[发明专利]一种网络安全防御中的异常检测方法、装置及设备在审
| 申请号: | 201810864657.0 | 申请日: | 2018-08-01 |
| 公开(公告)号: | CN110798427A | 公开(公告)日: | 2020-02-14 |
| 发明(设计)人: | 吕晓滨 | 申请(专利权)人: | 深信服科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 44285 深圳市深佳知识产权代理事务所(普通合伙) | 代理人: | 王仲凯 |
| 地址: | 518055 广东省深圳市南*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 流量数据包 会话连接 网络安全防御 应用规则 应用 申请 计算机可读存储介质 保障网络安全 异常检测装置 规则匹配 黑客入侵 建立会话 流量数据 模式规则 匹配成功 通信活动 网络会话 异常检测 有效检测 服务端 客户端 预设 调用 主机 判定 存储 记录 监管 | ||
1.一种网络安全防御中的异常检测方法,其特征在于,包括:
在客户端与服务端之间建立会话连接之后,获取所述会话连接所产生的流量数据包;
调用预设的风险应用规则库,对所述流量数据包进行规则匹配;所述风险应用规则库中存储有与各个风险应用对应的流量数据包的模式规则;
若匹配成功,则判定所述会话连接是通过风险应用建立的,并将所述流量数据包所记录的通信活动推送给管理员,以便所述管理员判断所述会话连接是否异常。
2.根据权利要求1所述的异常检测方法,其特征在于,在所述判定所述会话连接是通过风险应用建立的之后,还包括:
将所述会话连接在会话持续过程中的通信特征信息的统计结果推送给所述管理员,以便进一步便于所述管理员判断所述会话连接是否异常。
3.根据权利要求2所述的异常检测方法,其特征在于,所述通信特征信息包括以下任意一种或者任意组合:
五元组、会话连接持续时长、会话连接建立时间、请求流量大小、响应流量大小、风险应用名称、风险应用使用时长。
4.根据权利要求1所述的异常检测方法,其特征在于,在所述判定所述会话连接是通过风险应用建立的之后,还包括:
将所述会话连接标识为已监听会话连接,并将所述已监听会话连接后续产生的流量数据包所记录的通信活动推送给所述管理员,以便所述管理员判断所述会话连接是否异常。
5.根据权利要求4所述的异常检测方法,其特征在于,所述将所述会话连接标识为已监听会话连接包括:
将所述会话连接的五元组作为标识信息进行存储,以便生成已监听会话连接列表。
6.根据权利要求1至5任一项所述的异常检测方法,其特征在于,所述获取所述会话连接所产生的流量数据包包括:
获取不超过预设数量个由所述会话连接所产生的所述流量数据包。
7.根据权利要求6所述的异常检测方法,其特征在于,
当获取的所述流量数据包的数量达到所述预设数量且均匹配失败后,判定所述会话连接是通过非风险应用建立的。
8.一种网络安全防御中的异常检测装置,其特征在于,包括:
获取模块:用于在客户端与服务端之间建立会话连接之后,获取所述会话连接所产生的流量数据包;
匹配模块:用于调用预设的风险应用规则库,对所述流量数据包进行规则匹配;所述风险应用规则库中存储有与各个风险应用对应的流量数据包的模式规则;
推送模块:用于当所述匹配模块匹配成功时,判定所述会话连接是通过风险应用建立的,并将所述流量数据包所记录的通信活动推送给管理员,以便所述管理员判断所述会话连接是否异常。
9.一种网络安全防御中的异常检测设备,其特征在于,包括:
存储器:用于存储计算机程序;
处理器:用于执行所述计算机程序以实现如权利要求1至7任一项所述的网络安全防御中的异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如权利要求1至7任一项所述的网络安全防御中的异常检测方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深信服科技股份有限公司,未经深信服科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810864657.0/1.html,转载请声明来源钻瓜专利网。
