【技术实现步骤摘要】
一种基于流量的应用攻击识别方法及系统
本专利技术涉及网络安全
,尤其是一种基于流量的应用攻击识别方法及系统。
技术介绍
应用识别和威胁识别是网络安全的基础,尤其在用户应用侧无法部署响应安全代码或者设备的前提下,就需要通过特殊的技术实现应用呈现黑盒状态下的对应用的识别和针对性防护,对于威胁一样的道理,任何威胁对于防护方来说都是黑盒,没有办法获得响应的具体信息。现有的技术会涉及到DPI技术和APT防护所用到的一些技术,重点是沙盒技术。DPI(DeepPacketInspection)深度报文解析已经是一个主要的网络安全基础手段,在DPI过程中,协议识别和应用识别是一个重要的内容,现在主流的DPI技术通过以下几个方式实现对协议或者应用资产的识别:最早期的DPI是基于port的协议识别或者是关键字的协议识别,这种方式有它先天不足,首先端口很容易修改,其次关键字也很容易被模仿。第二种是根据业务流交互特征识别协议,这种方式无需分析报文体的内容,仅仅要依据报文头中的域值、报文大小、报文间隙等特征分析流量所属的...
【技术保护点】
1.一种基于流量的应用攻击识别方法,其特征在于,包括以下步骤:/nS1:在服务器端获取应用的流量信息,其中,所述流量信息包括所述应用的访问请求数、连接数、响应时间、报文大小和对外连接方式;/nS2:将所述流量信息进行时间维度的回归,并将所述流量信息在多维空间上叠加生成所述应用的特征画像,获取并保存所述应用的正常使用状态下的特征画像集合;以及/nS3:响应于该时刻所述应用的特征画像的波动超过预设的阈值且前一时刻的特征画像介于所述特征画像集合的区间内,确定该时刻事件为攻击事件。/n
【技术特征摘要】
1.一种基于流量的应用攻击识别方法,其特征在于,包括以下步骤:
S1:在服务器端获取应用的流量信息,其中,所述流量信息包括所述应用的访问请求数、连接数、响应时间、报文大小和对外连接方式;
S2:将所述流量信息进行时间维度的回归,并将所述流量信息在多维空间上叠加生成所述应用的特征画像,获取并保存所述应用的正常使用状态下的特征画像集合;以及
S3:响应于该时刻所述应用的特征画像的波动超过预设的阈值且前一时刻的特征画像介于所述特征画像集合的区间内,确定该时刻事件为攻击事件。
2.根据权利要求1所述的一种基于流量的应用攻击识别方法,其特征在于,所述步骤S1中的获取所述流量信息的方式包括利用设置于服务器的网卡或利用软件的采集agent对所述流量信息进行提取。
3.根据权利要求1所述的一种基于流量的应用攻击识别方法,其特征在于,所述步骤S2中的特征画像的生成方式具体包括:将所述访问请求数、所述连接数、所述响应时间、所述报文大小和所述对外连接方式在三维图像上基于时间对应关系进行叠加。
4.根据权利要求1所述的一种基于流量的应用攻击识别方法,其特征在于,还包括将所述攻击事件对应的特征画像存储至攻击特征画像集合中。
5.根据权利要求1所述的一种基于流量的应用攻击识别方法,其特征在于,所述步骤S2还包括,基于时间分割生成多个时间段的所述特征画像。
6.一种计算机可读...
【专利技术属性】
技术研发人员:邱淼,李丹,
申请(专利权)人:北京天琴合创技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。