CN115134099A - 基于全流量的网络攻击行为分析方法及装置 - Google Patents
基于全流量的网络攻击行为分析方法及装置 Download PDFInfo
- Publication number
- CN115134099A CN115134099A CN202110302429.6A CN202110302429A CN115134099A CN 115134099 A CN115134099 A CN 115134099A CN 202110302429 A CN202110302429 A CN 202110302429A CN 115134099 A CN115134099 A CN 115134099A
- Authority
- CN
- China
- Prior art keywords
- data
- flow
- flow data
- analysis
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 91
- 238000001514 detection method Methods 0.000 claims abstract description 173
- 230000002159 abnormal effect Effects 0.000 claims abstract description 89
- 230000006399 behavior Effects 0.000 claims abstract description 85
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000000605 extraction Methods 0.000 claims abstract description 26
- 238000010801 machine learning Methods 0.000 claims abstract description 18
- 238000004141 dimensional analysis Methods 0.000 claims abstract description 8
- 230000008569 process Effects 0.000 claims description 21
- 239000000523 sample Substances 0.000 claims description 16
- 241000700605 Viruses Species 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 10
- 230000003287 optical effect Effects 0.000 claims description 10
- 238000007405 data analysis Methods 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 9
- 238000004422 calculation algorithm Methods 0.000 claims description 8
- 238000012549 training Methods 0.000 claims description 8
- 238000013528 artificial neural network Methods 0.000 claims description 5
- 238000005070 sampling Methods 0.000 claims description 5
- 230000000737 periodic effect Effects 0.000 claims description 4
- 238000011897 real-time detection Methods 0.000 claims description 4
- 230000004931 aggregating effect Effects 0.000 claims description 2
- 239000010410 layer Substances 0.000 description 38
- 239000000243 solution Substances 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000009826 distribution Methods 0.000 description 8
- 230000007123 defense Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 206010000117 Abnormal behaviour Diseases 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000012792 core layer Substances 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 210000004258 portal system Anatomy 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于全流量的网络攻击行为分析方法及装置,所述方法包括:获取流量数据;对流量数据进行特征提取,获得第一特征信息;将第一特征信息输入至第一检测模型,第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据;对待定异常流量数据进行特征提取,获得第二特征信息,将第二特征信息输入至第二检测模型进行进一步识别;利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。本发明实施例实现了全流量的网络攻击行为检测,能够准确识别攻击的特点,从而实现有效的安全防护。
Description
技术领域
本发明涉及网络入侵检测技术领域,尤其涉及一种基于全流量的网络攻击行为分析方法及装置。
背景技术
随着互联网技术的不断发展,网络安全成为互联网发展的重要内容,为了不断应对新的安全挑战,现有的网络安全行为通过部署防火墙、安全网关、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等,构建起了一道道安全防线。
然而,现有各行业对于网络攻击的分析和呈现主要是基于安全设备告警日志实现,然而现有的网络安全检测设备通过调取相关安全设备的告警日志实现,实际上这种检测方式会造成检测范围不全、日志数据丢失等降低了检测的准确性。
发明内容
本发明提供一种基于全流量的网络攻击行为分析方法及装置,用以解决现有技术中基于安全设备告警日志的检测方式会造成检测范围不全、检测准确性较低的问题。
本发明提供一种基于全流量的网络攻击行为分析方法,包括:
获取流量数据;
对所述流量数据进行特征提取,获得第一特征信息;
将所述第一特征信息输入至第一检测模型,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,输出正常流量数据;
对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据;
对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述获取流量数据,包括:
利用网络流量探针,通过端口镜像方式或分光器的信号采样方式周期性地采集网络链路中的流量数据包。
根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述对所述流量数据进行特征提取,获得第一特征信息,包括:
基于预先设置的特征对所述流量数据进行特征提取,获得第一特征信息;
其中,所述预先设置的特征是根据网络流量中访问URL的状态进行划分得到。
根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述第一检测模型包括:输入层、数据分析层、第一输出层和第二输出层,
其中,在输入层中动态输入样本数据,得到样本数据基于原始数据以及新的流量数据输入作为待检测数据,数据分析层对流量数据进行分析处理,第一输出层基于经模型检测后输出正常流量数据,第二输出层基于经模型检测后输出非正常流数据,同时输出基于非正常流数据的特征值并输出至流收集过程中。
根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述第二检测模型是基于深度神经网络算法进行模型特征训练而得到,在所述第二检测模型中设置有周期性实时检测模块,用于通过在线网络检测过程获取最新的病毒库数据。
根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述第二检测模型还用于提取异常流量的攻击行为特征,并将所述异常流程的攻击行为特征反馈至所述第一检测模型的特征数据库。
根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件,包括:
通过所述正常流量数据中具体业务URL汇聚流量的建模分析,建立业务访问的画像,作为威胁分析的基线,分别进行威胁主机的分析、威胁事件的分析、威胁溯源、威胁阶段分析和IP地址攻击分析,确定异常访问事件。
本发明还提供一种基于全流量的网络攻击行为分析装置,包括:
流量获取单元,用于获取流量数据;
特征提取单元,用于对所述流量数据进行特征提取,获得第一特征信息;
第一检测单元,用于将所述第一特征信息输入至第一检测模型,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,输出正常流量数据;
第二检测单元,用于对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据;
分析单元,用于对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于全流量的网络攻击行为分析方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于全流量的网络攻击行为分析方法的步骤。
本发明实施例提出的一种基于全流量的网络攻击行为检测方法,通过获取待检测的网络流量,并进行特征提取,设置两层网络检测模型,第一类检测模型是基于已检测出的攻击行为建立的,该模型在于快速识别出是否存在网络异常流量,当第一类检测模型检测结果出来后其不能确定是否为异常时,则交由第二检测模型进行,最后对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件,实现了全流量的网络攻击行为检测,能够准确识别攻击的特点,从而实现有效的安全防护。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于全流量的网络攻击行为分析方法的流程示意图之一;
图2为本申请实施例提供的获取流量数据的流程示意图;
图3为本申请实施例提供的对流量数据进行特征提取的示意图;
图4为本发明实施例提供的基于全流量的网络攻击行为分析方法的流程示意图之二;
图5为本发明实施例提供的基于全流量的网络攻击行为分析装置的结构示意图;
图6为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应理解,说明书中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
图1为本发明提供的基于全流量的网络攻击行为分析方法的流程示意图之一,如图1所示,该方法包括:
步骤100、获取流量数据;
网络流量的采集是监测网络中是否发生攻击或异常行为的基础流程,只有准确而且全面的采集网络流量数据才能为网络监测提供依据。
本发明中的网络流量采集涉及到的是异常流量的采集与监测过程,从而判断网络用户对于网络终端设备或者网络使用情况是否发生异常。
步骤101、对所述流量数据进行特征提取,获得第一特征信息;
具体地,为了对网络攻击行为进行分析,需要对获取的流量数据进行特征提取,获得第一特征信息。
步骤102、将所述第一特征信息输入至第一检测模型,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,输出正常流量数据;
通过对网络流量中的数据进行检测,识别网络中的攻击,可识别的攻击类别有SQL注入、XSS跨站脚本、文件上传工具、命令执行攻击、端口扫描、ip地址扫描、暴力破解、弱口令猜解、电子邮件炸弹DNS污染、DDoS,本发明中通过将这些可识别的网络攻击类别构成第一检测模型,以直接识别网络攻击行为得到检测结果。
其中,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,并输出正常流量数据
步骤103、对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据;
通过第一检测模型进行检测后可能存在其他新的网络攻击行为,因此,本发明中通过设置第二检测模型以对经过第一检测模型检测后的流量进行二次检测。
具体地,对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据。
步骤104、对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
具体地,在上述步骤102和步骤103获得的正常流量数据的基础上,对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
本发明实施例提出的一种基于全流量的网络攻击行为检测方法,通过获取待检测的网络流量,并进行特征提取,设置两层网络检测模型,第一类检测模型是基于已检测出的攻击行为建立的,该模型在于快速识别出是否存在网络异常流量,当第一类检测模型检测结果出来后其不能确定是否为异常时,则交由第二检测模型进行,最后对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件,实现了全流量的网络攻击行为检测,能够准确识别攻击的特点,从而实现有效的安全防护。
可选地,根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述获取流量数据,包括:
利用网络流量探针,通过端口镜像方式或分光器的信号采样方式周期性地采集网络链路中的流量数据包。
具体地,图2为本申请实施例提供的获取流量数据的流程示意图。在本实施例中,网络流量探针通过分光器或路由器端口实现网络中流量镜像数据的采集,从而获得流量数据包,预先定义资产端口流量检测功能,目的在于发现网络中所有连接请求是否为合法的Socket连接请求,是否存在尚未定义的资产端口发起TCP连接或UDP连接。根据本发明的目的,采集的数据包中的数据协议类型决定了流量是否异常的情形,如果是TCP/UDP协议类型,则直接提取五元组数据信息,如果不是TCP/UDP协议类型,则直接丢弃。
(1)TCP连接请求某服务器,被请求的:资产服务器IP、端口如果不在资产端口服务定义表中定义,将为非法请求
(2)UDP连接请求某服务器,被请求的:资产服务器IP、端口如果不在资产端口服务定义表中定义,将为非法请求。
通过端口镜像的方式进行流量数据的采集方式主要是通过在网络的核心层或者汇聚层交换机上设置特定镜像端口,把交换机上传输的流量复制一份,发送到安全态势系统的大数据集群上,从而实现采集到通过此端口的所有用户访问网络的流量情况。
在本实施例中,还包括通过分光器的信号采样方式进行流量数据采集,这种方式是在光纤传输的网络链路中比较常见的一种信号采集方式。分光器是一种无源光网络设备,通过在物理层上进行光复制,把光纤中传输的信号按比例分成多路,以此来进行网络流量数据的采样。
基于SpiderFlow协议的网络流量监测技术具有自动识别IP数据流的能力,可以用于检测DDOS数据服务攻击、蠕虫病毒等出现的异常流量,主要用于网络安全检测环境中。
可选地,根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述对所述流量数据进行特征提取,获得第一特征信息,包括:
基于预先设置的特征对所述流量数据进行特征提取,获得第一特征信息;
其中,所述预先设置的特征是根据网络流量中访问URL的状态进行划分得到。
图3为本申请实施例提供的对流量数据进行特征提取的示意图。如图3所示,在本实施例中,流量特征值是当前待检测的流量的标识,当前待检测流量的标识是一种预先设置表示该流量特征的标识,如可以设置成字符串等方式,当然,在本发明中,不同的流量提取的特征值可能相同也可能不相同,也可以是预先自定义的方式来设置。
在实际的网络检测中,网络流量特征值的提取是基于预先设置的特征来进行设定的,在本实施例中,根据网络流量中访问URL的状态来进行划分,划分为基于不同URL个数、URL长度数据、URL访问频率、访问URL时间间隔数据、访问URL顺序以及无用户代理的访问个数来确定。在实际中,不同的网络异常行为的产生大多是基于机器产生的HTTP流量访问产生的,机器产生的HTTP流量访问往往是固定的URL,而且一般情况下,网站在URL命名时是有一定的规律,因此,访问URL中的上述特征的设置是为了更有效的建立网络模型从而对网络流量进行检测。
可选地,根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述第一检测模型包括:输入层、数据分析层、第一输出层和第二输出层,
其中,在输入层中动态输入样本数据,得到样本数据基于原始数据以及新的流量数据输入作为待检测数据,数据分析层对流量数据进行分析处理,第一输出层基于经模型检测后输出正常流量数据,第二输出层基于经模型检测后输出非正常流数据,同时输出基于非正常流数据的特征值并输出至流收集过程中。
可选地,根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述第二检测模型是基于深度神经网络算法进行模型特征训练而得到,在所述第二检测模型中设置有周期性实时检测模块,用于通过在线网络检测过程获取最新的病毒库数据。
可选地,根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述第二检测模型还用于提取异常流量的攻击行为特征,并将所述异常流程的攻击行为特征反馈至所述第一检测模型的特征数据库。
通过第一检测模型进行检测后可能存在其他新的网络攻击行为,因此,本发明中通过设置第二检测模型以对经过第一检测模型检测后的流量进行二次检测。在该模型下使用的是机器学习算法,机器学习算法包括深度神经网络算法、入侵检测算法等类型。
通过本发明的机器学习算法模型对流量进行检测,在该模型中设置四个层次结构,分别是输入层、数据分析层、第一输出层、第二输出层,在输入层中动态输入样本数据,该样本数据基于原始数据以及新的流量数据输入作为待检测数据,数据分析层对流量数据进行分析处理,第一输出层基于经模型检测后输出正常流量数据,第二输出层基于经模型检测后输出非正常流数据,同时输出基于非正常流数据的特征值并输出至流收集过程中。
在该模型中,数据分析层对于流量进行特征提取、归一化处理,从而形成训练集和测试集并经处理后形成两路流量分析结果,一路是正常流量并通过第一输出层输出,而在本发明中,为了实现动态的流量分析以及实时的准确性结果,在实施例中,正常流量输出层输出正常流量结果后,若检测出的流量数据特征为模型中原始数据中不存在的,则认定为新的模型,此时替换输入层中输入的原始数据集中的某一流量数据,为了更清晰的说明,在本发明中,进入模型中的流量原始样本数据中,每一个数据都会有一个编号或时间戳,以指示出某一流量数据的产生的时间,在互联网不断发展时,网络攻击行为的异常数据也在不断更新,原始的正常流量数据不需要一直存在于模型中,这就需要模型不断的去更新其训练集中的样本数据,因此,本发明中,将输出的正常流量数据与原始样本中的数据进行比对后,若不存在,则输出后分一路至模型的输入层,从而更新旧的流量数据。在本发明中就起到了动态的样本数据集更新的目的。
同时,实施例中阐述了第二输出层输出的是异常流量数据内容,此时,提取异常数据的特征值,并输入第二检测模型中进行网络流量检测。
本发明的目的在于训练网络检测模型,在进行流数据包的检测过程中包括了是进入第一检测模型还是第二检测模型,设置的第一检测模型的目的在于当检测的流量中存在原始数据库中攻击特征的数据行为时,进行网络检测,由于初始训练的第一检测模型可以初步检测出待检测的网络流量是否存在异常行为,当然也已经被训练成完整而准确的检测出正常流量行为,但是,第一检测模型中也可能存在检测出的流量数据不确定行为,此时输出的是可能的异常网络流量行为,此时输入至第二检测模型中进行检测,第二检测模型基于深度神经网络算法进行模型特征训练而得到,在第二检测模型中设置有周期性实时检测模块,其目的在于通过在线网络检测过程获取最新的病毒库数据,因此,在其检测过程中属于最新的病毒行为,因此检测十分准确。第二网络检测模型检测异常流量数据后也会基于与第一检测模型相同的病毒隔离技术剔除异常流量,获取正常网络流量并输出,同时,在本发明中,第二检测模型的目的还在于提取其异常流量的攻击行为特征,也输出至SQL数据库中,并定时基于该数据库的内容更新第一检测模型的特征库。
本发明的目的在于实现网络流量的检测技术方案,设置两层网络模型的检测目的在于时效性,第一检测模型的设置使得当与特征数据库中对应的异常行为相同时,则很快速就能检测出,同时,同一网络攻击行为可能携带的病毒攻击行为的特征存在多种,有旧的也有新的,因此,只是检测出旧的特征,并不能表示已经安全,所以需要进入到第二检测模型中进行检测,但同时,第一检测模型会设置相应的完全正确的训练模型对流量特征进行训练检测,基于与异常相同的检测模式,正常的网络特征数据库也是可以直接提取的,因此,如果流量特征中仅包括旧的病毒特征行为,是可以检测出来的,此时,只需要隔离旧的病毒特征行为后就可以输出正常流量数据,并且直接输入至SQL数据库中,因此,本发明的目的不仅仅是在于训练异常特征库,还包括训练正常特征库,从而实现网络流量的全检测过程,检测技术方案时效性高,检测效果准确率也很高。
在本发明中,为了使得对检测的数据流进行后续的分析使用,设置了流存储部分,对通过第一模型和第二模型输出的正常流进行流收集、流汇聚后输入到关系型数据库中,并为后续的检测模型提供基础数据。
可选地,根据本发明提供一种的基于全流量的网络攻击行为分析方法,所述对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件,包括:
通过所述正常流量数据中具体业务URL汇聚流量的建模分析,建立业务访问的画像,作为威胁分析的基线,分别进行威胁主机的分析、威胁事件的分析、威胁溯源、威胁阶段分析和IP地址攻击分析,确定异常访问事件。
其中,威胁主机分析包括:
(1)受害主机数量
受害主机总数,目的ip去重,统计ip的数量。
(2)主机分布
展示不同攻击阶段的主机数量,即
信息侦查主机数
被攻击的主机数
被控制的主机数
内网探测的主机数量
内网扩散的主机数
数据泄露的主机数量
(3)主机列表
展示所有主机列表,内容包括主机ip,主机遭受攻击的时间,开始时间,各威胁级别数据量
其中,威胁事件分析,包括:
(1)威胁事件类型分布
展示威胁告警各个类型的分布情况,对类型进行分组统计
(2)威胁事件级别分布
展示威胁告警等级高中低级的分布情况,对类型进行分组统计
(3)威胁事件时间趋势
展示威胁时间随时间的变化趋势
(4)威胁事件类型列表
列表展示威胁类型详情包括类型、数量、占比
(5)过滤功能
提供过滤功能,包括主机ip、端口、时间区间。
威胁溯源包括:
(1)搜索
支持模糊搜索,告警类型过滤;更多选项提供更多的过滤条件:时间、威胁等级、处理状态、源目的IP与端口;
(2)攻击阶段
把攻击周期分为几个阶段,可根据攻击阶段进行过滤;
信息侦查;
攻击;
控制系统;
侦查内网;
在内网进行横向扩散;
获取重要信息;
(3)列表显示
展示经处理合并后的数据,展示信息包括源目的ip首次发生的时间,最近发生时间,持续时长、攻击告警消息、发生次数,归档操作,点击次数展示持续攻击时间内的具体明细,点击单条进入详情页,点击合并过的数据默认展示最新记录。
(4)详情页
详情页包括告警信息、解决方案、攻击的示意图、原始协议信息,payload及pcap下载功能;
告警信息为源目的ip端口、时间、sid、类别、告警消息等;
解决方案为规则sid或类别对于的处理方案建议;
攻击的示意图:图形展示攻击关系与所处阶段;
原始协议:展示协议的关键字段信息;
Payload:大部分明文协议消息体可见字符为asc编码,可看出大致内容,提供pcap下载功能,可使用其他工具如wireshark查看具体内容。
其中,威胁阶段分析,包括:
(1)威胁事件阶段分布
图表展示威胁阶段分布情况,对威胁阶段进行分组统计
(2)威胁事件阶段时间趋势
真实威胁各阶段威胁时间分布情况,每个阶段一条曲线
(3)过滤功能
可选择ip、端口、时间范围。
其中,IP地址攻击分析,包括:
对访问流量来源地址进行业务访问模型画像,如:建立某业务URL的国外来源访问特征标签、外省来源访问特征标签、异网来源访问特征标签。根据当前访问流量特征与业务访问模型画像基线进行对比分析,从而发现异常访问或攻击的行为。
根据攻防经验分析,有两种情况存在较大程度的可疑:异网访问与跨国访问。(1)常规情况下,通过运营商自有网络的VPN渠道访问进运营商内网或通过互联网暴露面地址访问,如中国移动网络用户通过移动宽带、移动4G信号访问至移动内网,通常不允许电信、联通网络用户如此操作,故异网访问行为对于运营商来说所占风险权重;(2)跨国、跨省访问风险高,实际的跨国、跨省访问需求相对国内、省内访问需求可忽略不计,故风险权重高,如某国外IP当前访问流量特征与业务访问模型画像中国外IP访问特征不匹配时,则判定未异常访问或攻击并立即进行告警。
预先建立基于IP地址池的IP地址池防御表,将该表中的IP地址设置为基于不同运营商管理下的IP地址域,以及区域地址域,其中地址域包括了该IP地址所属的国家或省份;
当检测到来自威胁攻击时,记录该威胁IP地址,并将该IP地址与预先存储的IP地址防御表进行对比,确定出该IP地址是属于哪个运营商管理下的IP地址区域,例如,在建立的防御表中,将移动、联通、电信运营商的IP地址域分别用YD,LT,DX字符表示,同时,在区域地址域中设置SN,SW,GN,GW的字符表示省内、省外、国内、国外,提取威胁IP地址字段,直接定位其所属运营商以及所属位置,也可以直接以不同省份设置不同的字符来表示相应的省份或国别信息,以更加准确的定位所在实际地址。
针对业务异常访问的威胁扫描。
其中,增加分类用户行为画像,包括:
不同角色人员所访问的业务系统有所不同,根据用户访问需要建立用户行为画像,如发生某角色人员访问了不在自己职责范围内的系统,则风险较高:
公司客户:网上营业厅、移动门户等;
公司营业人员:主要访问CRM系统、电子渠道、网上营业厅等;
公司办公员工:主要访问OA办公、移动门户系统、经营分析系统、MIS、ERP、财务报账系统等;
合作厂商人员:主要访问CRM、4A、电子渠道、计费结算系统、安全态势系统、安全合规系统等。
综上,如营业厅人员访问访问安全态势系统,合作厂商人员访问CRM系统等,属于不符合用户访问画像的访问,调高风险评估得分;
在进行威胁或攻击行为检测过程中,根据实际的系统访问流量进行分区域扫描,在系统中设置时间戳信息,如在OA系统、4A系统、CRM系统以及经分系统中分别设置时间戳,并进行初始扫描,该扫描的目的在于确定出访问不同系统所产生的流量数据,基于该流量数据确定出用户访问不同系统所产生的频率,其中,若在时间戳设置的时间范围内没有发现用户访问某一系统,则不进行威胁扫描检测,若在某一设置的时间范围内用户访问流量增加较大时,则进行威胁扫描检测。
因此,在进行全流量威胁检测时,设置的两层网络模型在进行威胁检测时并不需要同时对所有的系统进行检测,而是根据用户访问不同的系统产生的网络流量来进行分区域扫描检测。
在进行初始扫描获取网络流量时,根据不同的系统产生的网络流量大小将不同的区域设置成不同的流量检测优先级,访问流量大或者突然变大,则设置为最高优先级,依此类推,形成基于不同系统的不同流量检测优先级,从而根据该优先级智能调度网络检测模型对不同的系统进行流量检测。
根据检测结果以及不同系统优先级,确定出哪一个系统可能存在较大的风险,则及时对该系统进行防御保护。在该方案中,访问流量变大是指某一系统一直处于某一流量均值范围或在一定时间段内波动较小,流量慢慢变大的过程;而访问流量突然变大,是指某一系统处于一波动较小的范围或者没有访问流量,在短时间内突然访问流量变大,则此时需要重点关注该访问流量,并设置为较高的检测优先级。
本发明可以做到根据不同系统访问流量进行有效的威胁检测,有针对性的威胁检测,同时对于不需要检测的系统也节约了检测流程。在该方案中,威胁检测的过程开始之前,预先根据不同系统可能存在的威胁预先设置优先级,当时间戳返回不同系统的访问流量数据后,根据实际运行过程进行动态智能化调整,并且根据设置的优先级进行检测调度。从而有效且有针对性的对网络进行威胁检测。
在本发明实施例中,通过设置的分类器对待检测的网络流量进行分类,并根据预先设置的特征值的设置方式进行特征提取,设置两层网络检测模型,第一类检测模型是基于已检测出的攻击行为建立的,该模型在于快速识别出是否存在网络异常流量,当第一类检测模型检测结果出来后其不能确定是否为异常时,则交由第二检测模型进行,第二检测模型设置的目的在于两类输出,第一类输出是正常流量,但是现有的网络检测模型中都是基于原有的网络流量数据进行,因此,当检测到新的正常流量特征值时,将其特征通过输入层输入到第二类检测模型中替换基于时间戳的最早的那个数据,同时,第二类输出是非正常流量,则提取出其特征值,输入值第一类检测模型中,通过上述的循环、动态式检索,从而高效的完成异常流量检测。
图4为本发明实施例提供的基于全流量的网络攻击行为分析方法的流程示意图之二。本发明通过分析攻击威胁数据确定网络安全,在本发明中预先内置了大量攻击特征,具备漏洞检测、攻击轨迹追踪、威胁合并、情报信息自动关联等能力;攻击一般具有特定的规律、特征、轨迹等,本发明动态的自动分析能力,能够准确识别攻击的特点;黑客程序发起攻击时,通常具有重复性特点,为了准确聚焦攻击,本发明会自动合并攻击源并给出攻击次数,从而实现有效的安全防护。
图5为本发明实施例提供的基于全流量的网络攻击行为分析装置的结构示意图,包括:
流量获取单元510,用于获取流量数据;
特征提取单元520,用于对所述流量数据进行特征提取,获得第一特征信息;
第一检测单元530,用于将所述第一特征信息输入至第一检测模型,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,输出正常流量数据;
第二检测单元540,用于对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据;
分析单元550,用于对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
本发明提供的基于全流量的网络攻击行为分析装置可以实现上述基于全流量的网络攻击行为分析方法实施例实现的各个过程,并达到相同的技术效果,为避免重复,这里不再赘述。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行基于全流量的网络攻击行为分析方法,该方法包括:获取流量数据;对所述流量数据进行特征提取,获得第一特征信息;将所述第一特征信息输入至第一检测模型,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,输出正常流量数据;对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据。对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的基于全流量的网络攻击行为分析方法,该方法包括:获取流量数据;对所述流量数据进行特征提取,获得第一特征信息;将所述第一特征信息输入至第一检测模型,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,输出正常流量数据;对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据。对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的基于全流量的网络攻击行为分析方法,该方法包括:获取流量数据;对所述流量数据进行特征提取,获得第一特征信息;将所述第一特征信息输入至第一检测模型,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,输出正常流量数据;对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据。对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于全流量的网络攻击行为分析方法,其特征在于,包括:
获取流量数据;
对所述流量数据进行特征提取,获得第一特征信息;
将所述第一特征信息输入至第一检测模型,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,输出正常流量数据;
对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据;
对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
2.根据权利要求1所述的基于全流量的网络攻击行为分析方法,其特征在于,所述获取流量数据,包括:
利用网络流量探针,通过端口镜像方式或分光器的信号采样方式周期性地采集网络链路中的流量数据包。
3.根据权利要求1所述的基于全流量的网络攻击行为分析方法,其特征在于,所述对所述流量数据进行特征提取,获得第一特征信息,包括:
基于预先设置的特征对所述流量数据进行特征提取,获得第一特征信息;
其中,所述预先设置的特征是根据网络流量中访问URL的状态进行划分得到。
4.根据权利要求1所述的基于全流量的网络攻击行为分析方法,其特征在于,所述第一检测模型包括:输入层、数据分析层、第一输出层和第二输出层,
其中,在输入层中动态输入样本数据,得到样本数据基于原始数据以及新的流量数据输入作为待检测数据,数据分析层对流量数据进行分析处理,第一输出层基于经模型检测后输出正常流量数据,第二输出层基于经模型检测后输出非正常流数据,同时输出基于非正常流数据的特征值并输出至流收集过程中。
5.根据权利要求1所述的基于全流量的网络攻击行为分析方法,其特征在于,所述第二检测模型是基于深度神经网络算法进行模型特征训练而得到,在所述第二检测模型中设置有周期性实时检测模块,用于通过在线网络检测过程获取最新的病毒库数据。
6.根据权利要求1所述的基于全流量的网络攻击行为分析方法,其特征在于,所述第二检测模型还用于提取异常流量的攻击行为特征,并将所述异常流程的攻击行为特征反馈至所述第一检测模型的特征数据库。
7.根据权利要求1所述的基于全流量的网络攻击行为分析方法,其特征在于,所述对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件,包括:
通过所述正常流量数据中具体业务URL汇聚流量的建模分析,建立业务访问的画像,作为威胁分析的基线,分别进行威胁主机的分析、威胁事件的分析、威胁溯源、威胁阶段分析和IP地址攻击分析,确定异常访问事件。
8.一种基于全流量的网络攻击行为分析装置,其特征在于,包括:
流量获取单元,用于获取流量数据;
特征提取单元,用于对所述流量数据进行特征提取,获得第一特征信息;
第一检测单元,用于将所述第一特征信息输入至第一检测模型,所述第一检测模型用于将所述第一特征信息与特征数据库中的攻击行为特征进行对比,将偏离所述攻击特征的第一特征信息所对应的流量数据标识为待定异常流量数据,输出正常流量数据;
第二检测单元,用于对所述待定异常流量数据进行特征提取,获得第二特征信息,将所述第二特征信息输入至第二检测模型,所述第二检测模型用于对所述待定异常流量数据进行进一步识别,输出正常流量数据;
分析单元,用于对所述正常流量数据进行收集汇聚,并利用机器学习分析建模,结合基线安全特征、IP情报池和业务访问特征画像进行多维分析,确定异常访问事件。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7中任一项所述基于全流量的网络攻击行为分析方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7中任一项所述基于全流量的网络攻击行为分析方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110302429.6A CN115134099B (zh) | 2021-03-22 | 2021-03-22 | 基于全流量的网络攻击行为分析方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110302429.6A CN115134099B (zh) | 2021-03-22 | 2021-03-22 | 基于全流量的网络攻击行为分析方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115134099A true CN115134099A (zh) | 2022-09-30 |
CN115134099B CN115134099B (zh) | 2024-05-03 |
Family
ID=83374976
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110302429.6A Active CN115134099B (zh) | 2021-03-22 | 2021-03-22 | 基于全流量的网络攻击行为分析方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115134099B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115361231A (zh) * | 2022-10-19 | 2022-11-18 | 中孚安全技术有限公司 | 基于访问基线的主机异常流量检测方法、系统及设备 |
CN115659351A (zh) * | 2022-10-24 | 2023-01-31 | 南京鼎山信息科技有限公司 | 一种基于大数据办公的信息安全分析方法、系统及设备 |
CN115913789A (zh) * | 2023-02-21 | 2023-04-04 | 北京微步在线科技有限公司 | 一种网络攻击的识别方法及装置 |
CN116112287A (zh) * | 2023-04-07 | 2023-05-12 | 国家计算机网络与信息安全管理中心 | 基于时空关联的网络攻击组织追踪方法与装置 |
CN118368151A (zh) * | 2024-06-20 | 2024-07-19 | 青岛理工大学 | 基于机器学习的网络安全威胁检测方法及系统 |
CN118573472A (zh) * | 2024-07-31 | 2024-08-30 | 金盾检测技术股份有限公司 | 一种适用于异常流量的分析检测方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
US20170026391A1 (en) * | 2014-07-23 | 2017-01-26 | Saeed Abu-Nimeh | System and method for the automated detection and prediction of online threats |
WO2019210484A1 (en) * | 2018-05-03 | 2019-11-07 | Siemens Aktiengesellschaft | Analysis device, method and system for operational technology system and storage medium |
CN111107102A (zh) * | 2019-12-31 | 2020-05-05 | 上海海事大学 | 基于大数据实时网络流量异常检测方法 |
CN111866028A (zh) * | 2020-08-10 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种攻击面可视化的方法及系统 |
CN112003840A (zh) * | 2020-08-10 | 2020-11-27 | 武汉思普崚技术有限公司 | 一种基于攻击面的漏洞检测方法及系统 |
-
2021
- 2021-03-22 CN CN202110302429.6A patent/CN115134099B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
US20170026391A1 (en) * | 2014-07-23 | 2017-01-26 | Saeed Abu-Nimeh | System and method for the automated detection and prediction of online threats |
WO2019210484A1 (en) * | 2018-05-03 | 2019-11-07 | Siemens Aktiengesellschaft | Analysis device, method and system for operational technology system and storage medium |
CN111107102A (zh) * | 2019-12-31 | 2020-05-05 | 上海海事大学 | 基于大数据实时网络流量异常检测方法 |
CN111866028A (zh) * | 2020-08-10 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种攻击面可视化的方法及系统 |
CN112003840A (zh) * | 2020-08-10 | 2020-11-27 | 武汉思普崚技术有限公司 | 一种基于攻击面的漏洞检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
谭彬;梁业裕;李伟渊;: "基于流量的攻击溯源分析和防护方法研究", 电信工程技术与标准化, no. 12 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115361231A (zh) * | 2022-10-19 | 2022-11-18 | 中孚安全技术有限公司 | 基于访问基线的主机异常流量检测方法、系统及设备 |
CN115659351A (zh) * | 2022-10-24 | 2023-01-31 | 南京鼎山信息科技有限公司 | 一种基于大数据办公的信息安全分析方法、系统及设备 |
CN115659351B (zh) * | 2022-10-24 | 2023-10-03 | 南京鼎山信息科技有限公司 | 一种基于大数据办公的信息安全分析方法、系统及设备 |
CN115913789A (zh) * | 2023-02-21 | 2023-04-04 | 北京微步在线科技有限公司 | 一种网络攻击的识别方法及装置 |
CN115913789B (zh) * | 2023-02-21 | 2023-05-26 | 北京微步在线科技有限公司 | 一种网络攻击的识别方法及装置 |
CN116112287A (zh) * | 2023-04-07 | 2023-05-12 | 国家计算机网络与信息安全管理中心 | 基于时空关联的网络攻击组织追踪方法与装置 |
CN118368151A (zh) * | 2024-06-20 | 2024-07-19 | 青岛理工大学 | 基于机器学习的网络安全威胁检测方法及系统 |
CN118368151B (zh) * | 2024-06-20 | 2024-08-23 | 青岛理工大学 | 基于机器学习的网络安全威胁检测方法及系统 |
CN118573472A (zh) * | 2024-07-31 | 2024-08-30 | 金盾检测技术股份有限公司 | 一种适用于异常流量的分析检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN115134099B (zh) | 2024-05-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
US10104095B2 (en) | Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
TWI711938B (zh) | 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法 | |
CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
US9215240B2 (en) | Investigative and dynamic detection of potential security-threat indicators from events in big data | |
CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
CA3102844A1 (en) | Threat mitigation system and method | |
KR20170060092A (ko) | 분산형 트래픽 관리 시스템 및 기법들 | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
US11178160B2 (en) | Detecting and mitigating leaked cloud authorization keys | |
CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
CN104301180B (zh) | 一种业务报文处理方法和设备 | |
CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
EP4248317A1 (en) | Threat mitigation system and method | |
EP4248316A1 (en) | Threat mitigation system and method | |
CN117527412A (zh) | 数据安全监测方法及装置 | |
CN110798353B (zh) | 基于行为特征大数据分析的网络行为风险感知及防御方法 | |
CN117792733A (zh) | 一种网络威胁的检测方法及相关装置 | |
CN115442159B (zh) | 一种基于家用路由的风险管控方法、系统和存储介质 | |
CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
CN115865427A (zh) | 一种基于数据路由网关的数据采集与监控方法 | |
US20230171230A1 (en) | Method and system for detection of ruleset misconfiguration |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |