[發(fā)明專利]基于流量解析的網(wǎng)絡(luò)攻擊檢測方法和系統(tǒng)在審
| 申請(qǐng)?zhí)枺?/td> | 202210183900.9 | 申請(qǐng)日: | 2022-02-28 |
| 公開(公告)號(hào): | CN114338233A | 公開(公告)日: | 2022-04-12 |
| 發(fā)明(設(shè)計(jì))人: | 周磊;姜雙林;饒志波;呂述博 | 申請(qǐng)(專利權(quán))人: | 北京安帝科技有限公司 |
| 主分類號(hào): | H04L9/40 | 分類號(hào): | H04L9/40;H04L41/142 |
| 代理公司: | 北京路浩知識(shí)產(chǎn)權(quán)代理有限公司 11002 | 代理人: | 謝志超 |
| 地址: | 100142 北京市海淀區(qū)*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 流量 解析 網(wǎng)絡(luò) 攻擊 檢測 方法 系統(tǒng) | ||
1.一種基于流量解析的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,包括:
基于流量解析引擎對(duì)目標(biāo)流量進(jìn)行解析,得到解析日志;
根據(jù)黑名單和白名單匹配解析日志;
確定所述解析日志中存在與所述黑名單匹配的第一流量,則針對(duì)所述第一流量執(zhí)行預(yù)設(shè)的防護(hù)措施;
確定所述解析日志中存在第三流量,則將所述第三流量添加至告警庫;所述第三流量是指所述解析日志中第一流量和第二流量以外的流量;所述第二流量是指與所述白名單匹配的第二流量;
所述黑名單和/或所述白名單的至少一部分是通過推薦模型獲得的;所述推薦模型是以歷史告警庫為輸入,得到流量和流量性質(zhì)間映射關(guān)系的模型;所述流量性質(zhì)包括攻擊流量和/或信任流量;所述黑名單中流量的流量性質(zhì)為攻擊流量;所述白名單中流量的流量性質(zhì)為信任流量。
2.根據(jù)權(quán)利要求1所述的基于流量解析的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,所述流量性質(zhì)還包括未知流量;
在所述確定所述解析日志中存在第三流量,則將所述第三流量添加至告警庫的步驟后,所述基于流量解析的網(wǎng)絡(luò)攻擊檢測方法還包括:
接收所述第三流量的流量性質(zhì),并:
針對(duì)流量性質(zhì)為攻擊流量的所述第三流量執(zhí)行預(yù)設(shè)的防護(hù)措施;和/或,
針對(duì)流量性質(zhì)為未知流量的所述第三流量添加標(biāo)記、執(zhí)行預(yù)設(shè)的監(jiān)測操作。
3.根據(jù)權(quán)利要求1所述的基于流量解析的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,所述推薦模型為基于神經(jīng)網(wǎng)絡(luò)的模型;所述推薦模型的輸入量包括歷史告警庫和歷史告警庫中流量的流量性質(zhì)真值。
4.根據(jù)權(quán)利要求1所述的基于流量解析的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,所述推薦模型為基于統(tǒng)計(jì)分析的模型,包括如下任一者或任多者組合:
基于時(shí)間維度統(tǒng)計(jì)所述歷史告警庫中的流量,將不滿足設(shè)定時(shí)刻、設(shè)定時(shí)段或者設(shè)定時(shí)間規(guī)律的流量解析為攻擊流量的時(shí)間統(tǒng)計(jì)子模型;
基于次數(shù)維度統(tǒng)計(jì)所述歷史告警庫中的流量,將超出設(shè)定次數(shù)閾值或頻率閾值的流量解析為攻擊流量的次數(shù)統(tǒng)計(jì)子模型;
將設(shè)定時(shí)段內(nèi)滿足設(shè)定的安全條件的流量解析為信任流量的信任子模型。
5.根據(jù)權(quán)利要求1所述的基于流量解析的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,所述推薦模型為基于關(guān)聯(lián)分析的模型,包括根據(jù)至少兩個(gè)流量請(qǐng)求間的關(guān)聯(lián),將滿足設(shè)定的關(guān)聯(lián)異常條件的流量解析為攻擊流量的模型。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的基于流量解析的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,所述黑名單包括具有設(shè)定權(quán)限的設(shè)備接收或發(fā)送的、不滿足所述權(quán)限的流量。
7.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的基于流量解析的網(wǎng)絡(luò)攻擊檢測方法,其特征在于,所述白名單包括訪問條件相似度大于設(shè)定閾值的流量和/或數(shù)據(jù)包中包括安全校驗(yàn)信息的流量;
所述訪問條件包括源ip、目的ip、源端口、目的端口以及傳輸層協(xié)議;所述安全校驗(yàn)信息是源設(shè)備與目的設(shè)備間預(yù)先約定的字符串或標(biāo)志位。
8.一種基于流量解析的網(wǎng)絡(luò)攻擊檢測系統(tǒng),其特征在于,包括:
解析模塊,用于基于流量解析引擎對(duì)目標(biāo)流量進(jìn)行解析,得到解析日志;
匹配模塊,用于根據(jù)黑名單和白名單匹配解析日志;
防護(hù)模塊,用于確定所述解析日志中存在與所述黑名單匹配的第一流量,則針對(duì)所述第一流量執(zhí)行預(yù)設(shè)的防護(hù)措施;
告警模塊,用于確定所述解析日志中存在第三流量,則將所述第三流量添加至告警庫;所述第三流量是指所述解析日志中第一流量和第二流量以外的流量;所述第二流量是指與所述白名單匹配的第二流量;
所述黑名單和/或所述白名單的至少一部分是通過推薦模型獲得的;所述推薦模型是以歷史告警庫為輸入,得到流量和流量性質(zhì)間映射關(guān)系的模型;所述流量性質(zhì)包括攻擊流量和/或信任流量;所述黑名單中流量的流量性質(zhì)為攻擊流量;所述白名單中流量的流量性質(zhì)為信任流量。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京安帝科技有限公司,未經(jīng)北京安帝科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210183900.9/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 網(wǎng)絡(luò)和網(wǎng)絡(luò)終端
- 網(wǎng)絡(luò)DNA
- 網(wǎng)絡(luò)地址自適應(yīng)系統(tǒng)和方法及應(yīng)用系統(tǒng)和方法
- 網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)至網(wǎng)絡(luò)橋接器
- 一種電力線網(wǎng)絡(luò)中根節(jié)點(diǎn)網(wǎng)絡(luò)協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡(luò)定位方法、存儲(chǔ)介質(zhì)及移動(dòng)終端
- 網(wǎng)絡(luò)裝置、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)方法以及網(wǎng)絡(luò)程序
- 從重復(fù)網(wǎng)絡(luò)地址自動(dòng)恢復(fù)的方法、網(wǎng)絡(luò)設(shè)備及其存儲(chǔ)介質(zhì)
- 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練方法、裝置及存儲(chǔ)介質(zhì)
- 網(wǎng)絡(luò)管理方法和裝置
