This application provides a network intrusion detection method and system, wherein the method includes: acquiring a preset number of access request records from source IP to target IP; counting a target access request record in which the request source page is identified as empty; and setting multiple features for the target access request record Set the weight value, and write the target access request record to the default state table based on the set weight value; match the written target access request record in the default state table, and regard the access request record in the matching result as the network intrusion record. The technical proposal provided by this application can improve the success rate of network intrusion detection.
【技术实现步骤摘要】
一种网络入侵检测方法及系统
本专利技术涉及互联网
,特别涉及一种网络入侵检测方法及系统。
技术介绍
随着网络技术的快速发展以及网络规模的急剧膨胀,网络中的安全漏洞被攻击者越来越多的利用以攻击网络中的主机。网络攻击中常见的是一种基于页面的分布式拒绝服务攻击。攻击者通常可以不断向目标服务器发送消耗目标服务器性能的请求报文,导致目标服务器不断执行大量的计算或操作,耗费大量资源。当目标服务器执行的计算或操作达到自身CPU的处理极限时,将导致正常的访问被终止处理,甚至宕机。针对上述情况,现有的检测网络入侵的方式可以通过跳转检测来实现。在该方法中,一般会在目标服务器之前添加一个跳转检测设备以检测发送至所述目标服务器的报文。该跳转检测设备可以在目标服务器接收到请求报文之前,代替目标服务器向请求端发送一个验证报文。攻击请求端往往不会对返回的验证报文做出响应,而是继续向目标服务器发起新的访问请求。检测设备接收不到攻击请求端发来的确认信息,则不会放行攻击请求端对目标服务器的访问请求。然而,攻击者可以通过肉鸡或者代理服务器向目标服务器发起攻击。肉鸡或者代理服务器可以对跳转检测设备返回的验证报文进行响应,比如再次向目标服务器发送携带只有跳转检测设备知晓的密钥的确认信息,这样便可以穿透上述现有技术的网络入侵检测方式。
技术实现思路
本申请的目的在于提供一种网络入侵检测方法及系统,能够提高网络入侵检测的成功率。本申请提供一种网络入侵检测方法,所述方法包括:获取预设数量的源IP到目标IP的访问请求记录;统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录;为所述目标访问请求记 ...
【技术保护点】
1.一种网络入侵检测方法,其特征在于,所述方法包括:获取预设数量的源IP到目标IP的访问请求记录;统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录;为所述目标访问请求记录的多个特征分别设置权重值,并基于设置的权重值,将所述目标访问请求记录写入预设状态表;在所述预设状态表中将写入的目标访问请求记录进行匹配,并将匹配结果中的访问请求记录作为网络入侵记录。
【技术特征摘要】
1.一种网络入侵检测方法,其特征在于,所述方法包括:获取预设数量的源IP到目标IP的访问请求记录;统计所述访问请求记录中请求来源页面标识为空的目标访问请求记录;为所述目标访问请求记录的多个特征分别设置权重值,并基于设置的权重值,将所述目标访问请求记录写入预设状态表;在所述预设状态表中将写入的目标访问请求记录进行匹配,并将匹配结果中的访问请求记录作为网络入侵记录。2.根据权利要求1所述的方法,其特征在于,获取预设数量的源IP到目标IP的访问请求记录包括:基于真实源IP的确定规则,获取预设数量的真实源IP到目标IP的访问请求记录。3.根据权利要求2所述的方法,其特征在于,所述真实源IP的确定规则具体包括:当访问请求记录的x-forward-for字段为空时,将源IP字段中的IP地址作为真实源IP;当访问请求记录的x-forward-for字段为非空时,根据x-forward-for字段中的IP地址确定真实源IP。4.根据权利要求1所述的方法,其特征在于,为所述目标访问请求记录的多个特征分别设置权重值包括:确定所述目标访问请求记录的目标特征对应的分类错误率,并基于所述分类错误率确定所述目标特征的权重值。5.根据权利要求4所述的方法,其特征在于,按照下述公式确定所述目标特征的分类错误率;其中,δ表示所述目标特征的分类错误率,ηw表示所述目标特征在指定次数中分类错误的总次数,ηc表示所述目标特征在指定次数中分类正确的总次数。6.根据权利要求5所述的方法,其特征在于,按照下述公式确定所述目标特征的权重值:其中,γ表示所述目标特征的权重值...
【专利技术属性】
技术研发人员:龙春,赵静,宋丹劼,王绍节,杨帆,
申请(专利权)人:中国科学院计算机网络信息中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。