一种网络入侵检测方法及系统的制作方法
【专利摘要】本发明提供一种网络入侵检测方法及系统。上述方法包括以下步骤:获取预定时间段内的访问数据;从所述访问数据中提取访问参数特征信息;根据所述访问参数特征信息判断是否存在可疑访问。根据本发明提供的网络入侵检测方法及系统,能够高效检测出利用HTTP隧道穿透技术的远控程序,提高系统安全性,并且无需在防火墙后面增加入侵检测系统,减少系统成本。
【专利说明】一种网络入侵检测方法及系统
【技术领域】
[0001] 本发明属于网络通信领域,尤其涉及一种网络入侵检测方法及系统。
【背景技术】
[0002] 木马远控程序利用HTTP隧道穿透技术,会将私有的通信协议伪装于HTTP协议中, 而同时由于业务需要,多数防火墙会让HTTP数据包通过,这样就会导致木马远控程序的数 据包顺利通过防火墙而威胁到内网的安全。
[0003] 当防火墙失效时,多数情况下内网就直接暴露;一些稍强的防护系统在防火墙后 面还会有入侵检测系统,然而入侵检测系统造价较高,会无形中增加企业成本和负担。HTTP 隧道技术的出现给企业内部的网络安全带来了很大的威胁,对于如何高效地检测使用该技 术通信的程序,依旧是一个难题。
【发明内容】
[0004] 本发明提供一种网络入侵检测方法及系统,以解决上述问题。
[0005] 本发明提供一种网络入侵检测方法。上述方法包括以下步骤:获取预定时间段内 的访问数据;从所述访问数据中提取访问参数特征信息;根据所述访问参数特征信息判断 是否存在可疑访问。
[0006] 本发明还提供了一种网络入侵检测系统,包括:数据获取单元,连接至特征提取单 元,用于获取预定时间段内的访问数据并将所述访问数据发送至所述特征提取单元;所述 特征提取单元,用于接收来自所述数据获取单元的访问数据,并从所述访问数据中提取访 问参数特征信息,以及将所述访问参数特征信息发送至判断单元;所述判断单元,连接至所 述特征提取单元,用于根据所述访问参数特征信息判断是否存在可疑访问。
[0007] 相较于先前技术,根据本发明提供的网络入侵检测方法及系统,能够高效检测出 利用HTTP隧道穿透技术的远控程序,提高系统安全性,并且无需在防火墙后面增加入侵检 测系统,减少系统成本。
【专利附图】
【附图说明】
[0008] 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0009] 图1所示为根据本发明的一较佳实施例提供的网络入侵检测方法的流程图;
[0010] 图2所示为根据本发明的又一较佳实施例提供的网络入侵检测方法的流程图;
[0011] 图3所示为根据本发明的又一较佳实施例提供的网络入侵检测方法的流程图;
[0012] 图4所示为根据本发明的一较佳实施例提供的网络入侵检测系统的示意图。
【具体实施方式】
[0013] 下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的 情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0014] 图1所示为根据本发明的较佳实施例提供的网络入侵检测方法的流程图。如图1 所示,本发明的较佳实施例提供的在线课堂导播控制方法包括步骤102?106。
[0015] 在步骤102,获取预定时间段内的访问数据。可以在网络层实时抓取数据包来获取 访问数据,该访问数据例如三天之内的访问数据,该访问数据是来自不同IP地址的统一资 源定位符(URL)。来自一个IP地址的一个URL就是一条访问记录。
[0016] 在步骤104,从访问数据中提取访问参数特征信息。
[0017] 在步骤106,根据访问参数特征信息判断是否存在可疑访问。
[0018] 在一实施例中,从所述访问数据中提取访问参数特征信息并根据所述访问参数特 征信息判断是否存在可疑访问的过程包括:
[0019] 判断访问数据中访问记录数目是否大于第一预设值;
[0020] 在访问数据中的访问记录数目大于第一预设值时,计算访问数据中各条访问时间 记录的时间间隔的方差值,将方差值作为提取出的所述访问参数特征信息;
[0021] 判断方差值是否小于预设的方差临界值;
[0022] 在所述方差值小于所述方差临界值时,确定存在可疑访问。
[0023] 方差值小于方差临界值说明访问时间较为规律,那么该访问数据有可疑。
[0024] 在另一实施例中,从所述访问数据中提取访问参数特征信息并根据所述访问参数 特征信息判断是否存在可疑访问的过程包括::
[0025] 将访问数据与预设的可疑字符集进行比对,以确定访问数据是否存在可疑字符集 中的可疑字符;
[0026] 若存在可疑字符,则在访问数据中添加可疑标识;
[0027] 判断访问数据中的访问记录数目是否大于第二预设值;
[0028] 在所述访问数据中的访问记录数目大于第二预设值时,采用模糊匹配算法处理访 问数据;
[0029] 根据模糊匹配算法的处理结果确定是否存在可疑访问。
[0030] 经过一段时间统计之后,可以将确定是可疑访问数据中的关键字符数据记录在可 疑字符集中。根据该可以字符集可对新的访问数据进行初步判断。在访问数据中的访问数 据记录数目较大时,可采用模糊匹配算法并结合之前根据可疑字符集的初步判断结果来处 理访问数据,从而判断是否存在可疑访问。
[0031] 其中,模糊匹配算法包括:
[0032] 取访问数据中的任意两条统一资源定位符记录;
[0033] 在任意两条统一资源定位符记录的长度之差小于第三预设值时,获取任意两条统 一资源定位符记录中的相同字符,并计算任意两条统一资源定位符记录之间的相似值; [0034] 在相似值大于第四预设值时,确定匹配成功,并检测相同字符在访问数据中的出 现次数;
[0035] 若出现次数大于第五预设值,则确定存在可疑访问,并显示第一可疑访问数据。
[0036] 将访问数据中的统一资源定位符进行两两比较,寻找字符数相差较少的资源定位 符记录对,并判断每对资源定位符记录的相似值,如果相似值大于某个值,则进一步判断相 同字符的出现次数。出现次数较多,说明有可能是木马远程控制程序的可疑访问。此外,将 所述相同字符加入所述可疑字符集,以更新可疑字符集。
[0037] 其中,所述模糊匹配算法还包括:
[0038] 在所述相似值小于等于所述第四预设值时,确定匹配失败,进一步判断所述访问 数据中是否包含所述可疑标识;
[0039] 若包含所述可疑标识,则确定存在可疑访问,并显示第二可疑访问数据。
[0040] 其中,所述相似值是所述相同字符的数目与所述任意两条统一资源定位符记录中 字符最少的统一资源定位符记录的总字符数目之比。
[0041] 另外,在所述访问数据中的访问记录数目小于等于所述第二预设值时,无需用模 糊匹配算法进行处理,而是判断所述访问数据中是否包含所述可疑标识;若检测到所述访 问数据中包含所述可疑标识,则确定存在可疑访问,并显示可疑访问数据。
[0042] 下面结合图2和图3详细说明根据本发明的又一实施例。
[0043] 数据包(访问数据)抓取后提取其中的目标地址(IP地址)和访问时间交由动态 行为分析模块处理,动态分析分析模块对数据进行实时分析,参考图2。另外,提取其中的目 标地址和访问URL后交由日志记录模块记录日志,并由静态特征分析模块则对日志信息进 行分析,分析结果通过信息显示模块显示,并将分析数据保存于系统数据库中,当检测结果 出现安全隐患时,则触发隐患预警模块报警告知管理员,参考图3。
[0044] 如图2所示,动态行为分析模块的处理过程如下:
[0045] 步骤202,首先读取配置文件中的多项检测预设值,包括访问记录最大值,方差临 界值和休眠时间。
[0046] 步骤204,获取一段时间内的访问记录数据。
[0047] 步骤206,判断获取的访问记录是否大于访问记录最大值,如果大于最大值,则进 入步骤208,否则进入步骤214。
[0048] 步骤208,计算获取的访问记录对应访问时间的方差。
[0049] 步骤210,接着判断方差值是否大于方差临界值,如果大于方差临界值,则进入步 骤214,否则进入步骤212。
[0050] 步骤212,通知信息显示模块作进一步处理,例如显示可疑访问数据进行报警。
[0051] 步骤214,最后动态行为分析模块休眠指定时间。如果在上述判断中出现小于指定 预设值的情况,则模块休眠指定时间后,继续获取新的访问记录数据。
[0052] 其中,方差公式为:
[0053] 若访问时间间隔分为xl,x2, x3......xn且它们的平均数为m,则这组访问时间数 据的方差为:
【权利要求】
1. 一种网络入侵检测方法,其特征在于,包括以下步骤: 获取预定时间段内的访问数据; 从所述访问数据中提取访问参数特征信息; 根据所述访问参数特征信息判断是否存在可疑访问。
2. 根据权利要求1所述的方法,其特征在于,从所述访问数据中提取访问参数特征信 息并根据所述访问参数特征信息判断是否存在可疑访问的过程包括: 判断所述访问数据中访问记录数目是否大于第一预设值; 在所述访问数据中的访问记录数目大于所述第一预设值时,计算所述访问数据中各条 访问时间记录的时间间隔的方差值,将所述方差值作为提取出的所述访问参数特征信息; 判断所述方差值是否小于预设的方差临界值; 在所述方差值小于所述方差临界值时,确定存在可疑访问。
3. 根据权利要求1所述的方法,其特征在于,从所述访问数据中提取访问参数特征信 息并根据所述访问参数特征信息判断是否存在可疑访问的过程包括:: 将所述访问数据与预设的可疑字符集进行比对,以确定所述访问数据是否存在所述可 疑字符集中的可疑字符; 若存在可疑字符,则在所述访问数据中添加可疑标识; 判断所述访问数据中的访问记录数目是否大于第二预设值; 在所述访问数据中的访问记录数目大于所述第二预设值时,采用模糊匹配算法处理所 述访问数据; 根据所述模糊匹配算法的处理结果确定是否存在可疑访问。
4. 根据权利要求3所述的方法,其特征在于,所述模糊匹配算法包括: 取所述访问数据中的任意两条统一资源定位符记录; 在所述任意两条统一资源定位符记录的长度之差小于第三预设值时,获取所述任意两 条统一资源定位符记录中的相同字符,并计算所述任意两条统一资源定位符记录之间的相 似值; 在所述相似值大于第四预设值时,确定匹配成功,并检测所述相同字符在所述访问数 据中的出现次数; 若所述出现次数大于第五预设值,则确定存在可疑访问,并显示第一可疑访问数据。
5. 根据权利要求4所述的方法,其特征在于,所述模糊匹配算法还包括: 若所述出现次数大于所述第五预设值,则将所述相同字符加入所述可疑字符集。
6. 根据权利要求4所述的方法,其特征在于,所述模糊匹配算法还包括: 在所述相似值小于等于所述第四预设值时,确定匹配失败,进一步判断所述访问数据 中是否包含所述可疑标识; 若包含所述可疑标识,则确定存在可疑访问,并显示第二可疑访问数据。
7. 根据权利要求4所述的方法,其特征在于,所述相似值是所述相同字符的数目与所 述任意两条统一资源定位符记录中字符最少的统一资源定位符记录的总字符数目之比。
8. 根据权利要求3至7中任一项所述的方法,其特征在于,在所述访问数据中的访问记 录数目小于等于所述第二预设值时,判断所述访问数据中是否包含所述可疑标识; 若检测到所述访问数据中包含所述可疑标识,则确定存在可疑访问,并显示可疑访问 数据。
9. 一种网络入侵检测系统,其特征在于,包括: 数据获取单元,连接至特征提取单元,用于获取预定时间段内的访问数据并将所述访 问数据发送至所述特征提取单元; 所述特征提取单元,用于接收来自所述数据获取单元的访问数据,并从所述访问数据 中提取访问参数特征信息,以及将所述访问参数特征信息发送至判断单元; 所述判断单元,连接至所述特征提取单元,用于根据所述访问参数特征信息判断是否 存在可疑访问。
【文档编号】H04L29/06GK104378361SQ201410577668
【公开日】2015年2月25日 申请日期:2014年10月24日 优先权日:2014年10月24日
【发明者】沈玉将, 赵杰 申请人:苏州阔地网络科技有限公司