[发明专利]异常网络连接的检测方法及装置

权利要求书

1.一种异常网络连接的检测方法，其特征在于，包括：

判断主机的当前网络连接中是否具有新增网络连接；

在主机新增网络连接时，获取所述新增网络连接的连接信息；所述连接信息包括网络信息和新增进程的进程信息，所述网络信息包括多维度网络数据，所述多维度网络数据包括主机流量大小、IP、目的IP、源端口、目的端口和协议号，所述进程信息包括新增进程的访问IP数及访问天数；

将所述访问IP数与预设IP数进行比较，并将所述访问天数与预设天数进行比较；

若所述访问IP数小于预设IP数，且所述访问天数小于预设天数，则判定所述进程信息存在异常；

在所述进程信息存在异常时，分别检测所述多维度网络数据中的每一维度网络数据是否异常，其中，针对所述主机流量大小，判断其是否属于预设流量范围，所述预设流量范围的两端分别与目标周期的主机流量的平均值相距3个标准差，所述目标周期为所述连接信息的获取周期的上一周期；

若所述主机流量大小超出所述预设流量范围，则判定所述主机流量大小异常；

针对所述IP、目的IP、源端口、目的端口中任一维度网络数据，通过对该维度网络数据对应的相似度进行比较的方式来确定该维度网络数据是否异常；

若至少一维度网络数据异常，则判定所述网络信息异常；

在所述网络信息和所述进程信息均异常时，关联输出所述网络信息和所述进程信息，以检测所述新增网络连接是否异常。

2.根据权利要求1所述的异常网络连接的检测方法，其特征在于，所述在主机新增网络连接时，获取所述新增网络连接的连接信息，具体包括：

定时检测所述主机的网络连接；

获取预设周期内所述主机的新增网络连接的连接信息。

3.根据权利要求1所述的异常网络连接的检测方法，其特征在于，所述方法还包括：

在所述新增网络连接异常时，将关联输出的所述网络信息和所述进程信息进行展示。

4.根据权利要求3所述的异常网络连接的检测方法，其特征在于，所述进程信息还包括父进程参数、父父进程参数、进程上下文和预设时间段内的进程命令数据。

5.一种异常网络连接的检测装置，其特征在于，包括：

信息获取模块，用于判断主机的当前网络连接中是否具有新增网络连接；

在主机新增网络连接时，获取所述新增网络连接的连接信息；所述连接信息包括网络信息和新增进程的进程信息，所述网络信息包括多维度网络数据，所述多维度网络数据包括主机流量大小、IP、目的IP、源端口、目的端口和协议号，所述进程信息包括新增进程的访问IP数及访问天数；

信息异常检测模块，用于：

检测所述进程信息是否存在异常；

将所述访问IP数与预设IP数进行比较，并将所述访问天数与预设天数进行比较；

若所述访问IP数小于预设IP数，且所述访问天数小于预设天数，则判定所述进程信息存在异常；

在所述进程信息存在异常时，分别检测所述多维度网络数据中的每一维度网络数据是否异常，其中，针对所述主机流量大小，判断其是否属于预设流量范围，所述预设流量范围的两端分别与目标周期的主机流量的平均值相距3个标准差，所述目标周期为所述连接信息的获取周期的上一周期；若所述主机流量大小超出所述预设流量范围，则判定所述主机流量大小异常；

针对所述IP、目的IP、源端口、目的端口中任一维度网络数据，通过对该维度网络数据对应的相似度进行比较的方式来确定该维度网络数据是否异常；

若至少一维度网络数据异常，则判定所述网络信息异常；以及，

连接异常检测模块，用于在所述网络信息和所述进程信息均异常时，关联输出所述网络信息和所述进程信息，以检测所述新增网络连接是否异常。

6.一种电子设备，其特征在于，包括；

存储器，存储有指令；

处理器，用于执行所述指令；

其中，当所述指令被执行时，使得所述处理器执行如权利要求1-4中任一项所述的方法。