CN116319465A - 一种网络流量端口分析方法 - Google Patents
一种网络流量端口分析方法 Download PDFInfo
- Publication number
- CN116319465A CN116319465A CN202310263890.4A CN202310263890A CN116319465A CN 116319465 A CN116319465 A CN 116319465A CN 202310263890 A CN202310263890 A CN 202310263890A CN 116319465 A CN116319465 A CN 116319465A
- Authority
- CN
- China
- Prior art keywords
- network traffic
- data
- traffic
- attack characteristic
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 25
- 230000005540 biological transmission Effects 0.000 claims abstract description 35
- 238000007781 pre-processing Methods 0.000 claims abstract description 12
- 238000000034 method Methods 0.000 claims description 31
- 238000013145 classification model Methods 0.000 claims description 16
- 238000012549 training Methods 0.000 claims description 14
- 238000012360 testing method Methods 0.000 claims description 8
- 238000001914 filtration Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 238000010008 shearing Methods 0.000 claims description 3
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000006854 communication Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络流量端口分析方法,其包括:针对不同类型网络流量传输协议对应的端口进行分类采集网络流量分并保存;对保存的网络流量进行预处理,并识别出网络流量中带有攻击性的网络流量;从多个角度对网络流量进行分类,并生成对应类型的报表。本发明通过对网络流量进行采集,能够针对不同类型网络流量传输协议对应的端口进行网络流量分类采集,从而提高了流量采集的精确度,还通过对采集的网络流量进行预处理,识别出网络流量中带有攻击性的网络流量,对具有安全威胁的数据及时进行处理,进而保证网络数据传输过程中的安全性,提高了网络的安全性,并且从多个角度对网络流量进行分类并生成报表,减少了对全流量集中采集的成本和时间。
Description
技术领域
本发明涉及所述网络流量分析技术领域,特别是涉及一种网络流量端口分析方法。
背景技术
随着IT、网络技术的迅猛发展和企业信息化程度的不断提高,用户对于所述网络流量需求进入了爆发式增长的时期,对网络质量也提出了更高要求,由于各种所述网络流量的种类越来越丰富,其中在繁杂的所述网络流量中也潜藏着许多带有攻击性的所述网络流量,如果不对这些所述网络流量进行清除,会带来许多危害。并且在网络中,端口是机器上对来自其他机器的连接开放的虚拟位置,每台联网计算机都有标准数量的端口,每个端口都保留用于某些类型的通信,而繁杂的所述网络流量在通信过程中处理起来非常的困难,所以如何基于端口对所述网络流量进行改进分析方法来减少全流量采集分析的筛选和提取时间,以提高所述网络流量采集的效率和准确性,是我们目前急需解决的问题。
发明内容
本发明要解决的技术问题是:现有技术中的所述网络流量分析方法在流量采集过程中效率和准确率低下的问题。
为了解决上述技术问题,本发明提供了一种网络流量端口分析方法,包括:
针对不同类型网络流量传输协议对应的所述端口进行分类采集所述网络流量分并保存;
对保存的所述网络流量进行预处理,并识别出所述网络流量中带有攻击性的所述网络流量;
从多个角度对所述网络流量进行分类,并生成对应类型的报表。
进一步的,所述针对不同类型网络流量传输协议对应的所述端口进行分类采集所述网络流量分并保存,还包括:
通过设置多种不同类型的网络流量传输协议,且每种不同类型的网络流量传输协议对应一类的所述端口;
通过采集工具对多种不同类型的网络流量传输协议所对应的所述端口进行分类采集,并将采集到的所述网络流量以文件的形式保存为流量文件。
进一步的,在通过采集工具对多种不同类型的网络流量传输协议所对应的所述端口进行分类采集,并将采集到的所述网络流量以文件的形式保存为流量文件的过程中,
对于任意一个所述端口,若当前采集所述端口的所述网络流量的时长大于预设时长,则视为对于所述端口的采集失败,并更新采集失败的计数结果。
进一步的,所述对保存的所述网络流量进行预处理,并识别出所述网络流量中带有攻击性的所述网络流量,还包括:
通过数据算法对所述网络流量中的重复数据进行过滤,对无效数据进行剪切,然后得到有效载荷数据;
将有效载荷数据与数据库中的带有攻击特征属性的数据进行对比分析,识别出有效载荷数据中带有攻击特征属性的数据,并将带有攻击特征属性的有效载荷数据删除。
进一步的,所述将有效载荷数据与数据库中的带有攻击特征属性的数据进行对比分析,识别出有效载荷数据中带有攻击特征属性的数据,并将带有攻击特征属性的有效载荷数据删除,还包括:
通过将有效载荷数据输入到数据对比分析算法中与数据库中的带有攻击特征属性的数据进行对比和处理,确定与所述数据库中的带有攻击特征属性的数据具有预设相似度的有效载荷数据为带有攻击特征属性的有效载荷数据,并进行报警提醒,将带有攻击特征属性的有效载荷数据进行隔离后删除。
进一步的,所述确定与所述数据库中的带有攻击特征属性的数据具有预设相似度的数据片段为带有攻击特征属性的数据,还包括:
通过算法计算有效载荷数据与所述数据库中的带有攻击特征属性的数据的相似度;
判断计算出的相似度值与预设相似度值的大小;
若计算出的相似度值大于等于预设相似度值,则确定有效载荷数据为带有攻击特征属性的数据;
若计算出的相似度值大于等于预设相似度值,则确定有效载荷数据为正常数据。
进一步的,所述从多个角度对所述网络流量进行分类,并生成对应类型的报表,还包括:
提取剩余所述网络流量的多个特征数据,并对特征数据依据类型打上不同角度的类型标签;
使用算法利用一时间段内所采集并打上了类型标签的所述网络流量数据进行在线训练,获得流量分类模型;
使用所述流量分类模型对所采集的每条所述网络流量进行分类;
对分类后的所述网络流量集生成对应类型的报表。
进一步的,所述使用算法利用一时间段内所采集并打上了类型标签的所述网络流量数据进行在线训练,获得流量分类模型,还包括:
将所述网络流量的数据拆分成训练数据集和测试数据集,通过算法进行训练测试工作,不同类型所述网络流量附加不同的权重值得到不同分的数值,据此获得流量分类模型。
本发明的一种网络流量端口分析方法与现有技术相比,其有益效果在于:
本发明通过对网络流量进行采集,能够针对不同类型网络流量传输协议对应的端口进行网络流量分类采集,从而提高了流量采集的精确度,还通过对采集的网络流量进行预处理,识别出网络流量中带有攻击性的网络流量,对具有安全威胁的数据及时进行处理,进而保证网络数据传输过程中的安全性,提高了网络的安全性,并且从多个角度对网络流量进行分类并生成报表,减少了对全流量集中采集的成本和时间。
附图说明
图1是本发明实施例中一种网络流量端口分析方法的总流程示意图;
图2是本发明实施例中一种网络流量端口分析方法的具体流程示意图;
图3是本发明实施例中一种网络流量端口分析方法的具体流程示意图;
图4是本发明实施例中一种网络流量端口分析方法的具体流程示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
如图1所示,在本申请的实施例中,提供了一种网络流量端口分析方法,包括:针对不同类型网络流量传输协议对应的所述端口进行分类采集所述网络流量分并保存;对保存的所述网络流量进行预处理,并识别出所述网络流量中带有攻击性的所述网络流量;从多个角度对所述网络流量进行分类,并生成对应类型的报表。
进一步的,通过对网络流量进行采集,能够针对不同类型网络流量传输协议对应的端口进行网络流量分类采集,从而提高了流量采集的精确度,还通过对采集的网络流量进行预处理,识别出网络流量中带有攻击性的网络流量,对具有安全威胁的数据及时进行处理,进而保证网络数据传输过程中的安全性,提高了网络的安全性,并且从多个角度对网络流量进行分类并生成报表,减少了对全流量集中采集的成本和时间
如图2所示,在本申请的实施例中,提供一种网络流量端口分析方法,所述针对不同类型网络流量传输协议对应的所述端口进行分类采集所述网络流量分并保存,还包括:通过设置多种不同类型的网络流量传输协议,且每种不同类型的网络流量传输协议对应一类的所述端口;通过采集工具对多种不同类型的网络流量传输协议所对应的所述端口进行分类采集,并将采集到的所述网络流量以文件的形式保存为流量文件。
具体的,由于不同类型网络流量传输协议有其所对应的所述端口,所以通过采集工具针对不同类型网络流量传输协议来采集不同的所述端口,例如DNS传输协议对应的53端口,SSH传输协议对应的22端口,NFS传输协议对应的111或2049端口,SSL传输协议对应的443端口,通过这样的方法可以减少对全流量采集分析的筛选和提取时间,大大提高了采集的效率。
在本申请的实施例中,提供一种网络流量端口分析方法,在通过采集工具对多种不同类型的网络流量传输协议所对应的所述端口进行分类采集,并将采集到的所述网络流量以文件的形式保存为流量文件的过程中,对于任意一个所述端口,若当前采集所述端口的所述网络流量的时长大于预设时长,则视为对于所述端口的采集失败,并更新采集失败的计数结果。
具体的,若采集工具的采集失败的情况未连续发生,则将采集失败的计数结果归零;若采集工具的采集失败的情况连续发生,则根据连续发生的次数增加采集失败的计数结果。需要说明的是,例如,如果出现采集工具采集时长超过3秒,则视为超时,则在该所述端口采集工具失败数计为1。若采集该所述端口连续失败3次,本次采集放弃该端口,但如果采集不到3次,又能采集到,则清空采集失败次数。
优选的,由于将采集到的所述网络流量以文件的形式保存为流量文件会占用一定的时间和内存,出于效率的考虑,每5分钟使用一个内存结构进行保存,下一个5分钟使用另一个内存结构进行保存,这样处理的目的是,若某次采集时长超过3秒,但采集失败次数又不超过3次,则原先的内存结构可以用来该终端后续的采集结果的保存。如果采集异常退出,则下次启动时一并把上一次保存的文件也继续加载到内存结构,再次累计使用,这样保证即便系统异常退出后,之前采集的流量累计的数据不会丢失。
如图3所示,在本申请的实施例中,提供一种网络流量端口分析方法,所述对保存的所述网络流量进行预处理,并识别出所述网络流量中带有攻击性的所述网络流量,还包括:通过数据算法对所述网络流量中的重复数据进行过滤,对无效数据进行剪切,然后得到有效载荷数据;将有效载荷数据与数据库中的带有攻击特征属性的数据进行对比分析,识别出有效载荷数据中带有攻击特征属性的数据,并将带有攻击特征属性的有效载荷数据删除。
具体的,通过数据算法将保存好所述网络流量中的重复数据进行过滤,对无效数据进行剪切,然后得到有效载荷数据;其中所述数据库中的带有攻击特征属性的数据包括:SQL 注入、XSS 跨站脚本、文件上传工具、命令执行攻击、端口扫描、ip 地址扫描、暴力破解、弱口令猜解、电子邮件炸弹、DNS 污染、DDoS、扫描器等多种攻击类型的数据。
在本申请的实施例中,提供一种网络流量端口分析方法,所述将有效载荷数据与数据库中的带有攻击特征属性的数据进行对比分析,识别出有效载荷数据中带有攻击特征属性的数据,并将带有攻击特征属性的有效载荷数据删除,还包括:通过将有效载荷数据输入到数据对比分析算法中与数据库中的带有攻击特征属性的数据进行对比和处理,确定与所述数据库中的带有攻击特征属性的数据具有预设相似度的有效载荷数据为带有攻击特征属性的有效载荷数据,并进行报警提醒,将带有攻击特征属性的有效载荷数据进行隔离后删除。
具体的,对比分析算法将输入的有效载荷数据与数据库中的带有攻击特征属性的数据进行相似度的比较,包括数据的重复率以及数据的前后缀等,通过打分计算出最终的相似度值。
在本申请的实施例中,提供一种网络流量端口分析方法,所述确定与所述数据库中的带有攻击特征属性的数据具有预设相似度的数据片段为带有攻击特征属性的数据,还包括:通过算法计算有效载荷数据与所述数据库中的带有攻击特征属性的数据的相似度;判断计算出的相似度值与预设相似度值的大小;若计算出的相似度值大于等于预设相似度值,则确定有效载荷数据为带有攻击特征属性的数据;若计算出的相似度值大于等于预设相似度值,则确定有效载荷数据为正常数据。
具体的,设定一个预设相似度值,根据打分计算出的最终的相似度值与预设相似度值进行比较,从而判断有效载荷数据是否带有攻击特征属性的数据。
如图4所示,在本申请的实施例中,提供一种网络流量端口分析方法,所述从多个角度对所述网络流量进行分类,并生成对应类型的报表,还包括:提取剩余所述网络流量的多个特征数据,并对特征数据依据类型打上不同角度的类型标签;使用算法利用一时间段内所采集并打上了类型标签的所述网络流量数据进行在线训练,获得流量分类模型;使用所述流量分类模型对所采集的每条所述网络流量进行分类;对分类后的所述网络流量集生成对应类型的报表。
具体的,提取剩余所述网络流量的多个特征数据,筛选出对网络流量分类起积极作用的不同的流量特征数据用于分类,统计分析并依据类型的不同打上不同的类型标签,得到打上类型标签的数据集,通过分析的一段时间内采集的网络流量特征数据所得到的打上了类型标签的网络流量数据集进行训练,通过XGBoost算法构建网络流量分类模型,利用网络流量分类模型对网络流量进行分类,获得经分类的网络流量,对分类后的所述网络流量集生成对应类型的报表,包括基于所述端口的总体流量趋势分析报表、应用流量分析报表、节点(包括源、目的主机IP)流量报表、会话流量报表等几大类报表,以减少管理人员的监控工作复杂度,使管理人员可以简单明了的通过报表来监控网络流量。
在本申请的实施例中,提供一种网络流量端口分析方法,所述使用算法利用一时间段内所采集并打上了类型标签的所述网络流量数据进行在线训练,获得流量分类模型,还包括:将所述网络流量的数据拆分成训练数据集和测试数据集,通过算法进行训练测试工作,不同类型所述网络流量附加不同的权重值得到不同分的数值,据此获得流量分类模型。
具体的,将所述网络流量的数据拆分成训练数据集和测试数据集,通过XGBoost算法进行训练测试工作,构建出网络流量分类模型,在分类模型中根据对网络流量的多个角度分类起不同积极作用程度的所述网络流量附加上相应的权重值,经过累加权重值得到最终数值。
综上,本发明实施例提供一种网络流量端口分析方法,其包括:针对不同类型网络流量传输协议对应的端口进行分类采集网络流量分并保存;对保存的网络流量进行预处理,并识别出网络流量中带有攻击性的网络流量;从多个角度对网络流量进行分类,并生成对应类型的报表。本发明通过对网络流量进行采集,能够针对不同类型网络流量传输协议对应的端口进行网络流量分类采集,从而提高了流量采集的精确度,还通过对采集的网络流量进行预处理,识别出网络流量中带有攻击性的网络流量,对具有安全威胁的数据及时进行处理,进而保证网络数据传输过程中的安全性,提高了网络的安全性,并且从多个角度对网络流量进行分类并生成报表,减少了对全流量集中采集的成本和时间。
最后应说明的是:显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
以上所述仅为本发明的一个实施例子,但不能以此限制本发明的范围,凡依据本发明所做的结构上的变化,只要不失本发明的要义所在,都应视为落入本发明保护范围之内受到制约。所属技术领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统的具体工作过程及有关说明,可以参考前述方法实施例中的对应过程,在此不再赘述。
术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备/装置不仅包括那些要素,而且还包括没有明确列出的其它要素,或者还包括这些过程、方法、物品或者设备/装置所固有的要素。
至此,已经结合附图所示的进一步实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征作出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (8)
1.一种网络流量端口分析方法,其特征在于,包括:
针对不同类型网络流量传输协议对应的所述端口进行分类采集所述网络流量分并保存;
对保存的所述网络流量进行预处理,并识别出所述网络流量中带有攻击性的所述网络流量;
从多个角度对所述网络流量进行分类,并生成对应类型的报表。
2.根据权利要求1所述的一种网络流量端口分析方法,其特征在于,所述针对不同类型网络流量传输协议对应的所述端口进行分类采集所述网络流量分并保存,还包括:
通过设置多种不同类型的网络流量传输协议,且每种不同类型的网络流量传输协议对应一类的所述端口;
通过采集工具对多种不同类型的网络流量传输协议所对应的所述端口进行分类采集,并将采集到的所述网络流量以文件的形式保存为流量文件。
3.根据权利要求2所述的一种网络流量端口分析方法,其特征在于,在通过采集工具对多种不同类型的网络流量传输协议所对应的所述端口进行分类采集,并将采集到的所述网络流量以文件的形式保存为流量文件的过程中,
对于任意一个所述端口,若当前采集所述端口的所述网络流量的时长大于预设时长,则视为对于所述端口的采集失败,并更新采集失败的计数结果。
4.根据权利要求1所述的一种网络流量端口分析方法,其特征在于,所述对保存的所述网络流量进行预处理,并识别出所述网络流量中带有攻击性的所述网络流量,还包括:
通过数据算法对所述网络流量中的重复数据进行过滤,对无效数据进行剪切,然后得到有效载荷数据;
将有效载荷数据与数据库中的带有攻击特征属性的数据进行对比分析,识别出有效载荷数据中带有攻击特征属性的数据,并将带有攻击特征属性的有效载荷数据删除。
5.根据权利要求4所述的一种网络流量端口分析方法,其特征在于,所述将有效载荷数据与数据库中的带有攻击特征属性的数据进行对比分析,识别出有效载荷数据中带有攻击特征属性的数据,并将带有攻击特征属性的有效载荷数据删除,还包括:
通过将有效载荷数据输入到数据对比分析算法中与数据库中的带有攻击特征属性的数据进行对比和处理,确定与所述数据库中的带有攻击特征属性的数据具有预设相似度的有效载荷数据为带有攻击特征属性的有效载荷数据,并进行报警提醒,将带有攻击特征属性的有效载荷数据进行隔离后删除。
6.根据权利要求5所述的一种网络流量端口分析方法,其特征在于,所述确定与所述数据库中的带有攻击特征属性的数据具有预设相似度的数据片段为带有攻击特征属性的数据,还包括:
通过算法计算有效载荷数据与所述数据库中的带有攻击特征属性的数据的相似度;
判断计算出的相似度值与预设相似度值的大小;
若计算出的相似度值大于等于预设相似度值,则确定有效载荷数据为带有攻击特征属性的数据;
若计算出的相似度值大于等于预设相似度值,则确定有效载荷数据为正常数据。
7.根据权利要求1所述的一种网络流量端口分析方法,其特征在于,所述从多个角度对所述网络流量进行分类,并生成对应类型的报表,还包括:
提取剩余所述网络流量的多个特征数据,并对特征数据依据类型打上不同角度的类型标签;
使用算法利用一时间段内所采集并打上了类型标签的所述网络流量数据进行在线训练,获得流量分类模型;
使用所述流量分类模型对所采集的每条所述网络流量进行分类;
对分类后的所述网络流量集生成对应类型的报表。
8.根据权利要求7所述的一种网络流量端口分析方法,其特征在于,所述使用算法利用一时间段内所采集并打上了类型标签的所述网络流量数据进行在线训练,获得流量分类模型,还包括:
将所述网络流量的数据拆分成训练数据集和测试数据集,通过算法进行训练测试工作,不同类型所述网络流量附加不同的权重值得到不同分的数值,据此获得流量分类模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310263890.4A CN116319465A (zh) | 2023-03-17 | 2023-03-17 | 一种网络流量端口分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310263890.4A CN116319465A (zh) | 2023-03-17 | 2023-03-17 | 一种网络流量端口分析方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116319465A true CN116319465A (zh) | 2023-06-23 |
Family
ID=86792071
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310263890.4A Pending CN116319465A (zh) | 2023-03-17 | 2023-03-17 | 一种网络流量端口分析方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116319465A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107968791A (zh) * | 2017-12-15 | 2018-04-27 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际系统应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
CN112511555A (zh) * | 2020-12-15 | 2021-03-16 | 中国电子科技集团公司第三十研究所 | 基于稀疏表示和卷积神经网络的私有加密协议报文分类法 |
-
2023
- 2023-03-17 CN CN202310263890.4A patent/CN116319465A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107968791A (zh) * | 2017-12-15 | 2018-04-27 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际系统应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
CN112511555A (zh) * | 2020-12-15 | 2021-03-16 | 中国电子科技集团公司第三十研究所 | 基于稀疏表示和卷积神经网络的私有加密协议报文分类法 |
Non-Patent Citations (1)
Title |
---|
张征;: "基于协议流量精细化多维度检测", 信息通信, no. 12 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109587179B (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
CN112769796B (zh) | 一种基于端侧边缘计算的云网端协同防御方法及系统 | |
CN113676464B (zh) | 一种基于大数据分析技术的网络安全日志告警处理方法 | |
CN112114995B (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
US8949169B2 (en) | Methods and apparatus for analyzing system events | |
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
US5787253A (en) | Apparatus and method of analyzing internet activity | |
CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
CN109714343B (zh) | 一种网络流量异常的判断方法及装置 | |
US20110016528A1 (en) | Method and Device for Intrusion Detection | |
KR20140025316A (ko) | 통신 네트워크 내의 노드 상에서 작동되는 운영 시스템을 핑커프린팅하는 방법 및 시스템 | |
CN111092900B (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
CN105659245A (zh) | 上下文感知的网络取证 | |
CN109033813B (zh) | Linux操作日志的审计系统和方法 | |
EP3223495A1 (en) | Detecting an anomalous activity within a computer network | |
CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
CN112463772B (zh) | 日志处理方法、装置、日志服务器及存储介质 | |
CN104935601B (zh) | 基于云的网站日志安全分析方法、装置及系统 | |
CN111274218A (zh) | 一种电力信息系统多源日志数据处理方法 | |
KR20140035678A (ko) | 학습 가능한 dns 분석기 및 분석 방법 | |
CN104092588A (zh) | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 | |
CN114157506A (zh) | 基于流量和活跃度分析的网络异常扫描方法、系统及存储介质 | |
CN107360271A (zh) | 网络设备信息获取及ip地址自动分割方法、系统及设备 | |
CN114189348A (zh) | 一种适用于工控网络环境的资产识别方法 | |
CN116319465A (zh) | 一种网络流量端口分析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |