[发明专利]一种检测异常流量外连的方法、装置、设备及存储介质有效
| 申请号: | 202011284730.0 | 申请日: | 2020-11-17 |
| 公开(公告)号: | CN112422554B | 公开(公告)日: | 2023-04-07 |
| 发明(设计)人: | 柏琼涛;范渊;刘博 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 张春辉 |
| 地址: | 310000 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 检测 异常 流量 方法 装置 设备 存储 介质 | ||
1.一种检测异常流量外连的方法,其特征在于,包括:
确定需要实现异常流量外连检测的主机为待检测主机;
利用多种预先设定的检测方法对所述待检测主机进行检测,得到相应的多个检测结果,所述多种预先设定的检测方法包括流量检测方法、位置检测方法、情报库检测方法、行为检测方法和会话检测方法中的任意几种;
如果表示所述待检测主机存在异常流量外连的检测结果的数量大于预设数量,则确定所述待检测主机存在异常流量外连,否则,确定所述待检测主机不存在异常流量外连;
利用所述流量检测方法对所述待检测主机进行检测得到相应的检测结果,包括:
获取距离当前时刻最近的第一预设时间段内所述待检测主机的流入数据量及流出数据量,将所述流入数据量及所述流出数据量相加得到数据量和值,如果所述流出数据量占所述数据量和值的比值大于预设比值,和/或所述流出数据量大于第一数据量,则得到表示所述待检测主机存在异常流量外连的检测结果,否则,得到表示所述待检测主机不存在异常流量外连的检测结果;
利用所述位置检测方法对所述待检测主机进行检测得到相应的检测结果,包括:
获取所述待检测主机的流出数据量所流向的设备所在物理位置为目的位置,如果在距离当前时刻最近的第二预设时间段内,所述待检测主机流向所述目的位置的流出数据量持续大于第二数据量,则得到表示所述待检测主机存在异常流量外连的检测结果,否则,得到表示所述待检测主机不存在异常流量外连的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述检测方法包括情报库检测方法,利用所述情报库检测方法对所述待检测主机进行检测得到相应的检测结果,包括:
获取所述待检测主机的流出数据量所流向的设备的地址为目的地址,将所述目的地址与预先设置的情报库中各地址进行比对,如果所述情报库中存在与所述目的地址相同的地址,则得到表示所述待检测主机存在异常流量外连的检测结果,否则,得到表示所述待检测主机不存在异常流量外连的检测结果;其中,所述情报库中各地址为连接相应主机后使得所连接的主机发生异常流量外连的设备的地址。
3.根据权利要求2所述的方法,其特征在于,所述检测方法包括行为检测方法,利用所述行为检测方法对所述待检测主机进行检测得到相应的检测结果,包括:
获取所述待检测主机当前的行为特征为目的行为特征,并将所述目的行为特征与特征库中各行为特征进行比对,如果所述特征库中存在与所述目的行为特征相同的行为特征,则得到表示所述待检测主机不存在异常流量外连的检测结果,否则,得到表示所述待检测主机存在异常流量外连的检测结果;其中,所述特征库中行为特征为所述待检测主机正常情况下的行为特征。
4.根据权利要求3所述的方法,其特征在于,所述检测方法包括会话检测方法,利用所述会话检测方法对所述待检测主机进行检测得到相应的检测结果,包括:
监测所述待检测主机对应的各项会话,如果所述待测主机对应的会话符合预先设定的异常条件,则得到表示所述待检测主机存在异常流量外连的检测结果,否则,得到表示所述待检测主机不存在异常流量外连的检测结果;其中,所述异常条件为所述待检测主机存在异常流量外连时其具有的会话所体现的特征。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011284730.0/1.html,转载请声明来源钻瓜专利网。
