一種基于旁路網(wǎng)絡(luò)全流量的SSH協(xié)議行為模式識(shí)別與告警方法

基本信息

申請(qǐng)?zhí)?/td> CN201910077699.4 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN109587179A 公開(kāi)(公告)日 2019-04-05
申請(qǐng)公布號(hào) CN109587179A 申請(qǐng)公布日 2019-04-05
分類(lèi)號(hào) H04L29/06(2006.01)I; H04L12/24(2006.01)I 分類(lèi) 電通信技術(shù);
發(fā)明人 宋歡; 劉嘉奇 申請(qǐng)(專(zhuān)利權(quán))人 南京云利來(lái)軟件科技有限公司
代理機(jī)構(gòu) - 代理人 -
地址 210000 江蘇省南京市秦淮區(qū)光華東街1號(hào)1-2-1室
法律狀態(tài) -

摘要

摘要 本發(fā)明涉及一種基于旁路網(wǎng)絡(luò)全流量的SSH協(xié)議行為模式識(shí)別與告警方法,通過(guò)交換機(jī)旁路鏡像接受用戶(hù)網(wǎng)絡(luò)流量,分離出TCP協(xié)議的流量,然后提取SSH協(xié)議流量中的關(guān)鍵特征用于行為判斷;根據(jù)關(guān)鍵特征信息判斷每條SSH協(xié)議的流量數(shù)據(jù)的行為模式,依據(jù)源地址和目的地址聚合SSH協(xié)議數(shù)據(jù),再根據(jù)每條流量數(shù)據(jù)的行為模式,綜合考慮和判斷當(dāng)前源地址和目的地址的整體通訊行為模式;不同的模式對(duì)應(yīng)不同的告警信息,而相同類(lèi)型的告警也會(huì)有著不同的告警等級(jí)。本發(fā)明能夠提供一種基礎(chǔ)數(shù)據(jù)獲取簡(jiǎn)單、避免了傳統(tǒng)識(shí)別的繁瑣、可適用范圍廣、識(shí)別判斷快速簡(jiǎn)便且準(zhǔn)確率高的基于旁路網(wǎng)絡(luò)全流量的SSH協(xié)議行為模式識(shí)別與告警方法。