CN117134967A - 一种主机异常网络服务检测方法、装置、设备及存储介质 - Google Patents
一种主机异常网络服务检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117134967A CN117134967A CN202311092755.4A CN202311092755A CN117134967A CN 117134967 A CN117134967 A CN 117134967A CN 202311092755 A CN202311092755 A CN 202311092755A CN 117134967 A CN117134967 A CN 117134967A
- Authority
- CN
- China
- Prior art keywords
- network service
- service identifier
- abnormal
- undirected graph
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 132
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000001514 detection method Methods 0.000 claims abstract description 26
- 238000004364 calculation method Methods 0.000 claims abstract description 17
- 238000004590 computer program Methods 0.000 claims description 10
- 238000010276 construction Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000011022 operating instruction Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种主机异常网络服务检测方法、装置、设备及存储介质,应用于网络检测领域,该方法包括:探测多个主机的网络服务信息,并根据网络服务信息生成网络服务标识;利用网络服务标识和多个主机构建无向图;网络服务标识为无向图的节点,多个主机为无向图的边;计算无向图中每条边对应的权重值,得到带权重的无向图;根据带权重的无向图计算每个网络服务标识对应的排位值;根据每个网络服务标识对应的排位值确定异常网络服务集合。本发明生成多个主机的网络服务信息对应的网络服务标识,根据每个网络服务标识,利用图计算得到的对应的排位值确定异常网络服务集合,提高了主机异常网络检测的准确性,提高了异常网络服务检测的效率。
Description
技术领域
本发明涉及网络检测领域,特别涉及一种主机异常网络服务检测方法、装置、设备及存储介质。
背景技术
主机中任何网络服务都会存在携带恶意攻击程序的风险,且任何恶意攻击程序都会提供服务,而现有技术对于携带恶意攻击程序的网络服务的检测大多基于单主机、流量检测为主,通过分析单主机网络服务流量的异常从而确定其网络服务是否异常,但单主机维度单一,对于不同场景下特有的网络服务无法横向识别,且检测的成本高,无法在恶意程序执行初期检测出相应异常服务。
发明内容
有鉴于此,本发明的目的在于提供一种主机异常网络服务检测方法、装置、设备及存储介质,解决了现有技术中对于不同场景下特有的网络服务无法横向识别,且检测的成本高,无法在恶意程序执行初期检测出相应异常服务的问题。
为解决上述技术问题,本发明提供了一种主机异常网络服务检测方法,包括:
探测多个主机的网络服务信息,并根据所述网络服务信息生成网络服务标识;所述网络服务标识至少包括标识主机类型、操作系统、端口、协议以及服务的信息;
利用所述网络服务标识和多个所述主机构建无向图;所述网络服务标识为所述无向图的节点,多个所述主机为所述无向图的边;
计算所述无向图中每条边对应的权重值,得到带权重的无向图;
根据所述带权重的无向图计算每个所述网络服务标识对应的排位值;
根据每个所述网络服务标识对应的排位值确定异常网络服务集合。
可选的,根据所述带权重的无向图计算每个所述网络服务标识对应的排位值,包括:
设置网络服务标识的初始排位值,并代入公式:
进行迭p代计算p每个所述网络服务标识对应的排位值;
Rprocessi为每个网络服务标识的排位值,In(processi)为与网络服务标识processi有边关系的网络服务标识集合,wij(Sm)为边的权重,Sm为包含网络服务标识processi的主机,processj为In(processi)中的网络服务标识;
若当前迭代计算的所述网络服务标识的排位值与上一次迭代计算的所述网络服务标识的排位值的偏差小于预设偏差值,则将所述当前迭代计算的所述网络服务标识的排位值作为每个所述网络服务标识对应的排位值。
可选的,所述根据每个所述网络服务标识对应的排位值确定异常网络服务集合,包括:
对计算得到的每个所述网络服务标识对应的排位值进行降序排序,并选取排位值小于预设排位值的网络服务标识对应的网络服务作为异常网络服务集合。
可选的,所述计算所述无向图中每条边对应的权重值,得到带权重的无向图,包括:
将所述无向图中每条边对应的主机上网络服务标识,与所有主机上网络服务标识的比值,作为所述无向图中每条边对应的权重值,得到所述带权重的无向图。
可选的,根据所述网络服务信息生成的网络服务标识,还包括网络服务的场景类型。
可选的,所述探测多个主机的网络服务信息,并根据所述网络服务信息生成网络服务标识之后,还包括:
根据多个所述主机和对应的所述网络服务标识,生成主机和对应网络服务标识的集合;
相应的,所述根据每个所述网络服务标识对应的排位值确定异常网络服务集合,包括:
根据每个所述网络服务标识对应的排位值确定网络服务标识白名单;
将所述主机和对应网络服务标识的集合中,处于所述网络服务标识白名单之外的网络服务标识对应的网络服务,确定为异常网络服务集合。
可选的,在根据每个所述网络服务标识对应的排位值确定异常网络服务集合之后,还包括:
输出所述异常网络服务集合。
本发明还提供了一种主机异常网络服务检测装置,包括:
网络服务标识生成模块,用于探测多个主机的网络服务信息,并根据所述网络服务信息生成网络服务标识;所述网络服务标识至少包括主机类型、操作系统、端口、协议以及服务;
无向图构建模块,用于利用多个所述主机和所述网络服务标识构建无向图;所述网络服务标识为所述无向图的节点,多个所述主机为所述无向图的边;
权重计算模块,用于计算所述无向图中每条边对应的权重值,得到带权重的无向图;
排位值计算模块,用于根据所述带权重的无向图计算每个所述网络服务标识对应的排位值;
异常网络服务确定模块,用于根据每个所述网络服务标识对应的排位值确定异常网络服务集合。
本发明还提供了一种主机异常网络服务检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序实现上述的主机异常网络服务检测方法的步骤。
本发明还提供了一种存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的主机异常网络服务检测方法的步骤。
可见,本发明提供的主机异常网络服务检测方法,包括探测多个主机的网络服务信息,并根据网络服务信息生成网络服务标识,网络服务标识至少包括标识主机类型、操作系统、端口、协议以及服务的信息,利用网络服务标识和多个主机构建无向图,网络服务标识为无向图的节点,多个主机为无向图的边,计算无向图中每条边对应的权重值,得到带权重的无向图,根据带权重的无向图计算每个网络服务标识对应的排位值,根据每个网络服务标识对应的排位值确定异常网络服务集合。本发明通过探测多个主机的网络服务信息,并生成对应的网络服务标识,根据每个网络服务标识对应的排位值确定异常网络服务集合,提高了主机异常网络检测的准确性,同时利用图计算对网络服务标识进行计算,提高了运算速度,进而提高了异常网络服务检测的效率。
此外,本发明还提供了一种主机异常网络服务检测装置、设备及存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种主机异常网络服务检测方法的流程图;
图2为本发明实施例提供的一种利用网络服务标识和多个主机构建的无向图的示例图;
图3为本发明实施例提供的一种主机异常网络服务检测装置的结构示意图;
图4为本发明实施例提供的一种主机异常网络服务检测设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例提供的一种主机异常网络服务检测方法的流程图。该方法可以包括:
S101:探测多个主机的网络服务信息,并根据网络服务信息生成网络服务标识;网络服务标识至少包括标识主机类型、操作系统、端口、协议以及服务的信息。
本实施例执行主体为检测终端。本实施例中可以同时对多个主机的网络服务信息进行探测,并根据探测得到的网络服务信息生成网络服务标识,每个网络服务信息对应生成一个网络服务标识,每个网络服务标识至少包括标识主机类型、操作系统、端口、协议以及服务的信息。例如,一个网络服务标识可以包括{“主机类型”:“办公机”,“操作系统”:“Windows”,“端口”:“21”,“协议”:“tcp”,“服务”:“ftp”}。本实施例并不限定探测多个主机的网络服务信息中,多个主机的选取方式。例如,可以是划定预设范围,同时获取预设范围内的全部主机;或者也可以通过其他方式选取多个目标主机,获取该多个目标主机的网络服务信息。进一步,本实施例并不限定探测的多个主机的具体数量,只要探测的主体数量大于1即可。
进一步地,为了提高异常网络服务检测的准确度,上述根据网络服务信息生成的网络服务标识,还可以包括网络服务的场景类型。
需要进行说明的是,本实施例中可以在生成的网络服务标识中增加场景类型,当网络服务信息中存在场景类型的信息时,在生成的网络服务标识中标示出场景类型的信息,当网络服务信息中不存在场景类型的信息时,可以在生成的网络服务标识中标示场景类型为默认场景类型。本实施例中网络服务标识的场景类型可以包括“后端开发PC”、“行政PC”,以及其他场景类型。
S102:利用网络服务标识和多个主机构建无向图;网络服务标识为无向图的节点,多个主机为无向图的边。
需要说明的是,本实施例中将生成的网络服务标识作为节点,将多个主机作为边,构建无向图模型,本实施例中构建的无向图的节点间存在边的条件是,对应节点间的网络服务标识存在于同一台主机中,且对应节点间的网络服务标识存在于多台主机中,则对应节点间存在多条边,即对应节点间每条边对应一台主机。
S103:计算无向图中每条边对应的权重值,得到带权重的无向图。
本实施例中计算无向图中每条边对应的权重值,得到对应节点间不同主机占比全部主机的权重。
进一步地,为了保证能够准确计算得到无向图中每条边对应的权重值,上述计算无向图中每条边对应的权重值,得到带权重的无向图,可以包括:
将无向图中每条边对应的主机上网络服务标识,与所有主机上网络服务标识的比值,作为无向图中每条边对应的权重值,得到带权重的无向图。
需要进行说明的是,本实施例中将每条边对应一个权重值。每条边可以带入公式计算每条边对应的权重值。其中,wij(Sm)为边的权重,Sm为包含网络服务标识processi的主机,Sk为全部主机中的某台主机,S为全部主机,nSm为包含网络服务标识processi的主机中网络服务标识的数量,nSk为全部主机中的某台主机中网络服务标识的数量。即本实施例中通过上述公式可以计算得到包含网络服务标识processi的主机中网络服务标识的数量,与全部主机中网络服务标识的数量的比值,得到无向图中每条边对应的权重值。
S104:根据带权重的无向图计算每个网络服务标识对应的排位值。
本实施例中根据每个网络服务标识,每个网络服务标识对应的边的权重值,以及与计算的网络服务标识有共同边的关系的网络服务标识,计算每个网络服务标识对应的排位值。本实施例中排位值为标示每个网络服务标识是否异常的计算值。
进一步地,为了保证根据带权重的无向图能够计算得到每个网络服务标识对应的排位值,提高计算的准确度,上述根据带权重的无向图计算每个网络服务标识对应的排位值,可以包括以下步骤:
设置网络服务标识的初始排位值,并代入公式:
进行迭代计算每个网络服务标识对应的排位值;
Rprocessi为每个网络服务标识的排位值,In(processi)为与网络服务标识processi有边关系的网络服务标识集合,wij(Sm)为边的权重,Sm为包含网络服务标识processi的主机,S为全部主机,processj为In(processi)中的网络服务标识;
若当前迭代计算的网络服务标识的排位值与上一次迭代计算的网络服务标识的排位值的偏差小于预设偏差值,则将当前迭代计算的网络服务标识的排位值作为每个网络服务标识对应的排位值。
需要进行说明的是,本实施例中通过设立一个初始排位值,并通过公式进行迭代计算,若当前迭代计算得到的网络服务标识的排位值,与上一次迭代计算得到的网络服务标识的排位值的偏差小于预设偏差值,则将当前迭代计算得到的网络服务标识的排位值作为每个网络服务标识对应的排位值。本实施例并不限定预设偏差值的设定值,可以根据操作人员自定义设定。
进一步地,为了提高确定异常网络服务集合的效率,上述根据每个网络服务标识对应的排位值确定异常网络服务集合,可以包括:
对计算得到的每个网络服务标识对应的排位值进行降序排序,并选取排位值小于预设排位值的网络服务标识对应的网络服务作为异常网络服务集合。
需要进行说明的是,本实施例中通过将每个网络服务标识对应的排位值进行降序排序,可以通过排序处理的网络服务标识直观地确定出小于预设排位值的网络服务标识,进而确定出对应的异常网络服务的集合。本实施例并不限定预设排位值的设定方式。例如,可以根据每个网络服务标识对应的排位值进行降序处理后的排序确定预设排位值,例如可以选取排序在百分之七十位置处的排位值作为预设排位值;或者也可以是操作人员自定义设置预设排位值。
S105:根据每个网络服务标识对应的排位值确定异常网络服务集合。
本实施例中根据计算得到的每个网络服务标识对应的排位值,确定处于异常范围内的排位值对应的网络服务标识,作为异常网络服务标识,并将异常网络服务标识对应的异常网络服务作为异常网络服务,得到异常网络服务集合。
进一步地,为了提高异常网络服务集合检测的效率,上述探测多个主机的网络服务信息,并根据网络服务信息生成网络服务标识之后,还可以包括:
根据多个主机和对应的网络服务标识,生成主机和对应网络服务标识的集合。
相应的,上述根据每个网络服务标识对应的排位值确定异常网络服务集合,可以包括:
根据每个网络服务标识对应的排位值确定网络服务标识白名单;
将主机和对应网络服务标识的集合中,处于网络服务标识白名单之外的网络服务标识对应的网络服务,确定为异常网络服务集合。
需要进行说明的是,本实施例中通过预先建立主机和对应网络服务标识的集合,当得到每个网络服务标识对应的排位值后,可以对每个网络服务标识对应的排位值进行降序排序,可以选取处于前百分之三十的网络服务标识加入网络服务标识白名单,通过比对预先建立的主机和对应网络服务标识的集合中的网络服务标识,是否处于网络服务标识白名单中,将该主机和对应网络服务标识的集合中,处于网络服务标识白名单之外的网络服务标识对应的网络服务,确定为异常网络服务,将确定的全部异常网络服务作为异常网络服务集合。
进一步地,为了提高异常网络服务检测的功能性,在根据每个网络服务标识对应的排位值确定异常网络服务集合之后,还可以包括:
输出异常网络服务集合。
本实施例中在确定异常网络服务集合后,通过输出异常网络服务集合的信息,能够向使用人员直观的反映出存在异常的网络服务的信息,进而提高用户使用体验。本实施例并不限定输出异常网络服务集合的具体方式。例如,可以通过声音输出,或者也可以通过图像显示输出。
应用本发明实施例提供的主机异常网络服务检测方法,包括探测多个主机的网络服务信息,并根据网络服务信息生成网络服务标识,网络服务标识至少包括标识主机类型、操作系统、端口、协议以及服务的信息,利用网络服务标识和多个主机构建无向图,网络服务标识为无向图的节点,多个主机为无向图的边,计算无向图中每条边对应的权重值,得到带权重的无向图,根据带权重的无向图计算每个网络服务标识对应的排位值,根据每个网络服务标识对应的排位值确定异常网络服务集合。本发明通过探测多个主机的网络服务信息,并生成对应的网络服务标识,根据每个网络服务标识对应的排位值确定异常网络服务集合,提高了主机异常网络检测的准确性,同时利用图计算对网络服务标识进行计算,提高了运算速度,进而提高了异常网络服务检测的效率。此外,本发明实施例通过设置网络服务标识的初始排位值,并带入公式进行迭代计算每个网络服务标识对应的排位值,提高了计算网络服务标识对应的排位值的准确性;通过对计算得到的每个网络服务标识对应的排位值进行降序排序,并选取排位值小于预设排位值的网络服务标识对应的网络服务作为异常网络服务集合,提高了确定异常网络服务集合的效率;通过将无向图中每条边对应的主机上网络服务标识,与所有主机上网络服务标识的比值,作为无向图中每条边对应的权重值,能够保证准确计算得到无向图中每条边对应的权重值;通过在网络服务标识中加入标示场景类型的信息,提高了异常网络服务检测的准确度;通过预先建立主机和对应网络服务标识的集合,当得到每个网络服务标识对应的排位值后,确定网络服务标识白名单,并将该主机和对应网络服务标识的集合中,处于网络服务标识白名单之外的网络服务标识对应的网络服务,确定为异常网络服务,将确定的全部异常网络服务作为异常网络服务集合,进一步提高了异常网络服务集合检测的效率;在确定异常网络服务集合之后输出异常网络服务集合,提高了异常网络服务检测的功能性。
为使本发明更便于理解,上述主机异常网络服务检测方法,可以参考异常网络服务检测示例,具体可以包括:
本实施例中以三个主机为例进行说明,通过探测该三个主机的网络服务信息,生成网络服务信息对应的网络服务标识,三个主机分别对应的网络服务标识可以参考表1。
表1
| 主机 | 网络服务标识 |
| S1 | A、B、C |
| S2 | B、C |
| S3 | A、B |
利用上述主机和对应的网络服务标识构建的无向图可以参考图2,图2为本发明实施例提供的一种利用网络服务标识和多个主机构建的无向图的示例图。网络服务标识A、网络服务标识B同时存在主机S1和主机S3中,即节点A、B间存在对应主机S1的边和对应主机S3的边,同理节点B、C间存在对应主机S1的边和对应主机S2的边,节点A、C间存在对应主机S1的边。
将无向图中每条边带入公式计算每条边对应的权重值。
通过计算,节点A、B间对应主机S1的边的权重值为3/7,节点A、B间对应主机S3的边的权重值为2/7,节点B、C间对应主机S1的边的权重值为3/7,节点B、C间对应主机S,2的边的权重值为2/7,节点A、C间对应主机S1的边的权重值为3/7,得到带权重的无向图。
设置网络服务标识的初始排位值为1,并带入公式:
进行迭代计算每个网络服务标识对应的排位值。
将求得的各个网络服务标识的排位值重新带入公式进行计算,直至当前迭代计算的网络服务标识的排位值与上一次迭代计算的网络服务标识的排位值的偏差小于0.0001,将当前迭代计算的网络服务标识的排位值作为每个网络服务标识对应的排位值。
将得到的所有网络服务标识对应的排位值进行降序排序,选取前百分之七十的网络服务标识作为网络服务标识白名单,将网络服务标识白名单之外的网络服务标识,对应的网络服务,确定为异常网络服务集合。
下面对本发明实施例提供的主机异常网络服务检测装置进行介绍,下文描述的主机异常网络服务检测装置与上文描述的主机异常网络服务检测方法可相互对应参照。
具体请参考图3,图3为本发明实施例提供的一种主机异常网络服务检测装置的结构示意图,可以包括:
网络服务标识生成模块100,用于探测多个主机的网络服务信息,并根据所述网络服务信息生成网络服务标识;所述网络服务标识至少包括主机类型、操作系统、端口、协议以及服务;
无向图构建模块200,用于利用多个所述主机和所述网络服务标识构建无向图;所述网络服务标识为所述无向图的节点,多个所述主机为所述无向图的边;
权重计算模块300,用于计算所述无向图中每条边对应的权重值,得到带权重的无向图;
排位值计算模块400,用于根据所述带权重的无向图计算每个所述网络服务标识对应的排位值;
异常网络服务确定模块500,用于根据每个所述网络服务标识对应的排位值确定异常网络服务集合。
进一步,基于上述任一实施例,所述排位值计算模块400,可以包括:
预计算单元,用于设置网络服务标识的初始排位值,并代入公式:
计算单元,用于进行迭代计算每个所述网络服务标识对应的排位值;
Rprocessi为每个网络服务标识的排位值,In(processi)为与网络服务标识processi有边关系的网络服务标识集合,wij(Sm)为边的权重,Sm为包含网络服务标识processi的主机,processj为In(processi)中的网络服务标识;
排位置确定单元,用于若当前迭代计算的所述网络服务标识的排位值与上一次迭代计算的所述网络服务标识的排位值的偏差小于预设偏差值,则将所述当前迭代计算的所述网络服务标识的排位值作为每个所述网络服务标识对应的排位值。
进一步,基于上述任一实施例,所述异常网络服务确定模块500,可以包括:
第一异常网络服务确定单元,用于对计算得到的每个所述网络服务标识对应的排位值进行降序排序,并选取排位值小于预设排位值的网络服务标识对应的网络服务作为异常网络服务集合。
进一步,基于上述任一实施例,所述权重计算模块300,可以包括:
权重计算单元,用于将所述无向图中每条边对应的主机上网络服务标识,与所有主机上网络服务标识的比值,作为所述无向图中每条边对应的权重值,得到所述带权重的无向图。
进一步,基于上述任一实施例,所述网络服务标识生成模块100中的网络服务标识,还可以包括网络服务的场景类型。
进一步,基于上述任一实施例,所述主机异常网络服务检测装置,还可以包括:
主机和对应网络服务标识的集合生成模块,用于根据多个所述主机和对应的所述网络服务标识,生成主机和对应网络服务标识的集合;
相应的,所述异常网络服务确定模块500,可以包括:
网络服务标识白名单确定单元,用于根据每个所述网络服务标识对应的排位值确定网络服务标识白名单;
第二异常网络服务确定单元,用于将所述主机和对应网络服务标识的集合中,处于所述网络服务标识白名单之外的网络服务标识对应的网络服务,确定为异常网络服务集合。
进一步,基于上述任一实施例,所述主机异常网络服务检测装置,还可以包括:
异常网络服务集合输出模块,用于输出所述异常网络服务集合。
需要说明的是,上述主机异常网络服务检测装置中的模块以及单元在不影响逻辑的情况下,其顺序可以前后进行更改。
应用本发明实施例提供的主机异常网络服务检测装置,包括网络服务标识生成模块100,用于探测多个主机的网络服务信息,并根据网络服务信息生成网络服务标识,网络服务标识至少包括主机类型、操作系统、端口、协议以及服务,无向图构建模块200用于利用多个主机和网络服务标识构建无向图,网络服务标识为无向图的节点,多个主机为无向图的边,权重计算模块300用于计算无向图中每条边对应的权重值,得到带权重的无向图,排位值计算模块400用于根据带权重的无向图计算每个网络服务标识对应的排位值,异常网络服务确定模块500用于根据每个网络服务标识对应的排位值确定异常网络服务集合。本发明通过探测多个主机的网络服务信息,并生成对应的网络服务标识,根据每个网络服务标识对应的排位值确定异常网络服务集合,提高了主机异常网络检测的准确性,同时利用图计算对网络服务标识进行计算,提高了运算速度,进而提高了异常网络服务检测的效率。
下面对本发明实施例提供的主机异常网络服务检测设备进行介绍,下文描述的主机异常网络服务检测设备与上文描述的主机异常网络服务检测方法可相互对应参照。
请参考图4,图4为本发明实施例提供的一种主机异常网络服务检测设备的结构示意图,可以包括:
存储器10,用于存储计算机程序;
处理器20,用于执行计算机程序,以实现上述的主机异常网络服务检测方法的步骤。
存储器10、处理器20、通信接口31均通过通信总线32完成相互间的通信。
在本发明实施例中,存储器10中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器10中可以存储有用于实现以下功能的程序:
探测多个主机的网络服务信息,并根据网络服务信息生成网络服务标识;网络服务标识至少包括标识主机类型、操作系统、端口、协议以及服务的信息;
利用网络服务标识和多个主机构建无向图;网络服务标识为无向图的节点,多个主机为无向图的边;
计算无向图中每条边对应的权重值,得到带权重的无向图;
根据带权重的无向图计算每个网络服务标识对应的排位值;
根据每个网络服务标识对应的排位值确定异常网络服务集合。
在一种可能的实现方式中,存储器10可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器10可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括NVRAM。存储器存储有操作系统和操作指令、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,操作指令可包括各种操作指令,用于实现各种操作。操作系统可以包括各种系统程序,用于实现各种基础任务以及处理基于硬件的任务。
处理器20可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件,处理器20可以是微处理器或者也可以是任何常规的处理器等。处理器20可以调用存储器10中存储的程序。
通信接口31可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中主机异常网络服务检测设备的限定,在实际应用中主机异常网络服务检测设备可以包括比图4所示的更多或更少的部件,或者组合某些部件。
下面对本发明实施例提供的存储介质进行介绍,下文描述的存储介质与上文描述的主机异常网络服务检测方法可相互对应参照。
本发明还提供一种存储介质,该存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的主机异常网络服务检测方法的步骤。
该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本发明的范围。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上对本发明所提供的一种主机异常网络服务检测方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种主机异常网络服务检测方法,其特征在于,包括:
探测多个主机的网络服务信息,并根据所述网络服务信息生成网络服务标识;所述网络服务标识至少包括标识主机类型、操作系统、端口、协议以及服务的信息;
利用所述网络服务标识和多个所述主机构建无向图;所述网络服务标识为所述无向图的节点,多个所述主机为所述无向图的边;
计算所述无向图中每条边对应的权重值,得到带权重的无向图;
根据所述带权重的无向图计算每个所述网络服务标识对应的排位值;
根据每个所述网络服务标识对应的排位值确定异常网络服务集合。
2.根据权利要求1所述的主机异常网络服务检测方法,其特征在于,根据所述带权重的无向图计算每个所述网络服务标识对应的排位值,包括:
设置网络服务标识的初始排位值,并代入公式:
进行迭代计算每个所述网络服务标识对应的排位值;
Rprocessi为每个网络服务标识的排位值,In(processi)为与网络服务标识processi有边关系的网络服务标识集合,wij(Sm)为边的权重,Sm为包含网络服务标识processi的主机,processj为In(processi)中的网络服务标识;
若当前迭代计算的所述网络服务标识的排位值与上一次迭代计算的所述网络服务标识的排位值的偏差小于预设偏差值,则将所述当前迭代计算的所述网络服务标识的排位值作为每个所述网络服务标识对应的排位值。
3.根据权利要求2所述的主机异常网络服务检测方法,其特征在于,所述根据每个所述网络服务标识对应的排位值确定异常网络服务集合,包括:
对计算得到的每个所述网络服务标识对应的排位值进行降序排序,并选取排位值小于预设排位值的网络服务标识对应的网络服务作为异常网络服务集合。
4.根据权利要求1所述的主机异常网络服务检测方法,其特征在于,所述计算所述无向图中每条边对应的权重值,得到带权重的无向图,包括:
将所述无向图中每条边对应的主机上网络服务标识,与所有主机上网络服务标识的比值,作为所述无向图中每条边对应的权重值,得到所述带权重的无向图。
5.根据权利要求1所述的主机异常网络服务检测方法,其特征在于,根据所述网络服务信息生成的网络服务标识,还包括网络服务的场景类型。
6.根据权利要求1所述的主机异常网络服务检测方法,其特征在于,所述探测多个主机的网络服务信息,并根据所述网络服务信息生成网络服务标识之后,还包括:
根据多个所述主机和对应的所述网络服务标识,生成主机和对应网络服务标识的集合;
相应的,所述根据每个所述网络服务标识对应的排位值确定异常网络服务集合,包括:
根据每个所述网络服务标识对应的排位值确定网络服务标识白名单;
将所述主机和对应网络服务标识的集合中,处于所述网络服务标识白名单之外的网络服务标识对应的网络服务,确定为异常网络服务集合。
7.根据权利要求1所述的主机异常网络服务检测方法,其特征在于,在根据每个所述网络服务标识对应的排位值确定异常网络服务集合之后,还包括:
输出所述异常网络服务集合。
8.一种主机异常网络服务检测装置,其特征在于,包括:
网络服务标识生成模块,用于探测多个主机的网络服务信息,并根据所述网络服务信息生成网络服务标识;所述网络服务标识至少包括主机类型、操作系统、端口、协议以及服务;
无向图构建模块,用于利用多个所述主机和所述网络服务标识构建无向图;所述网络服务标识为所述无向图的节点,多个所述主机为所述无向图的边;
权重计算模块,用于计算所述无向图中每条边对应的权重值,得到带权重的无向图;
排位值计算模块,用于根据所述带权重的无向图计算每个所述网络服务标识对应的排位值;
异常网络服务确定模块,用于根据每个所述网络服务标识对应的排位值确定异常网络服务集合。
9.一种主机异常网络服务检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的主机异常网络服务检测方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的主机异常网络服务检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311092755.4A CN117134967A (zh) | 2023-08-28 | 2023-08-28 | 一种主机异常网络服务检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311092755.4A CN117134967A (zh) | 2023-08-28 | 2023-08-28 | 一种主机异常网络服务检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117134967A true CN117134967A (zh) | 2023-11-28 |
Family
ID=88850446
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311092755.4A Pending CN117134967A (zh) | 2023-08-28 | 2023-08-28 | 一种主机异常网络服务检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117134967A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117632666A (zh) * | 2024-01-25 | 2024-03-01 | 杭州阿里云飞天信息技术有限公司 | 一种告警方法、设备及存储介质 |
-
2023
- 2023-08-28 CN CN202311092755.4A patent/CN117134967A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117632666A (zh) * | 2024-01-25 | 2024-03-01 | 杭州阿里云飞天信息技术有限公司 | 一种告警方法、设备及存储介质 |
| CN117632666B (zh) * | 2024-01-25 | 2024-05-07 | 杭州阿里云飞天信息技术有限公司 | 一种告警方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965347B (zh) | 一种分布式拒绝服务攻击检测方法、装置及服务器 | |
| CN117134967A (zh) | 一种主机异常网络服务检测方法、装置、设备及存储介质 | |
| CN110213164B (zh) | 一种基于拓扑信息融合的识别网络关键传播者的方法及装置 | |
| CN115484112B (zh) | 支付大数据安全防护方法、系统及云平台 | |
| CN114363212B (zh) | 一种设备检测方法、装置、设备和存储介质 | |
| CN114329312A (zh) | 网络资产数据评价方法、装置、电子设备及存储介质 | |
| CN110348215B (zh) | 异常对象识别方法、装置、电子设备及介质 | |
| CN112437037A (zh) | 基于sketch的DDoS洪泛攻击检测方法及装置 | |
| CN111141208B (zh) | 一种平行线检测方法及装置 | |
| CN110099074A (zh) | 一种物联网设备的异常检测方法、系统及电子设备 | |
| Singh et al. | Fast model-based penetration testing | |
| CN115174638B (zh) | 光伏板数据采集设备的组网方法及系统 | |
| CN108494589B (zh) | 一种分布式Nginx服务器的管理方法和系统 | |
| CN113905066B (zh) | 物联网的组网方法、物联网的组网装置及电子设备 | |
| CN114500247B (zh) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 | |
| CN114900835A (zh) | 恶意流量智能检测方法、装置及存储介质 | |
| CN113395246B (zh) | 一种确定不良域名的方法及系统 | |
| CN112597699B (zh) | 一种融入客观赋权法的社交网络谣言源识别方法 | |
| CN110248372B (zh) | 一种模拟器检测的方法、装置、存储介质及计算机设备 | |
| CN109491892B (zh) | 一种项目环境的配置方法和装置 | |
| CN109362027A (zh) | 定位方法、装置、设备及存储介质 | |
| CN110278130B (zh) | 一种信息设备技术测评方法、装置、设备及可读存储介质 | |
| CN113055339A (zh) | 一种进程数据的处理方法、装置、存储介质和计算机设备 | |
| CN112801561B (zh) | 用户关系确定方法、装置、存储介质及电子设备 | |
| CN112985781B (zh) | 一种镜头测试数据处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |