【技术实现步骤摘要】
异常网络连接的检测方法及装置
本专利技术涉及通信
,具体涉及一种异常网络连接的检测方法及装置。
技术介绍
在已知的黑客攻击事件中,特别是窃取数据时,黑客总会利用各种协议隧道隐蔽行踪,但始终无法避免网络连接。因此,现有的安全防御技术为,安全设施主机代理(agent)抓取到网络连接后,后端的策略通过判断该网络连接IP是否为黑IP,是否频繁外接,是否存在数据交互,目标IP是否返回不可识别的内容或返回黑特征等,来判断该网络连接是否异常。但是,上述判断方法无法识别该网络连接是否真实外传数据,从而无法准确检测该网络连接是否异常,使异常具备的可解释性较差。
技术实现思路
本申请提供一种异常网络连接的检测方法及装置,能够提高异常网络连接检测的准确性。第一方面,本申请提供一种异常网络连接的检测方法,所述方法包括:在主机新增网络连接时,获取所述新增网络连接的连接信息;所述连接信息包括网络信息和新增进程的进程信息;检测所述网络信息和所述进程信息是否均异常;若是,则关联所述网络信息和...
【技术保护点】
1.一种异常网络连接的检测方法,其特征在于,包括:/n在主机新增网络连接时,获取所述新增网络连接的连接信息;所述连接信息包括网络信息和新增进程的进程信息;/n检测所述网络信息和所述进程信息是否均异常;/n若是,则关联所述网络信息和所述进程信息,以检测所述新增网络连接是否异常。/n
【技术特征摘要】
1.一种异常网络连接的检测方法,其特征在于,包括:
在主机新增网络连接时,获取所述新增网络连接的连接信息;所述连接信息包括网络信息和新增进程的进程信息;
检测所述网络信息和所述进程信息是否均异常;
若是,则关联所述网络信息和所述进程信息,以检测所述新增网络连接是否异常。
2.根据权利要求1所述的异常网络连接的检测方法,其特征在于,所述在主机新增网络连接时,获取所述新增网络连接的连接信息,具体包括:
定时检测所述主机的网络连接;
获取预设周期内所述主机的新增网络连接的连接信息。
3.根据权利要求1所述的异常网络连接的检测方法,其特征在于,所述网络信息包括多维度网络数据;
所述检测所述网络信息和所述进程信息是否均异常,具体包括:
检测所述进程信息是否存在异常;
若是,则分别检测所述多维度网络数据中的每一维度网络数据是否异常;
若至少一维度网络数据异常,则判定所述网络信息异常。
4.根据权利要求3所述的异常网络连接的检测方法,其特征在于,所述进程信息包括所述新增进程的访问IP数及访问天数;
所述检测所述进程信息是否存在异常,具体包括:
将所述访问IP数与预设IP数进行比较,并将所述访问天数与预设天数进行比较;
若所述访问IP数小于预设IP数,且所述访问天数小于预设天数,则判定所述进程信息存在异常。
5.根据权利要求3所述的异常网络连接的检测方法,其特征在于,所...
【专利技术属性】
技术研发人员:郭晶,郑兴,范宇河,唐文韬,申军利,甘祥,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。