[发明专利]加密攻击网络流量检测方法有效
| 申请号: | 202010013135.7 | 申请日: | 2020-01-07 |
| 公开(公告)号: | CN111010409B | 公开(公告)日: | 2021-08-17 |
| 发明(设计)人: | 徐丙凤 | 申请(专利权)人: | 南京林业大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 深圳市徽正知识产权代理有限公司 44405 | 代理人: | 卢杏艳 |
| 地址: | 210000 *** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 加密 攻击 网络流量 检测 方法 | ||
1.一种加密攻击网络流量检测方法,其特征在于,包括:
在网络中识别加密流量并获取所述加密流量的标识信息;
根据所述标识信息,确定所述加密流量对应的服务器和终端;
统计目标时间范围内,服务器被访问的频数以及终端访问服务器的情况;
根据所述服务器被访问的频数,确定所述服务器是否存在异常;
根据所述终端访问服务器的情况,确定所述终端是否存在异常;
根据所述加密流量的上行流量和所述下行流量的报文数量值,确定所述加密流量的行为是否存在异常;
在所述服务器、终端以及加密流量的行为存在异常时,确定所述加密流量为加密攻击网络流量;
所述标识信息包括:源IP地址、源端口、目的IP地址以及目的端口;其中,所述源IP地址和源端口用于表示终端;所述目的IP地址和目的端口用于表示服务器;获取所述加密流量的标识信息,具体包括:
在所述加密流量的报文头部提取源IP地址、源端口、目的IP地址以及目的端口作为所述加密流量的标识;
将每一个加密流量的记录时间、源IP地址、源端口、目的IP地址以及目的端口作为一条加密流量记录,存储到数据库中;
获取所述加密流量的标识信息,具体包括:
在所述加密流量的报文头部提取源IP地址、源端口、目的IP地址以及目的端口作为所述加密流量的标识;
将每一个加密流量的记录时间、源IP地址、源端口、目的IP地址以及目的端口作为一条加密流量记录,存储到数据库中;
统计目标时间范围内服务器被访问的频数,具体包括:
在所述数据库中,以目的IP地址和目的端口为关键词进行检索;
保留所述检索结果中,记录时间与当前时间的差值小于所述目标时间范围的加密流量记录;
统计所述保留的加密流量记录的数量,作为所述服务器被访问的频数;
统计目标时间范围内,终端访问服务器的情况,具体包括:
在所述数据库中,以源IP地址为关键词进行检索;
保留所述检索结果中,记录时间与当前时间的差值小于所述目标时间范围的加密流量记录;
统计所述保留的加密流量记录中,每个服务器出现的次数;
记录所述出现次数小于预设访问阈值的服务器的数量;
所述根据所述服务器被访问的频数,确定所述服务器是否存在异常,具体包括:
判断所述频数是否小于预设的频数阈值;
若是,则确定所述服务器存在异常;
所述根据所述终端访问服务器的情况,确定所述终端是否存在异常,具体包括:
判断所述服务器的数量是否大于等于预设的服务器数量阈值;
若是,则确定所述源IP地址对应的终端存在异常;
根据所述上行流量和所述下行流量的报文数量值,确定所述加密流量的行为是否存在异常,具体包括:
统计所述加密流量的上行流量和下行流量的报文数量值,所述上行流量为终端发送至服务器的报文,所述下行流量为服务器发送至终端的报文;
在所述上行流量的报文数量值大于所述下行流量时,判断所述上行流量的报文数量值是否大于预设的上行阈值;
若是,确定所述加密流量的行为存在异常;
在所述下行流量的报文数量值小于所述上行流量时,判断所述下行流量的报文数量值是否小于预设的下行阈值;
若是,确定所述加密流量的行为存在异常。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京林业大学,未经南京林业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010013135.7/1.html,转载请声明来源钻瓜专利网。
- 上一篇:菊花加工装置
- 下一篇:一种自动取档案盒的方法及自动取档案盒的机械手
