CN112769595B - 异常检测方法、装置、电子设备及可读存储介质 - Google Patents
异常检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN112769595B CN112769595B CN202011531137.1A CN202011531137A CN112769595B CN 112769595 B CN112769595 B CN 112769595B CN 202011531137 A CN202011531137 A CN 202011531137A CN 112769595 B CN112769595 B CN 112769595B
- Authority
- CN
- China
- Prior art keywords
- terminal
- network connection
- local
- port
- connection information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 65
- 230000005856 abnormality Effects 0.000 title claims abstract description 48
- 238000000034 method Methods 0.000 claims abstract description 39
- 230000008569 process Effects 0.000 claims abstract description 21
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 8
- 101100260045 Arabidopsis thaliana TCP6 gene Proteins 0.000 claims description 7
- 101100045628 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) CCT6 gene Proteins 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000004590 computer program Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000003012 network analysis Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0681—Configuration of triggering conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种异常检测方法、装置、电子设备及可读存储介质,可以应用于自动驾驶、智能交通等场景。具体实现方案为:通过终端的进程文件系统,获取网络连接相关文件;解析所述网络连接相关文件,获得所述终端的网络连接信息;利用所述网络连接信息以及预设的异常检测规则,对所述终端进行异常检测。根据本方案,可以减少对终端的系统性能的消耗,避免影响终端的系统性能。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及大数据技术,可以应用于自动驾驶、智能交通等场景。
背景技术
随着互联网的全面推进,未来网络安全防御体系将更加看重网络安全的监测和响应能力。目前,针对网络安全威胁,终端设备比如车载终端可以通过持续地采集网络流量,并对采集的大量网络流量进行分析,来实现对网络异常事件的监测预警和响应。
发明内容
本公开提供了一种异常检测方法、装置、电子设备及可读存储介质。
根据本公开的一方面,提供了一种异常检测方法,包括:
通过终端的进程文件系统,获取网络连接相关文件;
解析所述网络连接相关文件,获得所述终端的网络连接信息;
利用所述网络连接信息以及预设的异常检测规则,对所述终端进行异常检测。
根据本公开的另一方面,提供了一种异常检测装置,包括:
获取模块,用于通过终端的进程文件系统,获取网络连接相关文件;
解析模块,用于解析所述网络连接相关文件,获得所述终端的网络连接信息;
检测模块,用于利用所述网络连接信息以及预设的异常检测规则,对所述终端进行异常检测。
根据本公开的另一方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上所述的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行如上所述的方法。
根据本公开的另一方面,提供了一种计算机程序产品,所述计算机程序产品中存储有程序或指令,所述程序或指令被处理器执行时实现如上所述的方法。
根据本申请的技术解决了目前利用网络流量对终端进行异常检测时会对终端的系统性能造成很大的消耗,影响系统性能的问题,减少了对终端的系统性能的消耗。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是本申请实施例提供的一种异常检测方法的流程图;
图2是本申请实施例中的部分UDP文件的示意图;
图3是本申请具体实例中的异常检测过程的流程图;
图4是用来实现本申请实施例的异常检测方法的异常检测装置的框图;
图5是用来实现本申请实施例的异常检测方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例可以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。说明书以及权利要求中“和/或”表示所连接对象的至少其中之一。
请参见图1,图1是本申请实施例提供的一种异常检测方法的流程图,该方法由电子设备执行,该电子设备可以为终端如车载终端。如图1所示,该方法包括如下步骤:
步骤11:通过终端的进程文件系统,获取网络连接相关文件。
可选的,此步骤中的终端可以为车载终端。
在许多类Unix计算机系统中,进程文件系统(process file system,可缩写为procfs)可以包含一个伪文件系统,这个伪文件系统是启动时动态生成的文件系统,用于通过内核访问进程信息。procfs通常被挂载到/proc目录,由于/proc目录不是一个真正的文件系统,因此不占用存储空间,仅占用有限的内存。Procfs可以以文件系统的方式为访问系统内核数据的操作提供接口。电子设备和应用程序可以通过procfs得到操作系统的信息,并可以改变内核的某些参数。
终端比如车载终端的操作系统绝大部分为类Unix系统,比如Linux系统、Android系统等,并且应用程序仅需用户权限(非超级用户权限root)即可高效实时地通过procfs读取/proc/net目录下的网络相关信息。因此,本申请提出了基于procfs的低权限轻量化的终端比如车载终端的网络连接信息分析方案,以进行异常检测。
步骤12:解析网络连接相关文件,获得终端的网络连接信息。
本实施例中,在解析获取的网络连接相关文件时,可以对网络连接相关文件的行信息和/或列信息(也可称为列数据)进行解析,以提取到相应的网络连接信息。
步骤13:利用网络连接信息以及预设的异常检测规则,对终端进行异常检测。
需指出的,上述预设的异常检测规则可以依靠研究防火墙和经典网络入侵检测系统的检测规则,并结合终端的实际情况来生成。并且随着终端的云端网络数据量的不断增加,可以不断优化和更新异常检测规则,从而提升对终端的异常检测的准确性。
作为一种可选实施例,上述对终端的异常检测可以利用基于规则的网络分析引擎实现。
本申请实施例中的异常检测方法,可以通过终端的进程文件系统,获取网络连接相关文件,并解析该网络连接相关文件,获得终端的网络连接信息,利用该网络连接信息以及预设的异常检测规则,对终端进行异常检测。由此,相比于目前利用采集的大量网络流量对终端进行异常检测,可以减少对终端的系统性能的消耗,避免影响终端的系统性能。进一步的借助本申请实施例,还可以为终端提供实时感知网络安全风险的能力。
本申请实施例中,上述网络连接相关文件可以包括以下至少一项:
传输控制协议(Transmission Control Protocol,TCP)文件、TCP6文件、用户数据报协议(User Datagram Protocol,UDP)文件、UDP6文件。
作为一种可选实施例,上述步骤11中的获取网络连接相关文件的过程可以包括:读取/proc/net目录下的TCP文件、TCP6文件、UDP文件和/或UDP6文件。
可选的,上述网络连接信息包括以下至少一项:协议类型、本地IP、本地端口、远程IP、远程端口。也就是说,本实施例中的网络连接信息
一种实施方式中,上述网络连接信息为IP五元组,即包括协议类型、本地IP、本地端口、远程IP和远程端口。
需指出的,协议类型通常取决于读取的网络连接相关文件,比如若读取的是TCP/TCP6文件,则对应的协议类型为TCP;或者若读取的是UDP/UDP6文件,则对应的协议类型为UDP。在读取的网络连接相关文件UDP文件中,除第一行信息外,每一行信息都可以对应一组网络连接信息如IP五元组。
比如,以图2所示的部分UDP文件为例,除第一行信息外,每一行信息都可以对应一组IP五元组,其中协议类型为UDP。在提取本地IP和本地端口时,可以提取图2中UDP文件的第二列数据,并以“:”为分割,将前后数据分别作为本地IP loc_ip和本地端口loc_ip。在提取远程IP和远程端口时,可以提取图2中UDP文件的第三列数据,并以“:”为分割,将前后数据分别作为远程IP rem_ip和远程端口rem_ip。
本申请实施例中,基于风险端口开启、端口扫描、DDos攻击,蠕虫木马感染等等多种安全威胁事件,上述预设的异常检测规则可以包括以下至少一项:
1)当终端的网络连接信息中的本地端口包括黑名单中的端口时,判定该终端的风险端口开启;
2)当终端的网络连接信息中的第一远程IP同时与多个本地端口建立会话,且该第一远程IP的出现次数超过第一阈值时,判定该终端处于端口扫描的风险中;
3)当终端的网络连接信息中的第一本地端口同时访问多个特定远程端口,且该第一本地端口与该多个特定远程端口同时出现的次数超过第二阈值时,判定该终端被蠕虫木马感染;
4)当终端的网络连接信息中的第一本地IP和第二本地端口同时被多个远程IP访问,且该第一本地IP与该第二本地端口同时出现的次数超过第三阈值时,判定该终端被分布式拒绝服务(Distributed Denial of service,DDos)攻击。
这样,借助上述异常检测规则,可以快速识别端口和/或访问异常等网络异常行为。
需指出的,上述的第一远程IP可选为网络连接信息中任意的远程IP,并非特定的远程IP。上述的第一本地端口可选为网络连接信息中任意的本地端口,并非特定的本地端口。上述的第一本地IP可选为网络连接信息中任意的本地IP,并非特定的本地IP。上述的第二本地端口可选为网络连接信息中任意的本地端口,并非特定的本地端口。上述的第一阈值、第二阈值和第三阈值可以基于实际需求设置,可以相同也可以不相同。
一种实施方式中,在对车载终端进行异常检测时,可以基于异常检测规则1),判断当前活动的网络连接信息中的本地端口是否包括黑名单中的端口比如22、23、5037等;其中,若包括黑名单中的端口,则判定车载终端的风险端口开启,否则判定车载终端的风险端口未开启。
另一种实施方式中,在对车载终端进行异常检测时,可以基于异常检测规则2),在车载终端的一组网络连接信息中,判断是否存在某远程IP同时与多个本地端口建立会话,并且该远程IP的超过了一定阈值;其中,若存在,则判定车载终端处于端口扫描的风险中,否则判定车载终端没有处于端口扫描的风险中。
另一种实施方式中,在对车载终端进行异常检测时,可以基于异常检测规则3),在车载终端的一组网络连接信息中,判断是否存在一个本地端口,同时访问多个特定远程端口比如22、23等,并且该本地端口与特定远程端口比如22或23同时在一条网络连接信息中出现的次数超过一定阈值;其中,若存在,则判定车载终端被蠕虫木马感染,否则判定车载终端没有被蠕虫木马感染。
另一种实施方式中,在对车载终端进行异常检测时,可以基于异常检测规则4),在车载终端的一组网络连接信息中,判断是否存在某一本地IP和本地端口,同时被多个远程IP访问,并且该本地端口和本地IP同时出现在一条网络连接信息中的次数超过一定阈值;其中,若存在,则判定车载终端被DDos攻击,否则判定车载终端没有被DDos攻击。
本申请实施例中,当检测到终端存在异常时,可以生成告警事件,并上报该告警事件,比如由终端上报至云服务器,以方便及时对异常事件进行处理,避免终端受到安全威胁。
下面结合图3对本申请实施例中的异常检测过程进行说明。
本申请实施例中,以车载终端执行异常检测为例,如图3所示,对应的异常检测过程包括:
步骤31:车载终端进入进程文件系统,读取/proc/net目录下的TCP文件、TCP6文件、UDP文件和UDP6文件,即读取/proc/net/tcp、/proc/net/tcp6、/proc/net/udp、/proc/net/udp6文件。
步骤32:解析读取的文件。
步骤33:提取网络连接信息,即IP五元组:协议类型、本地IP、本地端口、远程IP、远程端口。
步骤34:判断读取的所有文件是否解析完毕;其中,若没有解析完毕,则继续执行步骤32,否则若解析完毕,则执行步骤35。
步骤35:利用基于规则的网络分析引擎,对提取的网络连接信息进行分析。
步骤36:判断是否命中预设的异常检测规则;其中,若没有命中异常检测规则,则结束;否则若命中异常检测规则,则执行步骤37。
步骤37:生成告警事件。
步骤38:上报告警事件,比如由车载终端上报至云服务器,以方便及时对异常事件进行处理。
请参见图4,图4是本申请实施例提供的一种异常检测装置的结构示意图,如图4所示,该异常检测装置40包括:
获取模块41,用于通过终端的进程文件系统,获取网络连接相关文件;
解析模块42,用于解析所述网络连接相关文件,获得所述终端的网络连接信息;
检测模块43,用于利用所述网络连接信息以及预设的异常检测规则,对所述终端进行异常检测。
可选的,所述网络连接相关文件包括以下至少一项:
TCP文件、TCP6文件、UDP文件、UDP6文件。
可选的,所述网络连接信息包括以下至少一项:
协议类型、本地IP、本地端口、远程IP、远程端口。
可选的,所述预设的异常检测规则包括以下至少一项:
当终端的网络连接信息中的本地端口包括黑名单中的端口时,判定所述终端的风险端口开启;
当终端的网络连接信息中的第一远程IP同时与多个本地端口建立会话,且所述第一远程IP的出现次数超过第一阈值时,判定所述终端处于端口扫描的风险中;
当终端的网络连接信息中的第一本地端口同时访问多个特定远程端口,且所述第一本地端口与所述多个特定远程端口同时出现的次数超过第二阈值时,判定所述终端被蠕虫木马感染;
当终端的网络连接信息中的第一本地IP和第二本地端口同时被多个远程IP访问,且所述第一本地IP与所述第二本地端口同时出现的次数超过第三阈值时,判定所述终端被DDos攻击。
可选的,该异常检测装置40还包括:
生成模块,用于当所述终端存在异常时,生成告警事件;
上报模块,用于上报所述告警事件。
可理解的,本申请实施例的异常检测装置40,可以实现上述图1所示方法实施例中实现的各个过程,以及达到相同的有益效果,为避免重复,这里不再赘述。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图5示出了可以用来实施本申请的实施例的示例电子设备500的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图5所示,设备500包括计算单元501,其可以根据存储在只读存储器(ROM)502中的计算机程序或者从存储单元508加载到随机访问存储器(RAM)503中的计算机程序,来执行各种适当的动作和处理。在RAM 503中,还可存储设备500操作所需的各种程序和数据。计算单元501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
设备500中的多个部件连接至I/O接口505,包括:输入单元506,例如键盘、鼠标等;输出单元507,例如各种类型的显示器、扬声器等;存储单元508,例如磁盘、光盘等;以及通信单元509,例如网卡、调制解调器、无线通信收发机等。通信单元509允许设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理,例如异常检测方法。例如,在一些实施例中,异常检测方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元508。在一些实施例中,计算机程序的部分或者全部可以经由ROM 502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序加载到RAM 503并由计算单元501执行时,可以执行上文描述的异常检测方法的一个或多个步骤。备选地,在其他实施例中,计算单元501可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行异常检测方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、互联网和区块链网络。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务(“Virtual Private Server”,或者简称为“VPS”)中,存在的管理难度大,业务扩展性弱的缺陷。服务器也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (8)
1.一种异常检测方法,应用于终端,包括:
通过所述终端的进程文件系统,获取网络连接相关文件;
解析所述网络连接相关文件,获得所述终端的网络连接信息;
利用所述网络连接信息以及预设的异常检测规则,对所述终端进行异常检测;
所述网络连接信息包括:协议类型、本地IP、本地端口、远程IP、远程端口;
所述预设的异常检测规则包括以下至少一项:
当终端的网络连接信息中的本地端口包括黑名单中的端口时,判定所述终端的风险端口开启;
当终端的网络连接信息中的第一远程IP同时与多个本地端口建立会话,且所述第一远程IP的出现次数超过第一阈值时,判定所述终端处于端口扫描的风险中;
当终端的网络连接信息中的第一本地端口同时访问多个特定远程端口,且所述第一本地端口与所述多个特定远程端口同时出现的次数超过第二阈值时,判定所述终端被蠕虫木马感染;
当终端的网络连接信息中的第一本地IP和第二本地端口同时被多个远程IP访问,且所述第一本地IP与所述第二本地端口同时出现的次数超过第三阈值时,判定所述终端被分布式拒绝服务DDos攻击。
2.根据权利要求1所述的方法,其中,所述网络连接相关文件包括以下至少一项:
传输控制协议TCP文件、TCP6文件、用户数据报协议UDP文件、UDP6文件。
3.根据权利要求1-2中任一项所述的方法,还包括:
当所述终端存在异常时,生成告警事件,并上报所述告警事件。
4.一种异常检测装置,应用于终端,包括:
获取模块,用于通过所述终端的进程文件系统,获取网络连接相关文件;
解析模块,用于解析所述网络连接相关文件,获得所述终端的网络连接信息;
检测模块,用于利用所述网络连接信息以及预设的异常检测规则,对所述终端进行异常检测;
所述网络连接信息包括:协议类型、本地IP、本地端口、远程IP、远程端口;
所述预设的异常检测规则包括以下至少一项:
当终端的网络连接信息中的本地端口包括黑名单中的端口时,判定所述终端的风险端口开启;
当终端的网络连接信息中的第一远程IP同时与多个本地端口建立会话,且所述第一远程IP的出现次数超过第一阈值时,判定所述终端处于端口扫描的风险中;
当终端的网络连接信息中的第一本地端口同时访问多个特定远程端口,且所述第一本地端口与所述多个特定远程端口同时出现的次数超过第二阈值时,判定所述终端被蠕虫木马感染;
当终端的网络连接信息中的第一本地IP和第二本地端口同时被多个远程IP访问,且所述第一本地IP与所述第二本地端口同时出现的次数超过第三阈值时,判定所述终端被DDos攻击。
5.根据权利要求4所述的装置,其中,所述网络连接相关文件包括以下至少一项:
TCP文件、TCP6文件、UDP文件、UDP6文件。
6.根据权利要求4-5中任一项所述的装置,还包括:
生成模块,用于当所述终端存在异常时,生成告警事件;
上报模块,用于上报所述告警事件。
7.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-3中任一项所述的方法。
8.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行权利要求1-3中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011531137.1A CN112769595B (zh) | 2020-12-22 | 2020-12-22 | 异常检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011531137.1A CN112769595B (zh) | 2020-12-22 | 2020-12-22 | 异常检测方法、装置、电子设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769595A CN112769595A (zh) | 2021-05-07 |
| CN112769595B true CN112769595B (zh) | 2023-05-09 |
Family
ID=75694802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011531137.1A Active CN112769595B (zh) | 2020-12-22 | 2020-12-22 | 异常检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769595B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904853B (zh) * | 2021-10-13 | 2024-05-14 | 百度在线网络技术(北京)有限公司 | 网络系统的入侵检测方法、装置、电子设备和介质 |
| CN114422623B (zh) * | 2022-01-17 | 2022-11-18 | 山西省信息通信网络技术保障中心 | 一种基于指令序列的车联网异常流量识别方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008079103A2 (en) * | 2006-05-18 | 2008-07-03 | Cisco Technology, Inc. | System and method for detection and mitigation of network worms |
| CN104303153A (zh) * | 2012-03-22 | 2015-01-21 | 洛斯阿拉莫斯国家安全股份有限公司 | 用于异常子图检测、异常/更改检测和网络态势感知的路径扫描 |
| CN106101015A (zh) * | 2016-07-19 | 2016-11-09 | 广东药科大学 | 一种移动互联网流量类别标记方法和系统 |
| CN110493165A (zh) * | 2018-06-29 | 2019-11-22 | 厦门白山耘科技有限公司 | 自动确定恶意网络进程的方法、装置及网络入侵检测系统 |
-
2020
- 2020-12-22 CN CN202011531137.1A patent/CN112769595B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008079103A2 (en) * | 2006-05-18 | 2008-07-03 | Cisco Technology, Inc. | System and method for detection and mitigation of network worms |
| CN104303153A (zh) * | 2012-03-22 | 2015-01-21 | 洛斯阿拉莫斯国家安全股份有限公司 | 用于异常子图检测、异常/更改检测和网络态势感知的路径扫描 |
| CN106101015A (zh) * | 2016-07-19 | 2016-11-09 | 广东药科大学 | 一种移动互联网流量类别标记方法和系统 |
| CN110493165A (zh) * | 2018-06-29 | 2019-11-22 | 厦门白山耘科技有限公司 | 自动确定恶意网络进程的方法、装置及网络入侵检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769595A (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9407649B2 (en) | Log analysis device and method | |
| CN112769595B (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
| CN114584351A (zh) | 一种监控方法、装置、电子设备以及存储介质 | |
| CN114598512A (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
| CN113326173A (zh) | 一种告警消息的处理方法、装置及设备 | |
| CN113452700B (zh) | 处理安全信息的方法、装置、设备以及存储介质 | |
| CN117220957A (zh) | 一种基于威胁情报的攻击行为响应方法及系统 | |
| CN114157480A (zh) | 网络攻击方案的确定方法、装置、设备和存储介质 | |
| CN117061368A (zh) | 绕行堡垒机行为的自动识别方法、装置、设备与介质 | |
| CN115481166B (zh) | 一种数据存储方法、装置、电子设备及计算机存储介质 | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| CN113839944B (zh) | 应对网络攻击的方法、装置、电子设备和介质 | |
| CN115811421A (zh) | 网络安全事件的监测方法、装置、电子设备以及存储介质 | |
| CN115589339A (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN110830518B (zh) | 溯源分析方法、装置、电子设备及存储介质 | |
| CN115033889A (zh) | 非法提权检测方法和装置、存储介质、计算机设备 | |
| CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
| CN114238069A (zh) | 一种Web应用防火墙测试方法、装置、电子设备、介质及产品 | |
| CN115378746B (zh) | 网络入侵检测规则生成方法、装置、设备以及存储介质 | |
| CN117714200A (zh) | 一种网络安全防御方法、装置、设备及存储介质 | |
| CN116248340A (zh) | 接口攻击的检测方法、装置、电子设备及存储介质 | |
| CN116185765B (zh) | 一种告警处理方法、装置、电子设备及存储介质 | |
| CN116743508B (zh) | 一种电力系统网络攻击链检测方法、装置、设备及介质 | |
| CN110166421B (zh) | 基于日志监控的入侵控制方法、装置及终端设备 | |
| CN117061216A (zh) | 一种网络攻击的自动封禁方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20211013 Address after: 100176 101, floor 1, building 1, yard 7, Ruihe West 2nd Road, Beijing Economic and Technological Development Zone, Daxing District, Beijing Applicant after: Apollo Intelligent Connectivity (Beijing) Technology Co., Ltd. Address before: 2 / F, baidu building, 10 Shangdi 10th Street, Haidian District, Beijing 100085 Applicant before: BEIJING BAIDU NETCOM SCIENCE AND TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |