CN113965384B - 一种网络安全异常检测方法、装置及计算机存储介质 - Google Patents

一种网络安全异常检测方法、装置及计算机存储介质 Download PDF

Info

Publication number
CN113965384B
CN113965384B CN202111231817.6A CN202111231817A CN113965384B CN 113965384 B CN113965384 B CN 113965384B CN 202111231817 A CN202111231817 A CN 202111231817A CN 113965384 B CN113965384 B CN 113965384B
Authority
CN
China
Prior art keywords
current access
result
access data
request
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111231817.6A
Other languages
English (en)
Other versions
CN113965384A (zh
Inventor
李振平
王文君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202111231817.6A priority Critical patent/CN113965384B/zh
Publication of CN113965384A publication Critical patent/CN113965384A/zh
Application granted granted Critical
Publication of CN113965384B publication Critical patent/CN113965384B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种网络安全异常检测方法、装置及计算机存储介质。其中,该方法包括:该方法包括:获取当前访问数据;根据所述当前访问数据建立会话树;根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果;以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果;当所述第一结果和第二结果均为异常时,认为所述当前访问数据为异常;当所述第一结果或所述第二结果为异常时,认为所述当前访问数据为疑似异常;当所述第一结果和第二结果均为正常时,认为所述当前访问数据为正常。本发明通过进行两个特征分析,可以使当前访问数据的判断结果更加准确,实现低误报率、低成本、高效的安全检测和拦截。

Description

一种网络安全异常检测方法、装置及计算机存储介质
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网络安全异常检测方法、装置及计算机存储介质。
背景技术
在现有的网络中,发现网络安全威胁的方式有很多种,比如入侵检测系统(IDS)、网络流量分析系统(NTA)等。网络流量分析系统(NTA)作一种网络威胁检测的新兴技术,已经在网络安全市场上兴起。而目前的检测系统通常并不了解部署环境中的合法业务、管理流量,或者没有进行相应配置,而用极高设备配置对以合法流量为主的所有数据流量进行特征分析、匹配,这样会导致巨量误告警且难以进行有效响应,进而需要通过上层关联分析技术对产生的巨量误告警的安全日志进行归并、压缩、挖掘,通过这样的方式需要投入大量资金或人力,其投入大、效果差。
针对现有技术中只用单一的检测系统对流量(访问数据)进行特征分析、匹配,导致巨量误告警、难以进行有效响应,进而需要投入大量资金、人力来通过上层关联分析技术对以检测系统产生的误告警为主的安全日志进行归并的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例中提供一种网络安全异常检测方法、装置及计算机存储介质,以解决现有技术中只用单一的检测系统对流量(访问数据)进行特征分析、匹配,导致巨量误告警、难以进行有效响应,进而需要投入大量资金、人力来通过上层关联分析技术对以检测系统产生的误告警为主的安全日志进行归并的问题。
为达到上述目的,一方面,本发明提供了一种网络安全异常检测方法,该方法包括:获取当前访问数据;根据所述当前访问数据建立会话树;根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果;以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果;当所述第一结果和第二结果均为异常时,认为所述当前访问数据为异常;当所述第一结果或所述第二结果为异常时,认为所述当前访问数据为疑似异常;当所述第一结果和第二结果均为正常时,认为所述当前访问数据为正常。
可选的,所述当前访问数据包括:传输控制协议连接的进程ID、请求的网络路径、请求体、相应体、源IP地址、目的IP地址、源IP端口、目的IP端口和协议类型。
可选的,所述根据所述当前访问数据建立会话树包括:将所述传输控制协议连接的进程ID作为所述会话树的第一层,将所述请求的网络路径作为所述会话树的第二层,将所述请求体作为所述会话树的第三层,将所述响应体作为所述会话树的第四层,将所述源IP地址、所述目的IP地址、所述源IP端口、所述目的IP端口和所述协议类型作为所述会话树的第五层;其中,所述当前访问数据对应一个所述传输控制协议连接的进程ID,一个所述传输控制协议连接的进程ID对应多个所述请求的网络路径,一个所述请求的网络路径对应多个所述请求体,一个所述请求体对应多个所述响应体。
可选的,所述根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果包括:提取所述传输控制协议连接的进程ID对应的一个所述请求网络路径;当该请求网络路径下的全部所述请求体中任意相邻两个所述请求体的前第一预设数量字节相同时,判断每个所述请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同,若相同,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为异常并标记为第一结果。
可选的,所述根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果包括:将所述会话树进行数据处理得到格式化的数据;对所述格式化的数据进行图转化得到多个图片;将所述多个图片输入到异常检测模型进行检测,得到概率值;判断所述概率值是否大于预设阈值,若是,则判定所述会话树对应的所述当前访问数据为异常并标记为第二结果。
另一方面,本发明提供了一种网络安全异常检测装置,该装置包括:获取单元,用于获取当前访问数据;构建单元,用于根据所述当前访问数据建立会话树;数据特征分析及图像特征分析单元,用于根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果;以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果;结果判断单元,用于当所述第一结果和第二结果均为异常时,认为所述当前访问数据为异常;当所述第一结果或所述第二结果为异常时,认为所述当前访问数据为疑似异常;当所述第一结果和第二结果均为正常时,认为所述当前访问数据为正常。
可选的,所述当前访问数据包括:传输控制协议连接的进程ID、请求的网络路径、请求体、相应体、源IP地址、目的IP地址、源IP端口、目的IP端口和协议类型。所述构建单元包括:将所述传输控制协议连接的进程ID作为所述会话树的第一层,将所述请求的网络路径作为所述会话树的第二层,将所述请求体作为所述会话树的第三层,将所述响应体作为所述会话树的第四层,将所述源IP地址、所述目的IP地址、所述源IP端口、所述目的IP端口和所述协议类型作为所述会话树的第五层;其中,所述当前访问数据对应一个所述传输控制协议连接的进程ID,一个所述传输控制协议连接的进程ID对应多个所述请求的网络路径,一个所述请求的网络路径对应多个所述请求体,一个所述请求体对应多个所述响应体。
可选的,所述数据特征分析单元包括:提取子单元,用于提取所述传输控制协议连接的进程ID对应的一个所述请求网络路径;第一结果判定子单元,用于当该请求网络路径下的全部所述请求体中任意相邻两个所述请求体的前第一预设数量字节相同时,判断每个所述请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同,若相同,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为异常并标记为第一结果。
可选的,所述图像特征分析单元包括:数据处理子单元,用于将所述会话树进行数据处理得到格式化的数据;转化子单元,用于对所述格式化的数据进行图转化得到多个图片;将所述多个图片输入到异常检测模型进行检测,得到概率值;第二结果判定子单元,用于判断所述概率值是否大于预设阈值,若是,则判定所述会话树对应的所述当前访问数据为异常并标记为第二结果。
另一方面,本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的网络安全异常检测方法。
本发明的有益效果:
本发明提供了一种网络安全异常检测方法,该方法包括:获取当前访问数据;根据所述当前访问数据建立会话树;根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果;以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果;当所述第一结果和第二结果均为异常时,认为所述当前访问数据为异常;当所述第一结果或所述第二结果为异常时,认为所述当前访问数据为疑似异常;当所述第一结果和第二结果均为正常时,认为所述当前访问数据为正常。本发明通过进行两个特征分析,可以使当前访问数据的判断结果更加准确,实现低误报率、低成本、高效的安全检测和拦截。
附图说明
图1是本发明实施例提供的一种网络安全异常检测方法的流程图;
图2是本发明实施例提供的获取第一结果的流程图;
图3是本发明实施例提供的获取第二结果的流程图;
图4是本发明实施例提供的一种网络安全异常检测装置的结构示意图;
图5是本发明实施例提供的数据特征分析单元的结构示意图;
图6是本发明实施例提供的图像特征分析单元的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在现有的网络中,发现网络安全威胁的方式有很多种,比如入侵检测系统(IDS)、网络流量分析系统(NTA)等。网络流量分析系统(NTA)作一种网络威胁检测的新兴技术,已经在网络安全市场上兴起。而目前的检测系统通常并不了解部署环境中的合法业务、管理流量,或者没有进行相应配置,而用极高设备配置对以合法流量为主的所有数据流量进行特征分析、匹配,这样会导致巨量误告警且难以进行有效响应,进而需要通过上层关联分析技术对产生的巨量误告警的安全日志进行归并、压缩、挖掘,通过这样的方式需要投入大量资金或人力,其投入大、效果差。
因而,本发明提供了一种网络安全异常检测方法,图1是本发明实施例提供的一种网络安全异常检测方法的流程图,如图1所示,该方法包括:
S101.获取当前访问数据;
在一个可选的实施方式中,所述当前访问数据包括:传输控制协议连接的进程ID(flow_id)、请求的网络路径(url)、请求体(request_body)、响应体(response_body)、源IP地址、目的IP地址、源IP端口、目的IP端口和协议类型。一般地,在一定时间内,源IP地址、源IP端口、协议类型、目的IP地址、目的IP端口都相同则为同一个flow,标记为相同的flow_id。
S102.根据所述当前访问数据建立会话树;
在一个可选的实施方式中,所述S102包括:
将所述传输控制协议连接的进程ID(flow_id)作为所述会话树的第一层,将所述请求的网络路径(url)作为所述会话树的第二层,将所述请求体(request_body)作为所述会话树的第三层,将所述响应体(response_body)作为所述会话树的第四层,将所述源IP地址、所述目的IP地址、所述源IP端口、所述目的IP端口和所述协议类型作为所述会话树的第五层;
其中,所述当前访问数据对应一个所述传输控制协议连接的进程ID(flow_id),一个所述传输控制协议连接的进程ID(flow_id)对应多个所述请求的网络路径(url),一个所述请求的网络路径(url)对应多个所述请求体(request_body),一个所述请求体对应多个所述响应体(response_body)。
S103.根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果;以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果;
在一个可选的实施方式中,图2是本发明实施例提供的获取第一结果的流程图,如图2所示,所述S103根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果包括:
S10311.提取所述传输控制协议连接的进程ID(flow_id)对应的一个所述请求网络路径(url);
例如:当前访问数据对应一个所述传输控制协议连接的进程ID(flow_id),该传输控制协议连接的进程ID(flow_id)下有两个请求网络路径(url1和url2);现提取一个请求网络路径(url1)并对其下层进行判断。
S10312.当该请求网络路径下的全部所述请求体中任意相邻两个所述请求体的前第一预设数量字节相同时,判断每个所述请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同,若相同,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为异常并标记为第一结果。
假设请求网络路径(url1)下有3个请求体(request_body1、request_body2和request_body3),当上述3个请求体中任意相邻两个请求体的前第一预设数量字节(本发明中设置为前M字节)相同时,即当request_body1和request_body2的前M字节相同或request_body2和request_body3的前M字节相同时,判断每个请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同;当上述3个请求体中所有相邻两个请求体的前M字节均不相同时,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为正常并标记为第一结果。
判断每个请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同具体为:
假设request_body1下有3个响应体(response_body1、response_body2和response_body3),request_body2下有2个响应体(response_body4和response_body5),request_body3下有4个响应体(response_body6、response_body7、response_body8和response_body9),当每个请求体下的全部响应体中任意相邻两个响应体的前第二预设数量字节(本发明中设置为前N字节)相同时,即当request_body1下的response_body1和response_body2的前N字节相同或当response_body2和response_body3的前N字节相同;或当request_body2下的response_body4和response_body5的前N字节相同;或当request_body3下的response_body6和response_body7的前N字节相同或response_body7和response_body8的前N字节相同或response_body8和response_body9的前N字节相同时,则判定所述传输控制协议连接的进程ID(flow_id)对应的所述当前访问数据为异常并标记为第一结果;当上述3个请求体下的全部响应体中所有相邻两个相应体的前N字节均不相同时,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为正常并标记为第一结果。所述第一预设数量字节与第二预设数量字节可以相同也可以不同,可根据实际应用场景进行调整,其不应限制本发明的保护范围。
在一个可选的实施方式中,图3是本发明实施例提供的获取第二结果的流程图,如图3所示,所述S103根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果包括:
S10321.将所述会话树进行数据处理得到格式化的数据;
例如:当前访问数据对应一个所述传输控制协议连接的进程ID(flow_id),该传输控制协议连接的进程ID(flow_id)下有两个请求网络路径(url1和url2);每个请求网络路径下有3个请求体,每个请求体下又有3个响应体,将每个请求体与响应体拼接起来,取前10个拼接,每个拼接后的总长度控制在40000字符,超出部分将其去除,不到40000字符的,在后面填充0占位。若不够10个拼接,取全部的请求体与响应体拼接,对于缺少的拼接后面补0,最终满足每一条转换的数据都是40000字符长度。
S10322.对所述格式化的数据进行图转化得到多个图片;对所述格式化的数据进行图转化得到多个图片;将所述多个图片输入到异常检测模型进行检测,得到概率值;
对格式化的数据进行图转化得到多个图片,每一个拼接转化为一个图片,之后将所有的图片数据输入到异常检测模型(VGGNet算法处理流量图片生成模型)进行检测,得到概率值。
S10323.判断所述概率值是否大于预设阈值,若是,则判定所述会话树对应的所述当前访问数据为异常并标记为第二结果。
判断概率值是否大于预设阈值(本发明中为0.5),若大于预设阈值,则判定所述会话树对应的所述当前访问数据为异常并标记为第二结果。若小于或等于预设阈值,则判定所述会话树对应的所述当前访问数据为正常并标记为第二结果。
S104.当所述第一结果和第二结果均为异常时,认为所述当前访问数据为异常;当所述第一结果或所述第二结果为异常时,认为所述当前访问数据为疑似异常;当所述第一结果和第二结果均为正常时,认为所述当前访问数据为正常。
本发明通过进行两个特征分析可以得到两个结果,当两个结果都判断为异常时,可以准确的确定当前访问数据为异常,该方法使当前访问数据的判断结果更加准确,实现低误报率、低成本、高效的安全检测和拦截。
图4是本发明实施例提的一种网络安全异常检测装置的结构示意图,如图4所示,所述装置包括:
获取单元201,用于获取当前访问数据;
在一个可选的实施方式中,所述当前访问数据包括:传输控制协议连接的进程ID(flow_id)、请求的网络路径(url)、请求体(request_body)、相应体(response_body)、源IP地址、目的IP地址、源IP端口、目的IP端口和协议类型。一般地,在一定时间内,源IP地址、源IP端口、协议类型、目的IP地址、目的IP端口都相同则为同一个flow,标记为相同的flow_id。
构建单元202,用于根据所述当前访问数据建立会话树;
在一个可选的实施方式中,所述构建单元202包括:
将所述传输控制协议连接的进程ID(flow_id)作为所述会话树的第一层,将所述请求的网络路径(url)作为所述会话树的第二层,将所述请求体(request_body)作为所述会话树的第三层,将所述响应体(response_body)作为所述会话树的第四层,将所述源IP地址、所述目的IP地址、所述源IP端口、所述目的IP端口和所述协议类型作为所述会话树的第五层;
其中,所述当前访问数据对应一个所述传输控制协议连接的进程ID(flow_id),一个所述传输控制协议连接的进程ID(flow_id)对应多个所述请求的网络路径(url),一个所述请求的网络路径(url)对应多个所述请求体(request_body),一个所述请求体对应多个所述响应体(response_body)。
数据特征分析及图像特征分析单元203,用于根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果;以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果;
在一个可选的实施方式中,图5是本发明实施例提供的数据特征分析单元的结构示意图,如图5所示,所述数据特征分析及图像特征分析单元203包括:
提取子单元20311,用于提取所述传输控制协议连接的进程ID对应的一个所述请求网络路径;
例如:当前访问数据对应一个所述传输控制协议连接的进程ID(flow_id),该传输控制协议连接的进程ID(flow_id)下有两个请求网络路径(url1和url2);现提取一个请求网络路径(url1)并对其下层进行判断。
第一结果判定子单元20312,用于当该请求网络路径下的全部所述请求体中任意相邻两个所述请求体的前第一预设数量字节相同时,判断每个所述请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同,若相同,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为异常并标记为第一结果。
假设请求网络路径(url1)下有3个请求体(request_body1、request_body2和request_body3),当上述3个请求体中任意相邻两个请求体的前第一预设数量字节(本发明中设置为前M字节)相同时,即当request_body1和request_body2的前M字节相同或request_body2和request_body3的前M字节相同时,判断每个请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同;当上述3个请求体中所有相邻两个请求体的前M字节均不相同时,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为正常并标记为第一结果。
判断每个请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同具体为:
假设request_body1下有3个响应体(response_body1、response_body2和response_body3),request_body2下有2个响应体(response_body4和response_body5),request_body3下有4个响应体(response_body6、response_body7、response_body8和response_body9),当每个请求体下的全部响应体中任意相邻两个响应体的前第二预设数量字节(本发明中设置为前N字节)相同时,即当request_body1下的response_body1和response_body2的前N字节相同或当response_body2和response_body3的前N字节相同;或当request_body2下的response_body4和response_body5的前N字节相同;或当request_body3下的response_body6和response_body7的前N字节相同或response_body7和response_body8的前N字节相同或response_body8和response_body9的前N字节相同时,则判定所述传输控制协议连接的进程ID(flow_id)对应的所述当前访问数据为异常并标记为第一结果;当上述3个请求体下的全部响应体中所有相邻两个相应体的前N字节均不相同时,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为正常并标记为第一结果。所述第一预设数量字节与第二预设数量字节可以相同也可以不同,可根据实际应用场景进行调整,其不应限制本发明的保护范围。
在一个可选的实施方式中,图6是本发明实施例提供的图像特征分析单元的结构示意图,如图6所示,所述数据特征分析及图像特征分析单元203包括:
数据处理子单元20321,用于将所述会话树进行数据处理得到格式化的数据;
例如:当前访问数据对应一个所述传输控制协议连接的进程ID(flow_id),该传输控制协议连接的进程ID(flow_id)下有两个请求网络路径(url1和url2);每个请求网络路径下有3个请求体,每个请求体下又有3个响应体,将每个请求体与响应体拼接起来,取前10个拼接,每个拼接后的总长度控制在40000字符,超出部分将其去除,不到40000字符的,在后面填充0占位。若不够10个拼接,取全部的请求体与响应体拼接,对于缺少的拼接后面补0,最终满足每一条转换的数据都是40000字符长度。
转化子单元20322,用于对所述格式化的数据进行图转化得到多个图片;将所述多个图片输入到异常检测模型进行检测,得到概率值;
对格式化的数据进行图转化得到多个图片,每一个拼接转化为一个图片,之后将所有的图片数据输入到异常检测模型(VGGNet算法处理流量图片生成模型)进行检测,得到概率值。
第二结果判定子单元20323,用于判断所述概率值是否大于预设阈值,若是,则判定所述会话树对应的所述当前访问数据为异常并标记为第二结果。
判断概率值是否大于预设阈值(本发明中为0.5),若大于预设阈值,则判定所述会话树对应的所述当前访问数据为异常并标记为第二结果。若小于或等于预设阈值,则判定所述会话树对应的所述当前访问数据为正常并标记为第二结果。
结果判断单元204,用于当所述第一结果和第二结果均为异常时,认为所述当前访问数据为异常;当所述第一结果或所述第二结果为异常时,认为所述当前访问数据为疑似异常;当所述第一结果和第二结果均为正常时,认为所述当前访问数据为正常。
本发明通过进行两个特征分析可以得到两个结果,当两个结果都判断为异常时,可以准确的确定当前访问数据为异常,该方法使当前访问数据的判断结果更加准确,实现低误报率、低成本、高效的安全检测和拦截。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的网络安全异常检测方法。
上述存储介质中存储有上述软件,该存储介质包括但不限于:光盘、软盘、硬盘、可擦写存储器等。
本发明的有益效果:
本发明提供了一种网络安全异常检测方法,该方法包括:获取当前访问数据;根据所述当前访问数据建立会话树;根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果;以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果;当所述第一结果和第二结果均为异常时,认为所述当前访问数据为异常;当所述第一结果或所述第二结果为异常时,认为所述当前访问数据为疑似异常;当所述第一结果和第二结果均为正常时,认为所述当前访问数据为正常。本发明通过进行两个特征分析,可以使当前访问数据的判断结果更加准确,实现低误报率、低成本、高效的安全检测和拦截。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (7)

1.一种网络安全异常检测方法,其特征在于,包括:
获取当前访问数据;
根据所述当前访问数据建立会话树;
根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果;以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果;
当所述第一结果和第二结果均为异常时,认为所述当前访问数据为异常;当所述第一结果或所述第二结果为异常时,认为所述当前访问数据为疑似异常;当所述第一结果和第二结果均为正常时,认为所述当前访问数据为正常;
所述当前访问数据包括:传输控制协议连接的进程ID、请求的网络路径、请求体、响应体、源IP地址、目的IP地址、源IP端口、目的IP端口和协议类型;
所述根据所述当前访问数据建立会话树包括:
将所述传输控制协议连接的进程ID作为所述会话树的第一层,将所述请求的网络路径作为所述会话树的第二层,将所述请求体作为所述会话树的第三层,将所述响应体作为所述会话树的第四层,将所述源IP地址、所述目的IP地址、所述源IP端口、所述目的IP端口和所述协议类型作为所述会话树的第五层;
其中,所述当前访问数据对应一个所述传输控制协议连接的进程ID,一个所述传输控制协议连接的进程ID对应多个所述请求的网络路径,一个所述请求的网络路径对应多个所述请求体,一个所述请求体对应多个所述响应体。
2.根据权利要求1所述的方法,其特征在于,所述根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果包括:
提取所述传输控制协议连接的进程ID对应的一个所述请求的网络路径;
当该请求的网络路径下的全部所述请求体中任意相邻两个所述请求体的前第一预设数量字节相同时,判断每个所述请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同,若相同,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为异常并标记为第一结果。
3.根据权利要求1所述的方法,其特征在于,所述根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果包括:
将所述会话树进行数据处理得到格式化的数据;
对所述格式化的数据进行图转化得到多个图片;将所述多个图片输入到异常检测模型进行检测,得到概率值;
判断所述概率值是否大于预设阈值,若是,则判定所述会话树对应的所述当前访问数据为异常并标记为第二结果。
4.一种网络安全异常检测装置,其特征在于,包括:
获取单元,用于获取当前访问数据;
构建单元,用于根据所述当前访问数据建立会话树;
数据特征分析及图像特征分析单元,用于根据所述会话树进行数据特征分析得到所述当前访问数据是否为异常的第一结果;以及根据所述会话树进行图像特征分析得到所述当前访问数据是否为异常的第二结果;
结果判断单元,用于当所述第一结果和第二结果均为异常时,认为所述当前访问数据为异常;当所述第一结果或所述第二结果为异常时,认为所述当前访问数据为疑似异常;当所述第一结果和第二结果均为正常时,认为所述当前访问数据为正常;
所述当前访问数据包括:传输控制协议连接的进程ID、请求的网络路径、请求体、响应体、源IP地址、目的IP地址、源IP端口、目的IP端口和协议类型;
所述构建单元包括:
将所述传输控制协议连接的进程ID作为所述会话树的第一层,将所述请求的网络路径作为所述会话树的第二层,将所述请求体作为所述会话树的第三层,将所述响应体作为所述会话树的第四层,将所述源IP地址、所述目的IP地址、所述源IP端口、所述目的IP端口和所述协议类型作为所述会话树的第五层;
其中,所述当前访问数据对应一个所述传输控制协议连接的进程ID,一个所述传输控制协议连接的进程ID对应多个所述请求的网络路径,一个所述请求的网络路径对应多个所述请求体,一个所述请求体对应多个所述响应体。
5.根据权利要求4所述的装置,其特征在于,所述数据特征分析单元包括:
提取子单元,用于提取所述传输控制协议连接的进程ID对应的一个所述请求的网络路径;
第一结果判定子单元,用于当该请求的网络路径下的全部所述请求体中任意相邻两个所述请求体的前第一预设数量字节相同时,判断每个所述请求体下的全部所述响应体中任意相邻两个所述响应体的前第二预设数量字节是否相同,若相同,则判定所述传输控制协议连接的进程ID对应的所述当前访问数据为异常并标记为第一结果。
6.根据权利要求4所述的装置,其特征在于,所述图像特征分析单元包括:
数据处理子单元,用于将所述会话树进行数据处理得到格式化的数据;
转化子单元,用于对所述格式化的数据进行图转化得到多个图片;将所述多个图片输入到异常检测模型进行检测,得到概率值;
第二结果判定子单元,用于判断所述概率值是否大于预设阈值,若是,则判定所述会话树对应的所述当前访问数据为异常并标记为第二结果。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至3中任一项所述的网络安全异常检测方法。
CN202111231817.6A 2021-10-22 2021-10-22 一种网络安全异常检测方法、装置及计算机存储介质 Active CN113965384B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111231817.6A CN113965384B (zh) 2021-10-22 2021-10-22 一种网络安全异常检测方法、装置及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111231817.6A CN113965384B (zh) 2021-10-22 2021-10-22 一种网络安全异常检测方法、装置及计算机存储介质

Publications (2)

Publication Number Publication Date
CN113965384A CN113965384A (zh) 2022-01-21
CN113965384B true CN113965384B (zh) 2023-11-03

Family

ID=79466068

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111231817.6A Active CN113965384B (zh) 2021-10-22 2021-10-22 一种网络安全异常检测方法、装置及计算机存储介质

Country Status (1)

Country Link
CN (1) CN113965384B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109587156A (zh) * 2018-12-17 2019-04-05 广州天懋信息系统股份有限公司 异常网络访问连接识别与阻断方法、系统、介质和设备
CN111078552A (zh) * 2019-12-16 2020-04-28 腾讯科技(深圳)有限公司 页面显示异常的检测方法、装置及存储介质
JP2020095351A (ja) * 2018-12-10 2020-06-18 中国電力株式会社 異常検知システム
CN112398779A (zh) * 2019-08-12 2021-02-23 中国科学院国家空间科学中心 一种网络流量数据分析方法及系统
CN112543176A (zh) * 2020-10-22 2021-03-23 新华三信息安全技术有限公司 一种异常网络访问检测方法、装置、存储介质及终端
CN113079143A (zh) * 2021-03-24 2021-07-06 北京锐驰信安技术有限公司 一种基于流数据的异常检测方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108777873B (zh) * 2018-06-04 2021-03-02 江南大学 基于加权混合孤立森林的无线传感网络异常数据检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020095351A (ja) * 2018-12-10 2020-06-18 中国電力株式会社 異常検知システム
CN109587156A (zh) * 2018-12-17 2019-04-05 广州天懋信息系统股份有限公司 异常网络访问连接识别与阻断方法、系统、介质和设备
CN112398779A (zh) * 2019-08-12 2021-02-23 中国科学院国家空间科学中心 一种网络流量数据分析方法及系统
CN111078552A (zh) * 2019-12-16 2020-04-28 腾讯科技(深圳)有限公司 页面显示异常的检测方法、装置及存储介质
CN112543176A (zh) * 2020-10-22 2021-03-23 新华三信息安全技术有限公司 一种异常网络访问检测方法、装置、存储介质及终端
CN113079143A (zh) * 2021-03-24 2021-07-06 北京锐驰信安技术有限公司 一种基于流数据的异常检测方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Soo-Yeon Ji ; Seonho Choi ; Dong Hyun Jeong.Designing a two-level monitoring method to detect network abnormal behaviors.《Proceedings of the 2014 IEEE 15th International Conference on Information Reuse and Integration》.2015,703-709. *
基于决策树的网络流量异常分析与检测;李强、严承华、朱瑶;《计算机工程》;92-95 *
基于孤立森林的移动终端网络数据异常检测;高德平;《信息技术》;125-129 *

Also Published As

Publication number Publication date
CN113965384A (zh) 2022-01-21

Similar Documents

Publication Publication Date Title
CN111191767B (zh) 一种基于向量化的恶意流量攻击类型的判断方法
WO2022078353A1 (zh) 车辆行使状态判断方法、装置、计算机设备及存储介质
KR102061833B1 (ko) 사이버 침해 사고 조사 장치 및 방법
CN112788047A (zh) 基于工业互联网的网络流量异常检测方法及大数据平台
CN111865996A (zh) 数据检测方法、装置和电子设备
CN111277598A (zh) 一种基于流量的应用攻击识别方法及系统
CN114448830A (zh) 一种设备检测系统及方法
CN113067802B (zh) 一种用户标识方法、装置、设备及计算机可读存储介质
CN117040943B (zh) 基于IPv6地址驱动的云网络内生安全防御方法和装置
CN113965384B (zh) 一种网络安全异常检测方法、装置及计算机存储介质
CN112887289B (zh) 一种网络数据处理方法、装置、计算机设备及存储介质
CN110351273B (zh) 一种网络追踪长链条攻击的方法、装置和系统
CN115766297B (zh) 一种基于物联网的信息数据安全防护方法
CN113688385B (zh) 轻量级分布式入侵检测方法
CN113839948B (zh) 一种dns隧道流量检测方法、装置、电子设备和存储介质
CN116346434A (zh) 电力系统网络攻击行为监测准确度提升方法及系统
CN111586052B (zh) 一种基于多层级的群智合约异常交易识别方法及识别系统
CN114745616A (zh) 一种地下热信息远程监控预警系统和方法
CN109558744B (zh) 一种数据处理方法和系统
CN113923035A (zh) 一种基于攻击载荷和攻击行为的动态应用防护系统及方法
CN113836539A (zh) 基于精准测试的电力工控系统漏洞全流程处置系统及方法
CN112333155A (zh) 一种异常流量的检测方法、系统、电子设备及存储介质
CN112367190A (zh) 一种网络空间安全态势实时检测方法、系统
CN110324353B (zh) 一种网络追踪长链条攻击的方法、装置和系统
CN110378404B (zh) 一种网络追踪长链条攻击的方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant