CN105141604B - 一种基于可信业务流的网络安全威胁检测方法及系统 - Google Patents
一种基于可信业务流的网络安全威胁检测方法及系统 Download PDFInfo
- Publication number
- CN105141604B CN105141604B CN201510511853.6A CN201510511853A CN105141604B CN 105141604 B CN105141604 B CN 105141604B CN 201510511853 A CN201510511853 A CN 201510511853A CN 105141604 B CN105141604 B CN 105141604B
- Authority
- CN
- China
- Prior art keywords
- packet
- data
- network
- module
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 67
- 238000012544 monitoring process Methods 0.000 claims abstract description 14
- 230000005856 abnormality Effects 0.000 claims abstract description 7
- 238000004458 analytical method Methods 0.000 claims description 45
- 238000012545 processing Methods 0.000 claims description 11
- 238000007619 statistical method Methods 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 238000001914 filtration Methods 0.000 claims description 9
- 230000000694 effects Effects 0.000 claims description 4
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 23
- 230000003042 antagnostic effect Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 27
- 238000005516 engineering process Methods 0.000 description 26
- 230000008569 process Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000007689 inspection Methods 0.000 description 5
- 230000003542 behavioural effect Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000003745 diagnosis Methods 0.000 description 3
- 238000003909 pattern recognition Methods 0.000 description 3
- 238000012512 characterization method Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241001137251 Corvidae Species 0.000 description 1
- 241000167880 Hirundinidae Species 0.000 description 1
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 241001494479 Pecora Species 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000011248 coating agent Substances 0.000 description 1
- 238000000576 coating method Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 235000015108 pies Nutrition 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于可信业务流的网络安全威胁检测方法及系统,所述方法包括:建立网络流量的黑名单、白名单,并构建基线模型,所述白名单即可信业务流,是正常网络行为和主机行为的特征轮廓库;将实时监测的流量数据与所述基线模型进行对比;当所述实时数据匹配黑名单时,输出异常流量告警;当所述实时数据匹配白名单,但偏差超过预设阈值时,输出威胁流量告警;当所述实时数据与所述黑、白名单均不匹配时,视为灰名单,输出未知流量告警。本发明能够对网络安全威胁进行全面有效地检测,误报率低、防杀效率高,适应更加细粒度的网络攻防对抗环境。
Description
技术领域
本发明涉及网络信息安全技术领域,特别是涉及一种基于可信业务流的网络安全威胁检测方法及系统。
背景技术
目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑,不具有对数据流进行综合、深度监测的能力,自然就无法有效识别伪装成正常业务的非法流量,结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。这就是为何用户在部署了防火墙后,仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上,蠕虫可以穿透防火墙并迅速传播,导致主机瘫痪,吞噬宝贵网络带宽,P2P等应用,利用80端口进行协商,然后利用开放的UDP进行大量文件共享,导致机密泄漏和网络拥塞,对公司业务系统的危害极大。
入侵检测系统(IDS)是防火墙的补充解决方案,经过多年的商用,IDS已经逐渐显现出了诸多的不足之处,其中最为致命的是:合法的流量中的误报问题。不得不承认,IDS有时会将正常的访问识别为攻击并进行报警。基于特征匹配的入侵检测,会因为一些特殊网络数据包的字符串触发报警,即便对方并非蓄意伪造,但是也存在一些正常数据传输恰好包含了某段攻击代码特征的情况,当IDS遇到合法的和良性的流量时,却断定里面藏有攻击。这种情况是非常糟糕的,它需要管理员对TCP会话进行跟踪和回放,当这样的现象属于个别现象的时候,有经验的管理员是有精力来进行分辨的。但这需要管理员实时的对会话进行辨析,遇到大量的诸如此类的工作涌现的时刻,管理员的人工处理效率将大大降低,而此时需要面对的另外一个问题就是有可能让真正的攻击行为透过这样的海量信息穿墙而过。所以,大部分的IDS需要通过一个较长的周期来进行策略的调整,以达到减少误报的目的。另外,由于目前IDS的管理设计,可能局限系统的可调整性。也就是说,设置时必须决定是否要检测到或忽视某种攻击。假如调整目的在于减少错误报警,那么对某种攻击的检测将被彻底关掉,这些攻击将会畅通无阻而不被发现。
但随着网络攻击手段的花样翻新,基于传统检测方法的很难对诸如0DAY攻击、多态蠕虫病毒、僵尸网络等新兴网络威胁进行有效的检测。在网络安全实践的道路上,为防止数据泄露倾尽全力,并为此付出了极大的时间成本与效率代价,但在安全建设成本成倍增长之后,网络传输和运维效率反而越来越低。比如终端安全防护类软件等。但这些技术鉴于未知攻击的突发性,早期基于“病毒库”、“木马库”的防杀模式几乎已被放弃,因为这些辨识海量病毒、木马代码的“黑名单”难免存在一定时滞后,绝大部分信息安全技术手段都是亡羊补牢“马后炮”。
早在入侵检测/防护产品中,所有的厂家都在其中加入了“异常检测”这一功能,其检测有效性的前提是:网络的攻击行为总是与网络的正常行为不同。但由于传统的检测方法中绝大部分只分析数据包的头部信息,而忽略了应用层负载信息,对于现有基于应用层的攻击很难进行识别。
同时,现有的监控手段,无法有效发现内部的异常网络行为,包括:内部人员的非授权访问和恶意攻击、通过内部主机作为跳板的非授权访问、内部的恶意程序传播。恶意攻击与未授权的内部访问会引入极大的安全风险,可能会引发较为严重的安全事件,如RSA敏感数据外泄事件、韩国农协银行大规模业务中断事件,最早都是因为此类原因而触发。
因此,现行的安全机制已经无法满足新一代威胁的防御需求。在这种情况下,必须建立新的未知安全威胁检测方法,建立新形势下的信息安全防御机制和防御体系。
发明内容
本发明的目的是提供一种基于可信业务流的网络安全威胁检测方法及系统,使其能够对网络安全威胁进行全面有效地检测,误报率低、防杀效率高,适应更加细粒度的网络攻防对抗环境,从而克服现有的防御系统误报率高、效率低、漏洞多的不足。
为实现上述目的,本发明采用如下技术方案:
一种基于可信业务流的网络安全威胁检测方法,包括:建立网络流量的黑名单、白名单,并构建基线模型,所述白名单即可信业务流,是正常网络行为和主机行为的特征轮廓库;将实时监测的流量数据与所述基线模型进行对比;当所述实时数据匹配黑名单时,输出异常流量告警;当所述实时数据匹配白名单,但偏差超过预设阈值时,输出威胁流量告警;当所述实时数据与所述黑、白名单均不匹配时,视为灰名单,输出未知流量告警。
作为进一步地改进,所述特征轮廓库的建立包括:建立业务识别特征库,所述业务识别特征库包含各类IP业务与其业务包特征信息的对应关系;根据所述业务识别特征库,对原始的网络数据包进行业务类型识别;存储并统计分析识别成功的网络数据包及对应的识别结果。
所述根据所述业务识别特征库,对原始的网络数据包进行业务类型识别包括:分析所述原始数据包包头的源地址,获得识别出业务类型的第一批数据包和首次检测无效数据包;分析所述首次检测无效数据包的协议号和端口号,获得识别出业务类型的第二批数据包和二次检测无效数据包;分析所述二次检测无效数据包的数据报文,通过匹配特征字符串获得识别出业务类型的第三批数据包。
所述对原始的数据包进行业务类型识别之前,先通过规则库过滤获得有效的IP包,并对有效的IP包进行解码。
还包括对灰名单中的未知流量数据进行聚类分析,更新所述特征轮廓库。
一种基于可信业务流的网络安全威胁检测系统,包括:基线模型构建模块,用于建立网络流量的黑名单、白名单,并构建基线模型,所述白名单即可信业务流,是正常网络行为和主机行为的特征轮廓库;实时数据比对模块,用于将实时监测的流量数据与所述基线模型进行对比;异常流量告警模块,用于当所述实时数据匹配黑名单时,输出异常流量告警;威胁流量告警模块,用于当所述实时数据匹配白名单,但偏差超过预设阈值时,输出威胁流量告警;未知流量告警模块,用于当所述实时数据与所述黑、白名单均不匹配时,视为灰名单,输出未知流量告警。
作为进一步地改进,所述基线模型构建模块包括特征轮廓库建立模块,所述特征轮廓库建立模块包括:业务识别特征库建立模块,用于建立业务识别特征库,所述业务识别特征库包含各类IP业务与其业务包特征信息的对应关系;识别处理模块,用于根据所述业务识别特征库,对原始的网络数据包进行业务类型识别;存储及统计分析模块,用于存储并统计分析识别成功的网络数据包及对应的识别结果。
所述识别处理模块包括:流向分析子模块,用于分析所述原始数据包包头的源地址,获得识别出业务类型的第一批数据包和首次检测无效数据包;端口分析子模块,用于分析所述首次检测无效数据包的协议号和端口号,获得识别出业务类型的第二批数据包和二次检测无效数据包;特征码分析子模块,用于分析所述二次检测无效数据包的数据报文,通过匹配特征字符串获得识别出业务类型的第三批数据包。
所述可信业务流建立模块还包括过滤及解码模块,用于在对原始的网络数据包进行业务类型识别之前,先通过规则库过滤获得有效的IP包,并对有效的IP包进行解码。
还包括更新模块,用于对灰名单中的未知流量数据进行聚类分析,更新所述特征轮廓库。
由于采用上述技术方案,本发明至少具有以下优点:
(1)本发明的基于可信业务流的网络安全威胁检测方法,能够对网络安全威胁进行全面有效地检测,误报率低、防杀效率高,适应更加细粒度的网络攻防对抗环境,针对今后可能面临的各种新型信息安全风险,完善和补充了现有的信息安全防护体系,提升了运维技术人员对于安全的介入和感知程度。
(2)由于可信业务流本身与业务/数据流高度绑定,在描述上能够协助客户绘制出当前系统的数据流图,这本身就有一定价值;利用该业务/数据流信息,可以逐条进行威胁分析,该分析可以指导渗透测试、系统安全功能分析、系统防护架构设计等一系列工作,提升相关工作的效率与技术水平。
(3)可信业务流的形成,如实地反映了当前系统的在访问控制、身份管理的领域安全策略,完成条目的梳理,其成果除了用于实时的异常检测外,可导出并形成针对某一系统的安全策略,与安全合规要求配合,可以降低企业安全管理和合规成本。
附图说明
上述仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,以下结合附图与具体实施方式对本发明作进一步的详细说明。
图1是本发明基于可信业务流的网络安全威胁检测系统原型架构图。
图2是特征轮廓描述实现模块示意图。
图3是IP包头结构示意图。
图4是TCP包首部结构示意图。
图5是UDP包首部结构示意图。
图6是业务监测协议解析模块逻辑结构图。
图7是采集模块原型设计图。
具体实施方式
本发明提供一种基于可信业务流的网络安全威胁检测方法及系统,通过将业务系统中实际流量与“可信业务流”进行实时监测和特征分析,及时发现并找出网络系统中存在的异常网络行为与主机行为,从而达到及时发现安全威胁的目的。
其中,异常网络行为与主机行为包括:以不正确的身份,在不正确的时间,在不正确的位置(通过不正确的渠道),以不正确的方式对非授权的资源进行不正确的操作。
可信业务流是通过对日常工作中的业务流量进行监控,对系统或用户的行为进行采样,对采集到的样本进行计算,得出一系列的参数变量来对这些行为进行描述,从而梳理出满足正常业务需求的最小网络访问关系,是正常网络行为与主机行为的特征轮廓库。
请参阅图1所示,本发明的基于可信业务流的网络安全威胁检测方法,包括:建立网络流量的黑名单、白名单,并构建基线模型,所述白名单即可信业务流,是正常网络行为和主机行为的特征轮廓库;将实时监测的流量数据与所述基线模型进行对比;当所述实时数据匹配黑名单时,输出异常流量告警;当所述实时数据匹配白名单,但偏差超过预设阈值时,输出威胁流量告警;当所述实时数据与所述黑、白名单均不匹配时,视为灰名单,输出未知流量告警。
上述基于可信业务流的网络安全威胁检测方法及系统具有很强的实用价值,在其研究过程中,首先要建立系统或用户的“正常”行为特征轮廓库,特征量的选取既要能准确地体现系统或用户的行为特征,又能使模型最优化,以最少的特征量就能涵盖系统或用户的行为特征。
请配合参阅图2所述,所述特征轮廓的描述通过以下过程实现:建立业务识别特征库,所述业务识别特征库包含各类IP业务与其业务包特征信息的对应关系;根据所述业务识别特征库,对原始的网络数据包进行业务类型识别;存储并统计分析识别成功的网络数据包及对应的识别结果。
其中,对原始的网络数据包进行业务类型识别之前,先通过规则库过滤获得有效的IP包,并对有效的IP包进行解码。所述业务类型识别具体包括:分析所述原始数据包包头的源地址,获得识别出业务类型的第一批数据包和首次检测无效数据包;分析所述首次检测无效数据包的协议号和端口号,获得识别出业务类型的第二批数据包和二次检测无效数据包;分析所述二次检测无效数据包的数据报文,通过匹配特征字符串获得识别出业务类型的第三批数据包。
由于采用上述技术手段,通过分析业务环境,基于大量的历史和实时数据的统计分析和聚类分析,获得系统或用户的特征轮廓及参考门限。在基线模型中,以正常行为的特征轮廓的参考门限作为比较的参考基准,实现检测功能。参考门限的设定应避免漏警率过高或虚警率过高。此外,对实时监测的灰名单中的未知流量数据的聚类分析可以对特征轮廓库进行更新,管理员也可对特征轮廓进行手工修订,同时基线模型可以通过自学习提高准确性。以下对模型建立中涉及的业务环境分析、特征轮廓描述等关键技术进行详细介绍。
建模的内容由若干条目的组成,给出组成条目的元素,各元素与数据对象(IP地址、User-ID、URL等)的映射,应涵盖应用层的数据对象,包括主机环境和网络环境,其覆盖的元素内容包含但不限于:时间、动机(原因)、发起者、源端终端应用程序、源端系统应用程序、源端文件、源端配置信息、源端进程、应用层协议、网络层协议、源端应用层地址、源端网络层地址、源端口、源端路径、操作、目的端路径、目的端口、目的端网络层地址、目的端应用层地址、目的端进程、目的端配置信息、目的端文件、目的端系统应用程序、目的端终端应用程序、响应者。
通过以上条目可以看出,研究对象领域不仅局限于数据包头的信息,数据包内部包含的信息比数据包头部包含的信息量大很多。
IP包、TCP/UDP包的结构是进行业务环境分析的基础,IP数据包由头部和数据部分(IP报文)构成。头部包括一个20字节的固定长度部分和一个可选任意长度部分。其头部格式如图3所示:
版本:4位长。记录了数据包对应的协议版本号。当前的m协议有两个版本:IPV4和IPV6。
IHL:4位长。代表头部的总长度,以32位字节为一个单位。
服务类型:8位长。使主机可以告诉子网它想要什么样的服务。
总长:16位。指头部和数据的总长。最大长度是65535个字节。
协议:8位。说明将分组发送给哪个传输进程,如TCP、UDP等。TCP的
协议号为6,UDP的协议号为8。
源地址:32位。产生口数据包的源主机IP地址。
目的地址:32位。IP数据包的目的主机的IP地址。
TCP数据包首部格式如图4所示:
源端口、目的端口:16位长。标识远端和本地的端口号。端口号又称为传输层服务访问点(TSAP),用于在传输层上标识应用层的应用进程。0-1023之间的端口号被称为标准端口号,被分配给一些知名的TCP/IP服务,如FTP服务的端口号是21,HTTP服务的协议类型/端口号是80。
顺序号:32位长。表明了发送的数据包的顺序。
TCP头长:4位长。表明TCP头中包含多少个32位字。
窗口大小:16位长。窗口大小字段表示在确认了字节之后还可以发送多少个字节。
校验和:16位长。是为了确保高可靠性而设置的。它校验头部、数据和伪TCP头部之和。
可选项:0个或多个32位字。包括最大TCP载荷,窗口比例、选择重发数据包等选项。
UDP数据包包括一个8字节的头和数据部分。包头的格式如图5所示,它包括四个长为16字节的字段。源端口和目的端口的作用与TCP中的相同。UDP长度字段指明包括8个字节的头和数据在内的数据报长度。UDP校验和字段是可选项,用于记录UDP头、UDP伪头、用户数据三者的校验和。
IP网常见的协议应用有HrrP、FTP、SMTP、POP3和IMAP等。这些应用使用特定的传输层协议(TCP肘DP)和端口号进行通信。传输协议信息位于IP包头中,端口信息位于TCP/UDP包头中。因此,IP包头中的协议信息(8bit)和TCP/UDP包头中端口信息(32bit)是对此类业务类型的包进行识别的重要包特征信息。
从以上内容可以看出,如果只分析IP数据包的头部信息,虽然原则上可以使用存IANA中注册的端口号识别各种应用层协议,但是由于下述原因的存在,端口识别协议的方法正在越来越多的受到限制:1)不是所有的协议都在IANA中注册使用的端口。例如,BT等P2P协议,同时如果从业务的角度上看,现在很多业务都采用B/S架构,也就是说,同一个80端口上可能存在多个不同的业务传输可能,如果仅仅分析端口,很难区分出具体的业务使用情况;2)有些应用程序可能使用其常用端口以外的端口,以绕过操作系统的访问限制。例如,某些没有特权的用户可能在非80端口上运行WWW服务器,因为大多数操作系统通常将80端口限制为只允许某些特定的用户使用;3)有些注册的端口号被多个应用程序所使用。例如,端口888同时被accessbuider和CDDBP所使用;4)在某些情况下,服务器的端口是动态分配的。例如,FTP被动模式下的数据传输端口就是在控制流中协商的;5)由于防火墙等访问控制技术封堵了某些未授权的端口。很多协议改变为使用常用端口以绕开防火墙的封堵。例如,80端口被很多非web应用程序所使用以绕开那些不过滤80端口流量的防火墙。实际上,以隧道方式在HTI'P协议上使用IP协议可以允许所有的应用程序通过TCP的80端口;6)木马和其它的网络攻击(如DoS)所产生的大量流量也不能归结为其使用的端口所代表的协议。
由于对于业务的正确识别,影响到整个模型最终的有效检测效果,因此,基于业务(应用)的应用层协议分析技术,是在大数据流量下提取采集应用数据所涉及的关键技术。这里对接收到的基本的PACKET数据包,根据识别的不同应用层协议,交付给不同的高级应用协议解析模块进行处理。如HTTP协议、SMTP协议、FTP协议、OA协议、MIS协议等。图6给出了业务检测协议解析模块的逻辑结构。各应用层解析模块根据配置,动态加载需要处理的函数信息。根据检测目的的不同,使用不同的规则库进行检测。
为了能够精确高效的对数据流进行检测需要考虑多种流量检测技术共同配合使用,以达到最终的目的。IP网络中现有的业务流量检测技术可以总结为三类:基于五元组的业务流量检测技术、深度包检测技术(DPI)和深度/动态流检测技术(DFI)。
(1)基于五元组的业务流量检测技术
基于五元组的业务流量检测技术是在OSI模型的网络层和传输层上对数据包进行业务识别。具体来讲,是通过IP包头中的源地址、目的地址、协议类型、源端口号和目的端口号这五个域的值来确定当前数据包的业务类型。
根据数据包头中的源地址,可以识别出由为单一应用配置的服务器发出的数据包的业务类型。比如说,电子邮件服务器。根据数据包头中的协议号+端口号,可以对知名网络服务和使用固定端口号通信的网络服务的数据包进行业务识别。如FTP业务的协议号+端口号是TCP/21,Skype 1.0版本的协议号+端口号是TCP/1024。
(2)深度包检测技术
深度包检测技术即DPI(Deep Packet Inspection)技术,是一种基于应用层的流量检测和控制技术,当P数据包、TCP或UDP数据流通过基于DPI技术的流量检测系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
DPI的识别技术可以分为以下几大类:
1)基于“特征字”的识别技术
不同的应用通常依赖于不同的协议,而不同的协议在其数据包报文里都具有特定的固有的特征字,我们也可以把它称为“程序签名”。基于“特征字”的识别技术通过对业务流中特定数据报文中的“程序签名”信息的检测以确定业务流承载的应用。例如BitTorrent的包具有“0x13BitTorrent”的程序签名,WindowsMessenger的包具有“MSMSGS”的程序签名。
根据具体检测方式的不同,基于“特征字”的识别技术又可以被分为固定位置特征字匹配、变动位置的特征匹配以及状态特征匹配三种技术。通过对“程序签名”信息的升级,基于特征的识别技术可以很方便的进行功能扩展,实现对新协议的检测。
2)应用层网关识别技术
某些业务的控制流和业务流是分离的,业务流没有任何特征。这种情况下,我们就需要采用应用层网关识别技术。应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从协议内容中识别出相应的业务流。对于每一个协议,需要有不同的应用层网关对其进行分析。如SIP、H323协议都属于这种类型。SIP/H323通过信令交互过程,协商得、到其数据通道,一般是RTP格式封装的语音流。也就是说,纯粹检测RTP流并不能得出这条RTP流是那通过那种协议建立的。只有通过检测SIP/H323的协议交互,才能得到其完整的分析。
3)行为模式识别技术
行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进。行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如:SPAM(垃圾邮件)业务流和普通的Email业务流从Email的内容上看是完全一致的,只有通过对用户行为的分析,才能够准确的识别出SPAM业务。
(3)深度/动态流检测技术
深度/动态流检测技术即DFI(Deep/Dynamic Flow Inspection)技术,是一种基于传输层的较新的应用流量监控技术,与DPI进行应用层的载荷匹配不同,DFI采用的是一种基于流量行为的应用识别技术,即不同的应用类型体现在会话连接或数据流上的状态各有不同。
例如,网上IP话音流量体现在流状态上的特征就非常明显:RTP流的包长相对固定,一般在130到220字节之间,连接速率较低,在20kbps至84kbps之间,同时会话持续时间也相对较长;而基于P2P下载应用的流量模型特点为平均包长都在450字节以上、下载时间长、连接速率高、首选传输层协议为TCP等;DFI技术正是基于这一系列流量的行为特征,通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来鉴别应用类型。
上述多种流量检测技术,为精确高效的对数据流进行检测提供了可靠的技术手段,为特征轮廓描述奠定了基础。
特征轮廓描述技术,其核心是建立一个基于IP数据包的业务流分析系统,通过对网络数据包从网络层到应用层数据的全面分析,找出各层中对业务识别有意义的特征字符串,匹配到相应协议类型,从而识别各种IP业务。这种模型的基础是不同的应用通常依赖于不同的协议,而不同的协议在数据包中都具有其特殊的特征字,这些特征字可以是特定的网络地址,特定的端口号或者特定的字符串。通过网络层的地址信息、协议信息和传输层的标准端口号可以对数据包进行初步的特征分析和业务识别,实现数据包的初步分流。继而有选择的对部分分流的网络数据包的数据报文进行特征字符串检测,实现应用层上对数据包的再分流,得到更精细的数据包业务流。
具体而言,请参阅图2所示,基于原始数据包进行业务类型识别可通过以下模块完成:
数据包采集器:采集原始的网络数据包,根据预先设定的规则过滤出有效的IP包,进行初步解码后,存于原始数据包缓冲区中,等待识别处理模块进行分析处理。
流向分析器:分析数据包包头的源地址,对数据包进行流向分流。根据包头的源地址信息,可以识别出一部分应用。因为服务器有时是针对单一应用而配置的,如电子邮件服务器,所以分析由该类服务器产生数据包的源口地址就能识别该数据包的业务类型。对识别出业务类型的包按照业务类型进行分流后输出,将识别结果存于结果存储模块,其余业务类型未知的包流入端口分析器。
端口分析器:分析数据包的协议号和端口号,对知名网络服务和使用固定端口号的网络服务的数据包进行业务识别,分流后部分输出,识别结果存储于结果存储模块,未识别的包和需二次检测的包流入特征码分析器。协议号位于IP数据报包头中,用于指出此数据包所携带的数据是使用何种协议,以便目的主机的m层将数据部分上交给传输层的相应处理过程。比如TCP协议对应协议号6,UDP协议对应协议号17。端口号又称为传输层服务访问点(TSAP),用于在传输层上标识应用层的应用进程。0~1023之间的端口号被称为标准端口号,被分配给一些知名的TCP/IP服务,如FTP服务的协议类型/端口号是TCP/21,HrrP服务的协议类型/端口号是TCP/80。因此,运用协议号+标准端口号的组合可以唯一确定一些知名服务的包的业务类型。同时,端口号识别的方法也适用于一些使用固定端口号通信的网络服务。因此,进行粗粒度的端口检测已无法满足需要。为了更精确的识别数据包的业务类型,可以通过配置业务识别特征库,使部分协议+端口组合的包流入特征码分析器进行二次检验。
特征码分析器:分析数据包的数据报文,通过特征字符串匹配的方式识别数据包的业务类型,将数据包分流后输出,结果存于结果存储模块中。此分析器主要针对运用传统的源地址检测,协议号和端口号检测无效的数据包业务类型的检测。例如P2P的各种应用,大多采用动态随机端口号,使用端口号分析的方法是无法确定其业务类型的。然而,任何网络业务都依赖其特定的网络协议,这些协议在数据包的报文里都具有其特定的固有的特征字,可以把它们称为程序签名。例如BitTorrent的包具有“0x13BitTorrent”的程序签名,WindowsMessenger的包具有“MSMSGS”的程序签名,eMule的包具有“Oxd4/Oxc5”的程序签名。通过在数据包报文里查找程序签名的方法,可以将数据包匹配到相应的业务类型。
结果存储模块:存储识别处理模块对数据包进行业务识别的结果,为统计分析模块提供依据。
统计分析模块:从结果存储模块读取相关信息,以文本、表格或者各种图型(饼状图,柱状图,曲线图)的方式展示分析结果。
业务识别特征库:存储各类IP业务同其业务包特征信息的对应关系,供识别处理模块在对包特征匹配时进行比对。流向分析器、端口分析器和特征码分析器的识别依据都来源于业务识别特征库。通过对业务识别特征库的升级,可以支持更多新业务的识别。通过对业务识别特征库的配置,能控制包的检测流程,让不同特征的数据包有选择的流入各类分析器。业务识别特征库可以是数据库,也可以是XML格式的文件,它能被方便的进行扩展,在无需任何程序改动的情况下,支持对新业务的识别。
在建立模型的过程中,需要建立以下几个概念对象,通过对概念对象中2种或者2种以上的组合,来为一个业务流完成完整的建模过程。
实体对象:对网络中的实体进行抽象并对其赋予系统内部独有的ID,实体对象可以是路由器、交换机、主机这样的物理设备,也可以是应用软件、中间件等逻辑实体。实体是业务流采集的对象,不同的实体具有不同的特性,系统实体对象则把这些特性统一封装起来,并提供对外操作接口。
协议对象:对网络中使用的协议进行抽象。它封装了网络通信协议。网络中的通信和交互都需要使用协议,这些协议也是网络数据采集的重要工具,包括:request-reply和publish-subscribe方式。对于Web等一些网络服务,适合采用request-reply方式,而对于普适环境下的大量sensor,适合采用publish-subscribe方式。目前网络中有常见的通信协议,如HTTP、FTP、Snmp和一些无线通信协议等等,这些协议都可以在实际数据采集过程中使用。
任务对象:对网络数据采集处理过程进行抽象。过程对象的属性包括采集对象、采集使用协议、采集数据处理方式和采集数据保存方式。其中采集对象是实体对象的实例,采集使用协议表明使用的通信协议,采集数据的处理和保存则表明数据所需要的进一步的处理。
时间对象:对网络时间进行抽象。时间对象是网络时间的抽象表示,它的出现代表网络时间的流逝。业务规则被触发以及业务对象的行为,这些都与网络时间的流逝有很大的关系,时间对象本身具有固定的长度属性,这个属性值是不可改变的。
其他模型元素:数据采集器负责采集网络中各种格式的原始数据,这些原始数据经过解析规则的处理生成元数据,元数据经过处理规则的处理后成为标准数据,标准数据已经可以满足网络应用的需求。数据转发器在转发规则指导之下,将标准数据以文件、数据库形式转发,或者按照指定的格式转发给网络上的其他应用。
综上所述,本发明的基于可信业务流的网络安全威胁检测方法,通过结合业务环境,实现描述正常行为特征轮廓,进而建立基线模型,实现对实时流量数据的监测。利用上述方法构建基于可信业务流的网络安全威胁检测系统,能够实现通过分析网络中的业务流量,及时发现网络中具有安全风险行为。
作为一种具体的实施例,本发明基于可信业务流的网络安全威胁检测系统的原型架构如图1所示,系统模块包括采集模块、分析模块、存储模块及展现模块。其中分析模块包括数据预处理模块、源地址分析模块、端口分析模块、特征码分析模块、统计分析模块;存储模块可以数据库的形式存储数据;展现模块用于展现不同的预警界面。以下对各模块进行具体介绍:
(1)采集模块原型研制
采集模块运行于如图7所示的分析服务器中。图中交换机的左部代表局域网内的所有终端,所有流入流出局域网的包都经过此交换机。此交换机具备三类端口,一为普通端口(多个),连接局域网内的各个终端;二为出/入端口(一个),所有进出局域网的包都通过此端口;三为镜像端口(一个),它是出/入端口的镜像端口,所有流经出/入端口的数据包都会被拷贝一份,发送到镜像端口。系统所在的分析服务器连接着镜像端口,意味着所有出/入该局域网的包都能够被系统获取。
(2)数据预处理模块
该模块的功能主要是对数据采集模块输出的数据包按照设定好的过滤规则进行过滤后,进行初步的包解码,按照IP协议解析出对应的域,再把解码好的数据包存储在原始包缓冲区中,以便业务分析引擎进行分析处理。
(3)源地址分析模块
该模块的功能主要是从原始数据包缓冲区中依次取数据包,对包头中的源地址进行分析,查询业务识别特征库,对具源地址业务特征的数据包进行业务识别后按照业务类型分流后输出,识别结果存于流缓冲区3,等待结果存储模块进行处理,其余业务类型未知的数据包按照源地址分流后流入流缓冲区1,等待端口识别模块取出数据流做进一步的业务分析。
(4)端口分析模块
该模块的功能主要是从流缓冲区1中依次取数据包,对包头中的协议号和服务端口号进行分析,查询业务识别特征库,对具端口业务特征的数据包进行业务识别,按业务将数据包分流后输出。若数据包端口处于可疑列表中,输出的业务流进入流缓冲区2,等待特征码识别模块取数据流做进一步业务分析,若数据包端口不在可以列表中,则识别结果存于流缓冲区3,等待结果存储模块进行处理。不具端口业务特征的数据包按源地址和未知业务类型进入流缓冲区2。
(5)特征码分析模块
该模块的功能主要是从流缓冲区2中依次取数据包,对数据包载荷进行分析,查询业务识别特征库,对具应用层业务特征的数据包进行业务识别,按业务将数据包分流后输出到流缓冲区3,等待结果存储模块进行处理。此模块还负责可疑端口列表的更新,发现应用层特征码的业务识别结果和服务端口的业务识别结果不符时,将协议号和端口号加入可疑端口列表。
(6)结果存储模块
该模块的主要功能是从流缓冲区3中取业务流,并对流信息进行存储,鉴于数据量较大,采用Oracle数据库用于原始分析数据的存储,待统计分析模块提取数据进行统计分析。
(7)统计分析模块
该模块的功能主要是对结果存储模块存储的业务流数据,按照用户的需要进行统计分析,从而对局域网内的各种业务流量进行区分和统计。
(8)系统数据库
系统数据库的主要功能如下:
存储业务识别特征信息,即各类口业务同其业务包特征信息的对应关系,供业务分析引擎中各个分析模块在对包特征匹配时进行比对。相当于模型中的业务识别特征库。源地址分析器、端口分析器和特征码分析器的识别依据都来源于此。通过升级,可以支持更多新业务的识别。通过配置,能控制包的检测流程,让不同特征的数据包有选择的流入各个业务分析模块。
存储原始分析数据,即由结果存储模块存储的业务流信息,供统计分析模块提取数据进行统计分析。
存储统计分析结果,供显示层显示。
存储用户对系统的定制信息,包括对系统检测功能的定制,对系统检测业务的定制,对系统呈现方式的定制等等。鉴于系统的规模及数据量,采用Oracle数据库。
本发明基于可信业务流的网络安全威胁检测系统,将业务系统中实际流量与“可信业务流”进行实时监测和特征分析,及时发现并找出网络系统中存在的异常网络行为与主机行为,将此不正确的操作进行自动告警。同时当产生异常业务流时,系统将自动产生包含威胁信息或异常访问的工单并及时下发通知。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,本领域技术人员利用上述揭示的技术内容做出些许简单修改、等同变化或修饰,均落在本发明的保护范围内。
Claims (8)
1.一种基于可信业务流的网络安全威胁检测方法,其特征在于,包括:
建立网络流量的黑名单、白名单,并构建基线模型,所述白名单即可信业务流,是正常网络行为和主机行为的特征轮廓库;
将实时监测的流量数据与所述基线模型进行对比;
当所述实时数据匹配黑名单时,输出异常流量告警;
当所述实时数据匹配白名单,但偏差超过预设阈值时,输出威胁流量告警;
当所述实时数据与所述黑、白名单均不匹配时,视为灰名单,输出未知流量告警;
还包括对灰名单中的未知流量数据进行聚类分析,更新所述特征轮廓库。
2.根据权利要求1所述的一种基于可信业务流的网络安全威胁检测方法,其特征在于,所述特征轮廓库的建立包括:
建立业务识别特征库,所述业务识别特征库包含各类IP业务与其业务包特征信息的对应关系;
根据所述业务识别特征库,对原始的网络数据包进行业务类型识别;
存储并统计分析识别成功的网络数据包及对应的识别结果。
3.根据权利要求2所述的一种基于可信业务流的网络安全威胁检测方法,其特征在于,所述根据所述业务识别特征库,对原始的网络数据包进行业务类型识别包括:
分析所述原始数据包包头的源地址,获得识别出业务类型的第一批数据包和首次检测无效数据包;
分析所述首次检测无效数据包的协议号和端口号,获得识别出业务类型的第二批数据包和二次检测无效数据包;
分析所述二次检测无效数据包的数据报文,通过匹配特征字符串获得识别出业务类型的第三批数据包。
4.根据权利要求2所述的一种基于可信业务流的网络安全威胁检测方法,其特征在于,所述对原始的数据包进行业务类型识别之前,先通过规则库过滤获得有效的IP包,并对有效的IP包进行解码。
5.一种基于可信业务流的网络安全威胁检测系统,其特征在于,包括:
基线模型构建模块,用于建立网络流量的黑名单、白名单,并构建基线模型,所述白名单即可信业务流,是正常网络行为和主机行为的特征轮廓库;
实时数据比对模块,用于将实时监测的流量数据与所述基线模型进行对比;
异常流量告警模块,用于当所述实时数据匹配黑名单时,输出异常流量告警;
威胁流量告警模块,用于当所述实时数据匹配白名单,但偏差超过预设阈值时,输出威胁流量告警;
未知流量告警模块,用于当所述实时数据与所述黑、白名单均不匹配时,视为灰名单,输出未知流量告警;
还包括更新模块,用于对灰名单中的未知流量数据进行聚类分析,更新所述特征轮廓库。
6.根据权利要求5所述的一种基于可信业务流的网络安全威胁检测系统,其特征在于,所述基线模型构建模块包括特征轮廓库建立模块,所述特征轮廓库建立模块包括:
业务识别特征库建立模块,用于建立业务识别特征库,所述业务识别特征库包含各类IP业务与其业务包特征信息的对应关系;
识别处理模块,用于根据所述业务识别特征库,对原始的网络数据包进行业务类型识别;
存储及统计分析模块,用于存储并统计分析识别成功的网络数据包及对应的识别结果。
7.根据权利要求6所述的一种基于可信业务流的网络安全威胁检测系统,其特征在于,所述识别处理模块包括:
流向分析子模块,用于分析所述原始数据包包头的源地址,获得识别出业务类型的第一批数据包和首次检测无效数据包;
端口分析子模块,用于分析所述首次检测无效数据包的协议号和端口号,获得识别出业务类型的第二批数据包和二次检测无效数据包;
特征码分析子模块,用于分析所述二次检测无效数据包的数据报文,通过匹配特征字符串获得识别出业务类型的第三批数据包。
8.根据权利要求6所述的一种基于可信业务流的网络安全威胁检测系统,其特征在于,所述可信业务流建立模块还包括过滤及解码模块,用于在对原始的网络数据包进行业务类型识别之前,先通过规则库过滤获得有效的IP包,并对有效的IP包进行解码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510511853.6A CN105141604B (zh) | 2015-08-19 | 2015-08-19 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510511853.6A CN105141604B (zh) | 2015-08-19 | 2015-08-19 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105141604A CN105141604A (zh) | 2015-12-09 |
| CN105141604B true CN105141604B (zh) | 2019-03-08 |
Family
ID=54726812
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510511853.6A Active CN105141604B (zh) | 2015-08-19 | 2015-08-19 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105141604B (zh) |
Families Citing this family (65)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019506662A (ja) * | 2015-12-23 | 2019-03-07 | コンプテル オーユー | ネットワーク管理 |
| CN105791273A (zh) * | 2016-02-24 | 2016-07-20 | 上海携程商务有限公司 | web漏洞扫描系统 |
| CN107135183A (zh) * | 2016-02-26 | 2017-09-05 | 中国移动通信集团河北有限公司 | 一种流量数据监测方法和装置 |
| CN107360118B (zh) * | 2016-05-09 | 2021-02-26 | 中国移动通信集团四川有限公司 | 一种高级持续威胁攻击防护方法及装置 |
| CN107634931A (zh) * | 2016-07-18 | 2018-01-26 | 深圳市深信服电子科技有限公司 | 异常数据的处理方法、云端服务器、网关及终端 |
| CN106101162A (zh) * | 2016-08-31 | 2016-11-09 | 成都科来软件有限公司 | 一种跨会话流网络攻击筛选方法 |
| CN106603278A (zh) * | 2016-11-29 | 2017-04-26 | 任子行网络技术股份有限公司 | 基于审计数据管理模型的网络应用审计管理方法和装置 |
| CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
| CN106850637B (zh) * | 2017-02-13 | 2020-02-04 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
| CN107070700B (zh) * | 2017-03-07 | 2020-01-21 | 浙江工商大学 | 一种基于身份自动识别的网络服务提供方法 |
| CN107147627A (zh) * | 2017-04-25 | 2017-09-08 | 广东青年职业学院 | 一种基于大数据平台的网络安全防护方法及系统 |
| CN107276983A (zh) * | 2017-05-12 | 2017-10-20 | 西安电子科技大学 | 一种基于dpi和云同步的流量安全控制方法及系统 |
| CN108933731B (zh) * | 2017-05-22 | 2022-04-12 | 南京骏腾信息技术有限公司 | 基于大数据分析的智能网关 |
| CN107659583B (zh) * | 2017-10-27 | 2020-08-04 | 深信服科技股份有限公司 | 一种检测事中攻击的方法及系统 |
| CN107872522A (zh) * | 2017-11-03 | 2018-04-03 | 国网浙江省电力公司电力科学研究院 | 一种基于特征库的多业务识别方法 |
| CN107844290B (zh) * | 2017-11-21 | 2021-04-30 | 北京思源理想控股集团有限公司 | 基于数据流安全威胁分析的软件产品设计方法及装置 |
| CN109842858B (zh) * | 2017-11-24 | 2020-12-08 | 中移(苏州)软件技术有限公司 | 一种业务异常订购检测方法及装置 |
| CN108259462A (zh) * | 2017-11-29 | 2018-07-06 | 国网吉林省电力有限公司信息通信公司 | 基于海量网络监测数据的大数据安全分析系统 |
| CN108111487B (zh) * | 2017-12-05 | 2022-08-09 | 全球能源互联网研究院有限公司 | 一种安全监控方法及系统 |
| CN108055282A (zh) * | 2017-12-28 | 2018-05-18 | 国网浙江省电力有限公司电力科学研究院 | 基于自学习白名单的工控异常行为分析方法及系统 |
| TWI657681B (zh) * | 2018-02-13 | 2019-04-21 | 愛迪爾資訊有限公司 | 網路流分析方法及其相關系統 |
| CN108600258A (zh) * | 2018-05-09 | 2018-09-28 | 华东师范大学 | 一种面向综合电子系统自生成白名单的安全审计方法 |
| CN108777643A (zh) * | 2018-06-08 | 2018-11-09 | 武汉思普崚技术有限公司 | 一种流量可视化平台系统 |
| CN108805747A (zh) * | 2018-06-13 | 2018-11-13 | 山东科技大学 | 一种基于半监督学习的异常用电用户检测方法 |
| CN108683551B (zh) * | 2018-08-08 | 2021-09-14 | 武汉思普崚技术有限公司 | 一种管道式流控的方法及装置 |
| CN109284307B (zh) * | 2018-09-27 | 2021-06-08 | 平安科技(深圳)有限公司 | 一种流量数据的聚类处理方法、装置及电子设备 |
| CN109413091A (zh) * | 2018-11-20 | 2019-03-01 | 中国联合网络通信集团有限公司 | 一种基于物联网终端的网络安全监控方法和装置 |
| CN109753796B (zh) * | 2018-12-07 | 2021-06-08 | 广东技术师范学院天河学院 | 一种大数据计算机网络安全防护装置及使用方法 |
| CN111294318B (zh) * | 2018-12-07 | 2022-04-05 | 中国移动通信集团陕西有限公司 | 一种网络攻击的ip地址分析方法、装置和存储介质 |
| CN109379390B (zh) * | 2018-12-25 | 2021-04-27 | 中国电子科技网络信息安全有限公司 | 一种基于全流量的网络安全基线生成方法 |
| CN109462617B (zh) * | 2018-12-29 | 2022-04-15 | 北京威努特技术有限公司 | 一种局域网中设备通讯行为检测方法及装置 |
| CN109981596B (zh) * | 2019-03-05 | 2020-09-04 | 腾讯科技(深圳)有限公司 | 一种主机外联检测方法及装置 |
| CN110061979B (zh) * | 2019-04-01 | 2022-01-11 | 视联动力信息技术股份有限公司 | 一种业务对象的检测方法和装置 |
| CN110392039A (zh) * | 2019-06-10 | 2019-10-29 | 浙江高速信息工程技术有限公司 | 基于日志和流量采集的网络系统事件溯源方法及系统 |
| CN110752996A (zh) * | 2019-10-24 | 2020-02-04 | 杭州迪普信息技术有限公司 | 一种报文转发方法及装置 |
| CN110825385B (zh) * | 2019-10-29 | 2023-02-28 | 福建天泉教育科技有限公司 | React Native离线包的构建方法及存储介质 |
| CN110855711A (zh) * | 2019-11-27 | 2020-02-28 | 上海三零卫士信息安全有限公司 | 一种基于scada系统白名单矩阵的工控网络安全监控方法 |
| CN111031062B (zh) * | 2019-12-24 | 2020-12-15 | 四川英得赛克科技有限公司 | 带自学习的工业控制系统全景感知监测方法、装置和系统 |
| CN113079126A (zh) * | 2020-01-03 | 2021-07-06 | 国网湖北省电力有限公司 | 网络安全威胁事件智能分析方法及设备 |
| CN111368908B (zh) * | 2020-03-03 | 2023-12-19 | 广州大学 | 一种基于深度学习的hrrp无目标对抗样本生成方法 |
| CN111628994A (zh) * | 2020-05-26 | 2020-09-04 | 杭州安恒信息技术股份有限公司 | 一种工控环境的异常检测方法、系统及相关装置 |
| CN113810360A (zh) * | 2020-06-11 | 2021-12-17 | 苹果公司 | 网络接口设备 |
| CN112261019B (zh) * | 2020-10-13 | 2022-12-13 | 中移(杭州)信息技术有限公司 | 分布式拒绝服务攻击检测方法、装置及存储介质 |
| TWI736456B (zh) * | 2020-10-27 | 2021-08-11 | 財團法人資訊工業策進會 | 異常封包偵測裝置及方法 |
| CN112422567B (zh) * | 2020-11-18 | 2022-11-15 | 清创网御(合肥)科技有限公司 | 一种面向大流量的网络入侵检测方法 |
| CN114598486B (zh) * | 2020-12-03 | 2023-04-07 | 华中科技大学 | 一种sdn网络中面向业务流的威胁等级划分方法和系统 |
| CN112491917B (zh) * | 2020-12-08 | 2021-05-28 | 物鼎安全科技(武汉)有限公司 | 一种物联网设备未知漏洞识别方法及装置 |
| CN112671736B (zh) * | 2020-12-16 | 2023-05-12 | 深信服科技股份有限公司 | 一种攻击流量确定方法、装置、设备及存储介质 |
| CN112804190B (zh) * | 2020-12-18 | 2022-11-29 | 国网湖南省电力有限公司 | 一种基于边界防火墙流量的安全事件检测方法及系统 |
| CN112887268B (zh) * | 2021-01-07 | 2022-07-12 | 深圳市永达电子信息股份有限公司 | 一种基于全面检测和识别的网络安全保障方法及系统 |
| CN112887159B (zh) * | 2021-03-26 | 2023-04-28 | 北京安天网络安全技术有限公司 | 一种统计告警方法和装置 |
| CN113037779B (zh) * | 2021-04-19 | 2022-02-11 | 清华大学 | 一种积极防御系统中的智能自学习白名单方法和系统 |
| CN113315777B (zh) * | 2021-06-03 | 2021-12-07 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于电力规约操作智能运维监控系统 |
| CN113791973B (zh) * | 2021-08-23 | 2022-09-06 | 湖北省农村信用社联合社网络信息中心 | 基于农信系统的兼容性基线检测方法及系统 |
| US12058137B1 (en) | 2021-10-20 | 2024-08-06 | Wells Fargo Bank, N.A. | Internet protocol (IP) curator |
| CN114371682B (zh) * | 2021-11-05 | 2024-04-05 | 中国科学院信息工程研究所 | Plc控制逻辑攻击检测方法及装置 |
| CN114095391B (zh) * | 2021-11-12 | 2024-01-12 | 上海斗象信息科技有限公司 | 一种数据检测方法、基线模型构建方法及电子设备 |
| CN114201753B (zh) * | 2021-12-03 | 2023-01-10 | 中国长江三峡集团有限公司 | 一种基于业务行为的工业生产网络数据分析方法 |
| CN114217591B (zh) * | 2021-12-16 | 2024-07-05 | 网御铁卫(北京)科技有限公司 | 一种关于工业控制系统网络行为自学习系统 |
| WO2023184303A1 (zh) * | 2022-03-31 | 2023-10-05 | 华为技术有限公司 | 一种安全检测方法、装置和车辆 |
| CN114978604A (zh) * | 2022-04-25 | 2022-08-30 | 西南大学 | 一种用于软件定义业务感知的安全网关系统 |
| CN114745139B (zh) * | 2022-06-08 | 2022-10-28 | 深圳市永达电子信息股份有限公司 | 一种基于类脑存算的网络行为检测方法及装置 |
| CN115801538A (zh) * | 2022-11-10 | 2023-03-14 | 云南电网有限责任公司 | 场站服务器应用资产深度识别方法、系统及设备 |
| CN117061254B (zh) * | 2023-10-12 | 2024-01-23 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
| CN118487797A (zh) * | 2024-04-26 | 2024-08-13 | 广东星辉天拓互动娱乐有限公司 | 一种关于防御网络攻击流量牵引的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741744A (zh) * | 2009-12-17 | 2010-06-16 | 东南大学 | 一种网络流量识别方法 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8302164B2 (en) * | 2004-07-22 | 2012-10-30 | Facebook, Inc. | Authorization and authentication based on an individual's social network |
| CN101355463B (zh) * | 2008-08-27 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 网络攻击的判断方法、系统和设备 |
| CN101938583B (zh) * | 2010-09-03 | 2012-12-05 | 电子科技大学 | 一种基于多名单的异常呼叫过滤方法 |
| CN103731362A (zh) * | 2014-01-02 | 2014-04-16 | 浙江网新恩普软件有限公司 | 一种带有流量控制的异地就医系统 |
| CN104486324B (zh) * | 2014-12-10 | 2018-02-27 | 北京百度网讯科技有限公司 | 识别网络攻击的方法及系统 |
-
2015
- 2015-08-19 CN CN201510511853.6A patent/CN105141604B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741744A (zh) * | 2009-12-17 | 2010-06-16 | 东南大学 | 一种网络流量识别方法 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105141604A (zh) | 2015-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105141604B (zh) | 一种基于可信业务流的网络安全威胁检测方法及系统 | |
| US9954873B2 (en) | Mobile device-based intrusion prevention system | |
| US7646728B2 (en) | Network monitoring and intellectual property protection device, system and method | |
| Cheng et al. | Evasion techniques: Sneaking through your intrusion detection/prevention systems | |
| CN103795709B (zh) | 一种网络安全检测方法和系统 | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN104115463B (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
| US6957348B1 (en) | Interoperability of vulnerability and intrusion detection systems | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| US9491185B2 (en) | Proactive containment of network security attacks | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| Stergiopoulos et al. | Automatic detection of various malicious traffic using side channel features on TCP packets | |
| Alaidaros et al. | An overview of flow-based and packet-based intrusion detection performance in high speed networks | |
| CN103916288B (zh) | 一种基于网关与本地的Botnet检测方法及系统 | |
| KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
| Mohammed et al. | Honeycyber: Automated signature generation for zero-day polymorphic worms | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Beg et al. | Feasibility of intrusion detection system with high performance computing: A survey | |
| Resmi et al. | Intrusion detection system techniques and tools: A survey | |
| Li et al. | A new type of intrusion prevention system | |
| Blackwell | Ramit-Rule-Based Alert Management Information Tool | |
| CN114553513A (zh) | 一种通信检测方法、装置及设备 | |
| CN105827630A (zh) | 僵尸网络属性识别方法、防御方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |