【技术实现步骤摘要】
用于检测和阻止越权访问的方法和装置
本专利技术涉及一种用于检测并阻止通过网络的越权访问的方法和设备,以及更特别地,涉及一种通过针对每种特征对流经网络的的数据业务进行分类来检测和阻止越权业务的方法和设备。
技术介绍
近年来,随着网络环境例如因特网的普及,通过网络的越权访问十分普遍,用于检测和阻止例如越权访问的方法就显得尤为重要。在因特网上,TCP(传输控制协议),IP(因特网协议),以及UDP(用户数据报协议)被用作通信协议,以基于这些协议的分组形式传输数据。分组的报头内存储有源IP地址,源端口号,目的IP地址,目的端口号,等等。通过基于IP协议的IP地址将分组传输到目的地。通过TCP和UDP定义的端口号指定数据分组是哪一个应用的数据。为了检测和阻止与越权访问有关的业务,传统的越权访问检测设备或越权访问阻止设备,确定包括预先登记的、与端口号、IP地址等有关的位模式的业务,作为越权或违法信息流,以及执行这样的越权信息流的检测和阻止处理。日本专利未审公开申请No.2004-38557(JP,P2004-38557A)公开了一种越权访问阻止系统,其中将从外部网络接收的通...
【技术保护点】
一种用于检测通过网络的越权业务的方法,包括步骤:存储每种业务的行为的期望值;当通过网络执行通信时分离个别的业务;测量个别已分离业务的行为;比较测量到的行为与行为期望值,以及根据比较结果,确定越权业务。
【技术特征摘要】
JP 2005-3-1 2005-056221;JP 2006-2-3 2006-0268721、一种用于检测通过网络的越权业务的方法,包括步骤:存储每种业务的行为的期望值;当通过网络执行通信时分离个别的业务;测量个别已分离业务的行为;比较测量到的行为与行为期望值,以及根据比较结果,确定越权业务。2、根据权利要求1所述的方法,其中所述测量步骤包括步骤:测量与构成业务的数据分组中的分组长度以及分组到达时间间隔有关的基本统计值参数。3、根据权利要求2所述的方法,其中所述基本统计值参数包括分组长度的平均值,分组长度的离散值,分组到达时间间隔的平均值,以及分组到达时间间隔的离散值。4、根据权利要求1所述的方法,其中所述测量步骤包括步骤:测量构成业务的数据分组的分组长度的类型数。5、根据权利要求1所述的方法,其中所述测量步骤包括步骤:测量在TCP标记中置位了PUSH位的分组的出现比例。6、根据权利要求1所述的方法,其中所述测量步骤包括步骤:观测作为脉冲串连续传输的多个数据分组群,以及测量与观测到的脉冲串的脉冲串长度以及脉冲串到达时间间隔相关的基本统计值参数。7、根据权利要求6所述的方法,其中所述基本统计值参数包括脉冲串长度的平均值,脉冲串长度的离散值,脉冲串到达时间间隔的平均值,以及脉冲串到达时间间隔的离散值。8、根据权利要求1所述的方法,其中所述分离步骤包括步骤:使用包含在构成业务的数据分组中的应用的标识符分离所述业务。9、根据权利要求8所述的方法,其中根据应用的标识符,确定业务的类型。10、根据权利要求8所述的方法,其中所述应用的标识符是端口号。11、根据权利要求1所述的方法,其中所述分离步骤包括步骤:使用包含在构成业务的数据分组中的传输终端以及接收终端的标识符分离所述业务。12、根据权利要求1所述的方法,其中所述分离步骤包括步骤:使用业务组或终端组的标识符分离所述业务,所述标识符包含在构成业务的数据分组中。13、根据权利要求1所述的方法,还包括步骤:从外部终端之前和之后登记和/或擦除每种业务的行为的期望值。14、根据权利要求1所述的方法,其中测量个别业务中每单位时间接收到的分组数,以及将每单位时间接收到的分组数超过阈值的业务看作可疑的潜在越权业务,以及对于该可疑业务,执行所述测量步骤、所述比较步骤和所述确定步骤。15、根据权利要求1所述的方法,还包括步骤:将所述个别分离业务分成加密业务和非加密业务;对所述加密业务执行所述测量步骤、所述比较步骤和所述确定步骤;以及通过从非加密业务中检测预先登记的位模式,执行越权访问检测。16、根据权利要求1所述的方法,还包括步骤:在检测到新业务的情况下,通过总计其行为的测量结果,生成新业务的行为的期望值。17、一种用于检测通过网络的越权业务的设备,包括:接收装置,用于从所述网络接收业务;测量装置,用于测量个别接收到的业务的行为;识别装置,用于根据所述测量装置的测量结果,识别个别业务是否是越权业务。18、一种用于检测通过网络的越权业务的设备,包括:存储装置,用于预先存储每种业务的行为的期望值;接收装置...
【专利技术属性】
技术研发人员:北村强,冈部稔哉,
申请(专利权)人:日本电气株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。