CN113055335A - 用于检测通信异常的方法、装置、网络系统和存储介质 - Google Patents
用于检测通信异常的方法、装置、网络系统和存储介质 Download PDFInfo
- Publication number
- CN113055335A CN113055335A CN201911361254.5A CN201911361254A CN113055335A CN 113055335 A CN113055335 A CN 113055335A CN 201911361254 A CN201911361254 A CN 201911361254A CN 113055335 A CN113055335 A CN 113055335A
- Authority
- CN
- China
- Prior art keywords
- session
- host device
- baseline
- data
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种用于检测通信异常的方法、装置、网络系统和存储介质。该方法包括:获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备被动接受的会话有关的被动会话数据集合;根据被动会话数据集合构建第一基线集合,第一基线集合中的每个基线指示主机设备被动接受的会话满足的条件;以及在主机设备与其他设备当前进行的会话是主机设备被动接受的会话的情况下,如果当前会话不满足第一基线集合,则确定当前会话存在异常。该方法通过基于会话数据设置与当前被动会话进行比较的基准,能够在无需人工配置的情况下检测网络行为是否异常,省去了维护相关数据库的负担。
Description
技术领域
本公开涉及通信安全领域,更具体地,涉及通信安全领域中用于检测通信异常的方法、装置、网络系统和计算机可读存储介质。
背景技术
随着互联网规模的扩大和联网设备的增多,通信安全问题已经得到了人们越来越多的重视。网络安全的技术人员正在研究如何对设备的通信行为进行检测,以发现网络通信中的异常行为,从而避免设备中存储的数据被篡改或丢失、设备执行非法操作、设备陷入瘫痪状态等。在现有的检测通信异常的技术中,主要存在两种方法,一种是与行为特征检测有关的方法,另一种是与传输数据内容检测有关的方法。
在与行为特征检测有关的方法中,需要检测攻击者成功入侵主机设备后执行的一系列行为,比如,端口反弹、通道建立、指令下发等。这主要依赖于将检测到的行为与数据库中存储的安全特征进行匹配,所述安全特征例如是系统函数特征、敏感命令特征、木马通信特征等。该方法的关键点在于对存储有安全特征的数据库进行人工维护,这需要投入较大的人力去更新数据库中的安全特征。如果出现新型通信行为,那么由于数据库中没有与之对应的安全特征,将无法对其进行检测。
在与传输数据内容检测有关的方法中,需要检测攻击者成功入侵主机设备后对外传输的数据的内容,比如检测主机设备对外是否发送了需要保密的客户信息等。可以采用DLP(Data Leakage Prevention,数据泄露防护)技术,使用存储在数据库中的预先定义的数据匹配规则来对传输数据的内容进行检测。这种方法同样需要人工维护存储有数据匹配规则的数据库。对于数据库中未存储相关规则的数据,无法发现其泄露,导致准确率不高。
无论是上述哪种方法,都需要投入较大的人力来人工维护相关的数据库,这对检测通信异常造成了极大的负担。
发明内容
本公开提供了一种全新的用于检测通信异常的技术,能够避免投入较大人力来人工维护数据库。
根据本公开的一方面,提供了一种用于检测通信异常的方法。该方法包括:获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备被动接受的会话有关的被动会话数据集合;根据被动会话数据集合构建第一基线集合,第一基线集合中的每个基线指示主机设备被动接受的会话满足的条件;以及在主机设备与其他设备当前进行的会话是主机设备被动接受的会话的情况下,如果当前会话不满足第一基线集合,则确定当前会话存在异常。
根据本公开的另一方面,提供了一种用于检测通信异常的装置。该装置包括用于执行上述方法的步骤的部件。
根据本公开的再一方面,提供了一种用于检测通信异常的装置。该装置包括:存储器,存储有计算机可执行指令;以及与存储器耦接的处理器,当所述计算机可执行指令被所述处理器执行时使得所述处理器执行上述方法。
根据本公开的又一方面,提供了一种网络系统。该网络系统包括相互通信的多个设备,其中所述多个设备中的至少一个是上述装置。
根据本公开的又一方面,提供了一种计算机可读存储介质。在该计算机可读存储介质上存储有计算机可执行指令,当所述计算机可执行指令被处理器执行时使得所述处理器执行上述方法。
根据本公开实施例的技术方案,通过获取预定时间段内的被动会话数据集合,并基于该集合构建作为网络行为基准的第一基线集合,能够基于主机设备被动接受的当前会话与第一基线集合的比较来确定是否存在通信异常。这提供了一种全新的检测通信异常的方法,该方法通过主动学习一定时间段内的被动通信数据,能够自动生成与主机设备被动接受的当前会话进行比较以确定通信异常的基线,使得能够自动地生成或更新与网络行为进行匹配的数据,从而避免如相关技术那样需要投入较大的人力来维护相关数据库。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
图1是根据本公开实施例的用于检测通信异常的方法的流程图。
图2是根据本公开实施例的用于检测通信异常的另一方法的流程图
图3A是根据本公开实施例的用于检测通信异常的再一方法的流程图的一部分。
图3B是图3A中的流程图的另一部分。
图4是根据本公开实施例的用于检测通信异常的装置的结构框图。
图5是根据本公开实施例的用于检测通信异常的另一装置的结构框图。
图6是根据本公开实施例的用于检测通信异常的再一装置的结构框图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
首先参考图1,在图1中示出了用于检测通信异常的方法100的流程图。方法100可以由诸如服务器、个人计算机、大型计算机、智能终端之类的能够与外部网络通信的作为信息处理设备的主机设备执行,也可以由驻留在云端的应用程序执行,还可以部分在主机设备执行、部分在云端执行。
在S110中,获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备被动接受的会话有关的被动会话数据集合。
可以以离线的方式获取预定时间窗口内的主机设备与其他设备之间发生的会话数据,该时间窗口可以是一周、一个月、三个月等。当然,也可以以在线的方式实时获取用于构建基线的会话数据。例如,普遍使用的Netflow技术可以采集并保存主机设备和其他设备之间的会话信息。通过对会话相关的数据进行分析,可以发现有些数据包的源IP地址和源端口号是另一些数据包的目的IP地址和目的端口号,而这些数据包的目的IP地址和目的端口号又是这另一些数据包的源IP地址和源端口号,那么可以确定这些数据包和这另一些数据包属于同一会话。对于同一会话中的不同数据包,如果这个会话中的第一个数据包是从其他设备发给主机设备的,那么可以确定这个会话是主机设备被动接受的会话,于是将与该会话相关的所有数据包都归入被动会话数据集合,并可以保持与该会话相关联。
除了现有的Netflow技术能够采集并保存会话数据之外,其他能够监控网络流量、抓取数据包的技术也能够采集并保存数据包,从而能够供方法100基于通信过程中的数据包来分析主机设备被动接受的会话及其相关数据。
在S120中,根据被动会话数据集合构建第一基线集合,第一基线集合中的每个基线指示主机设备被动接受的会话满足的条件。
基线可以包括与网络行为进行比较的数据,是衡量网络行为是否正常的基准,符合基线的网络行为是正常的通信行为。
在S110中获取的被动会话数据集合上可以构建包括至少一条基线的第一基线集合。由于该基线集合的构建是以被动会话数据集合为基础的,所以其中的基线是衡量主机设备被动接受的会话是否正常的基准,其包括正常通信情况下主机设备被动接受的会话需要满足的条件。
根据本公开的实施例,针对被动会话数据集合中的每个TCP(TransmissionControl Protocol,传输控制协议)会话,可以对该TCP会话的数据进行统计以得到该TCP会话的特征信息,该TCP会话的特征信息至少包括主机设备在该TCP会话中发送的上行数据包个数和主机设备在该TCP会话中接收的下行数据包个数。如果上行数据包个数大于某个预定值(例如3、4、5等)并且下行数据包个数大于另一个某预定值(例如4、5、6等),则可以将该TCP会话对应的主机设备IP地址、主机设备端口号和网络协议号确定为第一基线集合中的一条基线。反之,则不能确定为一条基线。
被动会话数据集合中除了TCP会话之外,还可以有UDP(User Datagram Protocol,用户数据报协议)会话。相类似地,针对每个UDP会话,可以对该UDP会话的数据进行统计以得到该UDP会话的特征信息,该UDP会话的特征信息至少包括主机设备在该UDP会话中发送的上行数据包个数和主机设备在该UDP会话中接收的下行数据包个数。如果上行数据包个数大于某个预定值(例如,1、2、3等)并且下行数据包个数大于另一个某预定值(例如,1、2、3等),则可以将该UDP会话对应的主机设备IP地址、主机设备端口号和网络协议号(即,UDP协议的网络协议号)确定为第一基线集合中的一条基线。反之,则不能确定为一条基线。
例如,主机设备的IP地址IP_1、端口号P_1和另一设备的IP地址IP_2、端口号P_2之间有TCP会话(或UDP会话),即{IP_1,P_1}和{IP_2,P_2}总是一起出现在数据包中,不是作为源IP地址、源端口号,就是作为目的IP地址、目的端口号。统计该TCP会话(或该UDP会话)的所有数据包中上行数据包个数和下行数据包个数,当满足均大于相同或不同的某个预定值时,{IP_1,P_1,TCP协议号}(或{IP_1,P_1,UDP协议号})构成被动会话情况下的一条基线。于是,这样构成的基线包括主机设备的IP地址、主机设备能够被访问的端口号、允许访问主机设备的网络协议号。
在S130中,在主机设备与其他设备当前进行的会话是主机设备被动接受的会话的情况下,如果当前会话不满足第一基线集合,则确定当前会话存在异常。
由于第一基线集合中的基线包括主机设备的IP地址、主机设备能够被访问的端口号、允许访问主机设备的网络协议号这三类数据,因此可以从当前会话中提取与这三类数据属于相同类型的数据,从而使得能够将提取的数据与第一基线集合中的基线进行比较。当提取的数据与任何一条基线都不匹配时,确定当前会话是异常的通信,反之则是正常的通信。
方法100通过基于已经发生的会话数据构建与主机设备被动接受的会话有关的基线,能够自动设置与当前被动会话进行比较的基准,使得能够在无需人工配置的情况下检测网络行为是否异常,省去了维护相关数据库的负担。
在图2中,示出了用于检测通信异常的方法200的流程图。方法200的S210、S220、S230与方法100的S110、S120和S130基本相同,在此不再赘述。
在S240中,获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备主动发起的会话有关的主动会话数据集合。
类似于S110,根据过去一段时间内的一些数据包中包括的目的IP地址和目的端口号以及源IP地址和源端口号是否与其他一些数据包中包括的源IP地址和源端口号以及目的IP地址和目的端口号分别相同,可以确定属于同一会话的所有数据包。对于同一会话中的不同数据包,如果这个会话中的第一个数据包是从主机设备发给其他设备的,那么可以确定这个会话是主机设备主动发起的会话,于是将与该会话相关的所有数据包都归入主动会话数据集合,并可以保持与该会话相关联。
在S250中,根据主动会话数据集合构建第二基线集合,第二基线集合中的每个基线指示主机设备主动发起的会话满足的条件。
在S240中获取的主动会话数据集合上可以构建包括至少一条基线的第二基线集合。由于该基线集合的构建是以主动会话数据集合为基础的,所以其中的基线是衡量主机设备主动发起的会话是否正常的基准,其中包括正常通信情况下主机设备主动发起的会话需要满足的条件。
根据本公开的实施例,针对主动会话数据集合中的每个TCP会话,可以将该TCP会话对应的主机设备访问的IP地址、主机设备访问的端口号和主机设备使用的网络协议号确定为第二基线集合中的一条基线。类似地,针对主动会话数据集合中的每个UDP会话,可以将该UDP会话对应的主机设备访问的IP地址、主机设备访问的端口号和主机设备使用的网络协议号确定为第二基线集合中的一条基线。
例如,主机设备的IP地址IP_1、端口号P_1和另一设备的IP地址IP_2、端口号P_2之间有TCP会话(或UDP会话),即{IP_1,P_1}和{IP_2,P_2}总是一起出现在数据包中,不是作为源IP地址、源端口号,就是作为目的IP地址、目的端口号。那么,{IP_2,P_2,TCP协议号}(或{IP_2,P_2,UDP协议号})构成主动会话情况下的一条基线。于是,这样构成的基线包括主机设备能够访问的IP地址、主机设备能够访问的端口号、主机设备能够使用的网络协议号。
在S260中,在主机设备与其他设备当前进行的会话是主机设备主动发起的会话的情况下,如果当前会话不满足第二基线集合,则确定当前会话存在异常。
由于第二基线集合中的基线包括主机设备能够访问的IP地址、主机设备能够访问的端口号、主机设备能够使用的网络协议号这三类数据,因此可以从当前会话中提取与这三类数据属于相同类型的数据,从而使得能够将提取的数据与第二基线集合中的基线进行比较。当提取的数据与任何一条基线都不匹配时,确定当前会话是异常的通信,反之则是正常的通信。
方法200除了能像方法100那样检测被动会话是否异常之外,还可以基于已经发生的会话数据构建与主机设备主动发起的会话有关的基线,从而自动设置与当前主动会话进行比较的基准,使得能够更全面地检测网络行为是否异常,进一步省去维护相关数据库的负担。
此外,通过自动地设置基线来检测通信异常的方式,相比于相关技术中的行为特征检测和传输数据内容匹配的方式而言,还可以降低错误发现或难以发现通信异常这样的情况的出现。
根据本发明的实施例,方法200还可以包括S270。在S270中,在确定当前会话存在异常的情况下,结合主机设备的安全上下文信息,对主机设备的风险进行评估,其中,安全上下文信息指示主机设备内部的运行环境和主机设备外部的网络环境中的至少一个的安全性状况。
例如,通信网络中的主机设备通常存在一定风险,这些风险可能导致主机设备不能正常运行、错误发送数据、错误更改主机设备中的程序或数据等等。这样的风险可能来自主机设备本身,也可能来自外部设备的攻击。
通过现有软件工具等可以发现主机设备的脆弱性信息,例如主机设备有哪些漏洞、这些漏洞的严重程度如何等。比如,这些现有工具可以通过漏洞扫描,将主机漏洞(或脆弱性)区分为高危、中危和低危,并能够记录这三种类型的个数。
另外,通过现有软件工具或者安防设备或机构等可以获取威胁情报,这些威胁情报中记录有恶意IP地址、恶意端口号等。例如,经常对网络发起攻击、散布病毒的IP地址和/或IP地址和端口号的配对可以被包括在威胁情报中。通过将威胁情报中的恶意IP地址和恶意端口号与第一基线集合中的基线进行比较,可以确定主机设备是否受到了攻击。
此外,现有的安全监控设备能够实时发现并记录恶意IP地址(或者说是攻击IP地址)的攻击情况,例如在什么时间发送了什么数据包进行攻击。如果在被动会话情况下发现了包含记录的攻击IP地址的数据包,则统计在预定时间周期内收到这样的数据包的个数,并对该个数进行告警。根据这样的数据包对主机设备执行的操作的类型(即,主机设备被攻击IP地址访问的类型),可以将告警区分为高危、中危和低危。例如,如果携带攻击IP地址的数据包是为了窃取主机设备内的保密数据,则关于该攻击IP地址的告警被确定为高危;如果携带攻击IP地址的数据包是为了占用资源而减慢主机设备的操作速度,则关于该攻击IP地址的告警被确定为中危;如果携带攻击IP地址的数据包是为了扫描主机设备中的公开数据,则关于该攻击IP地址的告警被确定为低危。
通过对主机设备内部和外部的风险进行不同区分并赋值,可以得到不同的分数。在通过S210-S260确定主机设备的当前会话存在异常的情况下,相应的分数可以进一步提高。根据本公开的实施例,可以根据主机设备的漏洞数量、主机设备的漏洞的严重程度、主机设备是否被预定攻击IP地址访问、主机设被预定攻击IP地址访问的次数、主机设备被预定攻击IP地址访问的类型中的至少一个对主机设备的风险进行评估而得到一个分数,在当前会话存在异常的情况下,该分数进一步提高。
举例来说,可以为主机设备的脆弱性信息设置主机脆弱性风险因子,该因子r可以通过表达式r=(ax+by+cz)进行计算,其中x、y和z分别是高危、中危和低危的脆弱性个数,a、b和c为高危、中危和低危的脆弱性相关的系数,可以分别设置为例如5、3和1。并且,可以为r设置上限,例如30。假设对于具有IP地址10.10.10.10的主机设备存在2个高危和1个中危漏洞,那么r=5*2+3*1=13。
另外,可以为威胁情报设置威胁情报风险因子,该因子s可以通过表达式s=x进行计算,其中x在主机设备被动接受的会话的发起方属于已经被记录的恶意IP地址的情况下取固定值,例如30,反之则为0。假设某会话的发起方192.168.12.12命中攻击者威胁情报,属于在其中记录的信息,那么在出现该会话的情况下s=30。
此外,可以针对主机设备的脆弱性和主机设备受到攻击的情况进行告警,并为这样的告警设置安全告警风险因子,该因子p可以通过表达式p=(ax+by+cz)+(aX+bY+cZ)计算,其中,x、y和z分别表示预定时间段内与主机设备本身的脆弱性有关的高危、中危和低危的告警个数,X、Y和Z分别表示预定时间段内攻击IP地址对主机设备执行的高危操作、中危操作和低危操作的告警个数。例如,如上所述,具有IP地址10.10.10.10的主机设备存在2个高危和1个中危漏洞,并受到192.168.12.12攻击,假设在预定时间段(例如15分钟)内主机设备受到1次高危攻击,并且主机设备的脆弱性没有改变,那么p=5*2+3*1+5*1=18。
基于上述各种风险因子,可以计算主机设备的风险总分risk=r+s+p+base,其中base在出现偏离基线的通信行为时,可以取固定值,例如10。在上述例子中,由于192.168.12.12攻击源同时还不满足基线,因此风险总分为risk=13+30+18+10=71。
得到了主机设备的总的风险分数,那么可以根据风险分数定量地确定不同主机设备面临的风险状况,从而优先处理风险较高的主机设备。由于本公开实施例能够以风险分数的形式来定量地表示主机设备的风险,使得主机设备的风险能够以可度量的方式以更高地精度表征,避免单纯进行风险告警而使维护人员忽略各主机设备不同的风险状况,从而能更有效率地解决主机设备的风险,更有利于网络的正常运行。
需要注意的是,在方法200中,S240需要在S250之前执行,S210需要在S220之前执行,除此之外,S210、S220、S240、S250之间的执行顺序没有特别限制。在S220中的第一基线集合构建完成之后可以执行S230,在S250中的第二基线集合构建完成之后可以执行S260,除此之外,S230和S260与S210、S220、S240、S250之间的执行顺序没有特别限制。
在图3A和3B中示出了根据本公开实施例的用于检测通信异常的方法300的流程图。方法300以Netflow数据为例描述如何检测通信异常,本领域技术人员容易理解还可以采用其他能够抓取网络数据包并提取会话信息的技术来检测通信异常。
在S310中,对例如Netflow数据源以离线的方式进行数据采集和预处理。
在S311中,对网络流量进行镜像采集,从而提取Netflow日志。数据采集的时间窗口可以为每周或每月。通过对数据的采集,可以得到预定时间段内的会话信息。
在S312中,根据会话是由其他设备主动发起、还是由主机设备主动发起,可以将会话数据划分为被动会话数据集合和主动会话数据集合,以对采集的数据进行聚合。
在S313中,对于每条日志进行数据补全,以得到每个会话的五元组信息以及上行和下行数据包个数。具体而言,对于每个日志中的每个会话的数据,除了获取包括源IP地址(会话发起方的IP地址)、目的IP地址(会话接受方的IP地址)、源端口号(会话发起方的端口号)、目的端口号(会话接受方的端口号)和协议号的五元组信息外,还可以补充主机设备在会话中接收的下行数据包个数和发送的上行数据包个数这样的关键参数。
假设对于单个会话的数据格式为{源IP地址、目的IP地址、源端口号、目的端口号、协议号、上行包个数、下行包个数},主机设备具有IP地址10.10.10.10,对会话数据聚合后的数据集合为两组:一是按目的IP聚合,即,在会话是主机设备被动接受的会话的情况下,将这些会话中的每一个会话包含的数据包进行聚合以得到上述数据格式,例如[{192.168.12.12,10.10.10.10,3344,80,tcp,7,8},{10.168.12.12,10.10.10.10,1009,80,tcp,17,18}…];二是按源IP聚合,即,在会话是主机设备主动发起的会话的情况下,将这些会话中的每一个会话包含的数据包进行聚合以得到上述数据格式,例如[{10.10.10.10,162.18.12.12,3344,80,tcp,7,8},{10.10.10.10,10.168.12.12,1009,514,udp,17,18}…]。
在S320中,通过分析在S310中得到的数据,构建针对主机设备的基线。
在S321中,判断当前处理的会话是其他设备主动发起、主机设备被动接受的被动会话,还是主机设备主动发起、其他设备被动接受的主动会话。
在被动会话的情况下,在S322中,确定会话使用的是TCP协议还是UDP协议。
在TCP协议的情况下,在S323中判断下行数据包个数是否大于第一预定值(例如4)并且上行数据包个数是否大于第二预定值(例如3)。第一预定值和第二预定值可以相同或不同。
如果满足S323中的条件,则在S325中,根据当前处理的会话构建作为第一基线集合中的基线的主机被访问基线:{主机设备IP地址,主机设备开放服务端口号,允许访问的网络协议号}。如果不满足S323中的条件,则对于下一条会话执行S321。如果既不满足S323又不存在下一条会话,则基线构建结束并前进到S328。
在UDP协议的情况下,在S324中判断下行数据包个数是否大于第三预定值(例如1)并且上行数据包个数是否大于第四预定值(例如1)。第三预定值和第四预定值可以相同或不同,第一预定值、第二预定值、第三预定值和第四预定值相互之间可以没有特别的关系。
如果满足S324中的条件,则在S325中,根据当前处理的会话构建作为第一基线集合中的基线的主机被访问基线:{主机设备IP地址,主机设备开放服务端口号,允许访问的网络协议号}。如果不满足S324中的条件,则对于下一条会话执行S321。如果既不满足S324又不存在下一条会话,则基线构建结束并前进到S328。
如果在S322中会话使用的既不是TCP协议、又不是UDP协议,那么对于下一条会话执行S321。如果进一步地不存在下一条会话,则基线构建结束并前进到S328。
例如,对于S310中按目的IP聚合的数据,主机设备10.10.10.10的行为基线为{10.10.10.10,80,tcp}。
在主动会话的情况下,在S326中,确定会话是否使用TCP/UDP协议。
在使用TCP/UDP协议的情况下,在S327中,根据当前处理的会话构建作为第二基线集合中的基线的主机主动访问基线:{访问的IP地址,访问的端口号,访问的网络协议号}。如果不满足S326中的条件,则对于下一条会话执行S321。如果既不满足S326又不存在下一条会话,则基线构建结束并前进到S328。
例如,对于S310中按源IP聚合的数据,主机设备10.10.10.10的行为基线为{162.18.12.12,80,tcp}、{10.168.12.12,514,udp}。
在不存在任何未处理的会话的情况下,在S328中,将S325中得到的一条或多条主机被访问基线和S327中得到的一条或多条主机主动访问基线一起输出,作为用于检测通信行为的行为基线。
在S330中,实时采集主机通信的Netflow数据,并提取Netflow数据中包含的会话的特征信息,例如五元组信息和上行及下行数据包个数。在提取特征信息的过程中,可以对Netflow数据进行分类,以确定对应会话是主机设备被动接受的会话、还是主动发起的会话。还可以将不采用TCP、UDP协议的数据包之类的与基线比较不相关的数据去除。
在S340中,将S330中提取的会话特征信息与基线进行比较,以对风险状况进行评估。
在S341中,对当前会话进行分析以确定该会话是主机设备被动接受的会话(被动会话)、还是主机设备主动发起的会话(主动会话)。
在当前会话是被动会话的情况下,在S342中确定网络协议是TCP协议还是UDP协议。
在网络协议是TCP协议的情况下,在S343中判断当前会话的上行数据包个数是否大于第一预定值(例如4)并且当前会话的下行数据包个数是否大于第二预定值(例如3)。
如果满足S343中的条件,则在S345中,提取{主机设备IP地址,主机设备开放的端口号,访问的网络协议号}。如果不满足S343中的条件,则返回S341中以对下一个会话进行分析。
在网络协议是UDP协议的情况下,在S344中判断当前会话的上行数据包个数是否大于第三预定值(例如1)并且当前会话的下行数据包个数是否大于第四预定值(例如1)。
如果满足S344中的条件,则在S345中,提取{主机设备IP地址,主机设备开放的端口号,访问的网络协议号}。如果不满足S344中的条件,则返回S341中以对下一个会话进行分析。
在当前会话是主动会话的情况下,在S346中判断网络协议是否是TCP/UDP协议。
如果网络协议是TCP/UDP协议,则在S347中提取{访问的IP地址,访问的端口号,访问的网络协议号}。如果网络协议不是TCP/UDP协议,则返回S341中以对下一个会话进行分析。
在S345中提取出对应信息之后,在S348中,将提取的信息与在S320中构建的一个或多个主机被访问基线进行比较,以确定是否符合这些基线。如果S345中提取的信息符合这些基线之一,则确定当前会话是正常会话。否则,如果S345中提取的信息不符合这些基线中的任何一个,则在S349中进行风险关联分析。
类似地,在S347中提取出对应信息之后,在S348中,将提取的信息与在S320中构建的一个或多个主机主动访问基线进行比较,以确定是否符合这些基线。如果S347中提取的信息符合这些基线之一,则确定当前会话是正常通信。否则,如果S347中提取的信息不符合这些基线中的任何一个,则在S349中进行风险关联分析。
S349中的风险关联分析包括主机脆弱性关联分析、威胁情报关联分析、安全告警关联分析。这些分析的细节可以参考上述关于S270的描述。为了避免重复,在此不再赘述。
在S350中,计算风险分数,并输出对应的风险评估结果。
在S351中,如上所述那样计算各风险因子,包括主机脆弱性风险因子、威胁情报风险因子和安全告警风险因子。
在S352中,将所有的风险因子汇总得到表征风险状况的总分。从而,可以根据该总分提醒工作人员优先对哪个主机设备进行处理。
方法300通过以离线方式学习主机设备的行为基线,然后将当前会话与自动学习生成的行为基线进行比较来检测通信异常,这提供了一种全新的通信异常检测方式。通过进一步结合包括主机脆弱性、威胁情报、安全告警在内的安全上下文信息,能够对主机设备面对的风险状况进行打分,从而以定量的方式更精确地表征主机设备的风险,有利于更有效率地对主机设备进行维护。
上面描述了根据本公开实施例的用于检测通信异常的方法,下面将结合图4至图6描述根据本公开实施例的用于检测通信异常的装置的结构框图。
图4所示的用于检测通信异常的装置400包括第一获取部件410、第一基线构建部件420和第一检测部件430。第一获取部件410可以被配置为获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备被动接受的会话有关的被动会话数据集合。第一基线构建部件420可以被配置为根据被动会话数据集合构建第一基线集合,第一基线集合中的每个基线指示主机设备被动接受的会话满足的条件。第一检测部件430可以被配置为在主机设备与其他设备当前进行的会话是主机设备被动接受的会话的情况下,如果当前会话不满足第一基线集合,则确定当前会话存在异常。
第一获取部件410、第一基线构建部件420和第一检测部件430可以是处理器或处理器的一部分,也可以是存储在存储器或其他存储空间中的程序代码,它们中的任何一个都可以以硬件、软件、固件或其任意组合来实现。
第一获取部件410、第一基线构建部件420和第一检测部件430的上述和其他操作和/或功能可以参考上述关于方法100至300的描述,为了避免重复,在此不再赘述。
根据本公开实施例的装置通过构建基线,能够自动设置与当前被动会话进行比较的基准,使得能够在无需人工配置的情况下检测网络行为是否异常,省去了维护相关数据库的负担。
图5所示的用于检测通信异常的装置500中的第一获取部件510、第一基线构建部件520和第一检测部件530的操作和功能与图4所示的装置400中的第一获取部件410、第一基线构建部件420和第一检测部件430的操作和功能基本相同。
根据本公开的实施例,第一基线集合中的每个基线可以包括主机设备的IP地址、主机设备能够被访问的端口号、允许访问主机设备的网络协议号。
根据本公开的实施例,第一确定部件520可以包括统计单元和第一确定单元。统计单元可以被配置为针对被动会话数据集合中的每个TCP或UDP会话,对该TCP或UDP会话的数据进行统计以得到该TCP或UDP会话的特征信息,该TCP或UDP会话的特征信息至少包括主机设备在该TCP或UDP会话中发送的上行数据包个数和主机设备在该TCP或UDP会话中接收的下行数据包个数。第一确定单元可以被配置为当上行数据包个数大于第一预定值并且下行数据包个数大于第二预定值时,将该TCP或UDP会话对应的主机设备IP地址、主机设备端口号和网络协议号确定为第一基线集合中的一条基线。
根据本公开的实施例,第一检测部件530可以包括第一提取单元和第二确定单元。第一提取单元可以被配置为提取当前会话中与第一基线集合中的基线包含的数据具有相同数据类型的数据。第二确定单元可以被配置为当提取的数据不满足第一基线集合中的每个基线时,确定当前会话存在异常。
根据本公开的实施例,装置500还可以包括第二获取部件540、第二基线构建部件550和第二检测部件560。第二获取部件540可以被配置为获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备主动发起的会话有关的主动会话数据集合。第二基线构建部件550可以被配置为根据主动会话数据集合构建第二基线集合,第二基线集合中的每个基线指示主机设备主动发起的会话满足的条件。第二检测部件560可以被配置为在主机设备与其他设备当前进行的会话是主机设备主动发起的会话的情况下,如果当前会话不满足第二基线集合,则确定当前会话存在异常。
根据本公开的实施例,第二基线集合中的每个基线可以包括主机设备能够访问的IP地址、主机设备能够访问的端口号、主机设备能够使用的网络协议号。
根据本公开的实施例,第二基线构建部件550可以被进一步配置为针对主动会话数据集合中的每个TCP或UDP会话,将该TCP或UDP会话对应的主机设备访问的IP地址、主机设备访问的端口号和主机设备使用的网络协议号确定为第二基线集合中的一条基线。
根据本公开的实施例,第二检测部件560可以包括第二提取单元和第三确定单元。第二提取单元可以被配置为提取当前会话中与第二基线集合中的基线包含的数据具有相同数据类型的数据。第三确定单元可以被配置为当提取的数据不满足第二基线集合中的每个基线时,确定当前会话存在异常。
根据本公开的实施例,装置500还可以包括风险评估部件570。风险评估部件570可以被配置为在确定当前会话存在异常的情况下,结合主机设备的安全上下文信息,对主机设备的风险进行评估,其中,安全上下文信息指示主机设备内部的运行环境和主机设备外部的网络环境中的至少一个的安全性状况。
根据本公开的实施例,风险评估部件570可以包括评估单元和提高单元。评估单元可以被配置为根据主机设备的漏洞数量、主机设备的漏洞的严重程度、主机设备是否被预定攻击IP地址访问、主机设被预定攻击IP地址访问的次数、主机设备被预定攻击IP地址访问的类型中的至少一个,对主机设备面临的风险进行评估以得到风险分数。提高单元可以被配置为如果确定当前会话存在异常,则提高所述风险分数。
类似于第一获取部件410、第一基线构建部件420和第一检测部件430,第一获取部件510、第一基线构建部件520、第一检测部件530、第二获取部件540、第二基线构建部件550、第二检测部件560和风险评估部件570可以是处理器或处理器的一部分,也可以是存储在存储器或其他存储空间中的程序代码,它们中的任何一个都可以以硬件、软件、固件或其任意组合来实现。
第二获取部件540、第二基线构建部件550、第二检测部件560和风险评估部件570的上述和其他操作和/或功能可以参考上述关于方法100至300的描述,为了避免重复,在此不再赘述。
根据本公开实施例的装置能够更全面地设置主机通信行为基线,从而能够更全面地检测网络行为是否异常,进一步省去维护相关数据库的负担。由于主机设备的风险能够以可度量的方式以更高地精度表征,从而能更有效率地处理主机设备的风险问题,更有利于网络的正常运行。
图6所示的装置600包括存储器610和处理器620。存储器610可以是只读存储器、光盘、硬盘、磁盘、闪存或其它任何非易失性存储介质。存储器可以存储用于实现方法100至300中的至少一个中的一个或多个步骤的计算机可执行指令。
处理器620可以例如通过总线耦接至存储器610,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器620用于执行存储器610中存储的用于实现上述方法中的一个或多个步骤的计算机可执行指令。通过所述计算机可执行指令的执行,可以构建基线,从而自动设置能够与当前会话进行比较的基准,使得能够在无需人工配置的情况下检测网络行为是否异常,省去了维护相关数据库的负担。
如现有计算机装置中那样,装置600可以通过读写接口连接至外部存储装置以便调用外部数据,还可以通过网络接口连接至网络或者其他计算机装置,此处不再进行详细描述。
根据本公开的实施例,在计算机可读介质上可以存储有用于执行上述方法中的一个或多个步骤的计算机可执行指令,当所述指令被处理器运行时,能够使得处理器执行相应的步骤,从而能够自动设置基线,并通过将当前会话与基线进行比较来确定是否存在通信异常,省去了维护相关数据库的负担。
上述装置400至600均可以作为联网设备连接在网络系统中,以与其他设备进行通信。所述网络系统可以是局域网、城域网、广域网,也可以是无线蜂窝网络等。在这样的网络系统中,至少存在一个装置能够实现上述方法100至300中的至少一个。
本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。
Claims (14)
1.一种用于检测通信异常的方法,包括:
获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备被动接受的会话有关的被动会话数据集合;
根据被动会话数据集合构建第一基线集合,第一基线集合中的每个基线指示主机设备被动接受的会话满足的条件;以及
在主机设备与其他设备当前进行的会话是主机设备被动接受的会话的情况下,如果当前会话不满足第一基线集合,则确定当前会话存在异常。
2.根据权利要求1所述的方法,其中,
第一基线集合中的每个基线包括主机设备的IP地址、主机设备能够被访问的端口号、允许访问主机设备的网络协议号。
3.根据权利要求1所述的方法,其中,所述根据被动会话数据集合构建第一基线集合包括:
针对被动会话数据集合中的每个TCP或UDP会话,对该TCP或UDP会话的数据进行统计以得到该TCP或UDP会话的特征信息,该TCP或UDP会话的特征信息至少包括主机设备在该TCP或UDP会话中发送的上行数据包个数和主机设备在该TCP或UDP会话中接收的下行数据包个数;以及
当上行数据包个数大于第一预定值并且下行数据包个数大于第二预定值时,将该TCP或UDP会话对应的主机设备IP地址、主机设备端口号和网络协议号确定为第一基线集合中的一条基线。
4.根据权利要求1所述的方法,其中,所述如果当前会话不满足第一基线集合,则确定当前会话存在异常包括:
提取当前会话中与第一基线集合中的基线包含的数据具有相同数据类型的数据;以及
当提取的数据不满足第一基线集合中的每个基线时,确定当前会话存在异常。
5.根据权利要求1所述的方法,进一步包括:
获取所述预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备主动发起的会话有关的主动会话数据集合;
根据主动会话数据集合构建第二基线集合,第二基线集合中的每个基线指示主机设备主动发起的会话满足的条件;以及
在主机设备与其他设备当前进行的会话是主机设备主动发起的会话的情况下,如果当前会话不满足第二基线集合,则确定当前会话存在异常。
6.根据权利要求5所述的方法,其中,
第二基线集合中的每个基线包括主机设备能够访问的IP地址、主机设备能够访问的端口号、主机设备能够使用的网络协议号。
7.根据权利要求5所述的方法,其中,所述根据主动会话数据集合构建第二基线集合包括:
针对主动会话数据集合中的每个TCP或UDP会话,将该TCP或UDP会话对应的主机设备访问的IP地址、主机设备访问的端口号和主机设备使用的网络协议号确定为第二基线集合中的一条基线。
8.根据权利要求5所述的方法,其中,所述如果当前会话不满足第二基线集合,则确定当前会话存在异常包括:
提取当前会话中与第二基线集合中的基线包含的数据具有相同数据类型的数据;以及
当提取的数据不满足第二基线集合中的每个基线时,确定当前会话存在异常。
9.根据权利要求1或5所述的方法,进一步包括:
在确定当前会话存在异常的情况下,结合主机设备的安全上下文信息,对主机设备的风险进行评估,其中,所述安全上下文信息指示主机设备内部的运行环境和主机设备外部的网络环境中的至少一个的安全性状况。
10.根据权利要求9所述的方法,其中,所述在确定当前会话存在异常的情况下,结合主机设备的安全上下文信息对主机设备的风险进行评估包括:
根据主机设备的漏洞数量、主机设备的漏洞的严重程度、主机设备是否被预定攻击IP地址访问、主机设被预定攻击IP地址访问的次数、主机设备被预定攻击IP地址访问的类型中的至少一个,对主机设备面临的风险进行评估以得到风险分数;以及
如果确定当前会话存在异常,则提高所述风险分数。
11.一种用于检测通信异常的装置,包括用于执行根据权利要求1-10中任一项所述的方法的步骤的部件。
12.一种用于检测通信异常的装置,包括:
存储器,存储有计算机可执行指令;以及
与存储器耦接的处理器,当所述计算机可执行指令被所述处理器执行时使得所述处理器执行根据权利要求1-10中任一项所述的方法。
13.一种网络系统,所述网络系统包括相互通信的多个设备,其中,所述多个设备中的至少一个是根据权利要求11或12所述的装置。
14.一种计算机可读存储介质,在所述计算机可读存储介质上存储有计算机可执行指令,当所述计算机可执行指令被处理器执行时使得所述处理器执行根据权利要求1-10中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911361254.5A CN113055335B (zh) | 2019-12-26 | 2019-12-26 | 用于检测通信异常的方法、装置、网络系统和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911361254.5A CN113055335B (zh) | 2019-12-26 | 2019-12-26 | 用于检测通信异常的方法、装置、网络系统和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113055335A true CN113055335A (zh) | 2021-06-29 |
CN113055335B CN113055335B (zh) | 2022-09-30 |
Family
ID=76505140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911361254.5A Active CN113055335B (zh) | 2019-12-26 | 2019-12-26 | 用于检测通信异常的方法、装置、网络系统和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113055335B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124658A (zh) * | 2021-11-23 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 工控网络异常检测方法、装置、电子设备及存储介质 |
CN114760125A (zh) * | 2022-04-08 | 2022-07-15 | 中国银行股份有限公司 | 一种数据异常访问的检测方法及装置 |
CN115037528A (zh) * | 2022-05-24 | 2022-09-09 | 天翼云科技有限公司 | 一种异常流量检测方法及装置 |
CN116366371A (zh) * | 2023-05-30 | 2023-06-30 | 广东维信智联科技有限公司 | 一种基于计算机的会话安全评估系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
CN105530243A (zh) * | 2015-12-03 | 2016-04-27 | 中国南方电网有限责任公司信息中心 | 一种网络攻击事件定量分级算法的实现方法 |
US20160142431A1 (en) * | 2013-08-02 | 2016-05-19 | Tencent Technology (Shenzhen) Company Limited | Session processing method and device, server and storage medium |
CN107623685A (zh) * | 2017-09-08 | 2018-01-23 | 杭州安恒信息技术有限公司 | 快速检测SYN Flood攻击的方法及装置 |
CN108028832A (zh) * | 2016-05-10 | 2018-05-11 | 华为技术有限公司 | 检测网络攻击的方法及设备 |
-
2019
- 2019-12-26 CN CN201911361254.5A patent/CN113055335B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026510A (zh) * | 2007-01-31 | 2007-08-29 | 华为技术有限公司 | 一种网络流量异常检测方法和系统 |
US20160142431A1 (en) * | 2013-08-02 | 2016-05-19 | Tencent Technology (Shenzhen) Company Limited | Session processing method and device, server and storage medium |
CN105530243A (zh) * | 2015-12-03 | 2016-04-27 | 中国南方电网有限责任公司信息中心 | 一种网络攻击事件定量分级算法的实现方法 |
CN108028832A (zh) * | 2016-05-10 | 2018-05-11 | 华为技术有限公司 | 检测网络攻击的方法及设备 |
CN107623685A (zh) * | 2017-09-08 | 2018-01-23 | 杭州安恒信息技术有限公司 | 快速检测SYN Flood攻击的方法及装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124658A (zh) * | 2021-11-23 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 工控网络异常检测方法、装置、电子设备及存储介质 |
CN114760125A (zh) * | 2022-04-08 | 2022-07-15 | 中国银行股份有限公司 | 一种数据异常访问的检测方法及装置 |
CN115037528A (zh) * | 2022-05-24 | 2022-09-09 | 天翼云科技有限公司 | 一种异常流量检测方法及装置 |
CN115037528B (zh) * | 2022-05-24 | 2023-11-03 | 天翼云科技有限公司 | 一种异常流量检测方法及装置 |
CN116366371A (zh) * | 2023-05-30 | 2023-06-30 | 广东维信智联科技有限公司 | 一种基于计算机的会话安全评估系统 |
CN116366371B (zh) * | 2023-05-30 | 2023-10-27 | 广东维信智联科技有限公司 | 一种基于计算机的会话安全评估系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113055335B (zh) | 2022-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113055335B (zh) | 用于检测通信异常的方法、装置、网络系统和存储介质 | |
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
WO2019095719A1 (zh) | 网络流量异常检测方法、装置、计算机设备和存储介质 | |
JP2010539574A (ja) | 侵入検知の方法およびシステム | |
CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
CN112910918A (zh) | 基于随机森林的工控网络DDoS攻击流量检测方法及装置 | |
CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
US20240089278A1 (en) | Anomalous network behaviour identification | |
Chen et al. | DDoS attack detection method based on network abnormal behaviour in big data environment | |
CN112118154A (zh) | 基于机器学习的icmp隧道检测方法 | |
Qin et al. | Worm detection using local networks | |
CN112398839B (zh) | 工控漏洞挖掘方法及装置 | |
CN113645215B (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
Nikolai et al. | A system for detecting malicious insider data theft in IaaS cloud environments | |
US10623428B2 (en) | Method and system for detecting suspicious administrative activity | |
KR20190027122A (ko) | 네트워크 공격 패턴 분석 및 방법 | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
Rastogi et al. | Network anomalies detection using statistical technique: A chi-square approach | |
Gill et al. | Profiling network traffic behavior for the purpose of anomaly-based intrusion detection | |
CN115484062A (zh) | 一种基于apt攻击图的威胁检测方法、装置与设备 | |
CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
CN116415142A (zh) | 网络攻击行为检测方法及系统 | |
CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
Meeran et al. | Resilient Detection of Cyber Attacks in Industrial Devices | |
Pramudya et al. | Implementation of signature-based intrusion detection system using SNORT to prevent threats in network servers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |