【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及網(wǎng)絡(luò)安全的,特別涉及基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法和系統(tǒng)。
技術(shù)介紹
1、網(wǎng)絡(luò)能夠?yàn)榻尤肫渲械牟煌K端提供數(shù)據(jù)交互通道,當(dāng)終端內(nèi)部應(yīng)用程序運(yùn)作時(shí),會(huì)根據(jù)應(yīng)用程序的任務(wù)進(jìn)程與外界進(jìn)行相應(yīng)的數(shù)據(jù)交互。在正常情況下,每個(gè)接入到網(wǎng)絡(luò)的終端的數(shù)據(jù)流量交互情況只與終端內(nèi)部應(yīng)用程序運(yùn)作情況相關(guān),但是當(dāng)接入網(wǎng)絡(luò)的某一終端被劫持時(shí),被劫持的終端會(huì)向其他終端發(fā)起數(shù)據(jù)流量攻擊,導(dǎo)致其他終端接收與自身應(yīng)用程序運(yùn)行無關(guān)的巨量數(shù)據(jù)流,容易造成其他終端癱瘓崩潰等風(fēng)險(xiǎn)。數(shù)據(jù)流量攻擊作為常見的網(wǎng)絡(luò)攻擊行為,現(xiàn)有技術(shù)通過攻擊源頭識(shí)別和本地?cái)r截的方式來進(jìn)行攻擊入侵檢測和防護(hù),需要終端本身具有充足的算力,這對(duì)于受到攻擊的終端本身提出較高的性能要求,無法保證對(duì)網(wǎng)絡(luò)受到的入侵攻擊進(jìn)行精確可靠的檢測與防護(hù),降低網(wǎng)絡(luò)運(yùn)作的安全性和可靠性。可見如何在不完全依賴終端自身性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)流量攻擊入侵檢測和防護(hù),對(duì)于維護(hù)網(wǎng)絡(luò)正常安全運(yùn)作具有十分重要的意義。
技術(shù)實(shí)現(xiàn)思路
1、針對(duì)現(xiàn)有技術(shù)存在的缺陷,本專利技術(shù)提供了基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法和系統(tǒng),監(jiān)聽與分析接入網(wǎng)絡(luò)的所有終端的應(yīng)用程序運(yùn)行日志,確定每個(gè)終端內(nèi)部進(jìn)行數(shù)據(jù)流交互的目標(biāo)應(yīng)用程序,并預(yù)測目標(biāo)應(yīng)用程序在未來時(shí)間區(qū)間的數(shù)據(jù)流預(yù)期交互特征信息;還基于目標(biāo)應(yīng)用程序在終端的線程占用信息,得到目標(biāo)應(yīng)用程序的數(shù)據(jù)流實(shí)際交互特征信息,通過對(duì)比兩個(gè)交互特征信息,識(shí)別目標(biāo)應(yīng)用程序是否被接收到異常巨量數(shù)據(jù)流,以此判斷目標(biāo)應(yīng)用程序是否發(fā)生入侵事件,并識(shí)別其中
2、本專利技術(shù)提供基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,包括如下步驟:
3、步驟s1,對(duì)接入網(wǎng)絡(luò)的所有終端進(jìn)行監(jiān)聽,得到所有終端各自的應(yīng)用程序運(yùn)行日志;對(duì)所述應(yīng)用程序運(yùn)行日志進(jìn)行分析,確定每個(gè)終端內(nèi)部進(jìn)行數(shù)據(jù)流交互的目標(biāo)應(yīng)用程序;
4、步驟s2,基于所述目標(biāo)應(yīng)用程序的任務(wù)運(yùn)行進(jìn)程信息,預(yù)測所述目標(biāo)應(yīng)用程序在未來時(shí)間區(qū)間的數(shù)據(jù)流預(yù)期交互特征信息;基于所述目標(biāo)應(yīng)用程序在所述終端的線程占用信息,對(duì)所述目標(biāo)應(yīng)用程序進(jìn)行監(jiān)測,得到所述目標(biāo)應(yīng)用程序的數(shù)據(jù)流實(shí)際交互特征信息;
5、步驟s3,基于所述數(shù)據(jù)流實(shí)際交互特征信息和所述數(shù)據(jù)流預(yù)期交互特征信息,判斷所述目標(biāo)應(yīng)用程序是否發(fā)生入侵事件;對(duì)發(fā)生入侵事件的目標(biāo)應(yīng)用程序進(jìn)行數(shù)據(jù)成分識(shí)別,得到所述發(fā)生入侵事件的目標(biāo)應(yīng)用程序的非運(yùn)行關(guān)聯(lián)數(shù)據(jù)傳輸溯源信息,以此確定所述發(fā)生入侵事件的目標(biāo)應(yīng)用程序?qū)?yīng)的數(shù)據(jù)流攻擊路徑;
6、步驟s4,基于所述數(shù)據(jù)流攻擊路徑,確定在所述網(wǎng)絡(luò)內(nèi)部對(duì)所述終端進(jìn)行攻擊數(shù)據(jù)流攔截的所有網(wǎng)關(guān);基于所有網(wǎng)關(guān)各自的攻擊數(shù)據(jù)流攔截狀態(tài)信息,對(duì)所述終端進(jìn)行數(shù)據(jù)流傳輸路徑調(diào)整。
7、在本申請(qǐng)公開的一個(gè)實(shí)施例中,在所述步驟s1中,對(duì)接入網(wǎng)絡(luò)的所有終端進(jìn)行監(jiān)聽,得到所有終端各自的應(yīng)用程序運(yùn)行日志;對(duì)所述應(yīng)用程序運(yùn)行日志進(jìn)行分析,確定每個(gè)終端內(nèi)部進(jìn)行數(shù)據(jù)流交互的目標(biāo)應(yīng)用程序,包括:
8、獲取接入網(wǎng)絡(luò)的所有終端在所述網(wǎng)絡(luò)內(nèi)部的接入節(jié)點(diǎn)分布位置信息,基于所述接入節(jié)點(diǎn)分布位置信息,確定所述網(wǎng)絡(luò)內(nèi)部的終端接入聚集片區(qū);基于所述終端接入聚集片區(qū)的開放節(jié)點(diǎn)帶寬上限信息,對(duì)所述終端接入聚集片區(qū)內(nèi)部所有終端進(jìn)行監(jiān)聽,得到所有終端各自的應(yīng)用程序運(yùn)行日志;
9、對(duì)所述應(yīng)用程序運(yùn)行日志進(jìn)行分析,獲取每個(gè)終端內(nèi)部所有應(yīng)用程序各自的數(shù)據(jù)交互傳輸狀態(tài)信息;其中,所述數(shù)據(jù)交互傳輸狀態(tài)信息包括所述應(yīng)用程序的上行數(shù)據(jù)和下行數(shù)據(jù)流量時(shí)域變化信息;基于所述數(shù)據(jù)交互傳輸狀態(tài)信息,確定每個(gè)終端內(nèi)部進(jìn)行數(shù)據(jù)交互的目標(biāo)應(yīng)用程序。
10、在本申請(qǐng)公開的一個(gè)實(shí)施例中,在所述步驟s2中,基于所述目標(biāo)應(yīng)用程序的任務(wù)運(yùn)行進(jìn)程信息,預(yù)測所述目標(biāo)應(yīng)用程序在未來時(shí)間區(qū)間的數(shù)據(jù)流預(yù)期交互特征信息;基于所述目標(biāo)應(yīng)用程序在所述終端的線程占用信息,對(duì)所述目標(biāo)應(yīng)用程序進(jìn)行監(jiān)測,得到所述目標(biāo)應(yīng)用程序的數(shù)據(jù)流實(shí)際交互特征信息,包括:
11、基于所述目標(biāo)應(yīng)用程序接收到的任務(wù)運(yùn)行指令和任務(wù)數(shù)據(jù),確定所述目標(biāo)應(yīng)用程序的任務(wù)運(yùn)行進(jìn)程信息;基于所述任務(wù)運(yùn)行進(jìn)程信息,確定所述目標(biāo)應(yīng)用程序在未來時(shí)間區(qū)間的數(shù)據(jù)處理進(jìn)程信息,以此預(yù)測所述目標(biāo)應(yīng)用程序在未來時(shí)間區(qū)間的數(shù)據(jù)流預(yù)期交互特征信息;其中,所述數(shù)據(jù)流預(yù)期交互特征信息包括所述目標(biāo)應(yīng)用程序在未來時(shí)間區(qū)間下屬所有子區(qū)間各自的數(shù)據(jù)交互流量分布特征信息;
12、基于所述目標(biāo)應(yīng)用程序在所述終端的線程占用位置信息,對(duì)所述目標(biāo)應(yīng)用程序在所述終端的線程占用持續(xù)區(qū)間進(jìn)行連續(xù)監(jiān)測,得到所述目標(biāo)應(yīng)用程序的數(shù)據(jù)流實(shí)際交互特征信息;其中,所述數(shù)據(jù)流實(shí)際交互特征信息包括所述目標(biāo)應(yīng)用程序在實(shí)際運(yùn)行過程中對(duì)應(yīng)每個(gè)線程占用持續(xù)區(qū)間的數(shù)據(jù)交互流量分布特征信息。
13、在本申請(qǐng)公開的一個(gè)實(shí)施例中,在所述步驟s3中,基于所述數(shù)據(jù)流實(shí)際交互特征信息和所述數(shù)據(jù)流預(yù)期交互特征信息,判斷所述目標(biāo)應(yīng)用程序是否發(fā)生入侵事件;對(duì)發(fā)生入侵事件的目標(biāo)應(yīng)用程序進(jìn)行數(shù)據(jù)成分識(shí)別,得到所述發(fā)生入侵事件的目標(biāo)應(yīng)用程序的非運(yùn)行關(guān)聯(lián)數(shù)據(jù)傳輸溯源信息,以此確定所述發(fā)生入侵事件的目標(biāo)應(yīng)用程序?qū)?yīng)的數(shù)據(jù)流攻擊路徑,包括:
14、將所述數(shù)據(jù)流實(shí)際交互特征信息和所述數(shù)據(jù)流預(yù)期交互特征信息進(jìn)行對(duì)比,確定兩者之間的數(shù)據(jù)交互流量差值的時(shí)域變化率;將所述時(shí)域變化率與預(yù)設(shè)變化率閾值進(jìn)行對(duì)比,若所述時(shí)域變化率超過預(yù)設(shè)變化率閾值,則判斷所述目標(biāo)應(yīng)用程序發(fā)生入侵事件;否則,判斷所述目標(biāo)應(yīng)用程序未發(fā)生入侵事件;
15、對(duì)發(fā)生入侵事件的目標(biāo)應(yīng)用程序進(jìn)行數(shù)據(jù)抽樣與代碼內(nèi)容識(shí)別,得到所述發(fā)生入侵事件的目標(biāo)應(yīng)用程序接收到的非運(yùn)行關(guān)聯(lián)數(shù)據(jù)特征碼;對(duì)所述非運(yùn)行關(guān)聯(lián)數(shù)據(jù)特征碼進(jìn)行反演追蹤,得到所述發(fā)生入侵事件的目標(biāo)應(yīng)用程序的非運(yùn)行關(guān)聯(lián)數(shù)據(jù)傳輸溯源信息,從而確定所述發(fā)生入侵事件的目標(biāo)應(yīng)用程序?qū)?yīng)的數(shù)據(jù)流攻擊路徑。
16、在本申請(qǐng)公開的一個(gè)實(shí)施例中,在所述步驟s4中,基于所述數(shù)據(jù)流攻擊路徑,確定在所述網(wǎng)絡(luò)內(nèi)部對(duì)所述終端進(jìn)行攻擊數(shù)據(jù)流攔截的所有網(wǎng)關(guān);基于所有網(wǎng)關(guān)各自的攻擊數(shù)據(jù)流攔截狀態(tài)信息,對(duì)所述終端進(jìn)行數(shù)據(jù)流傳輸路徑調(diào)整,包括:
17、獲取所述數(shù)據(jù)流攻擊路徑在所述網(wǎng)絡(luò)內(nèi)部的所有關(guān)聯(lián)網(wǎng)關(guān),基于所有關(guān)聯(lián)網(wǎng)關(guān)各自的數(shù)據(jù)傳輸負(fù)荷及其與所述終端的網(wǎng)絡(luò)距離,從所有關(guān)聯(lián)網(wǎng)關(guān)中篩選對(duì)所述終端進(jìn)行攻擊數(shù)據(jù)流攔截的所有網(wǎng)關(guān);
18、基于進(jìn)行攻擊數(shù)據(jù)流攔截的所有網(wǎng)關(guān)各自的數(shù)據(jù)流攔截遺漏率,識(shí)別其中無法進(jìn)行攻擊數(shù)據(jù)流有效攔截的所有網(wǎng)關(guān);基于無法進(jìn)行攻擊數(shù)據(jù)流有效攔截的所有網(wǎng)關(guān)與所述終端的相對(duì)網(wǎng)絡(luò)位置信息,對(duì)所述終端進(jìn)行數(shù)據(jù)流傳輸路徑調(diào)整。
19、本專利技術(shù)還提供基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
1.基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于,其包括如下步驟:
2.如權(quán)利要求1所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于:
3.如權(quán)利要求2所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于:
4.如權(quán)利要求3所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于:
5.如權(quán)利要求4所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于:
6.基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)系統(tǒng),其特征在于,包括:
7.如權(quán)利要求6所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)系統(tǒng),其特征在于:
8.如權(quán)利要求7所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)系統(tǒng),其特征在于:
9.如權(quán)利要求8所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)系統(tǒng),其特征在于:
10.如權(quán)利要求9所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)系統(tǒng),其特征在于:
【技術(shù)特征摘要】
1.基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于,其包括如下步驟:
2.如權(quán)利要求1所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于:
3.如權(quán)利要求2所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于:
4.如權(quán)利要求3所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于:
5.如權(quán)利要求4所述的基于數(shù)據(jù)流的網(wǎng)絡(luò)入侵檢測與安全防護(hù)方法,其特征在于:
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:劉家宇,譚堯木,李靜,諶文杰,劉蕭,
申請(qǐng)(專利權(quán))人:國網(wǎng)四川省電力公司信息通信公司,
類型:發(fā)明
國別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。