【技术实现步骤摘要】
本专利技术涉及数据处理,尤其涉及一种异常检测方法、装置、电子设备及可读存储介质。
技术介绍
1、在企业内网环境中,internet控制报文协议(icmp,internet control messageprotocol)是必不可少的网络通信协议之一,被用于检测网络连通状态。通常情况下,防火墙会默认对此协议开放。由于防火墙对icmp协议开放,恶意攻击者常会利用icmp协议进行隐蔽隧道攻击,因此隐蔽隧道攻击的检测是网络安全领域当前亟需解决的问题之一。
2、当前隐蔽隧道攻击的检测主要包括基于特征关键词的检测、基于数据流异常的检测和基于机器学习的检测,但这些现有的方法都无法很好的将加密流量与混淆流量进行区分,使得隐蔽隧道攻击检测的错误率较高。
技术实现思路
1、有鉴于此,本专利技术实施例提供了一种异常检测方法、装置、电子设备及可读存储介质,以解决隐蔽隧道攻击检测的错误率较高的问题。
2、根据本专利技术的一方面,提供了一种异常检测方法,包括:
3、接收待检测的流量数据;
4、按照所述流量数据中数据包的第一ip和第二ip,将拥有相同所述第一ip和第二ip的请求数据包与响应数据包划分为一组,得到若干组数据包集合,其中,所述数据包包括请求数据包和响应数据包;
5、按照预设时间间隔,分别统计每组所述数据包集合的指标信息,所述指标信息包括数据包数量、数据包载荷的长度异常数量、请求数据包载荷与响应数据包载荷的内容不一致数量、数据包载荷内容异常数
6、在所述指标信息满足预设检测条件的情况下,输出预设时间间隔内所述数据包集合的数据流异常检测结果。
7、可选地,所述预设检测条件为所述数据包异常数据的数量大于0,且数据包载荷内容不重复的数量大于5;
8、所述在所述指标信息满足预设检测条件的情况下,输出预设时间间隔内所述数据包集合的数据流异常检测结果,包括:
9、在所述指标信息中筛选出满足所述预设检测条件中所含指标信息的第一目标指标信息,其中,所述预设检测条件中所含指标信息为数据包异常数据和数据包载荷内容异常数据,则所述第一目标指标信息包括所述数据包异常数据的数量和所述数据包载荷内容异常数量;
10、提取所述数据包载荷内容异常数量中的数据包载荷内容不重复的数量,采用所述数据包载荷内容不重复的数量替代所述数据包载荷内容异常数量作为所述第一目标指标信息;
11、比较所述预设检测条件和所述第一目标指标信息;
12、在所述第一目标指标信息满足所述预设检测条件的情况下,输出预设时间间隔内所述数据包集合的数据流异常检测结果。
13、可选地,所述预设检测条件为所述请求数据包载荷与响应数据包载荷的内容不一致数量大于0;
14、所述在所述指标信息满足预设检测条件的情况下,输出预设时间间隔内所述数据包集合的数据流异常检测结果,包括:
15、在所述指标信息中筛选出满足所述预设检测条件中所含指标信息的第二目标指标信息,其中,所述预设检测条件中所含指标信息为请求数据包载荷与响应数据包载荷的内容不一致数量,则所述第二目标指标信息包括所述请求数据包载荷与响应数据包载荷的内容不一致数量;
16、比较所述预设检测条件和所述第二目标指标信息;
17、在所述第二目标指标信息满足所述预设检测条件的情况下,输出预设时间间隔内所述数据包集合的数据流异常检测结果。
18、可选地,所述预设检测条件为所述数据包载荷内容不重复的数量大于5、所述数据包数量大于10和所述数据包载荷内容异常数量大于10;
19、所述在所述指标信息满足预设检测条件的情况下,输出预设时间间隔内所述数据包集合的数据流异常检测结果,包括:
20、在所述指标信息中筛选出满足所述预设检测条件中所含指标信息的第三目标指标信息,其中,所述预设检测条件中所含指标信息为数据包载荷内容异常数量和数据包数量,则所述第三目标指标信息包括所述数据包载荷内容异常数量和所述数据包数量;
21、提取所述数据包载荷内容异常数量中的数据包载荷内容不重复的数量,将所述数据包载荷内容不重复的数量作为新增的所述第三目标指标信息;
22、比较所述预设检测条件和所述第三目标指标信息;
23、在所述第三目标指标信息满足所述预设检测条件的情况下,输出预设时间间隔内所述数据包集合的数据流异常检测结果。
24、根据本专利技术的第二方面,提供了一种异常检测装置,包括:
25、第一接收模块,用于接收待检测的流量数据;
26、划分模块,用于按照所述流量数据中数据包的第一ip和第二ip,将拥有相同所述第一ip和第二ip的请求数据包与响应数据包划分为一组,得到若干组数据包集合,其中,所述数据包包括请求数据包和响应数据包;
27、统计模块,用于按照预设时间间隔,分别统计每组所述数据包集合的指标信息,所述指标信息包括数据包数量、数据包载荷的长度异常数量、请求数据包载荷与响应数据包载荷的内容不一致数量、数据包载荷内容异常数量和数据包异常数据的数量;
28、处理模块,用于在所述指标信息满足预设检测条件的情况下,输出预设时间间隔内所述数据包集合的数据流异常检测结果。
29、可选地,所述预设检测条件为所述数据包异常数据的数量大于0,且数据包载荷内容不重复的数量大于5;
30、所述处理模块,包括:
31、第一筛选模块,用于在所述指标信息中筛选出满足所述预设检测条件中所含指标信息的第一目标指标信息,其中,所述预设检测条件中所含指标信息为数据包异常数据和数据包载荷内容异常数据,则所述第一目标指标信息包括所述数据包异常数据的数量和所述数据包载荷内容异常数量;
32、第一处理子模块,用于提取所述数据包载荷内容异常数量中的数据包载荷内容不重复的数量,采用所述数据包载荷内容不重复的数量替代所述数据包载荷内容异常数量作为所述第一目标指标信息;
33、第一比较模块,用于比较所述预设检测条件和所述第一目标指标信息;
34、第二处理子模块,用于在所述第一目标指标信息满足所述预设检测条件的情况下,输出预设时间间隔内所述数据包集合的数据流异常检测结果。
35、可选地,所述预设检测条件为所述请求数据包载荷与响应数据包载荷的内容不一致数量大于0;
36、所述处理模块,包括:
37、第二筛选模块,用于在所述指标信息中筛选出满足所述预设检测条件中所含指标信息的第二目标指标信息,其中,所述预设检测条件中所含指标信息为请求数据包载荷与响应数据包载荷的内容不一致数量,则所述第二目标指标信息包括所述请求数据包载荷与响应数据包载荷的内容不一致数量;
38、第二比较模块,用于比较所述预设检测条件和所述第二目标指标信息;
39、第三处理子模块,用于在所述第二目标指标信本文档来自技高网...
【技术保护点】
1.一种异常检测方法,其特征在于,包括:
2.根据权利要求1所述的异常检测方法,其特征在于,所述预设检测条件为所述数据包异常数据的数量大于0,且数据包载荷内容不重复的数量大于5;
3.根据权利要求1所述的异常检测方法,其特征在于,所述预设检测条件为所述请求数据包载荷与响应数据包载荷的内容不一致数量大于0;
4.根据权利要求1所述的异常检测方法,其特征在于,所述预设检测条件为所述数据包载荷内容不重复的数量大于5、所述数据包数量大于10和所述数据包载荷内容异常数量大于10;
5.一种异常检测装置,其特征在于,包括:
6.根据权利要求5所述的异常检测装置,其特征在于,所述预设检测条件为所述数据包异常数据的数量大于0,且数据包载荷内容不重复的数量大于5;
7.根据权利要求5所述的异常检测装置,其特征在于,所述预设检测条件为所述请求数据包载荷与响应数据包载荷的内容不一致数量大于0;
8.根据权利要求5所述的异常检测装置,其特征在于,所述预设检测条件为所述数据包载荷内容不重复的数量大于5、所述数据包数量大于1
9.一种电子设备,包括:
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使计算机执行根据权利要求1-4中任一项所述的方法。
...【技术特征摘要】
1.一种异常检测方法,其特征在于,包括:
2.根据权利要求1所述的异常检测方法,其特征在于,所述预设检测条件为所述数据包异常数据的数量大于0,且数据包载荷内容不重复的数量大于5;
3.根据权利要求1所述的异常检测方法,其特征在于,所述预设检测条件为所述请求数据包载荷与响应数据包载荷的内容不一致数量大于0;
4.根据权利要求1所述的异常检测方法,其特征在于,所述预设检测条件为所述数据包载荷内容不重复的数量大于5、所述数据包数量大于10和所述数据包载荷内容异常数量大于10;
5.一种异常检测装置,其特征在于,包括:
6.根据权利要求5所述的异常检...
【专利技术属性】
技术研发人员:葛聪,任大勇,叶爱平,雷春,杨磊,尹鑫洋,龙晓晖,曹轲,
申请(专利权)人:度小满科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。