[发明专利]异常网络连接的检测方法及装置有效
| 申请号: | 201910800731.7 | 申请日: | 2019-08-28 |
| 公开(公告)号: | CN111193633B | 公开(公告)日: | 2022-09-30 |
| 发明(设计)人: | 郭晶;郑兴;范宇河;唐文韬;申军利;甘祥 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
| 主分类号: | H04L43/0811 | 分类号: | H04L43/0811;H04L43/0894;H04L43/16;H04L9/40 |
| 代理公司: | 北京德琦知识产权代理有限公司 11018 | 代理人: | 程杰;王琦 |
| 地址: | 518057 广东省深圳*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 异常 网络 连接 检测 方法 装置 | ||
本发明实施例公开了一种异常网络连接的检测方法及装置。其中,所述方法包括:在主机新增网络连接时,获取所述新增网络连接的连接信息;所述连接信息包括网络信息和新增进程的进程信息;检测所述网络信息和所述进程信息是否均异常;若是,则关联所述网络信息和所述进程信息,以检测所述新增网络连接是否异常。本发明实施例能够提高异常网络连接检测的准确性。
技术领域
本发明涉及通信技术领域,具体涉及一种异常网络连接的检测方法及装置。
背景技术
在已知的黑客攻击事件中,特别是窃取数据时,黑客总会利用各种协议隧道隐蔽行踪,但始终无法避免网络连接。因此,现有的安全防御技术为,安全设施主机代理(agent)抓取到网络连接后,后端的策略通过判断该网络连接IP是否为黑IP,是否频繁外接,是否存在数据交互,目标IP是否返回不可识别的内容或返回黑特征等,来判断该网络连接是否异常。
但是,上述判断方法无法识别该网络连接是否真实外传数据,从而无法准确检测该网络连接是否异常,使异常具备的可解释性较差。
发明内容
本申请提供一种异常网络连接的检测方法及装置,能够提高异常网络连接检测的准确性。
第一方面,本申请提供一种异常网络连接的检测方法,所述方法包括:
在主机新增网络连接时,获取所述新增网络连接的连接信息;所述连接信息包括网络信息和新增进程的进程信息;
检测所述网络信息和所述进程信息是否均异常;
若是,则关联所述网络信息和所述进程信息,以检测所述新增网络连接是否异常。
在本发明一些实施例中,所述在主机新增网络连接时,获取所述新增网络连接的连接信息,具体包括:
定时检测所述主机的网络连接;
获取预设周期内所述主机的新增网络连接的连接信息。
在本发明一些实施例中,所述网络信息包括多维度网络数据;
所述检测所述网络信息和所述进程信息是否均异常,具体包括:
检测所述进程信息是否存在异常;
若是,则分别检测所述多维度网络数据中的每一维度网络数据是否异常;
若至少一维度网络数据异常,则判定所述网络信息异常。
在本发明一些实施例中,所述进程信息包括所述新增进程的访问IP数及访问天数;
所述检测所述进程信息是否存在异常,具体包括:
将所述访问IP数与预设IP数进行比较,并将所述访问天数与预设天数进行比较;
若所述访问IP数小于预设IP数,且所述访问天数小于预设天数,则判定所述进程信息存在异常。
在本发明一些实施例中,所述网络信息中的一维度网络数据为主机流量大小;
所述分别检测所述多维度网络数据中的每一维度网络数据是否异常,具体包括:
将所述主机流量大小与预设流量值进行比较;
若所述主机流量大小大于预设流量值,则判定所述主机流量大小异常。
在本发明一些实施例中,所述预设流量值为目标周期的主机流量的平均值与三倍标准差之和,所述目标周期为所述连接信息的获取周期的上一周期。
在本发明一些实施例中,所述多维度网络数据还包括源IP、目的IP、源端口和目的端口。
在本发明一些实施例中,所述方法还包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910800731.7/2.html,转载请声明来源钻瓜专利网。
