[发明专利]一种基于协议分析的异常检测系统及方法在审
| 申请号: | 201610922334.3 | 申请日: | 2016-10-25 |
| 公开(公告)号: | CN107979567A | 公开(公告)日: | 2018-05-01 |
| 发明(设计)人: | 李红;刘丰;张金生;曾淑娟;王红艳 | 申请(专利权)人: | 北京计算机技术及应用研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 中国兵器工业集团公司专利中心11011 | 代理人: | 刘东升 |
| 地址: | 100854*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 协议 分析 异常 检测 系统 方法 | ||
1.一种基于协议分析的异常检测系统,其特征在于,包括:数据捕获模块、数据状态记录模块、数据分析模块、规则检测模块;
该数据捕获模块用于对接收的数据进行缓存,并发送到该数据状态记录模块;该数据状态记录模块用于对接收的数据进行历史记录匹配,匹配成功则根据历史记录,选择性需要进行分析的数据包和分析方式;该数据分析模块用于接收需要进行分析的数据包,对数据包进行协议分析,对协议属性特征的提取,并发送特征数据到该规则检测模块;规则检测模块,用于进行特征数据检测,如有异常,则告警。
2.如权利要求1所述的基于协议分析的异常检测系统,其特征在于,数据分析模块包含数据解析子模块以及协议属性分析子模块,该数据解析子模块用于对数据包进行解析;协议属性分析子模块用于完成对协议属性特征的提取,并发送特征数据到规则检测模块。
3.如权利要求1所述的基于协议分析的异常检测系统,其特征在于,数据状态记录模块用于获取数据,与存储的历史记录进行匹配,如匹配成功,定义为相同事件,触发相应的处理方式进行选择性需要进行分析的数据包和分析方式进行分析;若匹配失败,则定义为非相同事件。
4.如权利要求3所述的基于协议分析的异常检测系统,其特征在于,与存储的历史记录进行匹配包括:逐个数据包按顺序比对网络层、传输层、应用层的包头、源/目的IP地址、源/目的端口和应用层地址的特征数匹配。
5.如权利要求2所述的基于协议分析的异常检测系统,其特征在于,数据分析模块获取数据,由数据解析子模块对数据包进行解析,查看互联网层标志位,确定协议类型,数据解析子模块将数据包发送给协议属性分析子模块。
6.如权利要求5所述的基于协议分析的异常检测系统,其特征在于,协议属性分析子模块获取数据,对协议属性特征进行提取,将特征数据发送给规则检测模块。
7.如权利要求6所述的基于协议分析的异常检测系统,其特征在于,规则检测模块获取特征数据,与内部的异常事件规则进行匹配,若匹配成功,存在异常,告警,并更新历史记录;
该数据分析模块用于对数据包网络层、传输层以及应用层的协议分析。
8.一种基于协议分析的异常检测方法,其特征在于,包括:
对接收的数据进行历史记录匹配,如匹配成功,定义为相同事件,选择性需要进行分析的数据包和分析方式;若匹配失败,则定义为非相同事件;
对于需要进行分析的数据包进行解析,确定协议类型,根据协议类型对协议属性特征进行提取,将特征数据进行特征数据检测,如有异常,则告警。
9.如权利要求8所述的基于协议分析的异常检测方法,其特征在于,与存储的历史记录进行匹配包括:逐个数据包按顺序比对网络层、传输层、应用层的包头、源/目的IP地址、源/目的端口和应用层地址的特征数匹配。
10.如权利要求8所述的基于协议分析的异常检测方法,其特征在于,还包括:检测完成后还更新历史记录。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京计算机技术及应用研究所,未经北京计算机技术及应用研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201610922334.3/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种双信道融合的应急视频加密传输设备
- 下一篇:一种视频监控应用系统
