CN112637118A - 基于内外网引流异常的流量分析实现方法 - Google Patents
基于内外网引流异常的流量分析实现方法 Download PDFInfo
- Publication number
- CN112637118A CN112637118A CN202011250484.7A CN202011250484A CN112637118A CN 112637118 A CN112637118 A CN 112637118A CN 202011250484 A CN202011250484 A CN 202011250484A CN 112637118 A CN112637118 A CN 112637118A
- Authority
- CN
- China
- Prior art keywords
- flow
- data
- drainage
- matrix
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000005206 flow analysis Methods 0.000 title claims abstract description 16
- 239000011159 matrix material Substances 0.000 claims abstract description 63
- 230000002159 abnormal effect Effects 0.000 claims abstract description 37
- 230000007123 defense Effects 0.000 claims abstract description 11
- 230000005540 biological transmission Effects 0.000 claims abstract description 4
- 238000001514 detection method Methods 0.000 claims abstract description 4
- 230000002452 interceptive effect Effects 0.000 claims abstract description 4
- 230000008569 process Effects 0.000 claims description 5
- 230000002155 anti-virotic effect Effects 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 abstract description 2
- 238000011156 evaluation Methods 0.000 abstract description 2
- 230000005856 abnormality Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提出了基于内外网引流异常的流量分析实现方法,包括经可信交换防御***将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备;借助数据采集器对引入的流量进行原始采集,并通过数据传输通道构建原始网络流量数据矩阵;将实时引流的数据进行两次数据采集并汇总,确定引流时的流量矩阵;将原始网络流量数据矩阵与引流时的流量矩阵进行对比,对引流的流量数据和进行特征匹配和访问进行统计;当引流流量的矩阵为低秩矩阵时,则表示引流时的流量矩阵为正常流量矩阵,不存在异常流量或网络攻击。通过上述判断逻辑,能够基于内外网的流量状况进行分析,提升基于异常流量对网络状态安全性的评估能力。
Description
技术领域
本申请属于数据分析领域,尤其涉及基于内外网引流异常的流量分析实现方法。
背景技术
网络信息技术的发展正在孕育新的工业和技术革命,但也带来巨大的安全风险。黑客对智能汽车、智能家居设备的入侵事件也屡屡发生,Mirai僵尸网络及变种在全球范围已控制上千万的智能摄像头和智能路由器。
目前,内外网物理隔离是最常采用的网络安全防卫模式。但这种模式无法根据安全等级进行保护。由于移动办公已经成为日常工作模式,政府、医疗、金融等并非最高安全等级的部门与行业,必须要在外部访问单位的业务内网处理日常业务,需求量巨大。鉴于内网高安全性要求,常用的安全网关、VPN等网络安全技术无法保证内外网访问的安全。
发明内容
为了解决现有技术中存在的缺点和不足,本申请提出的基于内外网引流异常的流量分析实现方法,借助流量矩阵对比的方式,提升基于对异常流量判断的准确性。
具体的,本实施例提出的基于内外网引流异常的流量分析实现方法,包括:
经可信交换防御***将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备;
借助数据采集器对引入的流量进行原始采集,并通过数据传输通道构建原始网络流量数据矩阵;
将实时引流的数据进行两次数据采集并汇总,确定引流时的流量矩阵;
将原始网络流量数据矩阵与引流时的流量矩阵进行对比,对引流的流量数据和进行特征匹配和访问进行统计;
当引流流量的矩阵为低秩矩阵时,则表示引流时的流量矩阵为正常流量矩阵,不存在异常流量或网络攻击;
当引流流量的矩阵为稀疏矩阵时,则表示引流时的流量矩阵为异常流量矩阵,然后判断是否矩阵所有元素是否为零,当矩阵所有元素为零时,表示不存在异常流量或网络攻击,当矩阵不是所有元素都为零时,则表示可能存在异常流量或者网络攻击。
可选的,所述方法包括:
可信交换防御***自动获取网络中的流量信息,判断各类网络资产之间的业务数据流量关系。
可选的,所述方法包括:在进行原始数据采集统计时,需要进行五次数据采集,并将采集后的数据进行统计,对汇总后的数据进行对比,并选取数据中间值。
可选的,所述方法包括:
在进行原始数据采集统计时选取中间值前,先将两端的数据进行舍弃,不将两端的数据值放入参考范围内。
可选的,所述方法包括:
在对引流数据进行采集后,需要对两次检测的数据进行对比,当两次数据相近时则确定引流时的流量矩阵。
可选的,所述方法包括:
两次引流数据差异较大时,再进行一次数据采集;
通过第三次数据采集出的数据与前两次的数据进行对比,当有两组数据相近时,则选取相近的两次数据中的一组确定引流时的流量矩阵。
可选的,所述方法包括:
在进行数据矩阵对比时,也对引流的流量数据进行特征匹配,同时也对引流的流量数据的访问进行统计;
通过数据采集器,将统计后的数据进行采集。
可选的,所述方法包括:
确定不存在异常流量或网络攻击时,将引流的流量数据中的特征匹配和访问进行检测;
若未出现异常时,则表示为访问安全,若出现异常访问时,则发出警告。
可选的,所述方法包括:
确定存在异常流量或网络攻击时,将引流的流量数据中的特征匹配和访问进行检测;
若未出现异常时,则表示为访问安全,若出现异常访问时,也发出访问异常警告。
可选的,所述方法包括:
确定存在异常流量或网络攻击时,通过与原始数据对比排查,将异常流量或网络攻击标出,进行维护、防御或杀毒。
本申请提供的技术方案带来的有益效果是:
通过上述判断逻辑,能够基于内外网的流量状况进行分析,提升基于异常流量对网络状态安全性的评估能力。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还根据这些附图获得其他的附图。
图1为本申请实施例提出的基于内外网引流异常的流量分析实现方法的流程示意图。
具体实施方式
为使本申请的结构和优点更加清楚,下面将结合附图对本申请的结构作进一步地描述。
实施例一
本申请实施例提出的基于内外网引流异常的流量分析实现方法,如图1所示,包括:
11、经可信交换防御***将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备;
12、借助数据采集器对引入的流量进行原始采集,并通过数据传输通道构建原始网络流量数据矩阵;
13、将实时引流的数据进行两次数据采集并汇总,确定引流时的流量矩阵;
14、将原始网络流量数据矩阵与引流时的流量矩阵进行对比,对引流的流量数据和进行特征匹配和访问进行统计;
15、当引流流量的矩阵为低秩矩阵时,则表示引流时的流量矩阵为正常流量矩阵,不存在异常流量或网络攻击;
16、当引流流量的矩阵为稀疏矩阵时,则表示引流时的流量矩阵为异常流量矩阵,然后判断是否矩阵所有元素是否为零,当矩阵所有元素为零时,表示不存在异常流量或网络攻击,当矩阵不是所有元素都为零时,则表示可能存在异常流量或者网络攻击。
在实施中,步骤11中提及到的可信交换防御***自动获取网络中的流量信息,判断各类网络资产之间的业务数据流量关系。
具体的,在执行步骤12中的采集过程中,在进行原始数据采集统计时,需要进行五次数据采集,并将采集后的数据进行统计,对汇总后的数据进行对比,并选取数据中间值。
在进行原始数据采集统计时选取中间值前,先将两端的数据进行舍弃,不将两端的数据值放入参考范围内。
在对引流数据进行采集后,需要对两次检测的数据进行对比,当两次数据相近时则确定引流时的流量矩阵。
另外,所述方法包括:
两次引流数据差异较大时,再进行一次数据采集;
通过第三次数据采集出的数据与前两次的数据进行对比,当有两组数据相近时,则选取相近的两次数据中的一组确定引流时的流量矩阵。
在进行数据矩阵对比时,也对引流的流量数据进行特征匹配,同时也对引流的流量数据的访问进行统计;
通过数据采集器,将统计后的数据进行采集。
如果在执行上述方法过程中,出现确定不存在异常流量或网络攻击时,将引流的流量数据中的特征匹配和访问进行检测;
若未出现异常时,则表示为访问安全,若出现异常访问时,则发出警告。
进一步的,如果确定存在异常流量或网络攻击时,将引流的流量数据中的特征匹配和访问进行检测;
若未出现异常时,则表示为访问安全,若出现异常访问时,也发出访问异常警告。
对应的,确定存在异常流量或网络攻击时,通过与原始数据对比排查,将异常流量或网络攻击标出,进行维护、防御或杀毒。
上述实施例中的各个序号仅仅为了描述,不代表各部件的组装或使用过程中的先后顺序。
以上所述仅为本申请的实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:
经可信交换防御***将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备;
借助数据采集器对引入的流量进行原始采集,并通过数据传输通道构建原始网络流量数据矩阵;
将实时引流的数据进行两次数据采集并汇总,确定引流时的流量矩阵;
将原始网络流量数据矩阵与引流时的流量矩阵进行对比,对引流的流量数据和进行特征匹配和访问进行统计;
当引流流量的矩阵为低秩矩阵时,则表示引流时的流量矩阵为正常流量矩阵,不存在异常流量或网络攻击;
当引流流量的矩阵为稀疏矩阵时,则表示引流时的流量矩阵为异常流量矩阵,然后判断是否矩阵所有元素是否为零,当矩阵所有元素为零时,表示不存在异常流量或网络攻击,当矩阵不是所有元素都为零时,则表示可能存在异常流量或者网络攻击。
2.根据权利要求1所述的基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:
可信交换防御***自动获取网络中的流量信息,判断各类网络资产之间的业务数据流量关系。
3.根据权利要求1所述的基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:在进行原始数据采集统计时,需要进行五次数据采集,并将采集后的数据进行统计,对汇总后的数据进行对比,并选取数据中间值。
4.根据权利要求3所述的基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:
在进行原始数据采集统计时选取中间值前,先将两端的数据进行舍弃,不将两端的数据值放入参考范围内。
5.根据权利要求1所述的基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:
在对引流数据进行采集后,需要对两次检测的数据进行对比,当两次数据相近时则确定引流时的流量矩阵。
6.根据权利要求1所述的基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:
两次引流数据差异较大时,再进行一次数据采集;
通过第三次数据采集出的数据与前两次的数据进行对比,当有两组数据相近时,则选取相近的两次数据中的一组确定引流时的流量矩阵。
7.根据权利要求1所述的基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:
在进行数据矩阵对比时,也对引流的流量数据进行特征匹配,同时也对引流的流量数据的访问进行统计;
通过数据采集器,将统计后的数据进行采集。
8.根据权利要求1所述的基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:
确定不存在异常流量或网络攻击时,将引流的流量数据中的特征匹配和访问进行检测;
若未出现异常时,则表示为访问安全,若出现异常访问时,则发出警告。
9.根据权利要求1所述的基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:
确定存在异常流量或网络攻击时,将引流的流量数据中的特征匹配和访问进行检测;
若未出现异常时,则表示为访问安全,若出现异常访问时,也发出访问异常警告。
10.根据权利要求1所述的基于内外网引流异常的流量分析实现方法,其特征在于,所述方法包括:
确定存在异常流量或网络攻击时,通过与原始数据对比排查,将异常流量或网络攻击标出,进行维护、防御或杀毒。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011250484.7A CN112637118A (zh) | 2020-11-10 | 2020-11-10 | 基于内外网引流异常的流量分析实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011250484.7A CN112637118A (zh) | 2020-11-10 | 2020-11-10 | 基于内外网引流异常的流量分析实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112637118A true CN112637118A (zh) | 2021-04-09 |
Family
ID=75303009
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011250484.7A Pending CN112637118A (zh) | 2020-11-10 | 2020-11-10 | 基于内外网引流异常的流量分析实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112637118A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116633693A (zh) * | 2023-07-24 | 2023-08-22 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051964A (zh) * | 2007-05-21 | 2007-10-10 | 杭州华三通信技术有限公司 | 流量数据采集方法和***以及设备 |
WO2016173203A1 (zh) * | 2015-04-29 | 2016-11-03 | 中兴通讯股份有限公司 | 一种深度网路分析***的测试方法和装置 |
CN107404471A (zh) * | 2017-04-05 | 2017-11-28 | 青海民族大学 | 一种基于admm算法网络流量异常检测方法 |
CN111130890A (zh) * | 2019-12-26 | 2020-05-08 | 深圳市高德信通信股份有限公司 | 一种网络流量动态预测*** |
-
2020
- 2020-11-10 CN CN202011250484.7A patent/CN112637118A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051964A (zh) * | 2007-05-21 | 2007-10-10 | 杭州华三通信技术有限公司 | 流量数据采集方法和***以及设备 |
WO2016173203A1 (zh) * | 2015-04-29 | 2016-11-03 | 中兴通讯股份有限公司 | 一种深度网路分析***的测试方法和装置 |
CN107404471A (zh) * | 2017-04-05 | 2017-11-28 | 青海民族大学 | 一种基于admm算法网络流量异常检测方法 |
CN111130890A (zh) * | 2019-12-26 | 2020-05-08 | 深圳市高德信通信股份有限公司 | 一种网络流量动态预测*** |
Non-Patent Citations (1)
Title |
---|
江苏极元信息技术有限公司: "极元可信防御***技术原则", 《极元可信防御***OXTREA SWITCHWALL产品技术***》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116633693A (zh) * | 2023-07-24 | 2023-08-22 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
CN116633693B (zh) * | 2023-07-24 | 2023-10-31 | 深圳市永达电子信息股份有限公司 | 一种基于全要素网络标识的可信安全网关实现方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
CN111669375B (zh) | 一种电力工控终端在线安全态势评估方法及*** | |
Zhe et al. | DoS attack detection model of smart grid based on machine learning method | |
CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
CN110324323A (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及*** | |
Abdulrahaman Okino Otuoze et al. | Electricity theft detection framework based on universal prediction algorithm | |
CN112416872A (zh) | 一种基于大数据的云平台日志管理*** | |
CN111786986B (zh) | 一种数控***网络入侵防范***及方法 | |
CN115935415A (zh) | 基于工业互联网多要素感知的数据安全预警*** | |
KR20080079767A (ko) | 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 | |
CN112637118A (zh) | 基于内外网引流异常的流量分析实现方法 | |
KR100609707B1 (ko) | 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치 | |
CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
CN116170197A (zh) | 一种用户行为数据的风险控制方法及装置 | |
CN113162904B (zh) | 一种基于概率图模型的电力监控***网络安全告警评估方法 | |
Hassanzadeh et al. | Intrusion detection with data correlation relation graph | |
KR20140014784A (ko) | 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법 | |
Xiang et al. | Network Intrusion Detection Method for Secondary System of Intelligent Substation based on Semantic Enhancement | |
CN112653666B (zh) | 一种火电厂工控***广义网络安全态势评估指标体系 | |
KR102471618B1 (ko) | 넷플로우 기반 대규모 서비스망 불법 접속 추적 방법 및 그를 위한 장치 및 시스템 | |
CN116595512B (zh) | 一种第三方服务器安全管理*** | |
CN117176470B (zh) | 一种区块链数据监管方法和*** | |
CN116938606B (zh) | 一种网络流量检测方法以及装置 | |
Wu et al. | Network Traffic Monitoring and Real-time Risk Warning based on Static Baseline Algorithm | |
CN118118214A (zh) | 一种多粒度网络异常检测的威胁态势感知评估方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210409 |