一种异常网络连接的检测方法及系统与流程

文档序号:12278311阅读:来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术>一种异常网络连接的检测方法及系统与流程

技术特征:

1.一种异常网络连接的检测方法,其特征在于,包括以下步骤:

步骤S1、基于信息系统网络连接样本建立信息系统业务访问模型;所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型;

步骤S2、基于所述信息系统业务访问模型识别异常网络连接。

2.根据权利要求1所述的异常网络连接的检测方法,其特征在于,所述步骤S1进一步包括:

步骤S1.1基于网络连接样本基本信息对信息系统中各客户端的网络配置信息进行建模,建立所述客户端正常行为模型;

步骤S1.2基于网络连接样本基本信息对信息系统中各服务器的网络配置信息进行建模,建立服务器的网络配置信息模型;基于已标识网络连接类别的网络连接样本,确定用来实现网络连接类型分类的分类特征,建立服务器所支撑业务的网络连接类型分类模型;所述服务器的网络配置信息模型与服务器所支撑业务的网络连接类型分类模型共同构成所述服务器正常行为模型;

步骤S1.3基于信息系统中所有客户端访问业务时所表现出来的固定网络访问模式进行建模,建立客户端业务访问模式模型。

3.根据权利要求2所述的异常网络连接的检测方法,其特征在于,所述步骤S1.3进一步包括以下步骤:

步骤S1.3.1提取指定客户端的每个网络连接样本中指定客户端所连接的服务器端IP地址信息,构造指定客户端的完整网络连接有向图;其中,所述完整网络连接有向图由所有表示从客户端到服务器端的对应网络连接的有向边构成,有向边的起始节点表示客户端,有向边的终止节点表示服务器;

步骤1.3.2获取每条有向边所指向的服务器,并获取该服务器所支撑业务的网络连接类型分类模型,对有向边所代表的网络连接类型进行预测,并在有向边上标识出所预测出的网络连接类型;

步骤1.3.3按照时间片划分方法对标识了网络连接类型的的完整网络连接有向图进行拆分;

步骤1.3.4对拆分得到的时间片网络连接有向图进行简化,得到指定客户端的简化后的时间片网络连接有向图;

步骤1.3.5通过对指定客户端的简化后的时间片网络连接有向图进行聚类,识别出该客户端在不同时间片表现出来的各种业务访问固定模式,建立客户端业务访问模式模型。

4.根据权利要求1-3任一所述的异常网络连接的检测方法,其特征在于,所述步骤S2进一步包括以下步骤:

步骤S2.1根据客户端正常行为模型对网络连接进行检测,正常则进入步骤S2.2;

步骤S2.2根据服务器正常行为模型对网络连接进行检测,正常则进入步骤S2.3;

步骤S2.3根据客户端业务访问模式模型对网络连接进行检测,正常则判断其属于正常网络连接。

5.根据权利要求4所述的异常网络连接的检测方法,其特征在于,所述步骤S2.3进一步包括:

步骤S2.3.1基于时间片和客户端IP地址信息检查是否存在所述客户端在所述时间片的时间片网络连接有向图;存在则进入步骤S2.3.2;

步骤S2.3.2检查所述客户端在所述时间片的时间片网络连接有向图,是否存在与该网络连接样本对应的有向边;存在则进入步骤S2.3.3;

步骤S2.3.3检查所预测出的网络连接类型是否与对应有向边上所标识的网络连接类型相符,相符则判断其属于正常网络连接。

6.一种异常网络连接的检测系统,其特征在于,包括

业务访问模型建立模块,用于基于信息系统网络连接样本建立信息系统业务访问模型;所述信息系统业务访问模型包括客户端正常行为模型、服务器正常行为模型和客户端业务访问模式模型;

异常网络连接识别模块,用于基于所述信息系统业务访问模型识别异常网络连接。

7.根据权利要求6所述的异常网络连接的检测系统,其特征在于,所述业务访问模型建立模块进一步包括:

客户端正常行为模型建立子模块,用于基于网络连接样本基本信息对信息系统中各客户端的网络配置信息进行建模,建立所述客户端正常行为模型;

服务器正常行为模型建立子模块,用于基于网络连接样本基本信息对信息系统中各服务器的网络配置信息进行建模,建立服务器的网络配置信息模型;基于已标识网络连接类别的网络连接样本,确定用来实现网络连接类型分类的分类特征,建立服务器所支撑业务的网络连接类型分类模型;所述服务器的网络配置信息模型与服务器所支撑业务的网络连接类型分类模型共同构成所述服务器正常行为模型;

客户端业务访问模式模型建立子模块,用于基于信息系统中所有客户端访问业务时所表现出来的固定网络访问模式进行建模,建立客户端业务访问模式模型。

8.根据权利要求7所述的异常网络连接的检测系统,其特征在于,所述客户端业务访问模式模型建立子模块具体用于:

提取指定客户端的每个网络连接样本中指定客户端所连接的服务器端IP地址信息,构造指定客户端的完整网络连接有向图;其中,所述完整网络连接有向图由所有表示从客户端到服务器端的对应网络连接的有向边构成,有向边的起始节点表示客户端,有向边的终止节点表示服务器;

获取每条有向边所指向的服务器,并获取该服务器所支撑业务的网络连接类型分类模型,对有向边所代表的网络连接类型进行预测,并在有向边上标识出所预测出的网络连接类型;

按照时间片划分方法对标识了网络连接类型的的完整网络连接有向图进行拆分;

对拆分得到的时间片网络连接有向图进行简化,得到指定客户端的简化后的时间片网络连接有向图;

通过对指定客户端的简化后的时间片网络连接有向图进行聚类,识别出该客户端在不同时间片表现出来的各种业务访问固定模式,建立客户端业务访问模式模型。

9.根据权利要求6-8任一所述的异常网络连接的检测系统,其特征在于,所述异常网络连接识别模块进一步包括:

客户端正常行为检测子模块,用于根据客户端正常行为模型对网络连接进行检测;

服务器正常行为检测子模块,用于根据服务器正常行为模型对网络连接进行检测;

客户端业务访问模式检测子模块,用于根据客户端业务访问模式模型对网络连接进行检测。

10.根据权利要求9所述的异常网络连接的检测系统,其特征在于,所述客户端业务访问模式检测子模块具体用于:

基于时间片和客户端IP地址信息检查是否存在所述客户端在所述时间片的时间片网络连接有向图;

检查所述客户端在所述时间片的时间片网络连接有向图,是否存在与该网络连接样本对应的有向边;

检查所预测出的网络连接类型是否与对应有向边上所标识的网络连接类型相符。

完整全部详细技术资料下载
当前第2页1 2 3 
    相关技术
    网友询问留言 已有0条留言
    • 还没有人留言评论。精彩留言会获得点赞!
    1
    精彩留言,会给你点赞!

    使用协议| 关于我们| 联系X技术

    © 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2