[发明专利]一种威胁检测方法及装置有效
| 申请号: | 201710124581.3 | 申请日: | 2017-03-03 |
| 公开(公告)号: | CN108540430B | 公开(公告)日: | 2019-06-11 |
| 发明(设计)人: | 谢文辉 | 申请(专利权)人: | 华为技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京中博世达专利商标代理有限公司 11274 | 代理人: | 申健 |
| 地址: | 518129 广东*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本申请实施例提供一种威胁检测方法及装置,涉及网络安全领域,能够有效的检测反弹端口型木马程序。该方法包括:获取第一设备和第二设备之间的传输控制协议TCP会话中的报文,TCP会话的发起端设备为第一设备;获取TCP会话中从第一设备传输到第二设备的第一数据流和从第二设备传输到第一设备的第二数据流;获取第一数据流的多个第一报文中每个第一报文的时间信息以及第二数据流的多个第二报文中每个第二报文的时间信息;根据每个第一报文的时间信息和每个第二报文的时间信息,计算激活率、响应率以及交互次数;若激活率大于或等于第一阈值、响应率大于或等于第二阈值、且交互次数大于或等于第三阈值,确定第一设备受到威胁。 | ||
| 搜索关键词: | 报文 数据流 时间信息 设备传输 威胁检测 激活率 响应率 传输控制协议TCP 反弹端口型木马 网络安全领域 发起端设备 会话 检测 申请 威胁 | ||
【主权项】:
1.一种威胁检测方法,其特征在于,包括:威胁检测装置获取第一设备和第二设备之间的一个传输控制协议TCP会话中的报文,所述TCP会话的发起端设备为所述第一设备,所述第一设备位于受保护网络,所述第二设备位于另一网络;所述威胁检测装置获取所述TCP会话中的第一数据流和第二数据流,所述第一数据流为从所述第一设备传输到所述第二设备的数据流,所述第二数据流为从所述第二设备传输到所述第一设备的数据流;所述威胁检测装置获取多个第一报文中每个第一报文的时间信息以及多个第二报文中每个第二报文的时间信息,其中,所述多个第一报文是指所述第一数据流中的报文,所述多个第二报文是指所述第二数据流中的报文;所述威胁检测装置根据所述每个第一报文的时间信息和所述每个第二报文的时间信息,计算激活率、响应率以及交互次数,所述激活率是指在所述TCP会话中所述第一设备向所述第二设备发送的数据是由所述第二设备触发的概率,所述响应率是指在所述TCP会话中所述第二设备向所述第一设备发送的数据得到所述第一设备及时响应的概率,所述交互次数为在所述TCP会话中所述第一设备与所述第二设备之间交互的次数;若所述激活率大于或等于第一阈值、所述响应率大于或等于第二阈值、且所述交互次数大于或等于第三阈值,所述威胁检测装置确定所述第一设备与所述第二设备之间的连接方式为反向连接;若所述第一设备与所述第二设备之间的连接方式为反向连接,所述威胁检测装置确定所述第一设备受到威胁。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华为技术有限公司,未经华为技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710124581.3/,转载请声明来源钻瓜专利网。
- 上一篇:一种会话协商方法及服务器
- 下一篇:账号类型的识别方法、装置和系统
