技术特征:
技术总结
本发明提供了一种基于流的异常通联行为检测方法和系统,属于网络安全异常事件被动发现领域。本发明的检测系统包括:配置白名单IP、重点目标IP和一般目标IP的配置管理模块,获取和存储网络流数据信息的数据采集模块和存储模块,分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建,分别进行网络异常检测,再关联重要目标和普通目标的网络事件,挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力,对流量数据的计算复杂度小,并且异常发现实时性强。
技术研发人员:李志辉;严寒冰;丁丽;温森浩;姚力;朱芸茜;王小群;陈阳;李世淙;徐剑;王适文;肖崇蕙;贾子骁;张帅;吕志泉;韩志辉;马莉雅;雷君;周彧;周昊;高川;楼书逸;文静;吕卓航;杜飞
受保护的技术使用者:国家计算机网络与信息安全管理中心;北京锐驰信安技术有限公司
技术研发日:2019.05.31
技术公布日:2019.08.20