CN115567322B - 一种基于tcp服务开放端口识别异常通信的方法 - Google Patents

一种基于tcp服务开放端口识别异常通信的方法 Download PDF

Info

Publication number
CN115567322B
CN115567322B CN202211420477.6A CN202211420477A CN115567322B CN 115567322 B CN115567322 B CN 115567322B CN 202211420477 A CN202211420477 A CN 202211420477A CN 115567322 B CN115567322 B CN 115567322B
Authority
CN
China
Prior art keywords
record set
extracting
server
session
data frame
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211420477.6A
Other languages
English (en)
Other versions
CN115567322A (zh
Inventor
徐文勇
蔡葳蕤
朱志宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Shumo Technology Co ltd
Original Assignee
Chengdu Shumo Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Shumo Technology Co ltd filed Critical Chengdu Shumo Technology Co ltd
Priority to CN202211420477.6A priority Critical patent/CN115567322B/zh
Publication of CN115567322A publication Critical patent/CN115567322A/zh
Application granted granted Critical
Publication of CN115567322B publication Critical patent/CN115567322B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明公开了一种基于TCP服务开放端口识别异常通信的方法,属于网络安全检测技术领域,其特征在于,包括以下步骤:S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;S2、提取会话开始时间、服务端IP和服务端端口;S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;S4、查询数据库,抽取记录集X和记录集Y;S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。本发明能够有效发现网络中可疑端口通信,确定是否为异常操作,极大的提高了识别异常通信的准确性,方便网络管理人员进行网络管理,保障安全运维。

Description

一种基于TCP服务开放端口识别异常通信的方法
技术领域
本发明涉及到网络安全检测技术领域,尤其涉及一种基于TCP服务开放端口识别异常通信的方法。
背景技术
随着网络规模的迅速扩张,网络中大量主机任意开放端口,导致资产难以管理同时也增加网络风险,对于网络管理、安全运维人员而言,要及时对该情况进行管理及分析难度较大。
目前对该情况进行的解决方案主要有:依靠访问策略的防护设备和传统流量审计系统。
传统依靠访问策略的防护设备主要基于防火墙对通信数据进行访问限制或对日志结果进行审计,但以上模式主要依靠策略进行主动限制,灵活性不足。
而对于传统的流量审计系统,大部分仅对网络中的会话及内容进行审计,未对端口开放的合法性进行分析;如果网络管理人员有详细的服务端口开放资产表,可对当前的端口开放情况进行预警,但其研判预警手段只能通过资产更新人为干预的方式进行管理,效率低下。
公开号为CN114679338A,公开日为2022年06月28日的中国专利文献公开了一种基于网络安全态势感知的网络风险评估方法,其特征在于,包括:
数据采集平台基于威胁潜伏探针进行数据的收集;
大数据分析平台采用用户和实体行为分析、威胁建模及机器学习,将特征检测和行为检测相结合,对所述数据进行分析并接收威胁情报;
大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估,并将网络风险评估结果发送至告警及控制中心;
其中,大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估,包括:从网络性能指标中,选取指标进行实验;通过贝叶斯网络进行分析,确定各指标之间的依赖关系,画出贝叶斯网络拓扑结构图;对所述数据的分析结果以及接收到的威胁情报行归一化处理,得到对应指标某一时间段的时间序列图,然后进行统计分析,计算出各指标的先验概率和各指标的后验概率;通过上述计算结果,结合评估系数公式,求出各指标的某个风险因素的概率变化的最大允许量并进行排序,最后计算网络风险率,结合风险等级表查看当前时刻的网络风险等级。
该专利文献公开的一种基于网络安全态势感知的网络风险评估方法,能够解决目前网络安全事件分析难度大,安全威胁处理陷入困局,网络攻击越来越复杂,安全问题难以检测的问题。但是,受制约因素较多,实现过程较为繁琐,其结果的准确性难以保证。
发明内容
本发明为了克服上述现有技术的缺陷,提供一种基于TCP服务开放端口识别异常通信的方法,本发明通过对网络流量中服务端、服务端端口和会话开始时间进行对比分析,能够有效发现网络中可疑端口通信,进一步确定是否为异常操作,极大的提高了识别异常通信的准确性,方便网络管理人员进行网络管理,保障安全运维。
本发明通过下述技术方案实现:
一种基于TCP服务开放端口识别异常通信的方法,其特征在于,包括以下步骤:
S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;
S2、提取会话开始时间、服务端IP和服务端端口;
S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;
S4、查询数据库,抽取记录集X和记录集Y;
S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。
所述步骤S1具体包括:
S11、识别会话是否为TCP协议,非TCP协议的会话数据帧直接丢弃;
S12、判断会话是否经过完整三次握手,会话流最开始部分连续的SYN数据帧、SYN+ACK数据帧和ACK数据帧,未经过三次握手的数据帧直接丢弃;
S13、抽取TCP会话流的SYN数据帧。
所述步骤S2具体包括:
S21、提取SYN数据帧头部的时间戳,作为会话开始时间;
S22、提取SYN数据帧的IP协议头的目的地址作为服务端IP;
S23、提取SYN数据帧的TCP协议头的目的端口作为服务端端口。
所述步骤S4中,抽取记录集X和记录集Y具体是指对数据库中会话开始时间在时间点A到时间点B内的记录提取成记录集X,对时间点C到时间点D内的会话提取成记录集Y。
所述记录集X的时间段为A到B作为分析的目标时间段,记录集Y的时间段为C到D作为对比时间段。
所述目标时间段和对比时间段为多个不重叠且不连续的时间段。
所述对比时间段的范围大于目标时间段的范围。
所述步骤S5具体包括:
S51、遍历记录集X中的服务端IP和服务端端口,抽取一条记录作为参考对象,对比服务端IP和服务端端口是否存在于记录集Y中,若是则丢弃,若否则继续步骤S52;
S52、判断步骤S51记录的服务端IP是否为内网地址,若是则加入异常通信的记录集Z,若否则丢弃;
S53、继续遍历,直至记录集X遍历完成。
本发明所述TCP是指传输控制协议。
本发明所述IP是指网际协议。
本发明所述SYN是指同步序列编号,是TCP/IP协议建立连接时的握手信号,为数据帧中TCP字段中的标识位。
本发明所述ACK是指确认位,在TCP/IP协议中表示发来的数据已确认接受无误,为数据帧中TCP字段中的标识位。
本发明的有益效果主要表现在以下方面:
1、本发明,S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;S2、提取会话开始时间、服务端IP和服务端端口;S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;S4、查询数据库,抽取记录集X和记录集Y;S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z,较现有技术而言,本发明通过对网络流量中服务端、服务端端口和会话开始时间进行对比分析,能够有效发现网络中可疑端口通信,进一步确定是否为异常操作,极大的提高了识别异常通信的准确性,方便网络管理人员进行网络管理,保障安全运维。
2、针对依靠访问策略的防护设备,存在端口访问策略未生效、策略不够严谨及防护设备失陷导致策略失效致使灵活性不足而言,本发明采用旁路镜像流量的方式进行,其通信情况真实可靠,灵活性好。
3、对于传统的流量审计系统存在的效率问题而言,本发明采用自动对比的方式,在网络管理人员没有服务端口开放资产表的情况下依然能对临时出现的端口进行快速预警,预警高效便捷。
4、本发明,利用服务端IP及服务端端口在不同时间段上进行端口差异对比,能够发现可疑端口开放,进而发现异常通信。
5、本发明,对比时间段的范围大于目标时间段的范围,能够极大的提高对比结果的可靠性。
6、本发明,对比时间段和目标时间段可根据需要进行灵活调整,具有较好的灵活性。
附图说明
下面将结合说明书附图和具体实施方式对本发明作进一步的具体说明:
图1为本发明的逻辑框图。
具体实施方式
实施例1
参见图1,一种基于TCP服务开放端口识别异常通信的方法,包括以下步骤:
S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;
S2、提取会话开始时间、服务端IP和服务端端口;
S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;
S4、查询数据库,抽取记录集X和记录集Y;
S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。
本实施例为最基本的实施方式,通过对网络流量中服务端、服务端端口和会话开始时间进行对比分析,能够有效发现网络中可疑端口通信,进一步确定是否为异常操作,极大的提高了识别异常通信的准确性,方便网络管理人员进行网络管理,保障安全运维。
实施例2
参见图1,一种基于TCP服务开放端口识别异常通信的方法,包括以下步骤:
S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;
S2、提取会话开始时间、服务端IP和服务端端口;
S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;
S4、查询数据库,抽取记录集X和记录集Y;
S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。
所述步骤S1具体包括:
S11、识别会话是否为TCP协议,非TCP协议的会话数据帧直接丢弃;
S12、判断会话是否经过完整三次握手,会话流最开始部分连续的SYN数据帧、SYN+ACK数据帧和ACK数据帧,未经过三次握手的数据帧直接丢弃;
S13、抽取TCP会话流的SYN数据帧。
本实施例为一较佳实施方式,针对依靠访问策略的防护设备,存在端口访问策略未生效、策略不够严谨及防护设备失陷导致策略失效致使灵活性不足而言,本发明采用旁路镜像流量的方式进行,其通信情况真实可靠,灵活性好。
实施例3
参见图1,一种基于TCP服务开放端口识别异常通信的方法,包括以下步骤:
S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;
S2、提取会话开始时间、服务端IP和服务端端口;
S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;
S4、查询数据库,抽取记录集X和记录集Y;
S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。
所述步骤S1具体包括:
S11、识别会话是否为TCP协议,非TCP协议的会话数据帧直接丢弃;
S12、判断会话是否经过完整三次握手,会话流最开始部分连续的SYN数据帧、SYN+ACK数据帧和ACK数据帧,未经过三次握手的数据帧直接丢弃;
S13、抽取TCP会话流的SYN数据帧。
进一步的,所述步骤S2具体包括:
S21、提取SYN数据帧头部的时间戳,作为会话开始时间;
S22、提取SYN数据帧的IP协议头的目的地址作为服务端IP;
S23、提取SYN数据帧的TCP协议头的目的端口作为服务端端口。
本实施例为又一较佳实施方式,对于传统的流量审计系统存在的效率问题而言,本发明采用自动对比的方式,在网络管理人员没有服务端口开放资产表的情况下依然能对临时出现的端口进行快速预警,预警高效便捷。
实施例4
参见图1,一种基于TCP服务开放端口识别异常通信的方法,包括以下步骤:
S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;
S2、提取会话开始时间、服务端IP和服务端端口;
S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;
S4、查询数据库,抽取记录集X和记录集Y;
S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。
所述步骤S1具体包括:
S11、识别会话是否为TCP协议,非TCP协议的会话数据帧直接丢弃;
S12、判断会话是否经过完整三次握手,会话流最开始部分连续的SYN数据帧、SYN+ACK数据帧和ACK数据帧,未经过三次握手的数据帧直接丢弃;
S13、抽取TCP会话流的SYN数据帧。
所述步骤S2具体包括:
S21、提取SYN数据帧头部的时间戳,作为会话开始时间;
S22、提取SYN数据帧的IP协议头的目的地址作为服务端IP;
S23、提取SYN数据帧的TCP协议头的目的端口作为服务端端口。
所述步骤S4中,抽取记录集X和记录集Y具体是指对数据库中会话开始时间在时间点A到时间点B内的记录提取成记录集X,对时间点C到时间点D内的会话提取成记录集Y。
所述记录集X的时间段为A到B作为分析的目标时间段,记录集Y的时间段为C到D作为对比时间段。
所述目标时间段和对比时间段为多个不重叠且不连续的时间段。
所述对比时间段的范围大于目标时间段的范围。
本实施例为又一较佳实施方式,利用服务端IP及服务端端口在不同时间段上进行端口差异对比,能够发现可疑端口开放,进而发现异常通信。
实施例5
参见图1,一种基于TCP服务开放端口识别异常通信的方法,包括以下步骤:
S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;
S2、提取会话开始时间、服务端IP和服务端端口;
S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;
S4、查询数据库,抽取记录集X和记录集Y;
S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。
所述步骤S1具体包括:
S11、识别会话是否为TCP协议,非TCP协议的会话数据帧直接丢弃;
S12、判断会话是否经过完整三次握手,会话流最开始部分连续的SYN数据帧、SYN+ACK数据帧和ACK数据帧,未经过三次握手的数据帧直接丢弃;
S13、抽取TCP会话流的SYN数据帧。
所述步骤S2具体包括:
S21、提取SYN数据帧头部的时间戳,作为会话开始时间;
S22、提取SYN数据帧的IP协议头的目的地址作为服务端IP;
S23、提取SYN数据帧的TCP协议头的目的端口作为服务端端口。
所述步骤S4中,抽取记录集X和记录集Y具体是指对数据库中会话开始时间在时间点A到时间点B内的记录提取成记录集X,对时间点C到时间点D内的会话提取成记录集Y。所述记录集X的时间段为A到B作为分析的目标时间段,记录集Y的时间段为C到D作为对比时间段。所述目标时间段和对比时间段为多个不重叠且不连续的时间段。所述对比时间段的范围大于目标时间段的范围。
进一步的,所述步骤S5具体包括:
S51、遍历记录集X中的服务端IP和服务端端口,抽取一条记录作为参考对象,对比服务端IP和服务端端口是否存在于记录集Y中,若是则丢弃,若否则继续步骤S52;
S52、判断步骤S51记录的服务端IP是否为内网地址,若是则加入异常通信的记录集Z,若否则丢弃;
S53、继续遍历,直至记录集X遍历完成。
本实施例为最佳实施方式,对比时间段的范围大于目标时间段的范围,能够极大的提高对比结果的可靠性。
对比时间段和目标时间段可根据需要进行灵活调整,具有较好的灵活性。

Claims (2)

1.一种基于TCP服务开放端口识别异常通信的方法,其特征在于,包括以下步骤:
S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;
S2、提取会话开始时间、服务端IP和服务端端口;
S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;
S4、查询数据库,抽取记录集X和记录集Y;
S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z;
所述步骤S2具体包括:
S21、提取SYN数据帧头部的时间戳,作为会话开始时间;
S22、提取SYN数据帧的IP协议头的目的地址作为服务端IP;
S23、提取SYN数据帧的TCP协议头的目的端口作为服务端端口;
所述步骤S4中,抽取记录集X和记录集Y具体是指对数据库中会话开始时间在时间点A到时间点B内的记录提取成记录集X,对时间点C到时间点D内的会话提取成记录集Y;
所述记录集X的时间段为A到B作为分析的目标时间段,记录集Y的时间段为C到D作为对比时间段;
所述目标时间段和对比时间段为多个不重叠且不连续的时间段;
所述对比时间段的范围大于目标时间段的范围;
所述步骤S5具体包括:
S51、遍历记录集X中的服务端IP和服务端端口,抽取一条记录作为参考对象,对比服务端IP和服务端端口是否存在于记录集Y中,若是则丢弃,若否则继续步骤S52;
S52、判断步骤S51记录的服务端IP是否为内网地址,若是则加入异常通信的记录集Z,若否则丢弃;
S53、继续遍历,直至记录集X遍历完成。
2.根据权利要求1所述的一种基于TCP服务开放端口识别异常通信的方法,其特征在于:所述步骤S1具体包括:
S11、识别会话是否为TCP协议,非TCP协议的会话数据帧直接丢弃;
S12、判断会话是否经过完整三次握手,会话流最开始部分连续的SYN数据帧、SYN+ACK数据帧和ACK数据帧,未经过三次握手的数据帧直接丢弃;
S13、抽取TCP会话流的SYN数据帧。
CN202211420477.6A 2022-11-15 2022-11-15 一种基于tcp服务开放端口识别异常通信的方法 Active CN115567322B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211420477.6A CN115567322B (zh) 2022-11-15 2022-11-15 一种基于tcp服务开放端口识别异常通信的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211420477.6A CN115567322B (zh) 2022-11-15 2022-11-15 一种基于tcp服务开放端口识别异常通信的方法

Publications (2)

Publication Number Publication Date
CN115567322A CN115567322A (zh) 2023-01-03
CN115567322B true CN115567322B (zh) 2023-03-10

Family

ID=84770399

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211420477.6A Active CN115567322B (zh) 2022-11-15 2022-11-15 一种基于tcp服务开放端口识别异常通信的方法

Country Status (1)

Country Link
CN (1) CN115567322B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102307123A (zh) * 2011-09-06 2012-01-04 电子科技大学 基于传输层流量特征的nat流量识别方法
CN107465690A (zh) * 2017-09-12 2017-12-12 国网湖南省电力公司 一种基于流量分析的被动式异常端口实时检测方法及系统
CN111614674A (zh) * 2020-05-21 2020-09-01 四川英得赛克科技有限公司 一种异常访问行为检测方法、系统、介质及其设备

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7272649B1 (en) * 1999-09-30 2007-09-18 Cisco Technology, Inc. Automatic hardware failure detection and recovery for distributed max sessions server
US20080137542A1 (en) * 2006-12-11 2008-06-12 Inventec Corporation Method for detecting abnormal network packets
KR102045468B1 (ko) * 2015-07-27 2019-11-15 한국전자통신연구원 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
US10382436B2 (en) * 2016-11-22 2019-08-13 Daniel Chien Network security based on device identifiers and network addresses
CN106506556B (zh) * 2016-12-29 2019-11-19 北京神州绿盟信息安全科技股份有限公司 一种网络流量异常检测方法及装置
CN111092900B (zh) * 2019-12-24 2022-04-05 北京北信源软件股份有限公司 服务器异常连接和扫描行为的监控方法和装置
CN114598499B (zh) * 2021-11-26 2024-01-23 国网辽宁省电力有限公司大连供电公司 结合业务应用的网络风险行为分析方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102307123A (zh) * 2011-09-06 2012-01-04 电子科技大学 基于传输层流量特征的nat流量识别方法
CN107465690A (zh) * 2017-09-12 2017-12-12 国网湖南省电力公司 一种基于流量分析的被动式异常端口实时检测方法及系统
CN111614674A (zh) * 2020-05-21 2020-09-01 四川英得赛克科技有限公司 一种异常访问行为检测方法、系统、介质及其设备

Also Published As

Publication number Publication date
CN115567322A (zh) 2023-01-03

Similar Documents

Publication Publication Date Title
CN109587179B (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN101924757B (zh) 追溯僵尸网络的方法和系统
US20100287615A1 (en) Intrusion detection method and system
US20050044406A1 (en) Adaptive behavioral intrusion detection systems and methods
CN107623685B (zh) 快速检测SYN Flood攻击的方法及装置
CN111683097A (zh) 一种基于两级架构的云网络流量监控系统
CN110191004B (zh) 一种端口检测方法及系统
CN110958231A (zh) 基于互联网的工控安全事件监测平台及其方法
CN109150869A (zh) 一种交换机信息采集分析系统及方法
CN113518057A (zh) 分布式拒绝服务攻击的检测方法、装置及其计算机设备
CN117640257B (zh) 一种基于大数据的网络安全运营的数据处理方法及系统
CN111526109B (zh) 自动检测web威胁识别防御系统的运行状态的方法及装置
CN117376031B (zh) 基于数据分析的印控仪网络传输监管预警系统
CN117560196A (zh) 一种智慧变电站二次系统测试系统及方法
CN115567322B (zh) 一种基于tcp服务开放端口识别异常通信的方法
CN111478925B (zh) 应用于工业控制环境的端口扫描检测方法、系统
CN111865951A (zh) 一种基于数据包特征提取的网络数据流异常检测方法
CN116633685A (zh) 基于IPv6发展态势监测的分析方法
CN110753053B (zh) 一种基于大数据分析的流量异常预判方法
CN112291213A (zh) 一种基于智能终端的异常流量分析方法及装置
Xue et al. Research of worm intrusion detection algorithm based on statistical classification technology
CN115428397A (zh) 工业控制系统安全性分析方法、装置和计算机可读介质
CN117609990B (zh) 一种基于场景关联分析引擎的自适应安全防护方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant