[發明專利]異常檢測方法、裝置、電子設備及可讀存儲介質有效
| 申請號: | 202011531137.1 | 申請日: | 2020-12-22 |
| 公開(公告)號: | CN112769595B | 公開(公告)日: | 2023-05-09 |
| 發明(設計)人: | 張輝 | 申請(專利權)人: | 阿波羅智聯(北京)科技有限公司 |
| 主分類號: | H04L41/0681 | 分類號: | H04L41/0681;H04L9/40 |
| 代理公司: | 北京銀龍知識產權代理有限公司 11243 | 代理人: | 許靜;張博 |
| 地址: | 100176 北京市大興區北京經*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 異常 檢測 方法 裝置 電子設備 可讀 存儲 介質 | ||
1.一種異常檢測方法,應用于終端,包括:
通過所述終端的進程文件系統,獲取網絡連接相關文件;
解析所述網絡連接相關文件,獲得所述終端的網絡連接信息;
利用所述網絡連接信息以及預設的異常檢測規則,對所述終端進行異常檢測;
所述網絡連接信息包括:協議類型、本地IP、本地端口、遠程IP、遠程端口;
所述預設的異常檢測規則包括以下至少一項:
當終端的網絡連接信息中的本地端口包括黑名單中的端口時,判定所述終端的風險端口開啟;
當終端的網絡連接信息中的第一遠程IP同時與多個本地端口建立會話,且所述第一遠程IP的出現次數超過第一閾值時,判定所述終端處于端口掃描的風險中;
當終端的網絡連接信息中的第一本地端口同時訪問多個特定遠程端口,且所述第一本地端口與所述多個特定遠程端口同時出現的次數超過第二閾值時,判定所述終端被蠕蟲木馬感染;
當終端的網絡連接信息中的第一本地IP和第二本地端口同時被多個遠程IP訪問,且所述第一本地IP與所述第二本地端口同時出現的次數超過第三閾值時,判定所述終端被分布式拒絕服務DDos攻擊。
2.根據權利要求1所述的方法,其中,所述網絡連接相關文件包括以下至少一項:
傳輸控制協議TCP文件、TCP6文件、用戶數據報協議UDP文件、UDP6文件。
3.根據權利要求1-2中任一項所述的方法,還包括:
當所述終端存在異常時,生成告警事件,并上報所述告警事件。
4.一種異常檢測裝置,應用于終端,包括:
獲取模塊,用于通過所述終端的進程文件系統,獲取網絡連接相關文件;
解析模塊,用于解析所述網絡連接相關文件,獲得所述終端的網絡連接信息;
檢測模塊,用于利用所述網絡連接信息以及預設的異常檢測規則,對所述終端進行異常檢測;
所述網絡連接信息包括:協議類型、本地IP、本地端口、遠程IP、遠程端口;
所述預設的異常檢測規則包括以下至少一項:
當終端的網絡連接信息中的本地端口包括黑名單中的端口時,判定所述終端的風險端口開啟;
當終端的網絡連接信息中的第一遠程IP同時與多個本地端口建立會話,且所述第一遠程IP的出現次數超過第一閾值時,判定所述終端處于端口掃描的風險中;
當終端的網絡連接信息中的第一本地端口同時訪問多個特定遠程端口,且所述第一本地端口與所述多個特定遠程端口同時出現的次數超過第二閾值時,判定所述終端被蠕蟲木馬感染;
當終端的網絡連接信息中的第一本地IP和第二本地端口同時被多個遠程IP訪問,且所述第一本地IP與所述第二本地端口同時出現的次數超過第三閾值時,判定所述終端被DDos攻擊。
5.根據權利要求4所述的裝置,其中,所述網絡連接相關文件包括以下至少一項:
TCP文件、TCP6文件、UDP文件、UDP6文件。
6.根據權利要求4-5中任一項所述的裝置,還包括:
生成模塊,用于當所述終端存在異常時,生成告警事件;
上報模塊,用于上報所述告警事件。
7.一種電子設備,包括:
至少一個處理器;以及
與所述至少一個處理器通信連接的存儲器;其中,
所述存儲器存儲有可被所述至少一個處理器執行的指令,所述指令被所述至少一個處理器執行,以使所述至少一個處理器能夠執行權利要求1-3中任一項所述的方法。
8.一種存儲有計算機指令的非瞬時計算機可讀存儲介質,其中,所述計算機指令用于使所述計算機執行權利要求1-3中任一項所述的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于阿波羅智聯(北京)科技有限公司,未經阿波羅智聯(北京)科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011531137.1/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:30MHz~3GHz通信雷達一體化校準源
- 下一篇:一種可做功轉換型健身設備
