The embodiment of the invention provides a network access anomaly detection method and system. The method includes: obtaining the information to be detected, including the network information to be detected, including the user information and the service name, obtaining a matching model corresponding to the pre established user information and the name of the service, and, according to the matching model, if it is determined that the information to be detected is satisfied with the preset condition. The network information to be detected is an abnormal information. The system is used to execute the method described. The embodiment of the present invention determines whether the network information to be detected is abnormal, and realizes the detection of the anomaly of the specific service and the specific user access network, according to the matching model of the acquired network information and the corresponding user information and business name obtained in the network information to be detected.
【技术实现步骤摘要】
一种网络访问异常检测方法及系统
本专利技术实施例涉及网络安全
,尤其涉及一种网络访问异常检测方法及系统。
技术介绍
异常流量管理是信息安全管理工作中的一项重要工作。当前异常流量所引发的潜在风险巨大,但又缺乏有效的检测管理机制,通过单一的流量检测设备无法有效解决企业内部异常流量带来的安全风险和影响。网络流量异常检测的工作一直在不断的往前发展,Roy和Frank定义了网络正常行为和异常行为的概念,流量异常检测方法则可以分为静态检测方法和动态检测方法两个大类。静态检测方法包括恒定阈值检测方法和自适应阈值检测方法。通常是根据历史数据建立一个正常的参数基线,通过系统在网络运行的过程中自适应的学习能力改变告警阈值。动态检测方法包括基于统计的检测方法,基于小波的检测方法。统计检测方法在实际中最常见的是广义似然比检验(GeneralizedLikelihoodRatio,简称GLR)测试。GLR考虑两个相邻的时间窗R(t)和S(t)以及这两个合并组成的窗口C(t),每个窗口运用自回归模型(AR)拟合,应用似然比检验方法,检测两个窗口之间发生的异常变化。当两个窗口的似然度超过某个设定的阈值时则认为两个窗口边界产生异常。AmyWard等人提出了另外一种统计检测方法,该方法在网络正常运行下建立一套网络参数,当参数出现偏差不符合正常运行情况时产生告警。例如在工作日的网络流量占总流量的绝大部分,节假日的内部网络流量则可以忽略。工作日的网络流量则又呈现出休息时间和工作时间之间存在流量突变的情况,如:早上上班时间和中午休息时间,下午下班时间可将工作日的流量分为三个阶段。第一个阶段 ...
【技术保护点】
1.一种网络访问异常检测方法,其特征在于,包括:获取待检测网络信息,其中所述待检测网络信息包括用户信息和业务名称;获取预先建立的所述用户信息和所述业务名称对应的匹配模型;根据所述匹配模型,若判断获知所述待检测网络信息满足预设条件,则所述待检测网络信息为异常信息。
【技术特征摘要】
1.一种网络访问异常检测方法,其特征在于,包括:获取待检测网络信息,其中所述待检测网络信息包括用户信息和业务名称;获取预先建立的所述用户信息和所述业务名称对应的匹配模型;根据所述匹配模型,若判断获知所述待检测网络信息满足预设条件,则所述待检测网络信息为异常信息。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取历史网络信息,所述历史网络信息包括所述用户信息、业务名称、所述业务名称对应的访问序列和访问规则;根据所述访问序列和所述访问规则建立所述用户信息和所述业务名称对应的所述匹配模型。3.根据权利要求1所述的方法,其特征在于,所述预设条件包括以下第一预设条件、第二预设条件、第三预设条件和第四预设条件中任意一项或其组合,其中:所述第一预设条件包括:所述待检测网络信息中的目标地址没有在所述匹配模型中的可访问地址集中;所述第二预设条件包括:所述待检测网络信息中的URL访问序列与所述匹配模型中的所述URL访问序列不一致;所述第三预设条件包括:在第一预设时间内所述待检测网络信息对应的网络访问频率大于所述匹配模型中的第一预设阈值;所述第四预设条件包括:在第二预设时间内所述待检测网络信息对应的请求频率大于所述匹配模型中的第二预设阈值。4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:根据所述异常信息生成告警信息并将所述告警信息输出。5.根据权利要求4任一项所述的方法,其特征在于,所述告警信息以邮件告警、页面告警或短信告警的方式输出。6.一种网络访问异常检测系统,其特征在...
【专利技术属性】
技术研发人员:许慧云,
申请(专利权)人:中国移动通信集团公司,中国移动通信集团河南有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。