| 发明名称 | 基于数据流行为分析的网络访问异常检测装置及方法 | ||
| 摘要 | 本发明涉及一种基于数据流行为分析的网络访问异常检测装置,其包括流量信息收集模块、异常行为检测模块和异常流量处理模块,流量信息收集模块的分别连接异常行为检测模块和异常流量处理模块,异常行为检测模块连接异常流量处理模块。本发明还涉及一种利用该装置的方法,该方法先过滤掉明显异常的流量数据,再利用一网络行为模型对经过滤的流量数据进行检测,并自动更新网络行为模型;最后根据检测结果阻断流量。利用本发明的装置和方法能建立正常网络行为模型,将该模型跟实时数据进行比较,以检测实时流量是否异常;并动态修正网络行为模型,分析异常流量来源,对异常流量进行阻断,从而快速有效地识别异常流量,提高检测的准确性。 | ||
| 申请公布号 | CN102130800B | 申请公布日期 | 2013.08.28 |
| 申请号 | CN201110083016.X | 申请日期 | 2011.04.01 |
| 申请人 | 苏州赛特斯网络科技有限公司 | 发明人 | 逯利军;钱培专 |
| 分类号 | H04L12/26(2006.01)I;H04L12/70(2013.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 上海智信专利代理有限公司 31002 | 代理人 | 王洁;郑暄 |
| 主权项 | 一种利用基于数据流行为分析的网络访问异常检测装置实现基于数据流行为分析的网络访问异常检测方法,所述的装置包括流量信息收集模块、异常行为检测模块和异常流量处理模块,所述的流量信息收集模块的输入端连接该检测装置外部的路由设备,所述的流量信息收集模块的输出端分别连接所述的异常行为检测模块和异常流量处理模块的输入端,所述的异常行为检测模块的输出端连接所述的异常流量处理模块的输入端,所述的异常流量处理模块的输出端连接该检测装置外部的路由设备,其特征在于,所述的方法包括以下步骤:(1)所述的流量信息收集模块从外部路由设备获得原始流量数据;(2)所述的流量信息收集模块对原始流量数据进行过滤,将明显异常的流量数据发送至所述的异常流量处理模块,并将经过滤的流量数据发送至所述的异常行为检测模块,具体包括以下步骤:(21)所述的流量信息收集模块对原始流量数据进行解析,获得流量数据信息;(22)所述的流量信息收集模块将明显异常的原始流量数据的流量数据信息存入一异常流量数据库;(23)所述的流量信息收集模块将其余的流量数据存入一待检测流量数据库;(3)所述的异常行为检测模块根据一确定的检测标准对所述的经过滤的流量数据进行检测,并将检测出的异常流量数据发送至所述的异常流量处理模块,具体包括以下步骤:(31)所述的异常行为检测模块读取所述的待检测流量数据库中的流量数据;(32)所述的异常行为检测模块基于前一周期内一确定时间段的数据流量值生成本周期内对应时间段的流量数据的预测值;(33)所述的异常行为检测模块将本周期该时间段的预测值与本周期内该时间段的流量数据实际值比较,判断两者差距是否大于预设的阈值,若大于,则确定该流量数据为异常流量数据,并进入步骤(34),若不大于,则进入步骤(4);(34)所述的异常行为检测模块将该异常流量数据的信息存入所述的异常流量数据库,并进入步骤(5);(4)所述的异常行为检测模块根据检测结果自动更新所述的检测标准;(5)所述的异常流量处理模块根据所获得的异常流量的流量信息向外部路由设备发送流量阻断指令。 | ||
| 地址 | 215300 江苏省苏州市昆山开发区前进东路科技广场大楼15楼 | ||