CN111935172B - 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 - Google Patents
基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111935172B CN111935172B CN202010861223.2A CN202010861223A CN111935172B CN 111935172 B CN111935172 B CN 111935172B CN 202010861223 A CN202010861223 A CN 202010861223A CN 111935172 B CN111935172 B CN 111935172B
- Authority
- CN
- China
- Prior art keywords
- network
- data
- information
- topology
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 56
- 238000001514 detection method Methods 0.000 title claims abstract description 31
- 230000006399 behavior Effects 0.000 claims abstract description 14
- 238000004590 computer program Methods 0.000 claims description 22
- 238000004891 communication Methods 0.000 claims description 6
- 230000000694 effects Effects 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 19
- 230000002159 abnormal effect Effects 0.000 abstract description 8
- 238000004458 analytical method Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000010972 statistical evaluation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质,该方法包括获取网络流量数据的网络元素信息,根据网络元素信息标记每一网络设备,根据多台网络设备之间的联系构建网络拓扑;统计网络拓扑内各网络设备在预设历史时段内的流量数据并形成历史数据;获取网络拓扑内各网络设备在预设时间内的实际流量数据,并判断实际流量数据与历史数据的差异值是否超过预设阈值,如是,发出网络异常行为的警报信息。本发明还提供实现上述方法的计算机装置及计算机可读存储介质。本发明能够高效、准确的对网络异常行为进行检测。
Description
技术领域
本发明涉及网络安全技术领域,具体地,是一种基于网络拓扑的网络异常行为检测方法以及实现这种方法的计算机装置、计算机可读存储介质。
背景技术
随着网络技术的发展,网络安全问题已经成为人们关心的议题。在一个复杂的计算机网络中,通常存在大量的安全漏洞,入侵者可以通过这些漏洞入侵计算机网络,并通过各种操作绕过已有的安全检测设备,实现数据盗取等违法犯罪行为。为此,人们通过各种技术手段对网络异常行为进行检测,以及时发现网络异常行为。
现有的网络异常行为检测的主要方式是先根据已有的网络入侵案例,建立一个异常网络流量行为特征库,然后将待检测的网络的流量行为与该特征库中的异常行为一一进行匹配,如果待检测的网络的流量行为与该特征库中的异常行为匹配,则表示存在网络异常行为,例如有入侵者正在入侵网络。
但是,网络入侵技术日新月异,特征库的建立无法及时跟得上入侵技术的发展,使用现有的网络异常行为检测方法将难以及时、准确地识别出网络异常行为,影响到网络信息安全。此外,现有的特征库建立是根据已有的网络入侵案例建立的,但是不同的网络中存在巨大的差异,根据已有的网络入侵案例建立的特征库,不一定适用于一个新的网络,故可能会产生误报的情况。最后,现有的网络异常行为检测方法中,在提取网络流量数据的特征时,由于网络异常行为的多样化,所以更多地依赖人工来进行提取,耗时耗力,还影响网络异常行为检测的效率。
为此,人们对网络异常行为检测的方法进行改进,现有的另一种网络异常行为检测方法是根据网络流量数据的流向来确定是否存在网络异常行为,例如,先获取网络流量数据的源端口、源IP地址、目的端口和目标IP地址,然后对数据和流量进行统计,并对流量数据进行处理,形成一个哈希值;接着,将哈希值***哈希桶,并将网络数据的信息与流量传递给评估单元,由评估单元对数据流量进行统计评估,根据评估结果判断是否存现网络异常行为。
但是,这种方法并没有根据流量数据的流向建立网络拓扑,也就是没有从网络拓扑的角度分析每一网络设备的流量数据情况,导致网络异常行为的分析不够准确,仍存在误报的问题。另一方面,由于该方法需要计算哈希值,但哈希值的计算非常耗时,影响网络异常行为检测的效率。
发明内容
本发明的主要目的是提供一种能够快速、准确检测网络异常行为的基于网络拓扑的网络异常行为检测方法。
本发明的另一目的是提供一种实现上述基于网络拓扑的网络异常行为检测方法的计算机装置。
本发明的再一目的是提供一种实现上述基于网络拓扑的网络异常行为检测方法的计算机可读存储介质。
为实现本发明的主要目的,本发明提供的基于网络拓扑的网络异常行为检测方法包括获取网络流量数据的网络元素信息,根据网络元素信息标记每一网络设备,根据多台网络设备之间的联系构建网络拓扑;统计网络拓扑内各网络设备在预设历史时段内的流量数据并形成历史数据;获取网络拓扑内各网络设备在预设时间内的实际流量数据,并判断实际流量数据与历史数据的差异值是否超过预设阈值,如是,发出网络异常行为的警报信息。
由上述方案可见,应用网络元素信息识别出每一网络设备后,根据多台网络设备之间的联系构建网络拓扑,对网络异常行为的分析是基于该网络拓扑实现的,这样,可以提高网络异常行为检测的准确性。此外,在分析网络异常行为的时候,并不需要计算哈希值,能够提高网络异常行为检测的效率。
一个优选的方案是,网络元素信息包括网络流量数据的流向信息以及时间信息。
由此可见,通过对网络流量数据的流向信息以及时间信息来综合分析网络中每一个网络设备,为网络拓扑的构建提供准确的数据。
进一步的方案是,网络流量数据的流向信息包括:网络流量数据的源IP地址信息、源端口信息、通信协议信息、目标IP地址信息以及目的端口信息。
可见,根据上述的五个流向信息能够准确的识别出网络拓扑中各网络设备。
更进一步的方案是,统计网络拓扑内各网络设备在预设历史时段内的流量数据包括:统计网络拓扑内各网络设备在第一时间周期内的流量数据。
由此可见,对一个时间周期内网络拓扑的各个网络设备的流量数据进行分析,可以获得该周期内的历史数据,从而作为后续网络异常行为分析的基础。
更进一步的方案是,统计网络拓扑内各网络设备在预设历史时段内的流量数据还包括:统计网络拓扑内各网络设备在第二时间周期内的流量数据,第二时间周期大于第一时间周期。
可见,获取两种不同的时间周期内的网络流量数据,对网络流量数据的历史数据分析更加准确,有利于提高网络异常行为分析的准确性。
更进一步的方案是,第二时间周期包含有若干个第一时间周期;统计网络拓扑内各网络设备在预设历史时段内的流量数据包括:统计网络拓扑内各网络设备在第二时间周期内,各个第一时间周期的流量数据。
由于第二时间周期是第一时间周期的若干倍,因此,相当于分析了两种不同时间周期内网络流量数据的情况,进而提供更加准确的历史数据,能够提高流量数据分析的准确性。
更进一步的方案是,判断实际流量数据与历史数据的差异值是否超过预设阈值包括:判断网络设备在与第二时间周期内的第一时间周期对应的实际流量数据与同时期的历史数据的差异值是否超过预设阈值。
可见,通过对第二时间周期内的第一时间周期内的实际流量数据与同期历史数据进行对比,可以更加准确的分析出网络异常行为,提高网络异常行为分析的准确性。
更进一步的方案是,根据网络元素信息标记每一网络设备包括:根据网络元素信息确认每一网络设备,并使用IP地址作为每一网络设备的标记。
由此可见,对每一网络设备的分析是根据网络流向数据实现的,并且适应IP地址标记每一网络设备,能够简化网络设备标记的操作,提高网络异常行为检测的便利性。
为实现上述的另一目的,本发明提供的计算机装置包括处理器以及存储器,存储器存储有计算机程序,计算机程序被处理器执行时实现上述基于网络拓扑的网络异常行为检测方法的各个步骤。
为实现上述的再一目的,本发明提供计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述基于网络拓扑的网络异常行为检测方法的各个步骤。
附图说明
图1是本发明基于网络拓扑的网络异常行为检测方法实施例的流程图。
图2是本发明基于网络拓扑的网络异常行为检测方法实施例中构建的网络拓扑图。
以下结合附图及实施例对本发明作进一步说明。
具体实施方式
本发明的基于网络拓扑的网络异常行为检测方法网络设备上,例如该方法运行在一台服务器上,通过一台服务器监控一个网络内的异常行为。本发明的计算机装置可以是服务器等设备,并且设置有处理器以及存储器,存储器上存储有计算机程序,计算机程序被执行时可以实现上述的基于网络拓扑的网络异常行为检测方法。
基于网络拓扑的网络异常行为检测方法实施例:
本实施例用于实现网络异常行为的自动检测,具体的,本实施例通过对网络流量数据进行分析,确认网络中各台网络设备,并且根据网络流量数据的流向确定网络拓扑,应用网络拓扑的模型来对网络流量数据进行分析,形成历史数据。对网络异常行为分析主要是将实际的流量数据与历史数据进行对比,进而判断是否出现网络异常行为。
参见图1,首先执行步骤S1,获取网络流量数据的网络元素信息。本实施例中,网络流量数据的网络元素信息包括网络流量数据的流向信息以及时间信息,其中,网络流量数据的流向信息包括以下五种信息:网络流量数据的源IP地址信息、源端口信息、通信协议信息、目标IP地址信息以及目的端口信息,时间信息则是网络流量数据的时间戳,即网络流量数据发送的时间。
具体的,本实施例可以使用探针设备来获取网络流量数据的网络元素信息,探针设备是一种识别、解析网络流量数据的设备,这种设备通过对接入的镜像流量数据进行分析,提取流量数据的流向信息以及时间戳,并且将所获取的网络元素信息传输至分析服务器。分析服务器在接收到探针设备上传的流向信息后,将流向信息以RDF(资源描述框架)的格式保存到数据库中。
然后,分析服务器执行步骤S2,根据网络元素信息确定多台网络设备。具体的,根据网络流量数据的源IP地址信息、目标IP地址信息可以确定该网络流量数据由哪一IP地址发出,由哪一IP地址接收,通常,一台网络设备具有唯一的IP地址,因此,通过网络流量数据的源IP地址、目标IP地址可以确定该网络流量数据的发送网络设备以及接收网络设备。进一步的,根据源端口信息、目标端口信息可以确定网络流量数据的端口流向情况,加上结合通信协议信息可以确定网络流量数据的源设备与目标设备的匹配关系。
在确定各台网络设备后,执行步骤S3,对网络设备进行标记,具体的,使用网络设备的IP地址作为该网络设备的唯一标识。然后,根据流量数据的流向信息作为各网络设备之间的联系,以此构建一个网络拓扑,所构建的网络拓扑图如图2所示。
例如,该网络拓扑中,共具有四台网络设备,其中,网络设备IP1主要向网络设备IP2以及网络设备IP4发送数据,并且,网络设备IP2又主要向网络设备IP3发送数据,根据该网络拓扑可以分析出网络设备IP2可能是一台路由设备,而网络设备IP3、IP4则可能是用户使用的终端设备。
在构建网络拓扑后,执行步骤S4,统计在预设的历史时间段内,网络拓扑中的各台网络设备的网络流量数据,并且形成历史数据。本实施例中,基于两种时间周期来统计网络流量数据,第一种时间周期较短,如第一时间周期为一小时,第二种时间周期较长,并且可以是第一时间周期的若干倍,例如第二时间周期为一周,因此,一个第二时间周期内包含有168个第二时间周期。
步骤S4中,先按照第一时间周期统计各网络设备的网络流量数据,然后以第二时间周期分析各个第一时间周期的网络流量数据,从而形成历史数据。具体的,先按照小时对各网络设备的网络流量数据进行统计,例如网络设备A在周四的12时至13时之间访问了网络设备B的次数是70次,网络设备A在同时间段访问了网络设备C的次数是12次,在同时间段访问了网络设备D的次数是5次。
然后,在小时统计的基础上,再从周的维度来统计各网络设备的访问趋势,例如网络设备A在每周四的12时至13时之间均会访问网络设备B约100次,访问网络设备C的次数大约是20次,访问网络设备D的次数大约是10次。根据上述的统计方式,可以分析出各网络设备在每一周中各个小时内的访问趋势,从而形成历史数据。
此外,根据上述的访问趋势,结合各网络设备在进行数据访问时所使用的通信协议可以确定各网络设备的类型,例如,网络设备A在每周四的12时至13时之间均会通过HTTP协议访问网络设备B大约100次,则可以认为在这段时间里,网络设备B是一台HTTP服务器。
在建立历史数据的模型后,可以确定某一台网络设备在某个时间段内访问另一台网络设备的次数。假定根据以往的趋势,网络设备A从来没有访问过网络设备B,而在某一个时刻,网络设备A却突然频繁访问网络设备B,则可以确认网络设备A偏离了其正常访问趋势,存在一定的风险。
另一方面,根据各网络设备以往的访问趋势,可以知道特定网络设备在特定时间段内的作用,比如网络设备B在每周四的12时至13时之间,是一台HTTP服务器。而某一周的周四的12时至13时之间,网络设备B不再有访问它的HTTP流量,或者有FTP流量访问网络设备B,则说明网络设备B存在一定的风险。
根据上述的分析,可以应用在网络设备的日常监控中,从而确定网络中是否存在异常行为。日常监控需要执行步骤S5,获取各网络设备的实际流量数据,例如获取各网络设备在各个时间段内的访问次数、被访问次数,还获取访问的源IP地址、目标IP地址、源端口、目标端口以及通信协议等信息。
然后,执行步骤S6,计算实际流量数据与历史数据的差异值。例如,历史数据中,网络设备A在每周四的12时至13时之间均会访问网络设备B约100次,访问网络设备C的次数大约是20次,但在某一个周四,网络设备A在每周四的12时至13时之间均会访问网络设备B的次数是351次,访问网络设备C的次数是95次,则可以计算出网络设备A在该时间段内访问网络设备B的差值是251次,该时间段内访问网络设备C的差值是75次。
接着,执行步骤S7,判断该差异值是否大于预设阈值。本实施例中,预先设定各网络设备访问的预设阈值,例如以历史数据中该时间段的访问次数作为基准,预设阈值可以是一个百分百,例如±20%,即实际的访问此时在基准值±20%以内,则认为没有发生网络异常行为,如果超过该预设阈值,则认为发生了网络异常行为。
如果步骤S7的判断结果是没有发生网络异常行为,则不会发出异常行为的警报信息,并且继续监控,也就是返回执行步骤S5。如果步骤S7的判断结果为是,表示可能存在网络异常行为,执行步骤S8,发出网络异常行为的警报信息,及时通知用户或者网络管理员出现网络攻击的行为,这样,网络管理员可以及时对网络攻击行为进行监控并采用安全措施,例如断开攻击方或者被攻击方的网络连接,又或者断开网络拓扑中其他网络设备的网络连接,避免其他网络设备受到攻击,从而确保网络完全。
本实施例通过采用基于网络拓扑的方式对网络异常行为进行坚持,相比传统的方案,即采用建立异常网络流量行为特征库的方案,本实施例可以更快速、更精确的对网络异常行为进行检测,且网络异常行为的检测更具有针对性。由于传统的异常网络流量行为特征库是针对的是整个互联网建立的,而本实施例所构建的网络拓扑则是根据特定的网络所构建的,基于网络拓扑的网络流量数据分析所获得的历史数据也是属于该特定网络拓扑的历史数据,历史数据的数据量较少,进而可以减少大量的冗余信息,在进行历史数据与实际流量数据对比时,对比的运算量大幅度减少,提高网络异常行为分析的效率。此外,由于本实施例是针对特定网络拓扑所获得的历史数据,因此,历史数据非常有针对性,能够非常准确的发现网络异常行为。
另一方面,相比采用机器学习建模的方式,本实施例可以减少建模所使用的时间,并且减少了人工的参与。由于使用机器学习进行建模需要让机器设备运行一段时间并采集大量数据,基于所采集的数据建立模型,在这个过程中,还需要人工参与,例如调整模型来保证异常网络行为检测的准确性。而本实施例是基于网络拓扑对网络异常行为进行检测,建立网络拓扑以及对历史数据的统计是实时进行的,发现网络异常行为的操作也是自动进行的,对网络异常行为检测的过程中并不需要人工进行参与,也不需要对模型进行调整,大大降低了网络异常行为检测的复杂度与难度。
计算机装置实施例:
本实施例的计算机装置可以是服务器,该计算机装置包括有处理器、存储器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述基于网络拓扑的网络异常行为检测方法的各个步骤。
例如,计算机程序可以被分割成一个或多个模块,一个或者多个模块被存储在存储器中,并由处理器执行,以完成本发明的各个模块。一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在计算机装置中的执行过程。
本发明所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
存储器可用于存储计算机程序和/或模块,处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现计算机装置的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
计算机可读存储介质实施例:
上述计算机装置所存储的计算机程序如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述基于网络拓扑的网络异常行为检测方法的各个步骤。
其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
最后需要强调的是,本发明不限于上述实施方式,例如用于分析网络拓扑的网络元素信息的变化,或者构建网络拓扑具体方法的改变等,这些改变也应该包括在本发明权利要求的保护范围内。
Claims (7)
1.一种基于网络拓扑的网络异常行为检测方法,其特征在于,包括:
获取网络流量数据的网络元素信息,根据所述网络元素信息标记每一网络设备,根据多台所述网络设备之间的联系构建网络拓扑;
统计所述网络拓扑内各所述网络设备在周期性的预设历史时段内的流量数据并形成历史数据,根据各网络设备的历史访问趋势,确定特定网络设备在特定时间段内的作用;
获取所述网络拓扑内各所述网络设备在预设时间内的实际流量数据,并判断所述实际流量数据与所述历史数据的差异值是否超过预设阈值,如是,发出网络异常行为的警报信息;
其中,统计所述网络拓扑内各所述网络设备在预设历史时段内的流量数据包括:统计所述网络拓扑内各所述网络设备在第一时间周期内的流量数据,并统计所述网络拓扑内各所述网络设备在第二时间周期内的流量数据,所述第二时间周期大于所述第一时间周期;
形成历史数据时,先按照所述第一时间周期统计各所述网络设备的网络流量数据,然后以所述第二时间周期分析各个所述第一时间周期的网络流量数据,从而形成历史数据。
2.根据权利要求1所述的基于网络拓扑的网络异常行为检测方法,其特征在于:
所述网络元素信息包括所述网络流量数据的流向信息以及时间信息。
3.根据权利要求2所述的基于网络拓扑的网络异常行为检测方法,其特征在于:
所述网络流量数据的所述流向信息包括:所述网络流量数据的源IP地址信息、源端口信息、通信协议信息、目标IP地址信息以及目的端口信息。
4.根据权利要求1所述的基于网络拓扑的网络异常行为检测方法,其特征在于:
判断所述实际流量数据与所述历史数据的差异值是否超过预设阈值包括:判断所述网络设备在与所述第二时间周期内的所述第一时间周期对应的实际流量数据与同时期的所述历史数据的差异值是否超过预设阈值。
5.根据权利要求1至3任一项所述的基于网络拓扑的网络异常行为检测方法,其特征在于:
根据所述网络元素信息标记每一所述网络设备包括:根据所述网络元素信息确认每一所述网络设备,并使用IP地址作为每一所述网络设备的标记。
6.计算机装置,其特征在于,包括处理器以及存储器,所述存储器存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5中任意一项所述的基于网络拓扑的网络异常行为检测方法的各个步骤。
7.计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1至5中任意一项所述的基于网络拓扑的网络异常行为检测方法的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010861223.2A CN111935172B (zh) | 2020-08-25 | 2020-08-25 | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010861223.2A CN111935172B (zh) | 2020-08-25 | 2020-08-25 | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111935172A CN111935172A (zh) | 2020-11-13 |
| CN111935172B true CN111935172B (zh) | 2023-09-05 |
Family
ID=73305111
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010861223.2A Active CN111935172B (zh) | 2020-08-25 | 2020-08-25 | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111935172B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112583825B (zh) * | 2020-12-07 | 2022-09-27 | 四川虹微技术有限公司 | 一种工业***的异常检测方法和装置 |
| CN112994978B (zh) * | 2021-02-25 | 2023-01-24 | 网宿科技股份有限公司 | 一种网络流量监测方法及装置 |
| CN112882905A (zh) * | 2021-03-22 | 2021-06-01 | 四川英得赛克科技有限公司 | 一种判断网络通信行为是否异常的方法、***和电子设备 |
| CN113709030B (zh) * | 2021-08-27 | 2024-04-23 | 新华三大数据技术有限公司 | 网络流量的控制方法、装置及电子设备 |
| CN115834437A (zh) * | 2021-09-15 | 2023-03-21 | ***通信集团山东有限公司 | 一种网络异常的评估方法、装置、电子设备及存储介质 |
| CN114422390B (zh) * | 2022-01-11 | 2024-02-13 | 支付宝(杭州)信息技术有限公司 | 数据处理方法及装置 |
| CN114726758B (zh) * | 2022-06-01 | 2022-11-04 | 山东云天安全技术有限公司 | 工业网络异常确定方法、装置、计算机设备及存储介质 |
| CN115022078A (zh) * | 2022-06-28 | 2022-09-06 | 杭州康吉森自动化科技有限公司 | 一种控制器内建网络安全防护方法、装置及电子设备 |
| CN115225385B (zh) * | 2022-07-20 | 2024-02-23 | 深信服科技股份有限公司 | 一种流量监控方法、***、设备及计算机可读存储介质 |
| CN115038088B (zh) * | 2022-08-10 | 2022-11-08 | 蓝深远望科技股份有限公司 | 一种智能网络安全检测预警***和方法 |
| CN115442254B (zh) * | 2022-09-05 | 2024-01-30 | 南京中孚信息技术有限公司 | 网络数据包流向判定方法、装置及网关设备 |
| CN116471066A (zh) * | 2023-04-06 | 2023-07-21 | 华能信息技术有限公司 | 一种基于流量探针的流量分析方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733921A (zh) * | 2017-11-14 | 2018-02-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
| CN110380888A (zh) * | 2019-05-29 | 2019-10-25 | 华为技术有限公司 | 一种网络异常检测方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8472328B2 (en) * | 2008-07-31 | 2013-06-25 | Riverbed Technology, Inc. | Impact scoring and reducing false positives |
| US10404732B2 (en) * | 2016-06-14 | 2019-09-03 | Sdn Systems, Llc | System and method for automated network monitoring and detection of network anomalies |
-
2020
- 2020-08-25 CN CN202010861223.2A patent/CN111935172B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733921A (zh) * | 2017-11-14 | 2018-02-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
| CN110380888A (zh) * | 2019-05-29 | 2019-10-25 | 华为技术有限公司 | 一种网络异常检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111935172A (zh) | 2020-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111935172B (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| CN112651006B (zh) | 一种电网安全态势感知*** | |
| WO2019095719A1 (zh) | 网络流量异常检测方法、装置、计算机设备和存储介质 | |
| CN110868425A (zh) | 一种采用黑白名单进行分析的工控信息安全监控*** | |
| CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN109144023A (zh) | 一种工业控制***的安全检测方法和设备 | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| CN112437034B (zh) | 虚假终端检测方法和装置、存储介质及电子装置 | |
| CN111526109B (zh) | 自动检测web威胁识别防御***的运行状态的方法及装置 | |
| CN117527412A (zh) | 数据安全监测方法及装置 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及*** | |
| CN113676497A (zh) | 数据阻断的方法和装置、电子设备和存储介质 | |
| CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
| EP3826242B1 (en) | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及*** | |
| CN115509854A (zh) | 一种巡检处理方法、巡检服务器及*** | |
| CN114500247A (zh) | 工控网络故障诊断方法、装置、电子设备及可读存储介质 | |
| Sasu et al. | Using constant traffic to specific IP destinations for detecting spoofed MAC addresses in local area networks | |
| RU2781822C1 (ru) | Система и способ автоматической оценки качества сигнатур сетевого трафика | |
| CN117061252B (zh) | 数据安全的检测方法、装置、设备及存储介质 | |
| EP4332804A2 (en) | System for automatically evaluating the quality of network traffic signatures | |
| CN116204386B (zh) | 应用服务关系自动识别及监控方法、***、介质和设备 | |
| CN115442279B (zh) | 一种告警源定位方法、装置、设备及存储介质 | |
| CN112995104B (zh) | 一种通信设备及网络安全预测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 1901, No. 120, Huangpu Avenue West, Tianhe District, Guangzhou, Guangdong 510,000 (office only) Applicant after: Guangdong Yizhi Security Technology Co.,Ltd. Address before: Room 1211, Building A2, No. 23, Middle Spectra Road, Huangpu District, Guangzhou, Guangdong 510000 Applicant before: Guangzhou Yizhi Security Technology Co.,Ltd. Address after: Room 1211, Building A2, No. 23, Middle Spectra Road, Huangpu District, Guangzhou, Guangdong 510000 Applicant after: Guangzhou Yizhi Security Technology Co.,Ltd. Address before: 519000 room 105-44388, No. 6, Baohua Road, Hengqin new area, Zhuhai, Guangdong (centralized office area) Applicant before: ZHUHAI YIZHI SECURITY TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Network abnormal behavior detection method, computer device, and computer-readable storage medium based on network topology Granted publication date: 20230905 Pledgee: Bank of China Limited by Share Ltd. Guangzhou Tianhe branch Pledgor: Guangdong Yizhi Security Technology Co.,Ltd. Registration number: Y2024980011672 |