本公开提供了一种用于检测通信异常的方法、装置、网络系统和存储介质。该方法包括:获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备被动接受的会话有关的被动会话数据集合;根据被动会话数据集合构建第一基线集合,第一基线集合中的每个基线指示主机设备被动接受的会话满足的条件;以及在主机设备与其他设备当前进行的会话是主机设备被动接受的会话的情况下,如果当前会话不满足第一基线集合,则确定当前会话存在异常。该方法通过基于会话数据设置与当前被动会话进行比较的基准,能够在无需人工配置的情况下检测网络行为是否异常,省去了维护相关数据库的负担。数据库的负担。数据库的负担。
【技术实现步骤摘要】
用于检测通信异常的方法、装置、网络系统和存储介质
[0001]本公开涉及通信安全领域,更具体地,涉及通信安全领域中用于检测通信异常的方法、装置、网络系统和计算机可读存储介质。
技术介绍
[0002]随着互联网规模的扩大和联网设备的增多,通信安全问题已经得到了人们越来越多的重视。网络安全的技术人员正在研究如何对设备的通信行为进行检测,以发现网络通信中的异常行为,从而避免设备中存储的数据被篡改或丢失、设备执行非法操作、设备陷入瘫痪状态等。在现有的检测通信异常的技术中,主要存在两种方法,一种是与行为特征检测有关的方法,另一种是与传输数据内容检测有关的方法。
[0003]在与行为特征检测有关的方法中,需要检测攻击者成功入侵主机设备后执行的一系列行为,比如,端口反弹、通道建立、指令下发等。这主要依赖于将检测到的行为与数据库中存储的安全特征进行匹配,所述安全特征例如是系统函数特征、敏感命令特征、木马通信特征等。该方法的关键点在于对存储有安全特征的数据库进行人工维护,这需要投入较大的人力去更新数据库中的安全特征。如果出现新型通信行为,那么由于数据库中没有与之对应的安全特征,将无法对其进行检测。
[0004]在与传输数据内容检测有关的方法中,需要检测攻击者成功入侵主机设备后对外传输的数据的内容,比如检测主机设备对外是否发送了需要保密的客户信息等。可以采用DLP(Data Leakage Prevention,数据泄露防护)技术,使用存储在数据库中的预先定义的数据匹配规则来对传输数据的内容进行检测。这种方法同样需要人工维护存储有数据匹配规则的数据库。对于数据库中未存储相关规则的数据,无法发现其泄露,导致准确率不高。
[0005]无论是上述哪种方法,都需要投入较大的人力来人工维护相关的数据库,这对检测通信异常造成了极大的负担。
技术实现思路
[0006]本公开提供了一种全新的用于检测通信异常的技术,能够避免投入较大人力来人工维护数据库。
[0007]根据本公开的一方面,提供了一种用于检测通信异常的方法。该方法包括:获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备被动接受的会话有关的被动会话数据集合;根据被动会话数据集合构建第一基线集合,第一基线集合中的每个基线指示主机设备被动接受的会话满足的条件;以及在主机设备与其他设备当前进行的会话是主机设备被动接受的会话的情况下,如果当前会话不满足第一基线集合,则确定当前会话存在异常。
[0008]根据本公开的另一方面,提供了一种用于检测通信异常的装置。该装置包括用于执行上述方法的步骤的部件。
[0009]根据本公开的再一方面,提供了一种用于检测通信异常的装置。该装置包括:存储
器,存储有计算机可执行指令;以及与存储器耦接的处理器,当所述计算机可执行指令被所述处理器执行时使得所述处理器执行上述方法。
[0010]根据本公开的又一方面,提供了一种网络系统。该网络系统包括相互通信的多个设备,其中所述多个设备中的至少一个是上述装置。
[0011]根据本公开的又一方面,提供了一种计算机可读存储介质。在该计算机可读存储介质上存储有计算机可执行指令,当所述计算机可执行指令被处理器执行时使得所述处理器执行上述方法。
[0012]根据本公开实施例的技术方案,通过获取预定时间段内的被动会话数据集合,并基于该集合构建作为网络行为基准的第一基线集合,能够基于主机设备被动接受的当前会话与第一基线集合的比较来确定是否存在通信异常。这提供了一种全新的检测通信异常的方法,该方法通过主动学习一定时间段内的被动通信数据,能够自动生成与主机设备被动接受的当前会话进行比较以确定通信异常的基线,使得能够自动地生成或更新与网络行为进行匹配的数据,从而避免如相关技术那样需要投入较大的人力来维护相关数据库。
[0013]通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
[0014]构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
[0015]图1是根据本公开实施例的用于检测通信异常的方法的流程图。
[0016]图2是根据本公开实施例的用于检测通信异常的另一方法的流程图
[0017]图3A是根据本公开实施例的用于检测通信异常的再一方法的流程图的一部分。
[0018]图3B是图3A中的流程图的另一部分。
[0019]图4是根据本公开实施例的用于检测通信异常的装置的结构框图。
[0020]图5是根据本公开实施例的用于检测通信异常的另一装置的结构框图。
[0021]图6是根据本公开实施例的用于检测通信异常的再一装置的结构框图。
具体实施方式
[0022]现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
[0023]同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0024]首先参考图1,在图1中示出了用于检测通信异常的方法100的流程图。方法100可以由诸如服务器、个人计算机、大型计算机、智能终端之类的能够与外部网络通信的作为信息处理设备的主机设备执行,也可以由驻留在云端的应用程序执行,还可以部分在主机设备执行、部分在云端执行。
[0025]在S110中,获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备被动接受的会话有关的被动会话数据集合。
[0026]可以以离线的方式获取预定时间窗口内的主机设备与其他设备之间发生的会话数据,该时间窗口可以是一周、一个月、三个月等。当然,也可以以在线的方式实时获取用于构建基线的会话数据。例如,普遍使用的Netflow技术可以采集并保存主机设备和其他设备之间的会话信息。通过对会话相关的数据进行分析,可以发现有些数据包的源IP地址和源端口号是另一些数据包的目的IP地址和目的端口号,而这些数据包的目的IP地址和目的端口号又是这另一些数据包的源IP地址和源端口号,那么可以确定这些数据包和这另一些数据包属于同一会话。对于同一会话中的不同数据包,如果这个会话中的第一个数据包是从其他设备发给主机设备的,那么可以确定这个会话是主机设备被动接受的会话,于是将与该会话相关的所有数据包都归入本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于检测通信异常的方法,包括:获取预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备被动接受的会话有关的被动会话数据集合;根据被动会话数据集合构建第一基线集合,第一基线集合中的每个基线指示主机设备被动接受的会话满足的条件;以及在主机设备与其他设备当前进行的会话是主机设备被动接受的会话的情况下,如果当前会话不满足第一基线集合,则确定当前会话存在异常。2.根据权利要求1所述的方法,其中,第一基线集合中的每个基线包括主机设备的IP地址、主机设备能够被访问的端口号、允许访问主机设备的网络协议号。3.根据权利要求1所述的方法,其中,所述根据被动会话数据集合构建第一基线集合包括:针对被动会话数据集合中的每个TCP或UDP会话,对该TCP或UDP会话的数据进行统计以得到该TCP或UDP会话的特征信息,该TCP或UDP会话的特征信息至少包括主机设备在该TCP或UDP会话中发送的上行数据包个数和主机设备在该TCP或UDP会话中接收的下行数据包个数;以及当上行数据包个数大于第一预定值并且下行数据包个数大于第二预定值时,将该TCP或UDP会话对应的主机设备IP地址、主机设备端口号和网络协议号确定为第一基线集合中的一条基线。4.根据权利要求1所述的方法,其中,所述如果当前会话不满足第一基线集合,则确定当前会话存在异常包括:提取当前会话中与第一基线集合中的基线包含的数据具有相同数据类型的数据;以及当提取的数据不满足第一基线集合中的每个基线时,确定当前会话存在异常。5.根据权利要求1所述的方法,进一步包括:获取所述预定时间段内与在主机设备和其他设备之间的会话有关的数据之中的与主机设备主动发起的会话有关的主动会话数据集合;根据主动会话数据集合构建第二基线集合,第二基线集合中的每个基线指示主机设备主动发起的会话满足的条件;以及在主机设备与其他设备当前进行的会话是主机设备主动发起的会话的情况下,如果当前会话不满足第二基线集合,则确定当前会话存在异常。6.根据权利要求5所述的方法,其中,第二基线集合中的每个基线包括主机设备能够访问的IP地址、主机设备能够访问的端口...
【专利技术属性】
技术研发人员:邓晓东,金华敏,王帅,汪来富,刘东鑫,张昊迪,刘诗旸,余航,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。