库。
3.根据权利要求2所述的方法,其特征在于,当前网络数据包为所述待检测网络数据包或所述候选网络数据包,所述当前网络数据包对应的数据包指纹集合的生成,包括以下步骤:
获取所述当前网络数据包对应的当前协议类型,所述当前协议类型包括当前层协议类型和关联层协议类型;
获取所述当前协议类型对应的至少一个指纹生成算法;
基于所述指纹生成算法从所述当前网络数据包中提取匹配的特征字段,根据所述特征字段得到所述当前协议类型对应的各个指纹生成算法生成的当前数据包指纹;
各个当前数据包指纹组合得到所述当前网络数据包对应的数据包指纹集合。
4.根据权利要求2所述的方法,其特征在于,所述指纹关联信息包括候选数据包指纹对应的候选协议类型和指纹生成算法,所述基于指纹关联信息对所述候选数据包指纹集合中的候选数据包指纹进行聚类,得到聚类结果,包括:
将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇,统计同一聚类簇内的候选数据包指纹的数量,得到各个聚类簇对应的统计值;
所述根据聚类结果从所述候选数据包指纹集合中确定参考数据包指纹,各个参考数据包指纹组合得到所述参考数据包指纹库,包括:
将所述统计值大于统计阈值的聚类簇内的候选数据包指纹作为所述参考数据包指纹。
5.根据权利要求1所述的方法,其特征在于,所述将所述目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配,包括:
将所述目标数据包指纹和当前参考数据包指纹进行比较,得到数据包指纹比较结果;
将所述目标数据包指纹对应的指纹关联信息和所述当前参考数据包指纹对应的指纹关联信息进行比较,得到指纹关联信息比较结果;
当所述数据包指纹比较结果和所述指纹关联信息比较结果均为一致时,确定所述目标数据包指纹和所述当前参考数据包指纹匹配成功。
6.根据权利要求1所述的方法,其特征在于,所述基于匹配成功的目标数据包指纹对应的置信度关联信息计算得到所述待检测网络数据包对应的目标置信度,包括:
获取所述目标协议类型对应的目标协议置信度;
基于匹配成功的目标数据包指纹对应的指纹生成算法获取对应的目标算法置信度;
基于所述目标协议置信度和所述目标算法置信度得到所述目标置信度。
7.根据权利要求6所述的方法,其特征在于,所述目标协议类型包括当前层协议类型和关联层协议类型,所述基于所述目标协议置信度和所述目标算法置信度得到所述目标置信度,包括:
将同一层协议类型对应的各个目标算法置信度从大到小进行排序,得到各层协议类型对应的排序结果;
根据同一层协议类型对应的排序结果中排序第一和排序第二的目标算法置信度得到各层协议类型对应的第一置信度;
根据同一层协议类型对应的排序结果中剩余的目标算法置信度和对应的第一置信度得到各层协议类型对应的第二置信度;
基于同一层协议类型对应的目标协议置信度和第二置信度得到各层协议类型对应的中间置信度,根据各个中间置信度得到所述目标置信度。
8.根据权利要求1所述的方法,其特征在于,所述基于所述参考置信度和所述目标置信度确定所述待检测网络数据包的异常检测结果,包括:
当所述目标置信度大于所述参考置信度时,确定所述异常检测结果为网络数据包异常;
当所述目标置信度小于或等于所述参考置信度时,确定所述异常检测结果为网络数据包正常。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述异常检测结果为网络数据包异常时,获取阻断数据包;
将所述阻断数据包发送至所述待检测网络数据包对应的接收方,以使所述接收方停止建立与所述待检测网络数据包对应的发送方的通信连接。
10.根据权利要求1所述的方法,其特征在于,所述方法还包括:
定时统计各个参考数据包指纹对应的匹配成功率;
将所述匹配成功率小于预设阈值的参考数据包指纹从所述参考数据包指纹库中滤除。
11.一种异常网络数据检测装置,其特征在于,所述装置包括:
数据包获取模块,用于获取待检测网络数据包;
数据包指纹生成模块,用于根据所述待检测网络数据包对应的目标协议类型对所述待检测网络数据包提取特征,生成对应的目标数据包指纹集合;所述目标数据包指纹集合包括至少一个目标数据包指纹;
数据包指纹匹配模块,用于将所述目标数据包指纹和参考数据包指纹库中的参考数据包指纹进行匹配;
置信度计算模块,用于基于匹配成功的目标数据包指纹对应的置信度关联信息,计算得到所述待检测网络数据包对应的目标置信度;
检测结果确定模块,用于获取参考置信度,基于所述参考置信度和所述目标置信度确定所述待检测网络数据包的异常检测结果。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
参考数据包指纹库建立模块,用于获取候选网络数据包集合;所述候选网络数据包集合包括在同一时间窗内的多个候选网络数据包;根据候选网络数据包对应的候选协议类型对候选网络数据包提取特征,生成对应的候选数据包指纹集合,所述候选数据包指纹集合包括各个候选网络数据包对应的候选数据包指纹;基于指纹关联信息对所述候选数据包指纹集合中的候选数据包指纹进行聚类,得到聚类结果;根据聚类结果从所述候选数据包指纹集合中确定参考数据包指纹,各个参考数据包指纹组合得到所述参考数据包指纹库。
13.根据权利要求12所述的装置,其特征在于,所述指纹关联信息包括候选数据包指纹对应的候选协议类型和指纹生成算法,所述参考数据包指纹库建立模块还用于将基于同一协议类型对应的同一指纹生成算法生成的相同候选数据包指纹进行聚类得到多个不同的聚类簇,统计同一聚类簇内的候选数据包指纹的数量,得到各个聚类簇对应的统计值;所述参考数据包指纹库建立模块还用于将统计值大于统计阈值的聚类簇内的候选数据包指纹作为所述参考数据包指纹。
14.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至10中任一项所述的方法的步骤。
15.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
CN202011136505.2A 2020-10-22 2020-10-22 异常网络数据检测方法、装置、计算机设备和存储介质 Active CN112019574B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202011136505.2A CN112019574B (zh) 2020-10-22 2020-10-22 异常网络数据检测方法、装置、计算机设备和存储介质
PCT/CN2021/117975 WO2022083353A1 (zh) 2020-10-22 2021-09-13 异常网络数据检测方法、装置、计算机设备和存储介质
US17/994,944 US20230089187A1 (en) 2020-10-22 2022-11-28 Detecting abnormal packet traffic using fingerprints for plural protocol types

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011136505.2A CN112019574B (zh) 2020-10-22 2020-10-22 异常网络数据检测方法、装置、计算机设备和存储介质

Publications (2)

Publication Number Publication Date
CN112019574A true CN112019574A (zh) 2020-12-01
CN112019574B CN112019574B (zh) 2021-01-29

Family

ID=73528001

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011136505.2A Active CN112019574B (zh) 2020-10-22 2020-10-22 异常网络数据检测方法、装置、计算机设备和存储介质

Country Status (3)

Country Link
US (1) US20230089187A1 (zh)
CN (1) CN112019574B (zh)
WO (1) WO2022083353A1 (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468518A (zh) * 2021-01-28 2021-03-09 腾讯科技(深圳)有限公司 访问数据处理方法、装置、存储介质及计算机设备
CN112468520A (zh) * 2021-01-28 2021-03-09 腾讯科技(深圳)有限公司 一种数据检测方法、装置、设备及可读存储介质
CN113037586A (zh) * 2021-02-26 2021-06-25 清华大学 通用且鲁棒的智能家居设备事件指纹提取方法和装置
CN113132406A (zh) * 2021-04-29 2021-07-16 山东云天安全技术有限公司 一种基于ssh流量发现网络威胁的检测方法、设备及介质
CN113315678A (zh) * 2021-05-26 2021-08-27 深圳市纽创信安科技开发有限公司 加密tcp流量采集方法与装置
CN113595240A (zh) * 2021-06-21 2021-11-02 深圳供电局有限公司 电力数据的检测方法、装置、设备及存储介质
CN114006750A (zh) * 2021-10-29 2022-02-01 北京顶象技术有限公司 异常操作的检测方法、装置和电子设备
CN114157502A (zh) * 2021-12-08 2022-03-08 北京恒安嘉新安全技术有限公司 一种终端识别方法、装置、电子设备及存储介质
WO2022083353A1 (zh) * 2020-10-22 2022-04-28 腾讯科技(深圳)有限公司 异常网络数据检测方法、装置、计算机设备和存储介质
WO2022083417A1 (zh) * 2020-10-22 2022-04-28 腾讯科技(深圳)有限公司 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品
CN114650167A (zh) * 2022-02-08 2022-06-21 联想(北京)有限公司 一种异常检测方法、装置、设备及计算机可读存储介质
CN115766204A (zh) * 2022-11-14 2023-03-07 电子科技大学 一种针对加密流量的动态ip设备标识系统及方法
CN116894011A (zh) * 2023-07-17 2023-10-17 上海螣龙科技有限公司 多维度智能化指纹库及多维度智能化指纹库设计和查询方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11880431B2 (en) * 2021-04-08 2024-01-23 Hewlett Packard Enterprise Development Lp System and method of classifying data and providing an accuracy of classification

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160352765A1 (en) * 2015-05-27 2016-12-01 Cisco Technology, Inc. Fingerprint merging and risk level evaluation for network anomaly detection
CN106559261A (zh) * 2016-11-03 2017-04-05 国网江西省电力公司电力科学研究院 一种基于特征指纹的变电站网络入侵检测与分析方法
CN106790050A (zh) * 2016-12-19 2017-05-31 北京启明星辰信息安全技术有限公司 一种异常流量检测方法及检测系统
CN108200015A (zh) * 2017-12-18 2018-06-22 北京天融信网络安全技术有限公司 一种检测异常流量的方法、分类模型的构建方法及设备
CN108650218A (zh) * 2018-03-22 2018-10-12 平安科技(深圳)有限公司 网络流量监测方法、装置、计算机设备及存储介质
CN108833437A (zh) * 2018-07-05 2018-11-16 成都康乔电子有限责任公司 一种基于流量指纹和通信特征匹配的apt检测方法
CN111181923A (zh) * 2019-12-10 2020-05-19 中移(杭州)信息技术有限公司 流量检测方法、装置、电子设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8275177B2 (en) * 2008-05-23 2012-09-25 Oracle America, Inc. System and method for media fingerprint indexing
CN104348811B (zh) * 2013-08-05 2018-01-26 深圳市腾讯计算机系统有限公司 分布式拒绝服务攻击检测方法及装置
CN110958225B (zh) * 2019-11-08 2022-02-15 杭州安恒信息技术股份有限公司 基于流量识别网站指纹的方法
CN111291070B (zh) * 2020-01-20 2021-03-30 南京星环智能科技有限公司 一种异常sql检测方法、设备及介质
CN112019574B (zh) * 2020-10-22 2021-01-29 腾讯科技(深圳)有限公司 异常网络数据检测方法、装置、计算机设备和存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160352765A1 (en) * 2015-05-27 2016-12-01 Cisco Technology, Inc. Fingerprint merging and risk level evaluation for network anomaly detection
CN106559261A (zh) * 2016-11-03 2017-04-05 国网江西省电力公司电力科学研究院 一种基于特征指纹的变电站网络入侵检测与分析方法
CN106790050A (zh) * 2016-12-19 2017-05-31 北京启明星辰信息安全技术有限公司 一种异常流量检测方法及检测系统
CN108200015A (zh) * 2017-12-18 2018-06-22 北京天融信网络安全技术有限公司 一种检测异常流量的方法、分类模型的构建方法及设备
CN108650218A (zh) * 2018-03-22 2018-10-12 平安科技(深圳)有限公司 网络流量监测方法、装置、计算机设备及存储介质
CN108833437A (zh) * 2018-07-05 2018-11-16 成都康乔电子有限责任公司 一种基于流量指纹和通信特征匹配的apt检测方法
CN111181923A (zh) * 2019-12-10 2020-05-19 中移(杭州)信息技术有限公司 流量检测方法、装置、电子设备及存储介质

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022083353A1 (zh) * 2020-10-22 2022-04-28 腾讯科技(深圳)有限公司 异常网络数据检测方法、装置、计算机设备和存储介质
WO2022083417A1 (zh) * 2020-10-22 2022-04-28 腾讯科技(深圳)有限公司 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品
CN112468520A (zh) * 2021-01-28 2021-03-09 腾讯科技(深圳)有限公司 一种数据检测方法、装置、设备及可读存储介质
CN112468520B (zh) * 2021-01-28 2021-04-20 腾讯科技(深圳)有限公司 一种数据检测方法、装置、设备及可读存储介质
CN112468518A (zh) * 2021-01-28 2021-03-09 腾讯科技(深圳)有限公司 访问数据处理方法、装置、存储介质及计算机设备
CN113037586A (zh) * 2021-02-26 2021-06-25 清华大学 通用且鲁棒的智能家居设备事件指纹提取方法和装置
CN113132406A (zh) * 2021-04-29 2021-07-16 山东云天安全技术有限公司 一种基于ssh流量发现网络威胁的检测方法、设备及介质
CN113132406B (zh) * 2021-04-29 2022-06-07 山东云天安全技术有限公司 一种基于ssh流量发现网络威胁的检测方法、设备及介质
CN113315678A (zh) * 2021-05-26 2021-08-27 深圳市纽创信安科技开发有限公司 加密tcp流量采集方法与装置
CN113595240A (zh) * 2021-06-21 2021-11-02 深圳供电局有限公司 电力数据的检测方法、装置、设备及存储介质
CN113595240B (zh) * 2021-06-21 2024-01-19 深圳供电局有限公司 电力数据的检测方法、装置、设备及存储介质
CN114006750A (zh) * 2021-10-29 2022-02-01 北京顶象技术有限公司 异常操作的检测方法、装置和电子设备
CN114006750B (zh) * 2021-10-29 2024-05-28 北京顶象技术有限公司 异常操作的检测方法、装置和电子设备
CN114157502A (zh) * 2021-12-08 2022-03-08 北京恒安嘉新安全技术有限公司 一种终端识别方法、装置、电子设备及存储介质
CN114157502B (zh) * 2021-12-08 2023-10-27 北京恒安嘉新安全技术有限公司 一种终端识别方法、装置、电子设备及存储介质
CN114650167A (zh) * 2022-02-08 2022-06-21 联想(北京)有限公司 一种异常检测方法、装置、设备及计算机可读存储介质
CN114650167B (zh) * 2022-02-08 2023-06-27 联想(北京)有限公司 一种异常检测方法、装置、设备及计算机可读存储介质
CN115766204A (zh) * 2022-11-14 2023-03-07 电子科技大学 一种针对加密流量的动态ip设备标识系统及方法
CN115766204B (zh) * 2022-11-14 2024-04-26 电子科技大学 一种针对加密流量的动态ip设备标识系统及方法
CN116894011A (zh) * 2023-07-17 2023-10-17 上海螣龙科技有限公司 多维度智能化指纹库及多维度智能化指纹库设计和查询方法

Also Published As

Publication number Publication date
US20230089187A1 (en) 2023-03-23
WO2022083353A1 (zh) 2022-04-28
CN112019574B (zh) 2021-01-29

Similar Documents

Publication Publication Date Title
CN112019574B (zh) 异常网络数据检测方法、装置、计算机设备和存储介质
Strayer et al. Botnet detection based on network behavior
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
US9369479B2 (en) Detection of malware beaconing activities
Aiello et al. DNS tunneling detection through statistical fingerprints of protocol messages and machine learning
Shiaeles et al. Real time DDoS detection using fuzzy estimators
Sofi et al. Machine learning techniques used for the detection and analysis of modern types of ddos attacks
US10296739B2 (en) Event correlation based on confidence factor
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN110417717B (zh) 登录行为的识别方法及装置
CN111565203B (zh) 业务请求的防护方法、装置、系统和计算机设备
Aiello et al. Profiling DNS tunneling attacks with PCA and mutual information
Haddadi et al. DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment
Ghafir et al. DNS query failure and algorithmically generated domain-flux detection
CN113765846A (zh) 一种网络异常行为智能检测与响应方法、装置及电子设备
CN105429940A (zh) 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法
Vijayalakshmi et al. IP traceback system for network and application layer attacks
Shamsolmoali et al. C2DF: High rate DDOS filtering method in cloud computing
CN115426654B (zh) 一种构建面向5g通信系统的网元异常检测模型的方法
KR102119636B1 (ko) 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법
CN112712368B (zh) 一种基于大数据的云安全账户管理方法及云安全平台
Huang et al. Connection Type Identification and Uplink Speed Estimation of Malware Infected Hosts
Osanaiye DDoS defence for service availability in cloud computing
Faisal et al. Security architecture of cloud network against cyber threats

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40035335

Country of ref document: HK