CN116208347A - 一种网络异常的检测方法、系统及装置 - Google Patents
一种网络异常的检测方法、系统及装置 Download PDFInfo
- Publication number
- CN116208347A CN116208347A CN202111440569.6A CN202111440569A CN116208347A CN 116208347 A CN116208347 A CN 116208347A CN 202111440569 A CN202111440569 A CN 202111440569A CN 116208347 A CN116208347 A CN 116208347A
- Authority
- CN
- China
- Prior art keywords
- connection
- detection
- network
- connections
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种检测网络异常的方法、系统及装置,实时监测网络流量,根据不同检测条件的加权系数分别计算对应的异常值,进一步判断异常值是否超过预设的告警阈值,决定是否进行告警,从而能准确检测到异常网络流量。
Description
技术领域
本发明属于网络安全技术领域,尤其是涉及一种检测网络异常的方法与应用该方法的网络检测系统及装置。
背景技术
入侵检测,即收集计算机网络或系统中的若干关键点信息并分析,以发现是否存在可疑行为或遭受攻击的迹象。现实中,攻击行为常常混夹于正常的网络数据包之中,因此若要实现入侵行为的检测,必须对网络流量进行实时监测和管理,灵活、准确的判断流经网络的数据包是否异常并根据判断结果对数据包进行相应的处理,对提高网络的可靠性和可用性有着重要的意义。
发明内容
有鉴于此,本发明旨在提供一种检测网络异常的方法、系统及装置,以实现实时、准确的发现网络中的异常流量。
第一方面,一种网络异常检测方法,包括:旁路抓取并解析数据包,根据TCP/IP连接的各个属性,将获取到的各个连接信息依次存储;根据所述连接的属性信息查询历史记录,判断当前连接是否已存在,若已存在则累加该连接的统计次数,否则创建相应的连接记录;根据检测条件统计连接数并计算符合所述检测条件的连接的异常值,判断所述异常值是否超过预设告警阈值,若超过则告警,否则检测结束。
较佳的,所述连接的异常值等于符合检测条件的连接数在总连接数的占比*所述检测条件对应的加权系数。
所述检测条件的加权系数,与符合该条件时流量发生异常的概率正相关,所述流量发生异常的概率大小根据历史统计的流量与异常发生的关系确定。而所述检测条件包括特定时间段、特定访问源、特定访问目标与连接的特定状态。
所述TCP/IP连接的属性包括源IP、源端口、目的IP、目的端口与连接状态;所述将获取到的各个连接信息依次存储时为每个连接创建唯一的ID,并记录该连接的时间戳。
较佳的,判断连接是否已存在,包括依次比对当前连接与历史记录连接的各个属性信息是否相同,若各个属性信息均相同则当前连接已存在。
以及,不同检测条件下的告警阈值根据历史统计的检测到网络异常时的异常值确定。
第二方面,一种网络异常检测系统,包括:
解析模块,解析旁路抓取到的数据包,根据TCP/IP连接的各个属性,将获取到的各个连接信息依次存储至存储模块;
存储模块,依次存储收到的各个TCP/IP连接的包括源IP、源端口、目的IP、目的端口与连接状态的属性内容;
判断模块,根据所述连接的属性信息查询历史记录,判断当前连接是否已存在,若已存在则累加该连接的统计次数,否则创建相应的连接记录;以及根据检测条件统计连接数并计算符合所述检测条件的连接的异常值,判断所述异常值是否超过预设告警阈值。
执行模块,若所述异常值超过预设告警阈值则进行告警,否则检测结束。
进一步的,所述判断模块判断网络是否异常的过程,具体包括:创建检测条件,包括特定时间段、特定访问源、特定访问目标与连接的特定状态;确定检测条件的加权系数,所述加权系数与符合该条件时流量发生异常的概率正相关,所述流量发生异常的概率大小根据历史统计的流量与异常发生的关系确定;计算异常值:等于符合检测条件的连接数在总连接数的占比*所述检测条件对应的加权系数。
同时,本发明还提供一种网络异常检测装置,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现如上所述的网络异常检测方法。
采用上述技术方案的本发明,至少具有以下有益效果:实时监测网络流量,根据不同检测条件的加权系数分别计算对应的异常值,进一步判断异常值是否超过预设的告警阈值,决定是否进行告警,从而能准确检测到异常网络流量。
附图说明
图1为本发明的网络异常检测方法实施例的,检测流程示意图;
图2为本发明的网络异常检测系统实施例的,组成模块示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
为了方便理解,下面对本发明实施例中涉及的技术术语进行解释:
网络流量,连接网络的设备(包括各种网络设备、安全设备、服务器等)在网络上所产生的数据包的集合。
网络异常往往由网络攻击、蠕虫病毒、网络滥用等原因引起的,例如:各种网络扫描、DDoS攻击、网络蠕虫 病毒、恶意下载、对网络资源的不当使用等都会造成网络性能下降,严重时会影响正常的网络使用,造成网络拥塞,甚至造成网络中断、网络设备的失效。
如图1所示,提出一种网络异常检测方法的实施例,包括:
首先,旁路抓取并解析数据包,根据TCP/IP连接的各个属性,将获取到的各个连接信息依次存储;
作为较佳的,所述TCP/IP连接的属性包括源IP、源端口、目的IP、目的端口与连接状态;所述将获取到的各个连接信息依次存储时为每个连接创建唯一的ID,并记录该连接的时间戳。
其次,根据所述连接的属性信息查询历史记录,判断当前连接是否已存在,若已存在则累加该连接的统计次数,否则创建相应的连接记录;
作为较佳的,所述判断连接是否已存在,包括依次比对当前连接与历史记录连接的各个属性信息是否相同,若各个属性信息均相同则当前连接已存在。
再次,根据检测条件统计连接数并计算符合所述检测条件的连接的异常值;
作为较佳的,所述连接的异常值等于符合检测条件的连接数在总连接数的占比*所述检测条件对应的加权系数;
进一步的,所述检测条件的加权系数,与符合该条件时流量发生异常的概率正相关,所述流量发生异常的概率大小根据历史统计的流量与异常发生的关系确定;
以及,所述检测条件包括特定时间段、特定访问源、特定访问目标与连接的特定状态。
最后,判断所述异常值是否超过预设告警阈值,若超过则告警,否则检测结束;作为较佳的,不同检测条件下的告警阈值根据历史统计的检测到网络异常时的异常值确定。
例如,规定早8点至晚18点、晚18点至23点、晚23点至次日8点三个时间段内的访问连接的加权系数分别为0.4、0.6、0.8,由于通常情况下发生于晚23点至次日8点的连接较少,因此该时间段内连接的异常概率较大,则加权系数相对较大;并且规定访问目标A、B、C的连接加权系数分别为0.5、0.7、0.9,不同目标的加权系数可以根据该目标的重要性确定,从而越重要的目标越容易被攻击,因此其加权系数越大。
旁路抓取访问目标A、B、C的连接,创建历史记录表并且记录每个连接的内容(访问时间,访问源IP,访问目的IP);以及,对于收到的每个连接,查询所述历史记录表中是否存在同样的访问源IP与访问目的IP,若已存在则累加对应的连接数,若不存在则添加进历史记录表并统计对应的连接数为1。
如果将特定时间段内(晚18点至23点)访问特定目标(A)作为检测条件时,计算符合该检测条件的连接异常值=晚18点至23点访问A的连接数/总连接数*(0.8*0.5),即若检测条件为两个以上时,加权系数可以为两个条件各自的加权系数之积。
判断计算的所述检测条件下的异常值是否超过预设的告警阈值,以进行进一步的处断,包括告警、审计、阻断相应连接等。
如图2所示,一种网络异常检测系统,包括:
解析模块,解析旁路抓取到的数据包,根据TCP/IP连接的各个属性,将获取到的各个连接信息依次存储至存储模块;
存储模块,依次存储收到的各个TCP/IP连接的包括源IP、源端口、目的IP、目的端口与连接状态的属性内容;
判断模块,根据所述连接的属性信息查询历史记录,判断当前连接是否已存在,若已存在则累加该连接的统计次数,否则创建相应的连接记录;以及根据检测条件统计连接数并计算符合所述检测条件的连接的异常值,判断所述异常值是否超过预设告警阈值。
执行模块,若所述异常值超过预设告警阈值则进行告警,否则检测结束。
作为较佳的实现方式,所述判断模块判断网络是否异常的过程,具体包括:创建检测条件,包括特定时间段、特定访问源、特定访问目标与连接的特定状态;确定检测条件的加权系数,所述加权系数与符合该条件时流量发生异常的概率正相关,所述流量发生异常的概率大小根据历史统计的流量与异常发生的关系确定;计算异常值:等于符合检测条件的连接数在总连接数的占比*所述检测条件对应的加权系数。
本发明还提供一种网络异常检测装置实施例,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现如上所述的网络异常检测方法。
同时,本领域普通技术人员可以理解的是,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
对上述公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和相一致的最宽的范围。
Claims (10)
1.一种网络异常检测方法,其特征在于,包括:旁路抓取并解析数据包,根据TCP/IP连接的各个属性,将获取到的各个连接信息依次存储;根据所述连接的属性信息查询历史记录,判断当前连接是否已存在,若已存在则累加该连接的统计次数,否则创建相应的连接记录;根据检测条件统计连接数并计算符合所述检测条件的连接的异常值,判断所述异常值是否超过预设告警阈值,若超过则告警,否则检测结束。
2.根据权利要求1所述的网络异常检测方法,其特征在于,所述连接的异常值等于符合检测条件的连接数在总连接数的占比*所述检测条件对应的加权系数。
3.根据权利要求2所述的网络异常检测方法,其特征在于,所述检测条件的加权系数,与符合该条件时流量发生异常的概率正相关,所述流量发生异常的概率大小根据历史统计的流量与异常发生的关系确定。
4.根据权利要求1所述的网络异常检测方法,其特征在于,所述检测条件包括特定时间段、特定访问源、特定访问目标与连接的特定状态。
5.根据权利要求1所述的网络异常检测方法,其特征在于,所述TCP/IP连接的属性包括源IP、源端口、目的IP、目的端口与连接状态;所述将获取到的各个连接信息依次存储时为每个连接创建唯一的ID,并记录该连接的时间戳。
6.根据权利要求1所述的网络异常检测方法,其特征在于,判断连接是否已存在,包括依次比对当前连接与历史记录连接的各个属性信息是否相同,若各个属性信息均相同则当前连接已存在。
7.根据权利要求1所述的网络异常检测方法,其特征在于,不同检测条件下的告警阈值根据历史统计的检测到网络异常时的异常值确定。
8.一种网络异常检测系统,其特征在于,包括:
解析模块,解析旁路抓取到的数据包,根据TCP/IP连接的各个属性,将获取到的各个连接信息依次存储至存储模块;
存储模块,依次存储收到的各个TCP/IP连接的包括源IP、源端口、目的IP、目的端口与连接状态的属性内容;
判断模块,根据所述连接的属性信息查询历史记录,判断当前连接是否已存在,若已存在则累加该连接的统计次数,否则创建相应的连接记录;以及根据检测条件统计连接数并计算符合所述检测条件的连接的异常值,判断所述异常值是否超过预设告警阈值;
执行模块,若所述异常值超过预设告警阈值则进行告警,否则检测结束。
9.根据权利要求8所述的网络异常检测系统,其特征在于,所述判断模块判断网络是否异常的过程,具体包括:创建检测条件,包括特定时间段、特定访问源、特定访问目标与连接的特定状态;确定检测条件的加权系数,所述加权系数与符合该条件时流量发生异常的概率正相关,所述流量发生异常的概率大小根据历史统计的流量与异常发生的关系确定;计算异常值:等于符合检测条件的连接数在总连接数的占比*所述检测条件对应的加权系数。
10.一种网络异常检测装置,其特征在于,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现如权利要求1-7任一项所述的网络异常检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111440569.6A CN116208347A (zh) | 2021-11-30 | 2021-11-30 | 一种网络异常的检测方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111440569.6A CN116208347A (zh) | 2021-11-30 | 2021-11-30 | 一种网络异常的检测方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116208347A true CN116208347A (zh) | 2023-06-02 |
Family
ID=86517790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111440569.6A Pending CN116208347A (zh) | 2021-11-30 | 2021-11-30 | 一种网络异常的检测方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116208347A (zh) |
-
2021
- 2021-11-30 CN CN202111440569.6A patent/CN116208347A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US9130982B2 (en) | System and method for real-time reporting of anomalous internet protocol attacks | |
| US7607170B2 (en) | Stateful attack protection | |
| US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
| US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
| EP1817888B1 (en) | Method and system for managing denial of service situations | |
| US20100251370A1 (en) | Network intrusion detection system | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| US20070150955A1 (en) | Event detection system, management terminal and program, and event detection method | |
| JP2017528853A (ja) | コンピュータネットワークへの攻撃を検出する方法 | |
| CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
| White et al. | Cooperating security managers: Distributed intrusion detection systems | |
| US20030084330A1 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| CN112738077A (zh) | 一种工控网络安全检测系统 | |
| CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| CN116208347A (zh) | 一种网络异常的检测方法、系统及装置 | |
| CN101789885B (zh) | 网络入侵检测系统 | |
| CN113904920A (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| CN112671743A (zh) | 基于流量自相似性的DDoS入侵检测方法及相关装置 | |
| CN100484043C (zh) | 网络防syn洪流攻击检测方法 | |
| CN111711626A (zh) | 一种网络入侵监测的方法和系统 | |
| CN114006720B (zh) | 网络安全态势感知方法、装置及系统 | |
| Blazek et al. | Scalable DDoS mitigation system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |