[发明专利]网络失窃密行为的异常检测方法及系统有效
| 申请号: | 200910091605.5 | 申请日: | 2009-08-26 |
| 公开(公告)号: | CN101635658A | 公开(公告)日: | 2010-01-27 |
| 发明(设计)人: | 张永铮;云晓春;李世淙 | 申请(专利权)人: | 中国科学院计算技术研究所 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
| 代理公司: | 北京泛华伟业知识产权代理有限公司 | 代理人: | 王 勇 |
| 地址: | 100190北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供一种网络失窃密行为的异常检测方法,包括:接收网络数据包,并对所得到的网络数据包做协议还原;将所述网络数据包与关注目标做相关性判断,抛弃不具有相关性的网络数据包,对具有相关性的网络数据包执行下一步;判定与所述关注目标相关的网络数据包所属的连接;其中,所述连接包括TCP连接或UDP连接;对与所述关注目标相关的所有连接上的检测特征向量进行统计;根据统计结果,计算与所述关注目标相关的连接所对应的检测特征向量中各个检测特征的值;根据所述检测特征的值判断对应连接是否存在异常。本发明不需要分析和提取固定特征,能够及时地发现未知网络失窃密行为;不需要处理网络数据包的数据负载,提高了检测效率,适合于大规模网络环境的应用部署。 | ||
| 搜索关键词: | 网络 失窃 行为 异常 检测 方法 系统 | ||
【主权项】:
1、一种网络失窃密行为的异常检测方法,包括:步骤1)、接收网络数据包,并对所得到的网络数据包做协议还原;步骤2)、将所述网络数据包与关注目标做相关性判断,抛弃不具有相关性的网络数据包,对具有相关性的网络数据包执行下一步;步骤3)、判定与所述关注目标相关的网络数据包所属的连接;其中,所述连接包括TCP连接或UDP连接;步骤4)、对与所述关注目标相关的所有连接上的检测特征向量进行统计;其中,所述检测特征向量包括用于表示当前连接最近一次发生访问的时间至检测时的时间间隔的最近访问间隔特征last_interval、用于表示检测时间间隔内当前连接的平均流量的流量特征traffic、用于表示当前连接最近若干次发生访问的时间间隔所呈现出的周期性的行为周期性特征period、用于表示在检测时间间隔内与当前连接具有相同sip且相继发生访问的连接的个数的同sip连接相继访问特征sip_count、用于表示在检测时间间隔内与当前连接具有相同dip的连接的个数的同dip的连接特征dip_count;步骤5)、根据统计结果,计算与所述关注目标相关的连接所对应的检测特征向量中各个检测特征的值;步骤6)、根据所述检测特征的值判断对应连接是否存在异常。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院计算技术研究所,未经中国科学院计算技术研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200910091605.5/,转载请声明来源钻瓜专利网。
