| 发明名称 | 一种基于移动代理的网络主机异常事件检测方法 | ||
| 摘要 | 本发明公开了一种基于移动代理的网络主机异常事件检测方法,根据监控系统的检测结果,派遣主机数据采集与分析移动代理到敏感主机,执行数据采集和安全分析任务。首先通过移动代理采集目标主机中包括CPU利用率、硬盘IO、网络流量、系统进程、内存利用率等主机资源信息。采用黑白名单方法判断是否存在非法进程,采用NetFlow模型提取流量特征并和正常模式比较判断是否存在异常流量,采用多源信息融合方法对主机信息进行融合分析判断是否存在异常。根据分析结果,对异常主机采取动态隔离的管控策略,降低其对其他网络主机的安全威胁。本发明所提出的主机数据收集和异常行为检测方法简单高效,数据采集和分析任务量较小,可以实时在线应用。 | ||
| 申请公布号 | CN105491055A | 申请公布日期 | 2016.04.13 |
| 申请号 | CN201510989171.6 | 申请日期 | 2015.12.24 |
| 申请人 | 中国船舶重工集团公司第七〇九研究所 | 发明人 | 张剑;童言;吴琪 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 华中科技大学专利中心 42201 | 代理人 | 曹葆青 |
| 主权项 | 一种基于移动代理的网络主机异常事件检测方法,其特征在于,所述方法包括如下步骤:(1)根据网络安全监控系统的报警结果,获得网络中的敏感主机并存入敏感主机列表,并当定时器超时后触发更新事件,对敏感主机列表进行更新;(2)根据敏感主机列表,派遣数据采集移动代理到敏感主机,实现特征数据的采集,所述特征数据包括CPU利用率、硬盘IO、主机网络流量、系统进程、内存利用率;(3)利用进程黑白名单、流量特征匹配、多源特征融合分析层次递进的检测方法,判断所述敏感主机列表中的目标主机是否存在异常事件;(4)如果目标主机不存在异常事件,则触发更新事件,删除敏感主机列表中对应的目标主机;如果存在异常事件,则发送通知管理员对目标主机进行详细检测的指令,并根据检查结果更新敏感主机列表。 | ||
| 地址 | 430205 湖北省武汉市东湖新技术开发区凤凰产业园藏龙北路1号 | ||