CN116915474B - 一种基于流量分析的https协议分析***及方法 - Google Patents
一种基于流量分析的https协议分析***及方法 Download PDFInfo
- Publication number
- CN116915474B CN116915474B CN202310925948.7A CN202310925948A CN116915474B CN 116915474 B CN116915474 B CN 116915474B CN 202310925948 A CN202310925948 A CN 202310925948A CN 116915474 B CN116915474 B CN 116915474B
- Authority
- CN
- China
- Prior art keywords
- flow
- data
- time
- identification
- curve
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 20
- 238000000034 method Methods 0.000 title claims abstract description 17
- 238000005206 flow analysis Methods 0.000 title claims abstract description 12
- 238000012806 monitoring device Methods 0.000 claims abstract description 20
- 230000002159 abnormal effect Effects 0.000 claims abstract description 9
- 230000035772 mutation Effects 0.000 claims description 44
- 230000000737 periodic effect Effects 0.000 claims description 20
- 230000003993 interaction Effects 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000007619 statistical method Methods 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 3
- 238000007637 random forest analysis Methods 0.000 abstract description 8
- 238000012545 processing Methods 0.000 abstract description 5
- 238000001514 detection method Methods 0.000 abstract description 4
- 230000005540 biological transmission Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于流量分析的https协议分析***及方法,涉及网络安全技术领域,解决了现有技术通过随机森林模型进行恶意流量检测识别时,识别效率和识别精度不高的技术问题;本发明结合周期流量模型计算周期预测流量;通过旁路监控装置获取网络设备的实时数据流量,判断实时数据流量是否大于周期预测流量;本发明基于流量来判断各识别周期中的数据是否异常,能够有效减少恶意流量识别的工作量,提高识别效率;本发明获取网络设备的流量历史数据;分析流量历史数据的变化趋势确定识别周期,在识别周期的基础上建立周期流量模型;本发明基于流量历史数据灵活确定识别周期,对各识别周期进行分别判断,为恶意流量的识别降低了数据处理量。
Description
技术领域
本发明属于网络安全领域,涉及基于流量分析的https协议分析技术,具体是一种基于流量分析的https协议分析***及方法。
背景技术
HTTPS是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。但是随着互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信,难以在短时间内从海量的数据中快速检测恶意加密流量。
现有技术(申请号为2020110354544的发明专利)公开了一种基于机器学习的HTTPS恶意加密流量检测方法,该方法对流量数据进行预处理得到流量数据据的四元组特征向量,将其输入至训练好的随机森林模型,检测得到流量数据的恶意概率。现有技术需训练随机森林模型,对其训练数据具有严格要求;而且每组流量数据均需要提取其四元组特征向量,再通过随机森林模型来判断,会影响恶意流量的识别效率和识别精度。
本发明提供了一种基于流量分析的https协议分析***及方法,以解决上述技术问题。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一;为此,本发明提出了一种基于流量分析的https协议分析***及方法,用于解决现有技术通过随机森林模型进行恶意流量检测识别时,识别效率和识别精度不高的技术问题。
为实现上述目的,本发明的第一方面提供了一种基于流量分析的https协议分析***,包括:中枢控制模块,以及与之相连接的数据交互模块、识别拦截模块和智能终端;数据交互模块分别与旁路监控装置和数据库相连接;中枢控制模块通过数据库获取网络设备的流量历史数据;分析流量历史数据的变化趋势确定识别周期,在识别周期的基础上建立周期流量模型;中枢控制模块通过智能终端获取网络设备的流量异动标签,结合周期流量模型计算周期预测流量;以及通过旁路监控装置获取网络设备的实时数据流量,判断实时数据流量是否大于周期预测流量;是,则根据流量数据特征识别恶意流量数据;否,则判断实时数据流量正常;中枢控制模块将识别的恶意流量数据发送至识别拦截模块,通过识别拦截模块对恶意流量数据进行拦截,并反馈拦截结果至中枢控制模块。
本发明中的中枢控制模块分别与数据交互模块、识别拦截模块和智能终端通信和/或电气连接;数据交互模块分别与旁路监控装置和数据库通信和/或电气连接。中枢控制模块主要负责数据处理,数据交互模块主要负责数据采集,识别拦截模块则是根据数据处理结果对恶意流量进行拦截。
现有技术在通过随机森林模型对流量数据进行监控时,需要对每条流量数据均进行预处理,根据得到的四元组特征识别其是否为恶意流量。现有技术的识别效率受限于数据量和预处理效率;识别精度受限于随机森林模型所使用的训练数据。因此,现有技术难以从识别效率和识别进度上满足恶意流量的识别需求。
本发明通过流量历史数据来对每天之中网络设备的流量变化趋势进行分析,根据分析结果中异变时刻确定识别周期,结合每个识别周期中的历史流量数据建立周期流量模型;将网络设备的实时数据流量与周期预测流量进行比较,可判断识别周期中的数据量是否异常,进而可根据四元组特征来识别恶意流量。本发明基于识别周期对数据量进行了预估,进而结合四元组特征来识别恶意流量,能够提高识别效率和识别精度。
本发明中的网络设备通过旁路监控装置监控,网络设备主要包括交换机或者路由器;将旁路监控装置与网络设备的旁路监控接口相连接,对网络设备的流量数据进行采集监控;数据库中网络设备的流量历史数据也是通过旁路监控装置采集存储的。
优选的,所述分析流量历史数据的变化趋势确定识别周期,包括:按天对获取的流量历史数据进行划分,获取若干流量数据组;分析各流量数据组中的流量数据变化趋势,确定异变时刻;根据异变时刻确定若干识别周期。
若相对网络设备的流量数据进行监控,则需要明确网络设备在各时段的流量数据变化情况。网络设备在数据传输过程中负责数据传输和中转,因此其数据量是呈现周期性变化的。本发明中的异变时刻为流量数据突变时对应的时刻。
本发明按天将网络设备的流量历史数据分成若干组。每天的流量数据组中,数据量均会随着时间变化,而且会呈现周期性变化,这里的周期则是识别周期。本发明根据各流量数据组中的流量数据变化趋势来确定异变时刻,相邻异变时刻则可以确定一个识别周期。本发明的识别周期是后续进行流量建立周期流量模型的重要基础。
优选的,所述分析各流量数据组中的流量数据变化趋势,包括:获取任一流量数据组对应的数据变化曲线;基于导数识别出数据变化曲线中的异变时间点,并与对应的流量数据组进行关联;按照接近程度对各流量数据组中的异变时间点整合,获取若干异变时间组;基于统计方法对若干异变时间组进行分析,确定对应的选择异变时刻。
任一流量数据组中均包含网络设备某天中转或者传输的数据量,随着时间变化数据量会出现波动。通过导数识别出数据变化曲线的异变时间点,对所有流量数据组的异变时间点进行综合分析,来确定具体的异变时刻。
本发明中各流量数据组均会对应若干个异变时间点。从时间角度来看,多个流量数据组的异变时间点可能不完全相同,但若是呈现周期性变化的情况下,各流量数据组同一异变位置对应的异变时间点不会相差太多。因此,对各流量数据组的异变时间点进行综合分析,来确定异变位置对应的异变时刻,有利于统一后续数据处理流程,为周期流量模型的建立典型数据基础。
优选的,所述基于统计方法对若干异变时间组进行分析,包括:统计异变时间组中各异变时间点对应的次数;选择出现次数最多的异变时间点作为异变时刻,或者统计各异变时间点对应的时间范围,从时间范围中选择中间值作为异变时刻。
在综合分析各流量数据组的异变时间点时,若干异变时间点的呈正态分布,则可以将出现次数的异变时间点(对应正态分布的最高点)作为异变时刻,具有一定的代表性。当然,若干异变时间点呈其他分布时,可以确定若干异变时间点所分布的时间范围,取其中值作为异变时刻。
本发明无论是通过取最高点还是中值作为异变时刻,均可实现识别周期的统一。而且后续是通过积分方式来确定流量上限和流量下限,相邻识别周期的流量上限和流量下限虽然会被影响,但是不会影响实时数据流量的判断识别。
优选的,所述在识别周期的基础上建立周期流量模型,包括:将相邻异变时刻串联起来,获取若干识别周期;基于各流量数据组对应的数据变化曲线为各识别周期匹配第一曲线和第二曲线;通过第一曲线和第二曲线获取对应识别周期的流量上限和流量下限,将流量上限和流量下限整合为流量范围;基于各识别周期和对应的流量范围建立周期流量模型。
本发明中的第一曲线为数据变化量最大的曲线,第二曲线为数据变化量最小的曲线;实际就是按照识别周期将流量数据组对应的数据变化曲线划分成了若干段,每个识别周期均会对应若干段曲线;则将每个识别周期中位置最高(在识别周期内积分值最大)的曲线作为第一曲线,将位置最低(在识别周期内积分值最小)的曲线作为第二曲线。
优选的,所述通过第一曲线和第二曲线获取对应识别周期的流量上限和流量下限,包括:依次将识别周期对应的时间范围标记为[t1,t2],对应的第一曲线和第二曲线分别标记为F1(t)和F2(t);通过公式LS=∫F1(t)和LX=∫F2(t)分别获取识别周期对应的流量上限LS和流量下限LX;其中,∫为积分符号,积分的时间范围为[t1,t2]。
优选的,所述中枢控制模块通过智能终端获取网络设备的流量异动标签,包括:判断网络设备的服务对象是否存在异动数据;根据异动数据为网络设备设置流量异动标签。
本发明对网络设备服务对象的异动数据进行监测,这里的异动数据主要是指会对网络设备的实时数据流量产生的影响活动;如服务对象为某商务公司,则该商务公司发布的比赛报名活动属于异动数据,肯定会影响网络设备的实时数据流量。
本发明中的流量异动标签用于表示异动数据对网络设备的流量数据的影响程度,主要根据异动信号和异动类型来确定所影响的识别周期,以及具体的影响程度来设置。流量异动标签是大于0的实数,如取值为1,1.5,2等。
优选的,所述根据流量数据特征识别恶意流量数据,包括:提取旁路监控装置的流量数据,识别获取流量数据对应的四元组特征;根据四元组特征确定流量异常的流量数据,标记为恶意流量数据。
本发明中的四元组特征包括源IP地址、目的IP地址、目的端口号和传输层协议。根据四元组特征确定流量异常的流量数据,主要判断某一四元组特征对应的流量数据是否突然大量出现,是的话则判定为恶意流量。当然,根据四元组特征来识别恶意流量可参考申请号为2020110354544的发明专利,其公开了一种基于机器学习的HTTPS恶意加密流量检测方法。
本发明的第二方面提供了一种基于流量分析的https协议分析方法,包括:获取网络设备的流量历史数据;分析流量历史数据的变化趋势确定识别周期,在识别周期的基础上建立周期流量模型;获取网络设备的流量异动标签,结合周期流量模型计算周期预测流量;以及通过旁路监控装置获取网络设备的实时数据流量,判断实时数据流量是否大于周期预测流量;是,则根据流量数据特征识别恶意流量数据;否,则判断实时数据流量正常。
与现有技术相比,本发明的有益效果是:
1.本发明获取网络设备的流量异动标签,结合周期流量模型计算周期预测流量;以及通过旁路监控装置获取网络设备的实时数据流量,判断实时数据流量是否大于周期预测流量;本发明基于流量来判断各识别周期中的数据是否异常,能够有效减少恶意流量识别的工作量,提高识别效率。
2.本发明获取网络设备的流量历史数据;分析流量历史数据的变化趋势确定识别周期,在识别周期的基础上建立周期流量模型;本发明基于流量历史数据灵活确定识别周期,对各识别周期进行分别判断,为恶意流量的识别降低了数据处理量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的***原理示意图;
图2为本发明的方法步骤示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1-图2,本发明第一方面实施例提供了一种基于流量分析的https协议分析***,包括:中枢控制模块,以及与之相连接的数据交互模块、识别拦截模块和智能终端;数据交互模块分别与旁路监控装置和数据库相连接;中枢控制模块通过数据库获取网络设备的流量历史数据;分析流量历史数据的变化趋势确定识别周期,在识别周期的基础上建立周期流量模型;中枢控制模块通过智能终端获取网络设备的流量异动标签,结合周期流量模型计算周期预测流量;以及通过旁路监控装置获取网络设备的实时数据流量,判断实时数据流量是否大于周期预测流量;是,则根据流量数据特征识别恶意流量数据;否,则判断实时数据流量正常;中枢控制模块将识别的恶意流量数据发送至识别拦截模块,通过识别拦截模块对恶意流量数据进行拦截,并反馈拦截结果至中枢控制模块。
本实施例的第一步是中枢控制模块通过数据库获取网络设备的流量历史数据;分析流量历史数据的变化趋势确定识别周期,在识别周期的基础上建立周期流量模型。
从数据库中获取网络设备对应的流量历史数据,流量历史数据是对网络设备过去很多天的旁路监控得到的数据。按天将流量历史数据划分成若干流量数据组,也就是说每个流量数据组对应一天。
依次获取流量数据组对应的数据变化曲线,这里的数据变化曲线是数据量在一天中随时间变化的曲线。获取数据变化曲线的一阶导数,当一阶导数大于设定的导数阈值的时候,则可以判定为异变时间点。每条数据变化曲线中可能对应多个异变时间点,也就是说在一天之中,数据量发生了多次异变。
每条数据变化曲线对应若干异变时间点,然后将各数据变化曲线中异变时间点想接近的整合为一个异变时间组。对异变数据组进行统计,选择出现次数最多的异变时间点作为异变时刻,也可以确定异变时间组对应的时间范围中值作为异变时刻。
举例说明,假设三条数据变化曲线对应的异变时间点分别为[7:00,12:00,17:00]、[7:00,12:01,17:10]和[7:00,12:00,17:05],则[7:00,7:00,7:00]、[12:00,12:01,12:00]和[17:00,17:05,17:10]作为异变数据组。[7:00,7:00,7:00]中出现次数最多的是7:00,则7:00作为一个异变时刻,[12:00,12:01,12:00]中出现次数最多的为12:00,则12:00作为一个异变时刻;[17:00,17:05,17:10]中各异变时间点出现次数一致,则可取范围中值,也就是17:05作为异变时刻。将异变时刻串联起来为[7:00,12:00,17:05],这样可得到识别周期为[7:00,12:00]和[12:00,17:05]。
各数据变化曲线在识别周期中均对应一个曲线段,可计算各曲线段在对应识别周期内的积分值,选择最大的积分值作为流量上限,选择最小的积分值作为流量下限。将识别周期与对应的流量上限和流量下限进行关联,构建映射关系可得到周期流量模型。
本实施例的第二步是中枢控制模块通过智能终端获取网络设备的流量异动标签,结合周期流量模型计算周期预测流量;以及通过旁路监控装置获取网络设备的实时数据流量,判断实时数据流量是否大于周期预测流量;是,则根据流量数据特征识别恶意流量数据;否,则判断实时数据流量正常。
通过智能终端获取网络设备的服务对象是否存在异动数据,即是否存在影响数据流量的动作。如针对某比赛,发布了通过互联网投票的通知,则相应的数据流量肯定会随之增加,根据经验预测数据量增加的倍数,作为流量异动标签。
在实际分析识别过程中,确定分析周期对应的识别周期,从周期流量模型中提取识别周期对应的流量上限和流量下限,与流量异动标签相乘来获取标准流量范围。判断实时数据流量是否在标准流量范围之内,若在则判定实时数据流量正常;若不在,则判定可能存在恶意流量。需要说明的是,为了不影响数据传输,应尽可能缩小识别周期,即可先对识别周期内流量数据分析之后再进行传输。
在判定可能存在恶意流量时,则结合现有技术中的四元组特征和随机森林模型对识别周期内的流量数据进行识别,判定是否存在恶意流量。而识别拦截模块则对恶意流量进行及时拦截。
上述公式中的部分数据是去除量纲取其数值计算,公式是由采集的大量数据经过软件模拟得到最接近真实情况的一个公式;公式中的预设参数和预设阈值由本领域的技术人员根据实际情况设定或者通过大量数据模拟获得。
本发明的工作原理:获取网络设备的流量历史数据;分析流量历史数据的变化趋势确定识别周期,在识别周期的基础上建立周期流量模型。获取网络设备的流量异动标签,结合周期流量模型计算周期预测流量。通过旁路监控装置获取网络设备的实时数据流量,判断实时数据流量是否大于周期预测流量;是,则根据流量数据特征识别恶意流量数据;否,则判断实时数据流量正常。
以上实施例仅用以说明本发明的技术方法而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方法进行修改或等同替换,而不脱离本发明技术方法的精神和范围。
Claims (3)
1.一种基于流量分析的https协议分析***,包括中枢控制模块,以及与之相连接的数据交互模块、识别拦截模块和智能终端;数据交互模块分别与旁路监控装置和数据库相连接;其特征在于:
中枢控制模块通过数据库获取网络设备的流量历史数据;分析流量历史数据的变化趋势确定识别周期,在识别周期的基础上建立周期流量模型;其中,网络设备通过旁路监控装置监控,网络设备包括交换机或者路由器;
中枢控制模块通过智能终端获取网络设备的流量异动标签,结合周期流量模型计算周期预测流量;以及通过旁路监控装置获取网络设备的实时数据流量,判断实时数据流量是否大于周期预测流量;是,则根据流量数据特征识别恶意流量数据;否,则判断实时数据流量正常;
中枢控制模块将识别的恶意流量数据发送至识别拦截模块,通过识别拦截模块对恶意流量数据进行拦截,并反馈拦截结果至中枢控制模块;
所述分析流量历史数据的变化趋势确定识别周期,包括:
按天对获取的流量历史数据进行划分,获取若干流量数据组;
分析各流量数据组中的流量数据变化趋势,确定异变时刻;根据异变时刻确定若干识别周期;其中,异变时刻为流量数据突变时对应的时刻;
所述分析各流量数据组中的流量数据变化趋势,包括:
获取任一流量数据组对应的数据变化曲线;基于导数识别出数据变化曲线中的异变时间点,并与对应的流量数据组进行关联;
按照接近程度对各流量数据组中的异变时间点整合,获取若干异变时间组;基于统计方法对若干异变时间组进行分析,确定对应的选择异变时刻;
所述基于统计方法对若干异变时间组进行分析,包括:
统计异变时间组中各异变时间点对应的次数;
选择出现次数最多的异变时间点作为异变时刻,或者统计各异变时间点对应的时间范围,从时间范围中选择中间值作为异变时刻;
所述在识别周期的基础上建立周期流量模型,包括:
将相邻异变时刻串联起来,获取若干识别周期;基于各流量数据组对应的数据变化曲线为各识别周期匹配第一曲线和第二曲线;其中,第一曲线为数据变化量最大的曲线,第二曲线为数据变化量最小的曲线;
通过第一曲线和第二曲线获取对应识别周期的流量上限和流量下限,将流量上限和流量下限整合为流量范围;基于各识别周期和对应的流量范围建立周期流量模型;
所述通过第一曲线和第二曲线获取对应识别周期的流量上限和流量下限,包括:
依次将识别周期对应的时间范围标记为[t1,t2],对应的第一曲线和第二曲线分别标记为F1(t)和F2(t);
通过公式LS=∫F1(t)和LX=∫F2(t)分别获取识别周期对应的流量上限LS和流量下限LX;其中,∫为积分符号,积分的时间范围为[t1,t2];
所述中枢控制模块通过智能终端获取网络设备的流量异动标签,包括:
判断网络设备的服务对象是否存在异动数据;其中,异动数据通过监测服务对象的活动生成,包括异动信号和异动类型;
根据异动数据为网络设备设置流量异动标签;其中,流量异动标签用于表示异动数据对网络设备的流量数据的影响程度。
2.根据权利要求1所述的一种基于流量分析的https协议分析***,其特征在于,所述根据流量数据特征识别恶意流量数据,包括:
提取旁路监控装置的流量数据,识别获取流量数据对应的四元组特征;其中,四元组特征包括源IP地址、目的IP地址、目的端口号和传输层协议;
根据四元组特征确定流量异常的流量数据,标记为恶意流量数据。
3.一种基于流量分析的https协议分析方法,应用于权利要求1至2任一项所述的一种基于流量分析的https协议分析***,其特征在于,包括:
获取网络设备的流量历史数据;分析流量历史数据的变化趋势确定识别周期,在识别周期的基础上建立周期流量模型;其中,网络设备通过旁路监控装置监控,网络设备包括交换机或者路由器;
获取网络设备的流量异动标签,结合周期流量模型计算周期预测流量;以及通过旁路监控装置获取网络设备的实时数据流量,判断实时数据流量是否大于周期预测流量;是,则根据流量数据特征识别恶意流量数据;否,则判断实时数据流量正常。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310925948.7A CN116915474B (zh) | 2023-07-26 | 2023-07-26 | 一种基于流量分析的https协议分析***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310925948.7A CN116915474B (zh) | 2023-07-26 | 2023-07-26 | 一种基于流量分析的https协议分析***及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116915474A CN116915474A (zh) | 2023-10-20 |
CN116915474B true CN116915474B (zh) | 2024-01-26 |
Family
ID=88353015
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310925948.7A Active CN116915474B (zh) | 2023-07-26 | 2023-07-26 | 一种基于流量分析的https协议分析***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116915474B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103227999A (zh) * | 2013-05-02 | 2013-07-31 | 中国联合网络通信集团有限公司 | 网络流量预测方法和装置 |
KR20190010225A (ko) * | 2017-07-21 | 2019-01-30 | 삼성에스디에스 주식회사 | 악성 트래픽 탐지 방법 및 그 장치 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及*** |
CN112261007A (zh) * | 2020-09-27 | 2021-01-22 | 北京六方云信息技术有限公司 | 基于机器学习的https恶意加密流量检测方法及*** |
-
2023
- 2023-07-26 CN CN202310925948.7A patent/CN116915474B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103227999A (zh) * | 2013-05-02 | 2013-07-31 | 中国联合网络通信集团有限公司 | 网络流量预测方法和装置 |
KR20190010225A (ko) * | 2017-07-21 | 2019-01-30 | 삼성에스디에스 주식회사 | 악성 트래픽 탐지 방법 및 그 장치 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及*** |
CN112261007A (zh) * | 2020-09-27 | 2021-01-22 | 北京六方云信息技术有限公司 | 基于机器学习的https恶意加密流量检测方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN116915474A (zh) | 2023-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111935172B (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
US7779467B2 (en) | N grouping of traffic and pattern-free internet worm response system and method using N grouping of traffic | |
CN106888205A (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
CN108965347A (zh) | 一种分布式拒绝服务攻击检测方法、装置及服务器 | |
CN111092862A (zh) | 一种用于对电网终端通信流量异常进行检测的方法及*** | |
CN111181971B (zh) | 一种自动检测工业网络攻击的*** | |
CN111738308A (zh) | 基于聚类及半监督学习的监控指标动态阈值检测方法 | |
CN109784668B (zh) | 一种用于电力监控***异常行为检测的样本特征降维处理方法 | |
CN106357434A (zh) | 一种基于熵分析的智能电网通信网络流量异常检测方法 | |
CN109257393A (zh) | 基于机器学习的xss攻击防御方法及装置 | |
CN113114618B (zh) | 一种基于流量分类识别的物联网设备入侵检测的方法 | |
CN112491849B (zh) | 一种基于流量特征的电力终端漏洞攻击防护方法 | |
CN113612650A (zh) | 一种对边缘计算设备的监测方法 | |
CN116185757B (zh) | 机房能耗智能监测*** | |
CN116680113B (zh) | 一种设备检测实施控制*** | |
CN113271224A (zh) | 节点的定位方法、装置、存储介质及电子装置 | |
CN107209834A (zh) | 恶意通信模式提取装置、恶意通信模式提取***、恶意通信模式提取方法及恶意通信模式提取程序 | |
CN110839042B (zh) | 一种基于流量的自反馈恶意软件监测***和方法 | |
CN109359234A (zh) | 一种多维度网络安全事件分级装置 | |
CN116915474B (zh) | 一种基于流量分析的https协议分析***及方法 | |
CN117040664A (zh) | 一种基于网络运行安全的计算机***检测方法 | |
CN111490976A (zh) | 一种面向工控网络的动态基线管理与监测方法 | |
CN114936614B (zh) | 一种基于神经网络的作业风险识别方法及*** | |
CN108259240A (zh) | 一种电网调度控制***体检信息的日志采集与传输方法 | |
CN114372497A (zh) | 多模态安全数据分类方法和分类*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |