[发明专利]基于深度协议分析的威胁检测方法在审
| 申请号: | 201810002140.0 | 申请日: | 2018-01-02 |
| 公开(公告)号: | CN109995740A | 公开(公告)日: | 2019-07-09 |
| 发明(设计)人: | 贾博;华荣锦;孙寅;于烨;李斌;刘思尧;张波;郭景维;康乐;杨飞 | 申请(专利权)人: | 国家电网公司;国网宁夏电力有限公司信息通信公司;国网宁夏电力有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26;H04L12/24 |
| 代理公司: | 广州市一新专利商标事务所有限公司 44220 | 代理人: | 张芳 |
| 地址: | 100031 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种发现网络上潜在的或者正在发生的网络威胁事件的方法,尤其是基于深度协议分析的威胁检测方法。其特点是,包括如下步骤:由数据包捕获模块从以太网络中采集数据包,或者通过交换机端口镜像获取所有流经网络出口的数据包,将获取的原始数据包传递给协议识别模块,协议识别模块对原始数据包先进行IP重组,当发现具有TCP会话标识时则启动TCP会话重组,重组完成的网络层数据和应用层数据传递给深度协议分析模块。同时相比于类似的已有方法,本发明能够针对绝大部分常用的网络协议进行分析,并且能够深入协议内部,对协议的载荷进行直接的分析,适应能力和检测效果都较好。 | ||
| 搜索关键词: | 原始数据包 威胁检测 协议分析 协议识别 数据包 数据包捕获模块 协议分析模块 交换机端口 网络层数据 应用层数据 网络出口 网络威胁 网络协议 以太网络 潜在的 传递 分析 采集 发现 检测 网络 | ||
【主权项】:
1.一种基于深度协议分析的威胁检测方法,其特征在于,包括如下步骤:由数据包捕获模块从以太网络中采集数据包,或者通过交换机端口镜像获取所有流经网络出口的数据包,将获取的原始数据包传递给协议识别模块,协议识别模块对原始数据包先进行IP重组,当发现具有TCP会话标识时则启动TCP会话重组,重组完成的网络层数据和应用层数据传递给深度协议分析模块,深度协议分析模块依据协议识别结果,从规则库中提取预先基于协议归类的规则模板,对协议数据进行指纹识别和统计特征匹配,当深度协议分析模块发现威胁事件,则生成告警信息发送给控制台模块,控制台模块将告警信息通知管理员。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家电网公司;国网宁夏电力有限公司信息通信公司;国网宁夏电力有限公司,未经国家电网公司;国网宁夏电力有限公司信息通信公司;国网宁夏电力有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810002140.0/,转载请声明来源钻瓜专利网。
