[發明專利]智能流量基線學習方法、設備和計算機可讀存儲介質在審
| 申請號: | 202011212619.0 | 申請日: | 2020-11-03 |
| 公開(公告)號: | CN112333045A | 公開(公告)日: | 2021-02-05 |
| 發明(設計)人: | 郭嫻;楊佳寧;陳柯宇;楊立寶;樊佳訊;李瑩 | 申請(專利權)人: | 國家工業信息安全發展研究中心 |
| 主分類號: | H04L12/26 | 分類號: | H04L12/26;H04L29/06 |
| 代理公司: | 北京中濟緯天專利代理有限公司 11429 | 代理人: | 張瑩 |
| 地址: | 100040 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 智能 流量 基線 學習方法 設備 計算機 可讀 存儲 介質 | ||
1.一種智能流量基線學習方法,其特征在于,包括以下步驟:
從現有流量中識別出鏈路;
檢測每一條所述鏈路的鏈路流量IL;
確定每一條所述鏈路的流量基線IM;
對于任意一條所述鏈路,若該鏈路的鏈路流量IL超過判斷值Q,且持續時間超過設定時間,則判定該鏈路違反流量基線;
若任意一條所述鏈路被判定為違反流量基線,則檢測到攻擊,啟動告警;
其中,Q=IM~1.05*IM。
2.根據權利要求1所述的智能流量基線學習方法,其特征在于,所述鏈路流量IL為一個通訊會話中的服務端和客戶端之間的通訊流量,所述通訊流量包括所述服務端到所述客戶端的流量、所述客戶端到所述服務端的流量、所述服務端到所述客戶端的流量與所述客戶端到所述服務端的流量之和。
3.根據權利要求2所述的智能流量基線學習方法,其特征在于,所述流量基線IM為正常通訊情況下所述鏈路的鏈路流量的閾值,任意一條所述鏈路的所述流量基線為所述服務端到所述客戶端的流量的閾值、所述客戶端到所述服務端的流量的閾值、或所述服務端到所述客戶端的流量與所述客戶端到所述服務端的流量之和的閾值。
4.根據權利要求1所述的智能流量基線學習方法,其特征在于,所述檢測每一條所述鏈路的鏈路流量IL中,所述鏈路流量IL為一個通訊會話中服務端到客戶端的流量與客戶端到服務端的流量之和;所述確定每一條所述鏈路的流量基線IM中,所述流量基線IM為正常通訊情況下該鏈路的服務端到客戶端的流量與客戶端到服務端的流量之和的閾值;對于任意一條所述鏈路,若該鏈路的鏈路流量IL超過判斷值Q,且持續時間超過設定時間,則判定該鏈路違反流量基線;
其中,Q=1.02*IM~1.05*IM。
5.根據權利要求1-4中任意一項所述的智能流量基線學習方法,其特征在于,在所述正常通訊情況下,所述鏈路的鏈路流量IL為正常鏈路流量,所述正常鏈路流量的屬性包括,所述服務端和所述客戶端的ip地址、所述服務端和所述客戶端的MAC地址、所述服務端和所述客戶端之間的通訊協議、所述鏈路的流量基線。
6.根據權利要求1-4中任意一項所述的智能流量基線學習方法,其特征在于,每隔T1時間對任意一條所述鏈路的鏈路流量IL進行檢測,若存在某條鏈路的鏈路流量IL超過其判斷值Q,則每隔T2時間對任意一條所述鏈路的鏈路流量IL進行檢測,其中,T10.2*T2,并執行如下判定:
若該鏈路的鏈路流量IL不再超過判斷值Q,則恢復每隔T1時間對任意一條所述鏈路的鏈路流量IL進行檢測;
若該鏈路的鏈路流量IL依然超過判斷值Q,則累計所述鏈路流量IL超過判斷值Q的持續時間,若持續時間超過設定時間,則判定該鏈路違反流量基線。
7.根據權利要求6所述的智能流量基線學習方法,其特征在于,若判定某條鏈路違反流量基線,則當且僅當該鏈路的鏈路流量IL恢復到判斷值Q以下時,方可再次啟動告警。
8.根據權利要求1-4中任意一項所述的智能流量基線學習方法,其特征在于,流量的單位可以是pps或者bps。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于國家工業信息安全發展研究中心,未經國家工業信息安全發展研究中心許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011212619.0/1.html,轉載請聲明來源鉆瓜專利網。
