CN112953971A - 一种网络安全流量入侵检测方法和系统 - Google Patents
一种网络安全流量入侵检测方法和系统 Download PDFInfo
- Publication number
- CN112953971A CN112953971A CN202110357614.5A CN202110357614A CN112953971A CN 112953971 A CN112953971 A CN 112953971A CN 202110357614 A CN202110357614 A CN 202110357614A CN 112953971 A CN112953971 A CN 112953971A
- Authority
- CN
- China
- Prior art keywords
- flow
- target
- network
- abnormal
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明给出了一种网络安全流量入侵检测方法和系统,包括根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,得到基础安全网络流量行程记录;将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的Snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;通过对异常流量的分类设定,在离线状态下传输基础纯洁的数据包,并形成单独识别库,在对异常流量进行比对时从单独识别库中提取相应信息,对异常流量进行分类,通过提取数据包特征编码的形式,按照误警报数据、白名单数据和黑名单数据分类,并且均单独形成数据集合。提升了入侵流量报警的正确率。
Description
技术领域
本发明涉及网络流量安全技术领域,尤其是一种网络安全流量入侵检测方法和系统。
背景技术
物联网设备已经通过各类电子设备走入了千家万户,特别是涉及到视频监控和网络信息传输,均需要在互联网中传播数据,在发送数据包的流程中,由于控制层上的服务器会大幅度吞吐数据,因此对于不法分子而言,经由大量传输无用数据包采取撞库或非法输入大量入侵流量,导致服务器荷载增加以及数据错误,皆会导致服务器因受到数据入侵攻击引起流量安全隐患。
现有的针对于网络流量的检测一般经由snort IDS体系模块处理,然而针对于原始数据包的分析,一般都会产生检测方式单一,洁净数据源难以获得,导致误警率高等现象,特别是由于流量攻击频率较大的情况下,则会导致在时间段内的报警数量过多,再加上误警率高的现象,将进一步增加管理员对于报警信息的处理复杂程度,从而漏掉较为关键的有用信息,严重时则会造成物理设备受到外界不法流量接管,最终导致财产损失。
发明内容
本发明提出了一种网络安全流量入侵检测方法和系统,以解决上文提到的现有技术的缺陷。
在一个方面,本发明提出了一种网络安全流量入侵检测方法,该方法包括以下步骤:
S1:根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录;
S2:将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的Snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;
S3:依据预先设置的Snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行S4,若否,执行S5;
S4:建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行S5;
S5:将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
以上方法通过对异常流量的分类设定,在离线状态下传输基础纯洁的数据包,并形成单独识别库,其单独识别库呈离线状态,每一次在比对时皆主要从单独识别库中提取相应信息,并将诊断为异常流量按照流程步骤分类,通过提取数据包特征编码的形式,按照误警报数据、白名单数据和黑名单数据分类,并且均单独形成数据集合。
在具体的实施例中,所述特征编码包括:时间、流量吞吐量和数据包加密策略。
在具体的实施例中,所述根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录,具体包括:
针对所述目标安全流量的特征编码建立时间序列预测模型,按照时间序列对所述目标安全流量进行排列,并储存为基础安全网络流量行程记录;
将所述基础安全网络流量行程记录和所述时间序列预测模型构建为离线的流量统计数据库。
在具体的实施例中,所述白名单识别库的建立按照管理员后台的接入进行直接设置,且所述白名单识别库中的流量数据按照时间顺序排列。
在具体的实施例中,所述S2具体包括:
根据所述原始备份记录,按照时间序列建立Snort IDS模块;
监听网络数据包,对网络进行分析;
用相应的插件来检查所述目标流量的原始数据包,判断所述原始数据包中的包括端口扫描和IP碎片在内的行为;
依据预先设置的Snort规则检查所述原始数据包,当所述原始数据包中的内容与所述Snort规则中的任意一条相匹配,判断所述原始数据包为异常流量,并触发识别报警,将所述识别报警传送给日志文件。
在具体的实施例中,所述Snort规则具体包括:对所述目标流量的原始数据包按照规则头进行规则动作、协议、源信息和目的信息过程检验。
在具体的实施例中,所述S3具体包括:
判断所述规则头所检测的目标流量内容,并与所述基础安全网络流量行程记录比较源信息并进行目的信息过程检验,按照预先设定的用于判断安全网络流量的阈值,判断所述异常流量是否为误识别流量。
在具体的实施例中,所述S4具体包括:
设定时间范围,并根据所述时间范围进行读秒,同时提醒管理员处理所述目标流量;
管理员在所述时间范围内对所述目标流量进行实时在线处理,当管理员将所述目标流量处理为安全网络流量时,提取所述目标流量的特征编码,记录于所述白名单识别库内;
若后续接收到的目标流量的特征编码在所述白名单识别库中已存在,则不再提醒管理员对该目标流量进行处理;
若读秒完毕后无管理员对所述目标流量进行处理,执行S5。
本发明中白名单识别库所形成的报警信息为读秒设置,报警操作为管理员主动操作。
在具体的实施例中,所述S5具体包括:
对所有异常流量进行聚类分析分类为若干个聚类条目,将每个聚类条目的特征编码与所述黑名单识别库内所保存的特征编码进行对比;
若对比到相同的特征编码,将对应的异常流量直接反馈给自适应入侵响应和入侵防御;
若未对比到相同的特征编码,则判定对应的异常流量为新型入侵流量,根据该异常流量的数据包进行特征提取,将提取到的特征编码保存至所述黑名单识别库内,并同步响应自适应入侵响应和入侵防御;
对属于相同聚类条目的异常流量生成相似的入侵警报,并按照特征编码将属于相同聚类条目的异常流量折叠为同一种类型的流量数据。
本发明对于同一特征编码的警报进行折叠处理,从而进一步减少警报信息的数量。
根据本发明的第二方面,提出了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上述方法。
根据本发明的第三方面,提出一种网络安全流量入侵检测系统,该系统包括:
基础安全网络流量统计模块:配置用于根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录;
异常流量识别模块:配置用于将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的Snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;
误识别检测模块:配置用于依据预先设置的Snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行白名单识别检测模块,若否,执行未知入侵流量识别模块;
白名单识别检测模块:配置用于建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行未知入侵流量识别模块;
未知入侵流量识别模块:配置用于将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
本发明通过对异常流量的分类设定,在离线状态下传输基础纯洁的数据包,并形成单独识别库,其单独识别库呈离线状态,每一次在比对时皆主要从单独识别库中提取相应信息,并将诊断为异常流量按照流程步骤分类,通过提取数据包特征编码的形式,按照误警报数据、白名单数据和黑名单数据分类,并且均单独形成数据集合。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是本发明的一个实施例的一种网络安全流量入侵检测方法的流程图;
图3是本发明的一个具体的实施例的snort IDS模块示意图;
图4是本发明的一个实施例的一种网络安全流量入侵检测系统的框架图;
图5是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请实施例的一种网络安全流量入侵检测方法的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种应用,例如数据处理类应用、数据可视化类应用、网页浏览器应用等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上展示的目标安全流量提供支持的后台信息处理服务器。后台信息处理服务器可以对获取的特征编码进行处理,并生成处理结果(例如基础安全网络流量行程记录)。
需要说明的是,本申请实施例所提供的方法可以由服务器105执行,也可以由终端设备101、102、103执行,相应的装置一般设置于服务器105中,也可以设置于终端设备101、102、103中。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
根据本发明的一个实施例的一种网络安全流量入侵检测方法,图2示出了根据本发明的实施例的一种网络安全流量入侵检测方法的流程图。如图2所示,该方法包括以下步骤:
S201:根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录。
在具体的实施例中,所述特征编码包括:时间、流量吞吐量和数据包加密策略。
在具体的实施例中,所述根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录,具体包括:
针对所述目标安全流量的特征编码建立时间序列预测模型,按照时间序列对所述目标安全流量进行排列,并储存为基础安全网络流量行程记录;
将所述基础安全网络流量行程记录和所述时间序列预测模型构建为离线的流量统计数据库。
S202:将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的Snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警。
在具体的实施例中,所述S202具体包括:
根据所述原始备份记录,按照时间序列建立Snort IDS模块;
监听网络数据包,对网络进行分析;
用相应的插件来检查所述目标流量的原始数据包,判断所述原始数据包中的包括端口扫描和IP碎片在内的行为;
依据预先设置的Snort规则检查所述原始数据包,当所述原始数据包中的内容与所述Snort规则中的任意一条相匹配,判断所述原始数据包为异常流量,并触发识别报警,将所述识别报警传送给日志文件。
图3示出了本发明的一个具体的实施例的snort IDS模块示意图,如图,snort IDS模块300包含:
数据包嗅探模块301:负责监听网络数据包,对网络进行分析;
预处理模块302:该模块用相应的插件来检查原始数据包,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数据包经过预处理后才传到检测模块303;
检测模块303:该模块是snort的核心模块;当数据包从预处理器送过来后,检测模块303依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警/日志模块304;
报警/日志模块304:经检测模块303检查后的snort数据需要以某种方式输出,如果检测模块303中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIXsocket、Windows Popup、SNMP协议的trap命令传送给日志文件。
在具体的实施例中,所述Snort规则具体包括:对所述目标流量的原始数据包按照规则头进行规则动作、协议、源信息和目的信息过程检验。
在具体的实施例中,按照规则头的规则动作、协议、源信息和目的信息过程检验,具体包括如下步骤:
(1)先判断规则头所检测的目标流量内容,并与基础安全网络流量行程记录比较源信息和目的信息过程检验,按照对安全网络流量设定的阈值,在超过阈值的情况下再次进一步增加阈值的百分比上线,以5-10%为设定基础,测定目标流量是否为误判断,若非误判断则直接进入下一步骤;
(2)按照报警/日志模块304,触发一条报警消息,此时报警消息为黄色报警消息,根据所设定的时间读秒时效,给与管理员的实时在线处理的时间,若管理员即时处理为安全网络流量时,则提取目标数据包的特征编码,记录于白名单识别库内,并在后续不再提醒,若读秒完毕后无管理员处理,即进入下一步骤;
(3)将所有非正常入侵流量聚类分析后,与黑名单识别库内所保存的特征编码对比,在特征编码相同情况下直接反馈自适应入侵响应和入侵防御,在黑名单识别库内没有相应特征编码时,则判定为检测出新型的入侵流量,先根据目标数据包进行特征提取,所提取后的特征编码保存至黑名单识别库内,并同步响应自适应入侵响应和入侵防御,且最终仅按照聚类分析后的条目形成相似入侵警报,并将其按特征编码折叠为同一种类。
S203:依据预先设置的Snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行S204,若否,执行S205。
在具体的实施例中,所述S203具体包括:
判断所述规则头所检测的目标流量内容,并与所述基础安全网络流量行程记录比较源信息并进行目的信息过程检验,按照预先设定的用于判断安全网络流量的阈值,判断所述异常流量是否为误识别流量。
S204:建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行S205。
在具体的实施例中,所述白名单识别库的建立按照管理员后台的接入进行直接设置,且所述白名单识别库中的流量数据按照时间顺序排列。
在具体的实施例中,所述S204具体包括:
设定时间范围,并根据所述时间范围进行读秒,同时提醒管理员处理所述目标流量;
管理员在所述时间范围内对所述目标流量进行实时在线处理,当管理员将所述目标流量处理为安全网络流量时,提取所述目标流量的特征编码,记录于所述白名单识别库内;
若后续接收到的目标流量的特征编码在所述白名单识别库中已存在,则不再提醒管理员对该目标流量进行处理;
若读秒完毕后无管理员对所述目标流量进行处理,执行S205。
S205:将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
在具体的实施例中,所述S205具体包括:
对所有异常流量进行聚类分析分类为若干个聚类条目,将每个聚类条目的特征编码与所述黑名单识别库内所保存的特征编码进行对比;
若对比到相同的特征编码,将对应的异常流量直接反馈给自适应入侵响应和入侵防御;
若未对比到相同的特征编码,则判定对应的异常流量为新型入侵流量,根据该异常流量的数据包进行特征提取,将提取到的特征编码保存至所述黑名单识别库内,并同步响应自适应入侵响应和入侵防御;
对属于相同聚类条目的异常流量生成相似的入侵警报,并按照特征编码将属于相同聚类条目的异常流量折叠为同一种类型的流量数据。
图4示出了本发明的一个实施例的一种网络安全流量入侵检测系统的框架图。该系统包括基础安全网络流量统计模块401、异常流量识别模块402、误识别检测模块403、白名单识别检测模块404和未知入侵流量识别模块405。
在具体的实施例中,基础安全网络流量统计模块401被配置用于根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录;
异常流量识别模块402被配置用于将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的Snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;
误识别检测模块403被配置用于依据预先设置的Snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行白名单识别检测模块,若否,执行未知入侵流量识别模块;
白名单识别检测模块404被配置用于建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行未知入侵流量识别模块;
未知入侵流量识别模块405被配置用于将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
本系统根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,得到基础安全网络流量行程记录;将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的Snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;通过对异常流量的分类设定,在离线状态下传输基础纯洁的数据包,并形成单独识别库,在对异常流量进行比对时从单独识别库中提取相应信息,对异常流量进行分类,通过提取数据包特征编码的形式,按照误警报数据、白名单数据和黑名单数据分类,并且均单独形成数据集合。提升了入侵流量报警的正确率。
下面参考图5,其示出了适于用来实现本申请实施例的电子设备的计算机系统500的结构示意图。图5示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图5所示,计算机系统500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有系统500操作所需的各种程序和数据。CPU 501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
以下部件连接至I/O接口505:包括键盘、鼠标等的输入部分506;包括诸如液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(CPU)501执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,并且这些单元的名称在某种情况下并不构成对该单元本身的限定。
本发明的实施例还涉及一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时实施上文中的方法。该计算机程序包含用于执行流程图所示的方法的程序代码。需要说明的是,本申请的计算机可读介质可以是计算机可读信号介质或者计算机可读介质或者是上述两者的任意组合。
本发明根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,得到基础安全网络流量行程记录;将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的Snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;通过对异常流量的分类设定,在离线状态下传输基础纯洁的数据包,并形成单独识别库,在对异常流量进行比对时从单独识别库中提取相应信息,对异常流量进行分类,通过提取数据包特征编码的形式,按照误警报数据、白名单数据和黑名单数据分类,并且均单独形成数据集合。提升了入侵流量报警的正确率。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (11)
1.一种网络安全流量入侵检测方法,其特征在于,包括以下步骤:
S1:根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录;
S2:将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的Snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;
S3:依据预先设置的Snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行S4,若否,执行S5;
S4:建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行S5;
S5:将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
2.根据权利要求1所述的方法,其特征在于,所述特征编码包括:时间、流量吞吐量和数据包加密策略。
3.根据权利要求1所述的方法,其特征在于,所述根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录,具体包括:
针对所述目标安全流量的特征编码建立时间序列预测模型,按照时间序列对所述目标安全流量进行排列,并储存为基础安全网络流量行程记录;
将所述基础安全网络流量行程记录和所述时间序列预测模型构建为离线的流量统计数据库。
4.根据权利要求1所述的方法,其特征在于,所述白名单识别库的建立按照管理员后台的接入进行直接设置,且所述白名单识别库中的流量数据按照时间顺序排列。
5.根据权利要求1所述的方法,其特征在于,所述S2具体包括:
根据所述原始备份记录,按照时间序列建立Snort IDS模块;
监听网络数据包,对网络进行分析;
用相应的插件来检查所述目标流量的原始数据包,判断所述原始数据包中的包括端口扫描和IP碎片在内的行为;
依据预先设置的Snort规则检查所述原始数据包,当所述原始数据包中的内容与所述Snort规则中的任意一条相匹配,判断所述原始数据包为异常流量,并触发识别报警,将所述识别报警传送给日志文件。
6.根据权利要求1所述的方法,其特征在于,所述Snort规则具体包括:对所述目标流量的原始数据包按照规则头进行规则动作、协议、源信息和目的信息过程检验。
7.根据权利要求6所述的方法,其特征在于,所述S3具体包括:
判断所述规则头所检测的目标流量内容,并与所述基础安全网络流量行程记录比较源信息并进行目的信息过程检验,按照预先设定的用于判断安全网络流量的阈值,判断所述异常流量是否为误识别流量。
8.根据权利要求6所述的方法,其特征在于,所述S4具体包括:
设定时间范围,并根据所述时间范围进行读秒,同时提醒管理员处理所述目标流量;
管理员在所述时间范围内对所述目标流量进行实时在线处理,当管理员将所述目标流量处理为安全网络流量时,提取所述目标流量的特征编码,记录于所述白名单识别库内;
若后续接收到的目标流量的特征编码在所述白名单识别库中已存在,则不再提醒管理员对该目标流量进行处理;
若读秒完毕后无管理员对所述目标流量进行处理,执行S5。
9.根据权利要求6所述的方法,其特征在于,所述S5具体包括:
对所有异常流量进行聚类分析分类为若干个聚类条目,将每个聚类条目的特征编码与所述黑名单识别库内所保存的特征编码进行对比;
若对比到相同的特征编码,将对应的异常流量直接反馈给自适应入侵响应和入侵防御;
若未对比到相同的特征编码,则判定对应的异常流量为新型入侵流量,根据该异常流量的数据包进行特征提取,将提取到的特征编码保存至所述黑名单识别库内,并同步响应自适应入侵响应和入侵防御;
对属于相同聚类条目的异常流量生成相似的入侵警报,并按照特征编码将属于相同聚类条目的异常流量折叠为同一种类型的流量数据。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被计算机处理器执行时实施权利要求1至9中任一项所述的方法。
11.一种网络安全流量入侵检测系统,其特征在于,包括:
基础安全网络流量统计模块:配置用于根据网络中的正常运行流程,抓取并统计网络中的目标安全流量的特征编码,根据统计得到的所述目标安全流量的特征编码对所述目标安全流量进行储存得到基础安全网络流量行程记录;
异常流量识别模块:配置用于将所述基础安全网络流量行程记录作为原始备份记录,依据预先设置的Snort规则对接收到的目标流量进行入侵检测,判断所述目标流量是否为异常流量,并针对所述异常流量触发识别报警;
误识别检测模块:配置用于依据预先设置的Snort规则判断所述异常流量是否为误识别流量,若是,则消除所述识别报警并执行白名单识别检测模块,若否,执行未知入侵流量识别模块;
白名单识别检测模块:配置用于建立白名单识别库,管理员后台判断所述目标流量是否属于安全网络流量,若是,则将所述目标流量加入所述白名单识别库中,若否,则执行未知入侵流量识别模块;
未知入侵流量识别模块:配置用于将所述异常流量置入自适应入侵响应和入侵防御中,并提取所述异常流量的特征编码,根据所述特征编码建立黑名单识别库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110357614.5A CN112953971B (zh) | 2021-04-01 | 2021-04-01 | 一种网络安全流量入侵检测方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110357614.5A CN112953971B (zh) | 2021-04-01 | 2021-04-01 | 一种网络安全流量入侵检测方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112953971A true CN112953971A (zh) | 2021-06-11 |
CN112953971B CN112953971B (zh) | 2023-05-16 |
Family
ID=76232087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110357614.5A Active CN112953971B (zh) | 2021-04-01 | 2021-04-01 | 一种网络安全流量入侵检测方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112953971B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904812A (zh) * | 2021-09-18 | 2022-01-07 | 中标慧安信息技术股份有限公司 | 一种基于孤立森林的物联网入侵检测方法 |
CN113938288A (zh) * | 2021-08-25 | 2022-01-14 | 北京中电飞华通信有限公司 | 一种电力通信网络的流量检测方法和系统 |
CN114006840A (zh) * | 2021-10-11 | 2022-02-01 | 中盈优创资讯科技有限公司 | 一种电路流量异常识别方法 |
CN114826895A (zh) * | 2022-04-24 | 2022-07-29 | 金祺创(北京)技术有限公司 | 一种大型骨干内网nat流量大数据智能分析告警定位方法及监控系统 |
CN115333853A (zh) * | 2022-09-13 | 2022-11-11 | 杭州迪普科技股份有限公司 | 网络入侵检测方法、装置与电子设备 |
CN115664869A (zh) * | 2022-12-28 | 2023-01-31 | 北京六方云信息技术有限公司 | 入侵防御系统误识别处理方法、设备以及存储介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468631A (zh) * | 2014-12-31 | 2015-03-25 | 国家电网公司 | 基于ip终端异常流量及黑白名单库的网络入侵识别方法 |
US20150271193A1 (en) * | 2014-03-20 | 2015-09-24 | International Business Machines Corporation | Intrusion management |
CN107040544A (zh) * | 2017-05-15 | 2017-08-11 | 上海斐讯数据通信技术有限公司 | 一种基于流量的入侵检测方法、装置及系统 |
US20170257388A1 (en) * | 2016-01-06 | 2017-09-07 | New York University | System, method and computer-accessible medium for network intrusion detection |
CN108270779A (zh) * | 2017-12-29 | 2018-07-10 | 湖南优利泰克自动化系统有限公司 | 一种入侵检测系统安全规则的自动生成方法 |
CN109067770A (zh) * | 2018-09-05 | 2018-12-21 | 高新兴科技集团股份有限公司 | 物联网系统的流量攻击控制方法及计算机存储介质 |
CN110557397A (zh) * | 2019-09-12 | 2019-12-10 | 贵州电网有限责任公司 | 一种基于混沌理论分析的DDoS攻击检测方法 |
CN110647900A (zh) * | 2019-04-12 | 2020-01-03 | 中国人民解放军战略支援部队信息工程大学 | 基于深度神经网络的安全态势智能预测方法、装置及系统 |
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
CN110798427A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的异常检测方法、装置及设备 |
CN111177417A (zh) * | 2020-04-13 | 2020-05-19 | 中国人民解放军国防科技大学 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
-
2021
- 2021-04-01 CN CN202110357614.5A patent/CN112953971B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150271193A1 (en) * | 2014-03-20 | 2015-09-24 | International Business Machines Corporation | Intrusion management |
CN104468631A (zh) * | 2014-12-31 | 2015-03-25 | 国家电网公司 | 基于ip终端异常流量及黑白名单库的网络入侵识别方法 |
US20170257388A1 (en) * | 2016-01-06 | 2017-09-07 | New York University | System, method and computer-accessible medium for network intrusion detection |
CN107040544A (zh) * | 2017-05-15 | 2017-08-11 | 上海斐讯数据通信技术有限公司 | 一种基于流量的入侵检测方法、装置及系统 |
CN108270779A (zh) * | 2017-12-29 | 2018-07-10 | 湖南优利泰克自动化系统有限公司 | 一种入侵检测系统安全规则的自动生成方法 |
CN110798427A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的异常检测方法、装置及设备 |
CN109067770A (zh) * | 2018-09-05 | 2018-12-21 | 高新兴科技集团股份有限公司 | 物联网系统的流量攻击控制方法及计算机存储介质 |
CN110647900A (zh) * | 2019-04-12 | 2020-01-03 | 中国人民解放军战略支援部队信息工程大学 | 基于深度神经网络的安全态势智能预测方法、装置及系统 |
CN110557397A (zh) * | 2019-09-12 | 2019-12-10 | 贵州电网有限责任公司 | 一种基于混沌理论分析的DDoS攻击检测方法 |
CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测系统 |
CN111177417A (zh) * | 2020-04-13 | 2020-05-19 | 中国人民解放军国防科技大学 | 基于网络安全知识图谱的安全事件关联方法、系统、介质 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113938288A (zh) * | 2021-08-25 | 2022-01-14 | 北京中电飞华通信有限公司 | 一种电力通信网络的流量检测方法和系统 |
CN113904812A (zh) * | 2021-09-18 | 2022-01-07 | 中标慧安信息技术股份有限公司 | 一种基于孤立森林的物联网入侵检测方法 |
CN114006840A (zh) * | 2021-10-11 | 2022-02-01 | 中盈优创资讯科技有限公司 | 一种电路流量异常识别方法 |
CN114006840B (zh) * | 2021-10-11 | 2023-08-08 | 中盈优创资讯科技有限公司 | 一种电路流量异常识别方法 |
CN114826895A (zh) * | 2022-04-24 | 2022-07-29 | 金祺创(北京)技术有限公司 | 一种大型骨干内网nat流量大数据智能分析告警定位方法及监控系统 |
CN115333853A (zh) * | 2022-09-13 | 2022-11-11 | 杭州迪普科技股份有限公司 | 网络入侵检测方法、装置与电子设备 |
CN115333853B (zh) * | 2022-09-13 | 2024-04-26 | 杭州迪普科技股份有限公司 | 网络入侵检测方法、装置与电子设备 |
CN115664869A (zh) * | 2022-12-28 | 2023-01-31 | 北京六方云信息技术有限公司 | 入侵防御系统误识别处理方法、设备以及存储介质 |
CN115664869B (zh) * | 2022-12-28 | 2023-05-16 | 北京六方云信息技术有限公司 | 入侵防御系统误识别处理方法、设备以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112953971B (zh) | 2023-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
CN109951500B (zh) | 网络攻击检测方法及装置 | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN111586005B (zh) | 扫描器扫描行为识别方法及装置 | |
CN110581851A (zh) | 一种物联网设备异常行为的云端识别方法 | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN111371581A (zh) | 物联网卡业务异常检测的方法、装置、设备和介质 | |
KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
CN117336055A (zh) | 一种网络异常行为检测方法、装置、电子设备及存储介质 | |
CN109729084B (zh) | 一种基于区块链技术的网络安全事件检测方法 | |
CN110351273B (zh) | 一种网络追踪长链条攻击的方法、装置和系统 | |
CN115314322A (zh) | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 | |
WO2018157336A1 (zh) | 数据处理装置和方法 | |
KR20230000376A (ko) | 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법 | |
CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 | |
CN116743507B (zh) | 一种基于智能门锁的入侵检测方法及系统 | |
CN117240598B (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
CN110719313A (zh) | 一种基于日志会话的Webshell检测方法 | |
CN111641612B (zh) | 边缘计算网络的数据安全防护方法及通信主控装置 | |
CN116260640B (zh) | 基于人工智能进行大数据分析的信息拦截控制方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Room 01, floor 1, building 104, No. 3 minzhuang Road, Haidian District, Beijing 100195 Applicant after: Changyang Technology (Beijing) Co.,Ltd. Address before: 100195 2nd floor, building 3, yuquanhuigu phase II, No.3 minzhuang Road, Haidian District, Beijing Applicant before: CHANGYANG TECH (BEIJING) Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |