【技术实现步骤摘要】
本专利技术属于网络安全,涉及流量识别及异常检测技术,特别涉及一种面向高级持续威胁的双阶智能异常检测方法及系统。
技术介绍
1、异常检测是网络安全的重要研究方向之一,是发现网络攻击线索的一种重要技术手段,尤其是在面对高级持续威胁(advanced persistent threat,apt)时,比如检测c&c恶意通联和窃密行为等与apt攻击密切相关的恶意行为,能够在不掌握特征规则的情况下,起到攻击线索前置发现的作用。
2、在实际网络中,由于单位管理要求和ip资源池逐渐匮乏等因素,ip地址往往被划分为不同的区块,各自的管理员建立准入与ip动态分配机制,用户使用设备接入互联网通常需要获得许可才能使用互联网服务。图1展示了一个典型的ip地址分配示意,可见同一个ip背后的设备大概率并不是一成不变的,而是根据不同需求分配给不同的设备,继而可能被不同的用户使用。也就是说,即使是同一个ip,在一个时段下所产生的流量也可能并不是一个设备的行为导致的,而是多台设备多个用户混淆产生的流量。
3、为了准确、高效地检测网络异常行为...
【技术保护点】
1.一种面向高级持续威胁的双阶智能异常检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述从网络流量中提取待检测用户的用户流量,以得到该待检测用户的行为数据和该待检测用户所涉及的每一用户设备的流量数据,包括:
3.根据权利要求1所述的方法,其特征在于,所述用户级特征包括:与特定对端通联的用户源IP数量、特定时间区间内与特定对端通联的用户源端口数量、特定C段下通联的用户源IP数量、用户源IP数、TCP字节数中用户设备占比、TCP流出字节数中用户设备占比、总字节数中用户设备占比、TCP包数中用户设备占比、TCP流出包...
【技术特征摘要】
1.一种面向高级持续威胁的双阶智能异常检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述从网络流量中提取待检测用户的用户流量,以得到该待检测用户的行为数据和该待检测用户所涉及的每一用户设备的流量数据,包括:
3.根据权利要求1所述的方法,其特征在于,所述用户级特征包括:与特定对端通联的用户源ip数量、特定时间区间内与特定对端通联的用户源端口数量、特定c段下通联的用户源ip数量、用户源ip数、tcp字节数中用户设备占比、tcp流出字节数中用户设备占比、总字节数中用户设备占比、tcp包数中用户设备占比、tcp流出包数中用户设备占比和总包数中用户各设备占比。
4.根据权利要求1所述的方法,其特征在于,所述设备级特征包括:用户设备的流量总字节数、用户设备的流入总字节数、用户设备的流出总字节数、用户设备的特定对端ip和port流量总包数、用户设备的特定对端ip和port的tcp流量总字节数、用户设备的udp_53端口总包数、用户设备的特定ip的icmp通联对端ip数、用户设备的流入流出字节数比、用户设...
【专利技术属性】
技术研发人员:李书豪,谢江,云晓春,尹涛,秦瑞,
申请(专利权)人:北京中关村实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。