[发明专利]一种基于移动代理的网络主机异常事件检测方法有效
| 申请号: | 201510989171.6 | 申请日: | 2015-12-24 |
| 公开(公告)号: | CN105491055B | 公开(公告)日: | 2018-09-04 |
| 发明(设计)人: | 张剑;童言;吴琪 | 申请(专利权)人: | 中国船舶重工集团公司第七〇九研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 华中科技大学专利中心 42201 | 代理人: | 曹葆青 |
| 地址: | 430205 湖北省武汉市*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于移动代理的网络主机异常事件检测方法,根据监控系统的检测结果,派遣主机数据采集与分析移动代理到敏感主机,执行数据采集和安全分析任务。首先通过移动代理采集目标主机中包括CPU利用率、硬盘IO、网络流量、系统进程、内存利用率等主机资源信息。采用黑白名单方法判断是否存在非法进程,采用NetFlow模型提取流量特征并和正常模式比较判断是否存在异常流量,采用多源信息融合方法对主机信息进行融合分析判断是否存在异常。根据分析结果,对异常主机采取动态隔离的管控策略,降低其对其他网络主机的安全威胁。本专利所提出的主机数据收集和异常行为检测方法简单高效,数据采集和分析任务量较小,可以实时在线应用。 | ||
| 搜索关键词: | 一种 基于 移动 代理 网络 主机 异常 事件 检测 方法 | ||
【主权项】:
1.一种基于移动代理的网络主机异常事件检测方法,其特征在于,所述方法包括如下步骤:(1)根据网络安全监控系统的报警结果,获得网络中的敏感主机并存入敏感主机列表,并当定时器超时后触发更新事件,对敏感主机列表进行更新;(2)根据敏感主机列表,派遣数据采集移动代理到敏感主机,实现特征数据的采集,所述特征数据包括CPU利用率、硬盘IO、主机网络流量、系统进程、内存利用率;(3)利用进程黑白名单、流量特征匹配、多源特征融合分析层次递进的检测方法,判断所述敏感主机列表中的目标主机是否存在异常事件;(4)如果目标主机不存在异常事件,则触发更新事件,删除敏感主机列表中对应的目标主机;如果存在异常事件,则发送通知管理员对目标主机进行详细检测的指令,并根据检查结果更新敏感主机列表。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国船舶重工集团公司第七〇九研究所,未经中国船舶重工集团公司第七〇九研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510989171.6/,转载请声明来源钻瓜专利网。
- 上一篇:一种薄转塔型冲压模具
- 下一篇:燃气耐压管材加工模头
