The invention discloses a network intrusion analysis and detection method based on message frame. Including: S1, access to all network stream session message frame data between the external network host and the internal network host; S2, filter and select the one-way message frame data that the internal network host actively sends to the external network host; S3, analyze the time interval characteristics and traffic size characteristics of the one-way message frame data; S4, scoring the time interval characteristics and traffic size characteristics of the one-way message frame data, with a large equivalent score value. When the preset threshold of characteristic standard is set, the network intrusion behavior is predicted and the network intrusion alarm is given. The method uses traffic behavior analysis as a strategy to detect network intrusion, and scoring traffic data characteristics from two aspects of time interval and traffic size. It can not only accurately and rapidly detect whether known or unknown network intrusion occurs, but also accurately and quickly find infected intranet hosts for timely security maintenance and optimization. \u3002
【技术实现步骤摘要】
一种基于信帧的网络入侵行为分析检测方法
本专利技术涉及网络信息安全
,尤其是一种基于信帧的网络入侵行为分析检测方法。
技术介绍
随着网络规模的不断扩大以及网络性能技术的不断提升,随之所附带或者产生的一些网络信息安全问题也愈来愈受到重视。其中,利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击或者入侵行为通常会引起诸如网络故障、用户误操作、网络病毒传播、数据被破坏或被窃取等网络异常或安全问题,从而对网络本身及运行于网络上的各种设备造成极大的危害性和破坏性。比如,网络终端设备(亦可称为内网主机)在无意间下载并打开恶性软件后,很容易被感染,而被感染后的设备通常会定期地连接外网控制设备(亦可称为C&C服务器或外网主机,即:远程命令与控制服务器)以试图获取外网控制设备的某种指令或者外网控制设备自动向网络终端设备自动植入某种指令(其中,图1示出了内网主机和外网主机之间的一个会话场景),从而导致网络异常或安全问题的发生。目前,通用的网络入侵行为检测方法主要滥用(MisuseDetection)检测方法,主要是通过匹配网络流量的特征字段来判断是否发生入侵行为以最终试图寻找可疑的受感染设备(其中,图2示出了通过信帧检测到由外部攻击者远程控制的内网主机在内网活动的轨迹以及入侵行为检测、分析及报警流程的场景);虽然能够准确、快速地检测已知类型的入侵,但由于网络流量本身的复杂性,微小的流量变化即可很容易逃脱检测,从而使其无法对未知类型的入侵进行准确检测。鉴于此,如何快速、准确、及时地检测并分析出网络流量异常行为或入侵行为对提高网络的可靠性、 ...
【技术保护点】
1.一种基于信帧的网络入侵行为分析检测方法,其特征在于:包括以下步骤:S1、采集信息:获取外网主机与内网主机之间的所有网络流会话信帧数据;S2、提取信息:过滤并选取内网主机主动发送至外网主机的单向信帧数据;S3、分析特征:分析单向信帧数据的时间间隔特征和流量大小特征;S4、评分预判:对单向信帧数据的时间间隔特征和流量大小特征进行评分,当评分值大于预设的特征标准阈值时,则预判存在网络入侵行为并进行网络入侵报警。
【技术特征摘要】
1.一种基于信帧的网络入侵行为分析检测方法,其特征在于:包括以下步骤:S1、采集信息:获取外网主机与内网主机之间的所有网络流会话信帧数据;S2、提取信息:过滤并选取内网主机主动发送至外网主机的单向信帧数据;S3、分析特征:分析单向信帧数据的时间间隔特征和流量大小特征;S4、评分预判:对单向信帧数据的时间间隔特征和流量大小特征进行评分,当评分值大于预设的特征标准阈值时,则预判存在网络入侵行为并进行网络入侵报警。2.如权利要求1所述的一种基于信帧的网络入侵行为分析检测方法,其特征在于:步骤S4中,依公式一对单向信帧数据的特征进行评分,当特征评分值大于预设的特征标准阈值时,则预判存在网络入侵行为并进行网络入侵报警;其中,公式一为:3.如权利要求2所述的一种基于信帧的网络入侵行为分析检测方法,其特征在于:步骤S3中,所述时间间隔特征为在一特定周期内数据的时间偏离度特征、时间离差度特征和持续时间特征;所述公式一中,时间间隔特征评分值为时间偏离度评分值、时间离差度评分值和持续时间评分值之和。4.如权利要求3所述的一种基于信帧的网络入侵行为分析检测方法,其特征在于:在特定周期内,获取同一内网主机与外网主机进行网络连接的连接时间间隔数组,然后从小到大排序以形成时间间隔排序位置数组;分别取得位于时间间隔排序位置数组中75%位置、50%位置和25%位置的时间值;最后依公式二计算时间偏离度评分值;其中,公式二为:5.如权利要求3所述的一种基于信帧的网络入侵行为分析检测方法,其特征在于:在特定周期内,获取同一内网主机与外网主机进行网络连接的连接时间间隔数组,然后从小到大排序以形成时间间隔排序位置数组;取位于时间间隔排序位置数组中50%位置的时间值作为一次时间间隔中间值;对时间间隔排序位置数组中的所有位置的时间值与一次时间间隔中间值之差的绝对值进行从小到大排序以形成二次时间排序位置数组,取位于二次时间排序位置数组中50%位置的时间值作为二次时间间隔中...
【专利技术属性】
技术研发人员:王诗勇,
申请(专利权)人:深圳市众泰兄弟科技发展有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。