本发明专利技术实施例公开了一种异常会话检测方法,包括:提取数据流中的会话以及与会话对应的设备互连信息;根据所述设备互连信息判断相应会话是否存在于预设白名单中;将不存在于预设白名单中的会话按照会话内容进行逐级分类,得到会话树;根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度;将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单;将不存在于最新白名单中的会话判断为异常会话,提高了异常会话检测的准确度。常会话检测的准确度。常会话检测的准确度。
【技术实现步骤摘要】
一种异常会话检测方法、装置及计算机存储介质
[0001]本专利技术涉及信息安全领域,尤其涉及一种异常会话检测方法、装置及计算机存储介质。
技术介绍
[0002]现在网络中,发现网络安全威胁的方式有很多种,比如入侵检测系统(IDS)、网络流量分析系统(NTA)等。NTA作一种网络威胁检测的新兴技术,已经在网络安全市场上兴起。
[0003]而目前的检测系统在不了解部署环境中的合法业务、管理流量,或者没有进行相应配置的情况下,用极高设备配置对以合法流量为主的所有数据流量进行特征分析、匹配,会导致系统出现巨量误告警、难以进行有效响应的问题,另外,现有技术中的检测系统需要投入大量资金、人力来通过上层关联分析技术对以检测系统产生的误告警为主的安全日志进行归并、压缩、挖掘,投入大、效果差。
[0004]针对现有技术中对异常流量检测不准确的问题,目前还没有一个有效的解决方法。
技术实现思路
[0005]为解决上述问题,本专利技术提供一种异常会话检测方法、装置及计算机存储介质,根据设备互连信息确定白名单,将不存在于白名单中的会话进行会话树划分,并提取会话树每个叶节点的特征信息,根据多个特征信息确定每个叶节点的数据类型置信度,根据数据类型置信度判断该叶节点下的会话是否为异常会话,以解决对异常流量判断不准确的问题。
[0006]为达到上述目的,本专利技术提供了一种异常会话检测方法,包括:提取数据流中的会话以及与会话对应的设备互连信息;根据所述设备互连信息判断相应会话是否存在于预设白名单中;将不存在于预设白名单中的会话按照会话内容进行逐级分类,得到会话树;根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度;将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单;将不存在于最新白名单中的会话判断为异常会话。
[0007]进一步可选的,所述根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度,包括:提取并统计所述设备互连信息中的多维特征信息;根据每个维度的特征信息与数据类型特征的符合度,确定每个维度的特征信息对应的会话初始置信度;综合多个所述会话初始置信度得到所述数据类型置信度。
[0008]进一步可选的,所述设备互连信息中的多维特征信息,至少包括以下的两种:源地址的收敛情况信息;目的地址的收敛情况信息;目的段口的收敛情况信息;单一源地址访问会话频次特征信息;单一源地址会话周期性变化规律特征信息。
[0009]进一步可选的,所述根据所述设备互连信息判断相应会话是否存在于预设白名单中之后,包括:获取存在于所述预设白名单中的会话的数据量;将所述数据量与预设标准数
据量进行对比;将大于所述预设标准数据量的数据量所对应的会话确定为异常会话。
[0010]进一步可选的,所述将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单之后,包括:将所述最新白名单补充入所述预设白名单。
[0011]另一方面,本专利技术还提供了一种异常会话检测装置,包括:提取模块,用于提取数据流中的会话以及与会话对应的设备互连信息;判断模块,用于根据所述设备互连信息判断相应会话是否存在于预设白名单中;会话树生成模块,用于将不存在于预设白名单中的会话按照会话内容进行逐级分类,得到会话树;置信度计算模块,用于根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度;最新白名单确定模块,用于将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单;第一异常会话判断模块,用于将不存在于最新白名单中的会话判断为异常会话。
[0012]进一步可选的,所述置信度计算模块包括:多维特征信息提取子模块,用于提取并统计所述设备互连信息中的多维特征信息;初始置信度确定子模块,用于根据每个维度的特征信息与数据类型特征的符合度,确定每个维度的特征信息对应的会话初始置信度;数据类型置信度确定子模块,用于综合多个所述会话初始置信度得到所述数据类型置信度。
[0013]进一步可选的,该装置还包括:数据量确定模块,用于获取存在于所述预设白名单中的会话的数据量;对比模块,用于将所述数据量与预设标准数据量进行对比;第二异常会话判断模块,用于将大于所述预设标准数据量的数据量所对应的会话确定为异常会话。
[0014]进一步可选的,还包括:补充模块,用于将所述最新白名单补充入所述预设白名单。
[0015]另一方面,本专利技术还提供了一种计算机存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的异常会话检测方法。
[0016]上述技术方案具有如下有益效果:通过设置白名单过滤不符合合法连接关系的异常会话;将会话划分成会话树后再计算每个叶节点的特征并计算每个叶节点的置信度,根据置信度确定最新的白名单。其中,白名单是根据会话动态生成的,节省了人力,提高了异常会话的检测效率。另外,白名单是依据不同会话动态更新的,因此上述方案能够对每个会话进行准确检测。
附图说明
[0017]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1是本专利技术实施例提供的异常会话检测方法的流程图;图2是本专利技术实施例提供的数据类型置信度计算方法的流程图;图3是本专利技术实施例根据数据量判断异常会话方法的流程图;图4是本专利技术实施例提供的异常会话检测装置的结构框图;图5是本专利技术实施例提供的置信度计算模块的结构框图;图6是本专利技术实施例提供的数据量确定模块、对比模块以及第二异常会话判断模块的结构示意图。
[0019]附图标记:100
‑
提取模块 200
‑
判断模块 300
‑
会话树生成模块 400
‑
置信度计算模块 4001
‑
多维特征信息提取子模块 4002
‑
初始置信度确定子模块 4003
‑
数据类型置信度确定子模块 500
‑
最新白名单确定模块 600
‑
第一异常会话判断模块 700
‑
数据量确定模块 800
‑
对比模块 900
‑
第二异常会话判断模块 。
具体实施方式
[0020]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0021]现有技术中对异常会话的检测需要使用极高设备配置的系统对流量进行特征分析、匹配,但这种系统对异常会话的检测准确度不高,且需要耗费大量的人工对所有会话进行归本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常会话检测方法,其特征在于,包括:提取数据流中的会话以及与会话对应的设备互连信息;根据所述设备互连信息判断相应会话是否存在于预设白名单中;将不存在于预设白名单中的会话按照会话内容进行逐级分类,得到会话树;根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度;将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单;将不存在于最新白名单中的会话判断为异常会话。2.根据权利要求1所述的异常会话检测方法,其特征在于,所述根据所述设备互连信息,计算所述会话树中每个叶节点的数据类型置信度,包括:提取并统计所述设备互连信息中的多维特征信息;根据每个维度的特征信息与数据类型特征的符合度,确定每个维度的特征信息对应的会话初始置信度;综合多个所述会话初始置信度得到所述数据类型置信度。3.根据权利要求2所述的异常会话检测方法,其特征在于,所述设备互连信息中的多维特征信息,至少包括以下的两种:源地址的收敛情况信息;目的地址的收敛情况信息;目的段口的收敛情况信息;单一源地址访问会话频次特征信息;单一源地址会话周期性变化规律特征信息。4.根据权利要求1所述的异常会话检测方法,其特征在于,所述根据所述设备互连信息判断相应会话是否存在于预设白名单中之后,包括:获取存在于所述预设白名单中的会话的数据量;将所述数据量与预设标准数据量进行对比;将大于所述预设标准数据量的数据量所对应的会话确定为异常会话。5.根据权利要求1所述的异常会话检测方法,其特征在于,所述将所述数据类型置信度大于预设置信度阈值的叶节点对应的会话集合确定为最新白名单之后,包括:将所述最新白名单补充入所述预设白名单。6.一种异...
【专利技术属性】
技术研发人员:范海斌,王文君,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。