【技术实现步骤摘要】
一种网络异常行为智能检测与响应方法、装置及电子设备
[0001]本公开涉及计算机网络
,具体为一种网络异常行为智能检测与响应方法、装置及电子设备。
技术介绍
[0002]网络欺骗防御技术是近年来新出现的一个概念,即在被保护网络中通过伪造各类虚假主机、虚假服务甚至虚假用户来欺骗攻击者认为被保护网络中存在大量存货主机、服务以及活跃用户,从而导致攻击者无法准确定位有效攻击目标。这种技术一方面可以延缓攻击速度,增加攻击者的时间成本,降低攻击的准确性;另一方面可以有效捕获攻击者的攻击行为和流量内容,为追踪调查取证提供重要线索。
[0003]目前网络欺骗防御技术往往基于蜜罐技术进行扩展,典型的蜜罐技术是采用多个蜜罐节点来模拟真实的网络服务,当攻击者扫描目标网段时,一旦扫描到蜜罐节点,蜜罐节点会模仿真实服务进行应答,从而达到欺骗攻击者的目的。
[0004]在蜜罐技术的基础上还有技术方案进行扩展,如重定向流量方法,即在子网交换机接入链路处增加串行检测设备,用于检测扫描攻击流量。对于发现是攻击尝试的流量,则重定向至蜜罐节...
【技术保护点】
【技术特征摘要】
1.一种网络异常行为智能检测与响应方法,其特征在于,包括:通过交换机采集会话层的镜像流量,并从所述镜像流量中提取流量特征;基于所述流量特征训练校检规则,其中,所述校检规则包括内外网校检规则、存活主机校检规则、已有网络服务校检规则以及已有操作系统网络指纹生成规则;根据所述校验规则对每一个网络请求进行标记,形成请求日志;根据所述请求日志对每一个所述网络请求做出基础应答。2.根据权利要求1所述的方法,其特征在于,所述流量特征,包括:数据包的IP/MAC地址分布,包括以下至少之一:所有交互数据的源/目的IP、源/目的MAC;端口与IP对应关系,包括以下至少之一:服务端口、服务IP、服务端口的上下行流量计数、TCP的各个方向的首包标识位;应答数据网络层及传输层指纹,包括以下至少之一:IP数据包的TTL值、IP服务类型值、TCP窗口大小。3.根据权利要求2所述的方法,其特征在于,所述内外网校检规则包括:计算所有交互的源数据的MAC基于IP地址的熵值,当所述熵值大于预设阈值时,判定为外网的IP和对应主机MAC;当所述熵值小于所述预设阈值时,判定为内网的IP和对应主机MAC;所述存活主机校检规则包括:当内网IP有对外有效载荷通信时,该IP为存活主机IP;所述已有网络服务校检规则包括:当所述IP为存活状态时,且当具有上下行交互流量时,判定所述服务端口有效;当只有SYN/RST标识位时,判定所述服务端口无效;所述操作系统网络指纹生成规则包括:获取每个主机IP的IP数据包头和TCP数据包头,根据所述IP数据包头和TCP数据包头中的TTL、服务类型或窗口大小,生成针对该IP的数据应答。4.根据权利要求1所述的方法,其特征在于,所述请求日志包括:源IP、目的IP、源端口、目的端口、协议类型、目标主机IP是否存活以及目标端口是否开放。5.根据权利要求4所述的方法,其特征在于,所述根据所述请求日志对每一个所述网络请求做出基础应答,包括:针对不存活主机IP的TCP探测,随机选择一个操作系统的网络指纹生成规则生成应...
【专利技术属性】
技术研发人员:ꢀ七四专利代理机构,
申请(专利权)人:极客信安北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。