CN115242467B - 一种网络数据识别方法及系统 - Google Patents

一种网络数据识别方法及系统 Download PDF

Info

Publication number
CN115242467B
CN115242467B CN202210785234.6A CN202210785234A CN115242467B CN 115242467 B CN115242467 B CN 115242467B CN 202210785234 A CN202210785234 A CN 202210785234A CN 115242467 B CN115242467 B CN 115242467B
Authority
CN
China
Prior art keywords
target
feature
data
rule
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210785234.6A
Other languages
English (en)
Other versions
CN115242467A (zh
Inventor
李凯
赵武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Huashunxinan Technology Co ltd
Original Assignee
Beijing Huashunxinan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Huashunxinan Technology Co ltd filed Critical Beijing Huashunxinan Technology Co ltd
Priority to CN202210785234.6A priority Critical patent/CN115242467B/zh
Publication of CN115242467A publication Critical patent/CN115242467A/zh
Application granted granted Critical
Publication of CN115242467B publication Critical patent/CN115242467B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及互联网技术领域,尤其是涉及一种网络数据识别方法及系统,其方法包括以下步骤:获取网络数据;根据所述网络数据的类型,获取对应的特征数据;根据所述特征数据,获取当前分析规则,并根据所述分析规则获取对应的分析特征;判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集;根据所述目标特征同类集,获取目标分析项。本申请提供的一种网络数据识别方法及系统具有提升网络数据的识别效率,节省人力物力的效果。

Description

一种网络数据识别方法及系统
技术领域
本申请涉及互联网技术领域,尤其是涉及一种网络数据识别方法及系统。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
目前,都是基于蜜罐的特征进行人工检测,⑴根据协议的返回特征:部分开源蜜罐在模拟各个协议时,会在响应中带有一些明显的特征,可以根据这些协议来检测是否是蜜罐;⑵根据网络特征判断: 可以根据特定的源代码文件或版本号等特征来判断是否是蜜罐;⑶根据模糊测试特征:通过产生随机的数据输入测试系统查看系统响应或者状态,如果满足一下条件,则判断为蜜罐。因此,识别蜜罐都是具体通过人工方式实现的,效率低下,且容易出错。
发明内容
为了提升网络数据的识别效率,节省人力物力,本申请提供一种网络数据识别方法及系统。
第一方面,本申请提供一种网络数据识别方法及系统,采用如下的技术方案:
一种网络数据识别方法,包括以下步骤:
获取网络数据;
根据所述网络数据的类型,获取对应的特征数据;
根据所述特征数据,获取当前分析规则,并根据所述分析规则获取对应的分析特征;
判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集;
根据所述目标特征同类集,获取目标分析项。
通过采用上述技术方案,根据网络数据的类型获取对应的特征数据,以便于结合特征数据的当前分析规则获取对应的分析特征,通过预设特征规则判断获取的分析特征,进而得到性质相同的目标特征同类集,进一步根据目标特征同类集设置对应的目标分析项,从而提升网络数据的识别效率,节省人力物力。
可选的,所述根据所述目标特征同类集,获取目标数据分析项包括以下步骤:
根据预设识别规则识别所述目标特征同类集,获取对应的目标识别数据;
根据所述目标识别数据的类型形成所述目标分析项。
通过采用上述技术方案,根据目标特征同类集形成对应的目标分析项,从而更加直观的展示同类型的网络数据,提升检测效率。
可选的,所述预设识别规则包括目标蜜罐识别规则,所述根据预设识别规则识别所述目标特征同类集,获取对应的目标识别数据包括以下步骤:
根据所述目标蜜罐识别规则,获取目标蜜罐特征标准;
根据所述目标特征同类集,获取蜜罐同类特征;
判断所述蜜罐同类特征是否符合所述目标蜜罐特征标准;
若所述蜜罐同类特征符合所述目标蜜罐特征标准,则获取对应的目标蜜罐数据作为目标识别数据。
通过采用上述技术方案,便于对不同类型的蜜罐进行识别分析。
可选的,所述预设识别规则包括目标数据识别规则,所述根据预设识别规则识别所述目标特征同类集,获取对应的目标识别数据包括以下步骤:
根据所述目标数据识别规则,获取目标数据特征;
根据所述目标特征同类集,获取数据集;
从所述数据集中获取不符合所述目标数据特征的目标识别数据。
通过采用上述技术方案,便于对目标数据进行识别分析。
可选的,所述分析特征包括模拟响应特征,所述目标特征同类集包括协议返回特征同类集,所述判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集包括以下步骤:
根据所述模拟响应特征,获取响应固定参数;
根据所述响应固定参数,确认协议返回特征,并根据所述协议返回特征形成协议返回特征同类集。
通过采用上述技术方案,根据网络数据的模拟响应特征进行检测分析,便于获取具有协议返回特征的同类型蜜罐。
可选的,所述分析特征包括网络服务特征,所述目标特征同类集包括网络特征同类集,所述判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集还包括以下步骤:
根据所述模拟网络服务特征,获取服务特征数据;
根据预设特征规则处理所述服务特征数据,确定处理结果;
根据所述处理结果,形成网络特征同类集。
通过采用上述技术方案,根据网络数据的网络服务特征进行检测分析,便于获取具有网络特征的同类型蜜罐。
可选的,所述分析特征包括上下文特征,所述目标特征同类集包括上下文特征同类集,所述判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集还包括以下步骤:
根据所述上下文特征,获取默认配置命令;
执行所述默认配置命令,确定执行结果;
根据所述执行结果,形成上下文特征同类集。
通过采用上述技术方案,根据网络数据的上下文特征进行检测分析,便于获取具有上下文特征的同类型蜜罐。
可选的,所述分析特征包括模糊检测特征,所述目标特征同类集包括模糊检测特征同类集,所述判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集还包括以下步骤:
根据模糊检测特征,获取检测数据;
分析所述检测数据,获取检测结果;
判断所述检测结果,获取判断结果,并根据所述判断结果形成模糊检测特征同类集。
通过采用上述技术方案,根据网络数据的模糊检测特征进行检测分析,便于获取具有模糊检测特征的同类型蜜罐。
第二方面,本申请还提供一种网络数据识别系统,采用如下的技术方案:
一种网络数据识别系统,包括:
获取模块,用于获取网络数据,还用于根据所述网络数据的类型,获取对应的特征数据;
分析模块,用于根据所述特征数据,获取当前分析规则,并根据所述分析规则获取对应的分析特征;
判断模块,用于判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集;
生成模块,用于根据所述目标特征同类集,获取目标分析项。
通过采用上述技术方案,根据获取模块通过网络数据的类型获取对应的特征数据,以便于分析模块结合特征数据的当前分析规则获取对应的分析特征,然后根据判断模块通过预设特征规则判断分析模块得出的分析特征,进而得到性质相同的目标特征同类集,生成模块根据目标特征同类集设置对应的目标分析项,从而提升网络数据的识别效率,节省人力物力。
可选的,所述生成模块包括:
识别单元,用于根据预设识别规则识别所述目标特征同类集,获取对应的目标识别数据;
形成单元,用于根据所述目标识别数据的类型形成所述目标分析项。
通过采用上述技术方案,根据识别单元对目标特征同类集进行识别,便于形成单元根据其类型形成对应的目标分析项,从而便于对同类型的网络数据进行分类,提升网络数据的检测效率。
综上所述,本申请包括以下有益技术效果:根据网络数据的类型获取对应的特征数据,以便于结合特征数据的当前分析规则获取对应的分析特征,通过预设特征规则判断获取的分析特征,进而得到性质相同的目标特征同类集,进一步根据目标特征同类集设置对应的目标分析项,从而提升网络数据的识别效率,节省人力物力。
附图说明
图1是本申请一种网络数据识别方法的整体流程示意图。
图2是本申请一种网络数据识别方法中步骤S201至步骤S202的流程示意图。
图3是本申请一种网络数据识别方法中步骤S301至步骤S304的流程示意图。
图4是本申请一种网络数据识别方法中步骤S401至步骤S403的流程示意图。
图5是本申请一种网络数据识别方法中步骤S501至步骤S502的流程示意图。
图6是本申请一种网络数据识别方法中步骤S601至步骤S603的流程示意图。
图7是本申请一种网络数据识别方法中步骤S701至步骤S703的流程示意图。
图8是本申请一种网络数据识别方法中步骤S801至步骤S803的流程示意图。
图9是本申请一种网络数据识别系统的整体模块示意图。
附图标记说明:
1、获取模块;2、分析模块;3、判断模块;4、生成模块;41、识别单元;42、形成单元。
具体实施方式
以下结合附图1-9对本申请作进一步详细说明。
本申请实施例公开一种网络数据识别方法,参照图1,包括以下步骤:
S101、获取网络数据;
S102、根据网络数据的类型,获取对应的特征数据;
S103、根据特征数据,获取当前分析规则,并根据分析规则获取对应的分析特征;
S104、判断分析特征是否符合预设特征规则,获取符合预设特征规则的目标特征同类集;
S105、根据目标特征同类集,获取目标分析项。
步骤S101至步骤S103在本实施例中,为了便于对本实施例进行说明,网络数据以蜜罐为例,蜜罐是网络攻防对抗中检测威胁的重要产品,防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。
蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值,可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。
根据蜜罐的交互特征,可以分为低交互蜜罐和高交互蜜罐,根据蜜罐不同特征可获取对应的特征数据,特征数据是指开源蜜罐待分析的特征数据,可以根据这些特征数据来检测蜜罐;当前分析规则是指本次针对开源蜜罐的特征需要进行分析的规则;分析特征是指开源蜜罐在模拟各个协议数据时,会带一些明显的特征。
步骤S104在本实施例中,高交互蜜罐提供了一个真正的易受攻击的系统,为的就是让攻击者认为自身在攻击一个真实的系统,低交互蜜罐则没有那么复杂,其提供了一个不完善的交互系统,有的甚至仅仅模拟了一个响应,互联网中的低交互蜜罐大部分为开源蜜罐。由于其特有的开放特征,可对其特征进行识别和规避。因此可对具有同等特征的开源蜜罐进行分析,判断开源蜜罐的分析特征是否符合对应的预设特征规则,进而对其同等特征的开源蜜罐进行归类划分,形成对应的目标特征同类集。目标特征同类集是指根据开源蜜罐的同类性质划分形成的各类集合。
步骤S105在本实施例中,根据上述形成的目标特征同类集,获取对应的目标分析项,目标分析项是指根据各类目标特征同类集设置对应的前端页面展示选项,便于用户能够直接根据选项过滤或者获取蜜罐和相关数据进行分析。
在本实施例网络数据识别方法中,根据网络数据的类型获取对应的特征数据,以便于结合特征数据的当前分析规则获取对应的分析特征,通过预设特征规则判断获取的分析特征,进而得到性质相同的目标特征同类集,进一步根据目标特征同类集设置对应的目标分析项,从而提升网络数据的识别效率,节省人力物力。
在本实施例的其中一种实施方式中,如图2所示,步骤S105包括以下步骤:
S201、根据预设识别规则识别目标特征同类集,获取对应的目标识别数据;
S202、根据目标识别数据的类型形成目标分析项。
在实际运用中,预设识别规则是指开源蜜罐的一些特有识别特征标准,根据预设识别规则对目标特征同类集进行识别检测,获取并判定开源蜜罐属于何种目标识别数据,并根据目标识别数据的类型形成对应的目标分析项。
例如,通过蜜罐的协议返回特征、协议实现的缺陷特征和明显的网络特征识别规则识别检测形成的目标特征同类集,分别获取具有协议返回特征、协议实现的缺陷特征和明显的网络特征的识别数据,并根据获取识别数据的类型形成协议返回特征蜜罐数据分析项、协议实现的缺陷特征蜜罐数据分析项和明显的网络特征蜜罐数据分析项,从而根据目标特征同类集形成对应的目标分析项,从而更加直观的展示同类型的网络数据,提升检测效率。
在本实施例的其中一种实施方式中,如图3所示,预设识别规则包括目标蜜罐识别规则,根据预设识别规则识别目标特征同类集,获取对应的目标识别数据包括以下步骤:
S301、根据目标蜜罐识别规则,获取目标蜜罐特征标准;
S302、根据目标特征同类集,获取蜜罐同类特征;
S303、判断蜜罐同类特征是否符合目标蜜罐特征标准;
S304、若蜜罐同类特征符合目标蜜罐特征标准,则获取对应的目标蜜罐数据作为目标识别数据。
在实际运用中,目标蜜罐特征标准是指对根据需要识别的蜜罐所具备的特征识别标准,蜜罐同类特征是指开源蜜罐具有相同的一类特征。
例如,目标蜜罐识别规则为SSH协议规则,SSH协议(Secure Shell)是一种加密的网络传输协议,最常用的是作为远程登录使用。SSH服务端与客户端建立连接时需要经历五个步骤:①协商版本号阶段;②协商密钥算法阶段;③认证阶段;④会话请求阶段;⑤交互会话阶段;SSH蜜罐在模拟该协议时同样要实现这五个步骤,因此SSH蜜罐特征标准也就指上述的五个步骤。
Kippo是一个已经停止更新的经典SSH蜜罐,使用了twisted来模拟SSH协议。在kippo的最新版本中使用的是很老的twistd15.1.0版本。该版本有个明显的特征。在版本号交互阶段需要客户端的SSH版本,形如SSH-主版本-次版本软件版本号,当版本号为不支持的版本时,如SSH-1.9-OpenSSH_5.9p1,就会报错“bad version 1.9”并且断开连接。通过Kippo的配置来看,仅仅支持SSH-2.0-X和SSH-1.99-X两个主版本,其他主版本都会产生报错。判断出目标特征同类集中一部分蜜罐的同类特征符合对应的SSH蜜罐特征标准,进而从具有SSH同类特征的蜜罐获取对应的SSH蜜罐数据,从而便于对不同类型的蜜罐进行识别分析。
在本实施例的其中一种实施方式中,如图4所示,预设识别规则包括目标数据识别规则,根据预设识别规则识别目标特征同类集,获取对应的目标识别数据包括以下步骤:
S401、根据目标数据识别规则,获取目标数据特征;
S402、根据目标特征同类集,获取数据集;
S403、从数据集中获取不符合目标数据特征的目标识别数据。
在实际运用中,目标数据识别规则是指需要分析使用数据的识别标准,目标数据特征是指需要分析使用数据的各类特征,根据目标特征同类集中目标数据的各类特征形成对应的数据集,进而从数据集中提取出不符合目标数据识别规则的目标识别数据,进一步根据识别数据的特征对其聚类化,从而便于后续对数据进行识别分析。
在本实施例的其中一种实施方式中,如图5所示,分析特征包括模拟响应特征,目标特征同类集包括协议返回特征同类集,判断分析特征是否符合预设特征规则,获取符合预设特征规则的目标特征同类集包括以下步骤:
S501、根据模拟响应特征,获取响应固定参数;
S502、根据响应固定参数,确认协议返回特征,并根据协议返回特征形成协议返回特征同类集。
在实际运用中,部分开源蜜罐在模拟各个协议时,会在响应中带有一些明显的特征,可以根据这些特征来检测蜜罐。例如,以Dionaea的Memcached协议举例,在实现Memcached协议时Dionaea把很多参数都做了随机化,但是在一些参数如:version、libevent和rusage_user等都是固定的,因此可以通过组合查询其固定参数来确定蜜罐,根据确定后蜜罐具有的协议返回特征形成协议返回特征同类集,从而根据网络数据的模拟响应特征进行检测分析,便于获取具有协议返回特征的同类型蜜罐。
在本实施例的其中一种实施方式中,如图6所示,分析特征包括网络服务特征,目标特征同类集包括网络特征同类集,判断分析特征是否符合预设特征规则,获取符合预设特征规则的目标特征同类集还包括以下步骤:
S601、根据模拟网络服务特征,获取服务特征数据;
S602、根据预设特征规则处理服务特征数据,确定处理结果;
S603、根据处理结果,形成网络特征同类集。
在实际运用中,部分开源蜜罐提供了网络服务,这些网络服务中常常会带有一些明显的特征,可以根据这些特征来检测检测蜜罐。例如,HFIsh在默认8080端口实现了一个WordPress登录页面,页面中由一个名为X.js的javascript文件,用来记录尝试爆破的登录名密码,直接通过判断WordPress登录页是否存在X.js文件就可判断是否为蜜罐,还有glastopf蜜罐,其没做任何伪装是最明显的。可以通过页面最下方的blog comments的输入框进行识别。将待分析蜜罐与上述预设特征规则进行对比分析,进而获取符合网络特征的蜜罐同类集,从而根据网络数据的网络服务特征进行检测分析,便于获取具有网络特征的同类型蜜罐。
在本实施例的其中一种实施方式中,如图7所示,分析特征包括上下文特征,目标特征同类集包括上下文特征同类集,判断分析特征是否符合预设特征规则,获取符合预设特征规则的目标特征同类集还包括以下步骤:
S701、根据上下文特征,获取默认配置命令;
S702、执行默认配置命令,确定执行结果;
S703、根据执行结果,形成上下文特征同类集。
在实际运用中,部分开源蜜罐存在命令执行上下文明显的特征,以Cowrie和Hfish为例,经研究发现Mirai的新变种Aisuru检测可以根据执行命令的上下文检测到Cowrie开源蜜罐。当满足如下三个条件时Aisuru将会判定为蜜罐:①设备名称为localhost;②设备中所有进程启动于6月22日或者6月23日;③存在用户名richard;查看Cowrie源码在默认配置中执行ps命令,发现进程的启动时间都在6月22或6月23。不过在最新版的Cowrie中richard被phil替换,并且主机名由localhost替换为svr04。
由Aisuru的启发,是可以根据一些特定的上下文来检测蜜罐的。比如最新版的Cowrie,在默认配置下一些一些命令得到的结果是固定不变的。如:cat /proc/meminfo 这个命令无论执行多少次得到的内容都是不变的。另一方面Hfish蜜罐也实现了SSH协议,默认监听在22端口,该蜜罐的SSH协议同样可以很容易的通过上下文识别出来,和telnet协议一样,SSH协议在直接进行回车换行时会默认执行default输出test。进而根据上述对开源蜜罐特征的判定,形成对应上下文特征同类集,从而根据网络数据的上下文特征进行检测分析,便于获取具有上下文特征的同类型蜜罐。
在本实施例的其中一种实施方式中,如图8所示,分析特征包括模糊检测特征,目标特征同类集包括模糊检测特征同类集,判断分析特征是否符合预设特征规则,获取符合预设特征规则的目标特征同类集还包括以下步骤:
S801、根据模糊检测特征,获取检测数据;
S802、分析检测数据,获取检测结果;
S803、判断检测结果,获取判断结果,并根据判断结果形成模糊检测特征同类集。
在实际运用中,模糊检测是一种安全检测方法,通过产生随机的数据输入测试系统查看系统响应或者状态检测结果,以此发现潜在的安全漏洞。部分蜜罐借用模糊检测的思想实现了蜜罐系统,该蜜罐具有以下几点特征:①响应任意端口的TCP SYN Packet;②根据协议特征,永远返回正确的响应;③返回预定义或者随机的Payload特征库集合。
根据上述特征判断检测结果,获取符合上述特征的检测结果对应的开源蜜罐,并根据具有模糊检测特征的开源蜜罐形成对应的模糊检测特征同类集,从而根据网络数据的模糊检测特征进行检测分析,便于获取具有模糊检测特征的同类型蜜罐。
在对蜜罐进行扫描识别的过程中,基于端口开放情况进行蜜罐识别,例如,若IP上的开放端口超过N个,就识别为蜜罐,其中N可根据实际需求进行配置;另一方面,若IP开放的端口很多,且开放的协议数量超过N个,则此时也识别为蜜罐。
本申请实施例公开一种网络数据识别系统,如图9所示,包括获取模块1、分析模块2、判断模块3和生成模块4,获取模块1用于获取网络数据,还用于根据网络数据的类型,获取对应的特征数据;分析模块2用于根据特征数据,获取当前分析规则,并根据分析规则获取对应的分析特征;判断模块3用于判断分析特征是否符合预设特征规则,获取符合预设特征规则的目标特征同类集;生成模块4用于根据目标特征同类集,获取目标分析项。
根据获取模块1通过网络数据的类型获取对应的特征数据,以便于分析模块2结合特征数据的当前分析规则获取对应的分析特征,然后根据判断模块3通过预设特征规则判断分析模块2得出的分析特征,进而得到性质相同的目标特征同类集,生成模块4根据目标特征同类集设置对应的目标分析项,从而提升网络数据的识别效率,节省人力物力。
在本实施例的其中一种实施方式中,如图9所示,生成模块4包括识别单元41和形成单元42,识别单元41用于根据预设识别规则识别目标特征同类集,获取对应的目标识别数据;形成单元42用于根据目标识别数据的类型形成目标分析项。
根据识别单元41对目标特征同类集进行识别,便于形成单元42根据其类型形成对应的目标分析项,从而便于对同类型的网络数据进行分类,提升网络数据的检测效率。上述任一种网络数据识别系统,运作原理可参见一种网络数据识别方法的对应描述,其能达到与相应方法相同的技术效果。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。

Claims (6)

1.一种网络数据识别方法,其特征在于,包括以下步骤:
获取网络数据;
根据网络数据的类型,获取对应的特征数据;
根据所述特征数据,获取当前分析规则,并根据所述分析规则获取对应的分析特征,所述分析特征包括模拟响应特征、网络服务特征、上下文特征以及模糊检测特征;
判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集;
根据预设识别规则识别所述目标特征同类集,获取对应的目标识别数据;
根据所述目标识别数据的类型形成目标分析项;
其中,所述预设识别规则包括目标蜜罐识别规则,所述根据预设识别规则识别所述目标特征同类集,获取对应的目标识别数据包括以下步骤:
根据所述目标蜜罐识别规则,获取目标蜜罐特征标准;
根据所述目标特征同类集,获取蜜罐同类特征;
判断所述蜜罐同类特征是否符合所述目标蜜罐特征标准;
若所述蜜罐同类特征符合所述目标蜜罐特征标准,则获取对应的目标蜜罐数据作为目标识别数据;
所述预设识别规则包括目标数据识别规则,所述根据预设识别规则识别所述目标特征同类集,获取对应的目标识别数据包括以下步骤:
根据所述目标数据识别规则,获取目标数据特征;
根据所述目标特征同类集,获取数据集;
从所述数据集中获取不符合所述目标数据特征的目标识别数据。
2.根据权利要求1所述的一种网络数据识别方法,其特征在于,所述目标特征同类集包括协议返回特征同类集,所述判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集包括以下步骤:
根据所述模拟响应特征,获取响应固定参数;
根据所述响应固定参数,确认协议返回特征,并根据所述协议返回特征形成协议返回特征同类集。
3.根据权利要求1所述的一种网络数据识别方法,其特征在于,所述目标特征同类集包括网络特征同类集,所述判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集还包括以下步骤:
根据所述网络服务特征,获取服务特征数据;
根据预设特征规则处理所述服务特征数据,确定处理结果;
根据所述处理结果,形成网络特征同类集。
4.根据权利要求1所述的一种网络数据识别方法,其特征在于,所述目标特征同类集包括上下文特征同类集,所述判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集还包括以下步骤:
根据所述上下文特征,获取默认配置命令;
执行所述默认配置命令,确定执行结果;
根据所述执行结果,形成上下文特征同类集。
5.根据权利要求1所述的一种网络数据识别方法,其特征在于,所述目标特征同类集包括模糊检测特征同类集,所述判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集还包括以下步骤:
根据模糊检测特征,获取检测数据;
分析所述检测数据,获取检测结果;
判断所述检测结果,获取判断结果,并根据所述判断结果形成模糊检测特征同类集。
6.一种网络数据识别系统,用于执行权利要求1至5任一项所述的一种网络数据识别方法,其特征在于,包括:
获取模块(1),用于获取网络数据,还用于根据网络数据的类型,获取对应的特征数据;
分析模块(2),用于根据所述特征数据,获取当前分析规则,并根据所述分析规则获取对应的分析特征;
判断模块(3),用于判断所述分析特征是否符合预设特征规则,获取符合所述预设特征规则的目标特征同类集;
生成模块(4),用于根据所述目标特征同类集,获取目标分析项;
所述生成模块(4)包括:
识别单元(41),用于根据预设识别规则识别所述目标特征同类集,获取对应的目标识别数据;
形成单元(42),用于根据所述目标识别数据的类型形成所述目标分析项。
CN202210785234.6A 2022-07-05 2022-07-05 一种网络数据识别方法及系统 Active CN115242467B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210785234.6A CN115242467B (zh) 2022-07-05 2022-07-05 一种网络数据识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210785234.6A CN115242467B (zh) 2022-07-05 2022-07-05 一种网络数据识别方法及系统

Publications (2)

Publication Number Publication Date
CN115242467A CN115242467A (zh) 2022-10-25
CN115242467B true CN115242467B (zh) 2024-02-06

Family

ID=83670998

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210785234.6A Active CN115242467B (zh) 2022-07-05 2022-07-05 一种网络数据识别方法及系统

Country Status (1)

Country Link
CN (1) CN115242467B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110768987A (zh) * 2019-10-28 2020-02-07 电子科技大学 一种基于sdn的虚拟蜜网动态部署方法及系统
CN112801233A (zh) * 2021-04-07 2021-05-14 杭州海康威视数字技术股份有限公司 一种物联网设备蜜罐系统攻击分类方法、装置及设备
WO2021104270A1 (zh) * 2019-11-26 2021-06-03 中兴通讯股份有限公司 配置异常检测方法、服务器以及存储介质
EP3343869B1 (en) * 2016-12-28 2021-06-09 Deutsche Telekom AG A method for modeling attack patterns in honeypots
CN113472819A (zh) * 2021-09-03 2021-10-01 国际关系学院 基于指纹特征的蜜罐探测识别方法及装置
CN113810408A (zh) * 2021-09-16 2021-12-17 杭州安恒信息技术股份有限公司 网络攻击组织的探测方法、装置、设备及可读存储介质
CN113824575A (zh) * 2020-06-18 2021-12-21 中国移动通信集团浙江有限公司 故障节点识别的方法、装置、计算设备及计算机存储介质
CN114329489A (zh) * 2021-12-28 2022-04-12 安天科技集团股份有限公司 Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质
WO2022127482A1 (zh) * 2020-12-18 2022-06-23 华为技术有限公司 一种网络安全防护方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8667582B2 (en) * 2007-12-10 2014-03-04 Mcafee, Inc. System, method, and computer program product for directing predetermined network traffic to a honeypot
US11265346B2 (en) * 2019-12-19 2022-03-01 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3343869B1 (en) * 2016-12-28 2021-06-09 Deutsche Telekom AG A method for modeling attack patterns in honeypots
CN110768987A (zh) * 2019-10-28 2020-02-07 电子科技大学 一种基于sdn的虚拟蜜网动态部署方法及系统
WO2021104270A1 (zh) * 2019-11-26 2021-06-03 中兴通讯股份有限公司 配置异常检测方法、服务器以及存储介质
CN113824575A (zh) * 2020-06-18 2021-12-21 中国移动通信集团浙江有限公司 故障节点识别的方法、装置、计算设备及计算机存储介质
WO2022127482A1 (zh) * 2020-12-18 2022-06-23 华为技术有限公司 一种网络安全防护方法及装置
CN112801233A (zh) * 2021-04-07 2021-05-14 杭州海康威视数字技术股份有限公司 一种物联网设备蜜罐系统攻击分类方法、装置及设备
CN113472819A (zh) * 2021-09-03 2021-10-01 国际关系学院 基于指纹特征的蜜罐探测识别方法及装置
CN113810408A (zh) * 2021-09-16 2021-12-17 杭州安恒信息技术股份有限公司 网络攻击组织的探测方法、装置、设备及可读存储介质
CN114329489A (zh) * 2021-12-28 2022-04-12 安天科技集团股份有限公司 Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质

Also Published As

Publication number Publication date
CN115242467A (zh) 2022-10-25

Similar Documents

Publication Publication Date Title
US11330000B2 (en) Malware detector
US10200384B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US8015605B2 (en) Scalable monitor of malicious network traffic
EP3188436B1 (en) Platform for protecting small and medium enterprises from cyber security threats
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
US8549650B2 (en) System and method for three-dimensional visualization of vulnerability and asset data
US7761918B2 (en) System and method for scanning a network
US8701192B1 (en) Behavior based signatures
US20150222655A1 (en) System and method for identifying exploitable weak points in a network
Torabi et al. Inferring and investigating IoT-generated scanning campaigns targeting a large network telescope
US20140013436A1 (en) System and method for enabling remote registry service security audits
Krueger et al. ASAP: Automatic semantics-aware analysis of network payloads
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
US20110030059A1 (en) Method for testing the security posture of a system
Rezaeirad et al. {Schrödinger’s}{RAT}: Profiling the stakeholders in the remote access trojan ecosystem
CN110768949B (zh) 探测漏洞的方法及装置、存储介质、电子装置
CN115883223A (zh) 用户风险画像的生成方法及装置、电子设备、存储介质
Leita et al. Exploiting diverse observation perspectives to get insights on the malware landscape
CN115242467B (zh) 一种网络数据识别方法及系统
CN111371917B (zh) 一种域名检测方法及系统
JP3986871B2 (ja) アンチプロファイリング装置およびアンチプロファイリングプログラム
Xu et al. Identifying malware with HTTP content type inconsistency via header-payload comparison
Aung et al. ATLAS: A Practical Attack Detection and Live Malware Analysis System for IoT Threat Intelligence
US20140331321A1 (en) Building filter through utilization of automated generation of regular expression
CN115883258B (zh) Ip信息处理方法、装置、电子设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant