[发明专利]一种网络攻击异常检测方法有效
| 申请号: | 201510976440.5 | 申请日: | 2015-12-23 |
| 公开(公告)号: | CN105553998B | 公开(公告)日: | 2019-02-01 |
| 发明(设计)人: | 刘方;饶志宏;徐锐 | 申请(专利权)人: | 中国电子科技集团公司第三十研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 成都九鼎天元知识产权代理有限公司 51214 | 代理人: | 袁春晓 |
| 地址: | 610000 *** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种网络攻击异常检测方法,涉及信息安全技术领域,本发明技术要点:步骤1:在网络流量汇聚节点部署流量数据采集设备;步骤2:从采集到的流量数据中提取网络行为特征值;步骤3:对网络行为特征值进行降维及标准化;步骤4:确定正常的网络行为特征值,基于正常的网络行为特征值的集合建立正常行为模型;步骤5:基于正常行为模型对其他网络行为特征值进行检测,判断是否出现异常网络行为;在进行异常网络行为检测的同时,根据新的正常网络行为特征值对所述正常行为模型进行更新。 | ||
| 搜索关键词: | 一种 网络 攻击 异常 检测 方法 | ||
【主权项】:
1.一种网络攻击异常检测方法,其特征在于,包括:步骤1:在网络流量汇聚节点部署流量数据采集设备;流量数据采集设备包括应用层流量数据采集设备及网络层流量数据采集设备;步骤2:从采集到的流量数据中提取网络行为特征值;步骤3:对网络行为特征值降维及标准化;步骤4:分别确定正常的应用层网络行为特征值及正常的网络层网络行为特征值,基于正常的应用层网络行为特征值的集合建立应用层正常行为模型;基于正常的网络层网络行为特征值的集合建立网络层正常行为模型;步骤5:基于应用层正常行为模型对其他应用层网络行为特征值进行检测,判断是否出现异常网络行为;基于网络层正常行为模型对其他网络层网络行为特征值进行检测,判断是否出现异常网络行为;若应用层与网络层均检测到异常网络行为时则断定相应事件为异常并告警;如果应用层与网络层中只有一个检测到异常网络行为时则将相应事件标定为可疑事件;在进行异常网络行为检测的同时,根据新的正常网络行为特征值对所述正常行为模型进行更新。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电子科技集团公司第三十研究所,未经中国电子科技集团公司第三十研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510976440.5/,转载请声明来源钻瓜专利网。
