[發明專利]基于主機網絡行為的異常檢測方法和裝置有效

申請號：	201611262873.5	申請日：	2016-12-30
公開（公告）號：	CN106790193B	公開（公告）日：	2019-11-08
發明（設計）人：	李矩希;於大維;尚進;蔣東毅;董浩;陸騁懷	申請（專利權）人：	山石網科通信技術股份有限公司
主分類號：	H04L29/06	分類號：	H04L29/06
代理公司：	北京康信知識產權代理有限責任公司 11240	代理人：	韓建偉;張永明
地址：	215163 江***	國省代碼：	江蘇;32
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	基于主機網絡行為異常檢測方法裝置
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種基于主機網絡行為的異常檢測方法，其特征在于，包括：

根據歷史異常網絡行為，采集至少一個主機中每個主機的網絡行為數據；

對所述網絡行為數據進行多維度分析，得到每個主機在至少一個維度中各維度上的維度數據；

確定所述維度數據中的異常維度數據；

按照周期性對所述異常維度數據進行分組；

針對每個主機，將所述異常維度數據與預定義規則進行匹配，確定是否發生異常網絡行為，并在確定發生所述異常網絡行為的情況下，確定所述異常維度數據對應的所述異常網絡行為，其中，所述預定義規則用于根據所述異常維度數據確定是否發生所述異常網絡行為以及在確定發生所述異常網絡行為的情況下，確定所述異常維度數據對應的所述異常網絡行為；

其中，將所述異常維度數據與預定義規則進行匹配，包括：將處于同一個周期的所述異常維度數據與所述預定義規則進行匹配。

2.根據權利要求1所述的方法，其特征在于，確定所述維度數據中的異常維度數據，包括：

確定每個主機的所述維度數據中超過預設維度數據閾值的維度數據為所述異常維度數據；或者，確定每個主機的所述維度數據中超過所述預設維度數據閾值且與所有主機的平均維度數據的偏差超過預設偏差的維度數據為所述異常維度數據。

3.根據權利要求1所述的方法，其特征在于，確定所述維度數據中的異常維度數據之后，包括：

使用腳步程序分析所有主機的所述異常維度數據對應的異常網絡行為。

4.根據權利要求1-3任一項所述的方法，其特征在于，所述網絡行為數據包括如下至少之一：流量數據、連接數據、TCP數據、HTTP協議數據和DNS數據。

5.一種基于主機網絡行為的異常檢測裝置，其特征在于，包括：

采集模塊，用于根據歷史異常網絡行為，采集至少一個主機中每個主機的網絡行為數據；

分析模塊，用于對所述網絡行為數據進行多維度分析，得到每個主機在至少一個維度中各維度上的維度數據；

確定模塊，用于確定所述維度數據中的異常維度數據；

匹配模塊，用于針對每個主機，將所述異常維度數據與預定義規則進行匹配，確定是否發生異常網絡行為，并在確定發生所述異常網絡行為的情況下，確定所述異常維度數據對應的所述異常網絡行為，其中，所述預定義規則用于根據所述異常維度數據確定是否發生所述異常網絡行為以及在確定發生所述異常網絡行為的情況下，確定所述異常維度數據對應的所述異常網絡行為；

其中，所述裝置還包括：分組模塊，用于在所述確定模塊確定所述維度數據中的所述異常維度數據之后，按照周期性對所述異常維度數據進行分組；

所述匹配模塊包括：將處于同一個周期的所述異常維度數據與所述預定義規則進行匹配。

6.根據權利要求5所述的裝置，其特征在于，所述確定模塊包括：

第一確定模塊，用于確定每個主機的所述維度數據中超過預設維度數據閾值的維度數據為所述異常維度數據；和/或

第二確定模塊，用于確定每個主機的所述維度數據中超過所述預設維度數據閾值且與所有主機的平均維度數據的偏差超過預設偏差的維度數據為所述異常維度數據。

7.根據權利要求5所述的裝置，其特征在于，所述裝置還包括：腳步程序分析模塊，用于在所述確定模塊確定所述維度數據中的所述異常維度數據之后，使用腳步程序分析所有主機的所述異常維度數據對應的異常網絡行為。

8.根據權利要求5-7任一項所述的裝置，其特征在于，所述網絡行為數據包括如下至少之一：流量數據、連接數據、TCP數據、HTTP協議數據和DNS數據。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于山石網科通信技術股份有限公司，未經山石網科通信技術股份有限公司許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201611262873.5/1.html，轉載請聲明來源鉆瓜專利網。