亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法和裝置與流程

文檔序號(hào):12493729閱讀:224來源:國知局
基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法和裝置與流程
本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域,具體而言,涉及一種基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法和裝置。
背景技術(shù)
:在企業(yè)或校園網(wǎng)絡(luò)中,通常會(huì)有比較明顯的邊界。防火墻/UTM通常會(huì)作為邊界防護(hù)設(shè)備,連通內(nèi)網(wǎng)和外網(wǎng)(廣域網(wǎng)),同時(shí)也保護(hù)內(nèi)網(wǎng)中的主機(jī)和服務(wù)器,阻止外部到內(nèi)部的非法訪問和攻擊,同時(shí)也對(duì)內(nèi)網(wǎng)中的主機(jī)和服務(wù)器進(jìn)行適當(dāng)?shù)母綦x,以及防止內(nèi)部主機(jī)對(duì)服務(wù)器進(jìn)行非法訪問。圖1為現(xiàn)有技術(shù)中的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,具體的,可以表示比較典型的企業(yè)或者高校的網(wǎng)絡(luò),如圖1所示,其中Internet表示外網(wǎng),LAN1表示內(nèi)部網(wǎng)絡(luò)1,10.100.31.0/24表示內(nèi)部網(wǎng)絡(luò)1的地址,LAN2表示內(nèi)部網(wǎng)絡(luò)2,10.100.32.0/24表示內(nèi)部網(wǎng)絡(luò)2的地址,DMZ表示服務(wù)器網(wǎng)絡(luò),10.100.1.0/24表示服務(wù)器網(wǎng)絡(luò)的地址,服務(wù)器網(wǎng)絡(luò)可以用來部署各種企業(yè)內(nèi)的服務(wù),可以被內(nèi)部主機(jī)訪問,也可能被來自Internet的主機(jī)訪問;Firewall表示防火墻,用來將各個(gè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接起來,阻止外部到內(nèi)部網(wǎng)絡(luò)的非法訪問,以及根據(jù)需求限制內(nèi)部網(wǎng)絡(luò)之間的訪問。在如圖1所示的典型網(wǎng)絡(luò)中,防火墻一方面作為Internet的接入點(diǎn),一方面承擔(dān)著不同網(wǎng)絡(luò)(區(qū)域)的隔離作用,保護(hù)著內(nèi)部主機(jī)和服務(wù)器?,F(xiàn)有技術(shù)中防火墻為了實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)主機(jī)和服務(wù)器的保護(hù),利用多樣化的技術(shù)來針對(duì)不同的安全問題提供解決方案,比較常用的第一個(gè)方案為基于IP報(bào)文三、四層的包過濾方式實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)主機(jī)和服務(wù)器的保護(hù),OSI網(wǎng)絡(luò)模型中將整個(gè)網(wǎng)絡(luò)分為七層,分別是物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、展示層、應(yīng)用層。目前的Internet是一種基于IP網(wǎng)絡(luò)的實(shí)現(xiàn),也即網(wǎng)絡(luò)層為IP網(wǎng)絡(luò);對(duì)于傳輸層,常用的協(xié)議包括TCP、UDP、ICMP等,而TCP、UDP為目前網(wǎng)絡(luò)應(yīng)用中絕大部分應(yīng)用所使用的協(xié)議。例如最常用的Web服務(wù)、郵件服務(wù)、FTP服務(wù)都是基于TCP協(xié)議,大量的移動(dòng)應(yīng)用也是基于TCP協(xié)議;TFTP、DNS以及一些及時(shí)通訊軟件會(huì)使用UDP協(xié)議。所以通過對(duì)IP地址和TCP/UDP端口進(jìn)行過濾,就可以解決許多的服務(wù)的訪問控制問題,這也是防火墻最基本的策略功能。對(duì)于圖1,例如想允許LAN1訪問DMZ網(wǎng)絡(luò)的Web服務(wù)(Web服務(wù)使用TCP80端口),但是禁止LAN1訪問DMZ的SMTP服務(wù)(SMTP服務(wù)使用TCP25端口),可以通過類似如下表的策略來進(jìn)行:源地址目的地址服務(wù)行為10.100.31.0/2410.100.1.0/24TCPdstport80允許10.100.32.0/2410.100.1.0/24TCPdstport25禁止除了通過三、四層的包過濾的方式以外,現(xiàn)有技術(shù)中比較常用的第二個(gè)方案為基于應(yīng)用層的深度包過濾檢測(cè)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)主機(jī)和服務(wù)器的保護(hù),即相當(dāng)一部分安全問題是利用可合理訪問的服務(wù)來進(jìn)行統(tǒng)計(jì)。例如通過已知的Web服務(wù)器的軟件漏洞,來對(duì)Web服務(wù)器進(jìn)行攻擊;或者向服務(wù)器上刪除病毒、木馬文件。這些問題都無法通過報(bào)文的三、四層信息進(jìn)行過濾,因?yàn)榇藭r(shí)攻擊報(bào)文和正常訪問的報(bào)文在報(bào)文的三、四層信息上已經(jīng)沒有差異,攻擊特征在TCP或者UDP的載荷中。對(duì)于這類攻擊,通常的做法是對(duì)應(yīng)用層協(xié)議進(jìn)行解析,將其與預(yù)先分析提取的攻擊模式串進(jìn)行匹配,以發(fā)現(xiàn)攻擊。目前IPS、Anti-virus設(shè)備或者UTM均會(huì)使用這種技術(shù)方案,其中UTM設(shè)備也即是在防火墻的基礎(chǔ)上集成了IPS和Anti-virus的功能,其技術(shù)原理類似。無論是三、四層的包過濾還是應(yīng)用層數(shù)據(jù)的深度內(nèi)容檢測(cè)技術(shù),基本都是同一個(gè)會(huì)話/連接的上下文中進(jìn)行?;谌?、四層的包過濾即通過定義防火墻策略來對(duì)報(bào)文的三層、四層頭進(jìn)行過濾;而基于應(yīng)用層數(shù)據(jù)的深度包檢測(cè)技術(shù)主要的原理是:解析應(yīng)用層協(xié)議,按照應(yīng)用層協(xié)議進(jìn)行解析提取需要的數(shù)據(jù),而后跟預(yù)定義的特征庫進(jìn)行匹配,從而進(jìn)行異常發(fā)現(xiàn)?;谌?、四層的包過濾和基于應(yīng)用層的深度內(nèi)容檢測(cè)技術(shù),它們能解決相當(dāng)一部分的問題,也屬于業(yè)界比較常用和基本的方案。然而,也有一些攻擊從單個(gè)會(huì)話、單個(gè)操作甚至是幾個(gè)操作上都無法發(fā)現(xiàn)異常,但是放在更長(zhǎng)期的上下文中,根據(jù)對(duì)網(wǎng)絡(luò)中的主機(jī)長(zhǎng)時(shí)間的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析、學(xué)習(xí)和分析,卻能發(fā)現(xiàn)是不符合主機(jī)的歷史行為的。這里所謂的網(wǎng)絡(luò)行為,很多情況不僅僅是從單個(gè)會(huì)話中提取,也有從主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)中周期性的提取一些數(shù)據(jù)進(jìn)行預(yù)處理后的結(jié)果。針對(duì)上述現(xiàn)有技術(shù)中一些異常無法通過單會(huì)話/連接檢測(cè)的問題,目前尚未提出有效的解決方案。技術(shù)實(shí)現(xiàn)要素:本發(fā)明實(shí)施例提供了一種基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法和裝置,以至少解決現(xiàn)有技術(shù)中一些異常無法通過單會(huì)話/連接檢測(cè)的技術(shù)問題。根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法,包括:根據(jù)歷史異常網(wǎng)絡(luò)行為,采集至少一個(gè)主機(jī)中每個(gè)主機(jī)的網(wǎng)絡(luò)行為數(shù)據(jù);對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行多維度分析,得到每個(gè)主機(jī)在至少一個(gè)維度中各維度上的維度數(shù)據(jù);確定維度數(shù)據(jù)中的異常維度數(shù)據(jù);針對(duì)每個(gè)主機(jī),將異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配,確定是否發(fā)生異常網(wǎng)絡(luò)行為,并在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,其中,預(yù)定義規(guī)則用于根據(jù)異常維度數(shù)據(jù)確定是否發(fā)生異常網(wǎng)絡(luò)行為以及在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為。根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)裝置,包括:采集模塊,用于根據(jù)歷史異常網(wǎng)絡(luò)行為,采集至少一個(gè)主機(jī)中每個(gè)主機(jī)的網(wǎng)絡(luò)行為數(shù)據(jù);分析模塊,用于對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行多維度分析,得到每個(gè)主機(jī)在至少一個(gè)維度中各維度上的維度數(shù)據(jù);確定模塊,用于確定維度數(shù)據(jù)中的異常維度數(shù)據(jù);匹配模塊,用于針對(duì)每個(gè)主機(jī),將異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配,確定是否發(fā)生異常網(wǎng)絡(luò)行為,并在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,其中,預(yù)定義規(guī)則用于根據(jù)異常維度數(shù)據(jù)確定是否發(fā)生異常網(wǎng)絡(luò)行為以及在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為。在本發(fā)明實(shí)施例中,采用對(duì)內(nèi)網(wǎng)中的每個(gè)主機(jī)進(jìn)行觀察、學(xué)習(xí)和分析的方式,得到一段時(shí)間內(nèi)發(fā)現(xiàn)的可疑的網(wǎng)絡(luò)行為,也就是歷史網(wǎng)絡(luò)行為,根據(jù)歷史異常網(wǎng)絡(luò)行為,采集至少一個(gè)主機(jī)中每個(gè)主機(jī)的網(wǎng)絡(luò)行為數(shù)據(jù);對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行多維度分析,得到每個(gè)主機(jī)在至少一個(gè)維度中各維度上的維度數(shù)據(jù);確定維度數(shù)據(jù)中的異常維度數(shù)據(jù);針對(duì)每個(gè)主機(jī),將異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配,確定是否發(fā)生異常網(wǎng)絡(luò)行為,并在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,其中,預(yù)定義規(guī)則用于根據(jù)異常維度數(shù)據(jù)確定是否發(fā)生異常網(wǎng)絡(luò)行為以及在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,從而達(dá)到了對(duì)基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)的目的,從而實(shí)現(xiàn)了根據(jù)網(wǎng)絡(luò)行為中單個(gè)會(huì)話/連接就能找出異常網(wǎng)絡(luò)行為的技術(shù)效果,進(jìn)而解決了現(xiàn)有技術(shù)中一些異常無法通過單會(huì)話/連接檢測(cè)的技術(shù)問題。附圖說明此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:圖1是根據(jù)現(xiàn)有技術(shù)的一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;圖2是根據(jù)本發(fā)明實(shí)施例1的一種基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法的流程圖;圖3是根據(jù)本發(fā)明實(shí)施例1的一種可選的基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法的流程圖;圖4是根據(jù)本發(fā)明實(shí)施例2的一種基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)裝置的結(jié)構(gòu)圖;圖5是根據(jù)本發(fā)明實(shí)施例2的一種可選的基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)裝置的結(jié)構(gòu)圖;圖6是根據(jù)本發(fā)明實(shí)施例2的一種可選的基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)裝置的結(jié)構(gòu)圖;以及圖7是根據(jù)本發(fā)明實(shí)施例2的一種可選的基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)裝置的結(jié)構(gòu)圖。具體實(shí)施方式為了使本
技術(shù)領(lǐng)域
的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。需要說明的是,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對(duì)象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外,術(shù)語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。實(shí)施例1根據(jù)本發(fā)明實(shí)施例,提供了一種基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法的方法實(shí)施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。圖2是根據(jù)本發(fā)明實(shí)施例的基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法,如圖2所示,該方法包括如下步驟:步驟S102,根據(jù)歷史異常網(wǎng)絡(luò)行為,采集至少一個(gè)主機(jī)中每個(gè)主機(jī)的網(wǎng)絡(luò)行為數(shù)據(jù)。具體的,可以根據(jù)現(xiàn)有的攻擊樣本的網(wǎng)絡(luò)行為提取其共性的網(wǎng)絡(luò)行為,也就是異常網(wǎng)絡(luò)行為,然后將這些異常網(wǎng)絡(luò)行為進(jìn)行分解,可選的,可以分解為基于會(huì)話/連接可進(jìn)行采集的單元,然后根據(jù)這些單元確定數(shù)據(jù)采集項(xiàng),也就是確定需要采集的主機(jī)的網(wǎng)絡(luò)行為數(shù)據(jù),也就是元數(shù)據(jù),綜上,元數(shù)據(jù)是根據(jù)現(xiàn)有的網(wǎng)絡(luò)攻擊的常洛行為總結(jié)出來的,也就是根據(jù)歷史異常網(wǎng)絡(luò)行為總結(jié)出來的,因此,本發(fā)明中采集的網(wǎng)絡(luò)行為數(shù)據(jù)極有可能是異常網(wǎng)絡(luò)行為產(chǎn)生的數(shù)據(jù)。步驟S104,對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行多維度分析,得到每個(gè)主機(jī)在至少一個(gè)維度中各維度上的維度數(shù)據(jù)。具體的,對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行多維度分析也就是對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行預(yù)處理的一個(gè)過程,通過對(duì)元數(shù)據(jù)進(jìn)行預(yù)處理,可以得到維度數(shù)據(jù)。步驟S106,確定維度數(shù)據(jù)中的異常維度數(shù)據(jù)。具體的,異常維度數(shù)據(jù)即基于上述的維度數(shù)據(jù)產(chǎn)生的異常。步驟S108,針對(duì)每個(gè)主機(jī),將異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配,確定是否發(fā)生異常網(wǎng)絡(luò)行為,并在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,其中,預(yù)定義規(guī)則用于根據(jù)異常維度數(shù)據(jù)確定是否發(fā)生異常網(wǎng)絡(luò)行為以及在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為。具體的,維度數(shù)據(jù)產(chǎn)生異常生成異常維度數(shù)據(jù)后,并不一定表示有異常網(wǎng)絡(luò)行為,例如受到攻擊等,因此需要根據(jù)預(yù)定義規(guī)則對(duì)異常維度數(shù)據(jù)進(jìn)行匹配,根據(jù)匹配的結(jié)果判斷是否發(fā)生異常網(wǎng)絡(luò)行為以及具體發(fā)生什么異常網(wǎng)絡(luò)行為,可選的,由于單個(gè)異常維度數(shù)據(jù)并不一定代表異常網(wǎng)絡(luò)行為發(fā)生,可能在有多個(gè)異常維度數(shù)據(jù)時(shí)才表示某個(gè)異常網(wǎng)絡(luò)行為發(fā)生,因此與預(yù)定義規(guī)則進(jìn)行匹配的異常維度數(shù)據(jù)可以是單個(gè)異常維度數(shù)據(jù),也可以是多個(gè)異常維度數(shù)據(jù)進(jìn)行關(guān)聯(lián)匹配。在本發(fā)明實(shí)施例中,采用對(duì)內(nèi)網(wǎng)中的每個(gè)主機(jī)進(jìn)行觀察、學(xué)習(xí)和分析的方式,得到一段時(shí)間內(nèi)發(fā)現(xiàn)的可疑的網(wǎng)絡(luò)行為,也就是歷史網(wǎng)絡(luò)行為,根據(jù)歷史異常網(wǎng)絡(luò)行為,采集至少一個(gè)主機(jī)中每個(gè)主機(jī)的網(wǎng)絡(luò)行為數(shù)據(jù);對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行多維度分析,得到每個(gè)主機(jī)在至少一個(gè)維度中各維度上的維度數(shù)據(jù);確定維度數(shù)據(jù)中的異常維度數(shù)據(jù);針對(duì)每個(gè)主機(jī),將異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配,確定是否發(fā)生異常網(wǎng)絡(luò)行為,并在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,其中,預(yù)定義規(guī)則用于根據(jù)異常維度數(shù)據(jù)確定是否發(fā)生異常網(wǎng)絡(luò)行為以及在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,從而達(dá)到了對(duì)基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)的目的,從而實(shí)現(xiàn)了根據(jù)網(wǎng)絡(luò)行為中單個(gè)會(huì)話/連接就能找出異常網(wǎng)絡(luò)行為的技術(shù)效果,進(jìn)而解決了現(xiàn)有技術(shù)中一些異常無法通過單會(huì)話/連接檢測(cè)的技術(shù)問題。此處需要說明的是,本發(fā)明實(shí)施例中基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)方法突破了以會(huì)話/連接為核心的思路,轉(zhuǎn)而以主機(jī)為核心,綜合主機(jī)在歷史過程中的網(wǎng)絡(luò)行為進(jìn)行采樣、預(yù)處理,之后再記性分析,來判斷是否有異常網(wǎng)絡(luò)行為,本發(fā)明可以與
背景技術(shù)
中基于防火墻三、四層的包過濾技術(shù)和應(yīng)用層數(shù)據(jù)的深度內(nèi)容檢測(cè)技術(shù)結(jié)合使用,作為防火墻三、四層包過濾和應(yīng)用層數(shù)據(jù)的深度內(nèi)容檢測(cè)的一個(gè)有效補(bǔ)充,以增強(qiáng)防火墻的異常檢測(cè)能力。在一種可選的實(shí)施例中,網(wǎng)絡(luò)行為數(shù)據(jù)包括如下至少之一:流量數(shù)據(jù)、連接數(shù)據(jù)、TCP數(shù)據(jù)、HTTP協(xié)議數(shù)據(jù)和DNS數(shù)據(jù)。具體的,網(wǎng)絡(luò)行為數(shù)據(jù)是基于主機(jī)進(jìn)行統(tǒng)計(jì)的,流量數(shù)據(jù)包括如下至少之一:上行流量字節(jié)數(shù)、下行流量字節(jié)數(shù)、上行報(bào)文數(shù)量和下行報(bào)文數(shù)量;連接數(shù)據(jù)包括如下至少之一:從主機(jī)發(fā)起的連接數(shù)、從外部發(fā)起到主機(jī)的連接數(shù)、從主機(jī)發(fā)起的知名端口連接數(shù)和從外部發(fā)起的到主機(jī)的知名端口的連接數(shù);TCP數(shù)據(jù)包括如下至少之一:TCPSYN、PUSH和RST報(bào)文的數(shù)量;HTTP協(xié)議數(shù)據(jù)包括如下至少之一:URL長(zhǎng)度、Cookie長(zhǎng)度、HTTP請(qǐng)求長(zhǎng)度、請(qǐng)求首部的字段數(shù)量、HTTP各種請(qǐng)求方法的數(shù)量、沒有響應(yīng)的HTTP請(qǐng)求數(shù)量、HTTP各種響應(yīng)碼的數(shù)量、HTTP響應(yīng)長(zhǎng)度和HTTP響應(yīng)的內(nèi)容類型;DNS數(shù)據(jù)至少包括DNS的請(qǐng)求域名。在一種可選的實(shí)施例中,維度數(shù)據(jù)包括如下至少之一:流量維度數(shù)據(jù)、會(huì)話維度數(shù)據(jù)、HTTP維度數(shù)據(jù)和DNS維度數(shù)據(jù),其中,流量維度數(shù)據(jù)包括如下至少之一:平均每秒主機(jī)的上行字節(jié)數(shù)、報(bào)文數(shù)量、下行字節(jié)數(shù)、報(bào)文數(shù)量以及平均每秒知名端口的上行字節(jié)數(shù)、報(bào)文數(shù)量、下行字節(jié)數(shù)和報(bào)文數(shù)量;會(huì)話維度數(shù)據(jù)包括如下至少之一:平均每秒向主機(jī)發(fā)起的會(huì)話數(shù)以及目的端口為知名端口的會(huì)話數(shù)、平均每秒由主機(jī)發(fā)起的會(huì)話數(shù)以及目的端口為知名端口的會(huì)話數(shù)、平均每秒主機(jī)連接建立失敗數(shù)量、平均每秒知名端口連接建立失敗數(shù)量、每秒中主機(jī)發(fā)起的HTTP會(huì)話數(shù)量以及失敗的數(shù)量,每秒中向主機(jī)發(fā)起的HTTP會(huì)話數(shù)量及失敗的數(shù)量、當(dāng)前主機(jī)存活的會(huì)話數(shù)量,當(dāng)前主機(jī)存活的HTTP會(huì)話數(shù)量;HTTP維度數(shù)據(jù)包括如下至少之一:URL請(qǐng)求的長(zhǎng)度分布、URL請(qǐng)求的不同路徑的數(shù)量、Cookie長(zhǎng)度的分布、Cookie請(qǐng)求首部的字段數(shù)量的分布、Cookie請(qǐng)求方法的分布、響應(yīng)內(nèi)容類型分布、響應(yīng)內(nèi)容長(zhǎng)度分布、響應(yīng)碼的分布、響應(yīng)內(nèi)容請(qǐng)求方法的分布、各種請(qǐng)求方法的數(shù)量和比例、各種響應(yīng)碼的比例以及HTTP下載的文件類型。此處需要說明的是,對(duì)于分布類的數(shù)據(jù),通常分布統(tǒng)計(jì)成幾種范圍,例如針對(duì)URL長(zhǎng)度,可以統(tǒng)計(jì)為0-32、33–64、64-96、96-128以及>128這5種范圍;DNS維度數(shù)據(jù)至少包括DNS請(qǐng)求的域名。在一種可選的實(shí)施例中,步驟S106中確定維度數(shù)據(jù)中的異常維度數(shù)據(jù),包括:步驟S202,確定每個(gè)主機(jī)的維度數(shù)據(jù)中超過預(yù)設(shè)維度數(shù)據(jù)閾值的維度數(shù)據(jù)為異常維度數(shù)據(jù);或者,步驟S204,確定每個(gè)主機(jī)的維度數(shù)據(jù)中超過預(yù)設(shè)維度數(shù)據(jù)閾值且與所有主機(jī)的平均維度數(shù)據(jù)的偏差超過預(yù)設(shè)偏差的維度數(shù)據(jù)為異常維度數(shù)據(jù)。具體的,在確定異常維度數(shù)據(jù)時(shí),可以采用兩種方式,第一種方式即在維度數(shù)據(jù)超過預(yù)設(shè)維度數(shù)據(jù)閾值的時(shí)候,即判斷該維度數(shù)據(jù)為異常維度數(shù)據(jù);這種方式也可以稱為直接觸發(fā)方式,即根據(jù)維度數(shù)據(jù)即可直接進(jìn)行判斷。此處需要說明的是,針對(duì)每個(gè)主機(jī),由于可能有多個(gè)維度數(shù)據(jù),每個(gè)維度數(shù)據(jù)都有對(duì)應(yīng)的維度數(shù)據(jù)閾值,并且維度數(shù)據(jù)閾值是可以動(dòng)態(tài)學(xué)習(xí)和調(diào)整的,因此可以根據(jù)實(shí)際情況進(jìn)行自定義設(shè)置,也可以經(jīng)過一定時(shí)間對(duì)主機(jī)進(jìn)行學(xué)習(xí)后計(jì)算得到,針對(duì)所有的主機(jī),不同主機(jī)之間可能會(huì)有相同的維度數(shù)據(jù),但是由于不同主機(jī)的行為并非完全一樣,因此即使是不同主機(jī)的相同維度數(shù)據(jù),其對(duì)應(yīng)的維度數(shù)據(jù)閾值也可能是不一樣的。可選的,采用第一種方式時(shí),針對(duì)DNS請(qǐng)求數(shù)據(jù),如果DNS請(qǐng)求了惡意域名或者是一些軟件自動(dòng)生成的域名,或者短時(shí)間內(nèi)發(fā)送了大量的DNS請(qǐng)求,即可確定DNS請(qǐng)求數(shù)據(jù)發(fā)生異常,其中惡意域名可以直接通過黑名單來檢測(cè),而軟件生成的域名則可以通過一些成熟的域名生成算法軟件(DomainGenerationAlgorithm)來檢測(cè);針對(duì)SYN報(bào)文比例數(shù)據(jù),如果SYN報(bào)文的比例過高,則可以確定SYN報(bào)文比例數(shù)據(jù)發(fā)生異常,因?yàn)門CP一個(gè)正常的連接最少7個(gè)報(bào)文,SYN報(bào)文的比例應(yīng)該低于1/7,一般情況遠(yuǎn)遠(yuǎn)低于這個(gè)值;針對(duì)HTTP響應(yīng)碼200比例數(shù)據(jù),如果HTTP的響應(yīng)碼200OK的比例過低,即可確定HTTP響應(yīng)碼200比例數(shù)據(jù)發(fā)生異常,因?yàn)橐话愕恼?qǐng)求都是200OK,當(dāng)這個(gè)比例過低時(shí),比較可能是軟件去嘗試獲取或者繞過認(rèn)證;針對(duì)HTTP下載文件類型數(shù)據(jù),如果下載可執(zhí)行文件,即可確定HTTP下載文件類型數(shù)據(jù)發(fā)生異常。具體的,在確定異常維度數(shù)據(jù)時(shí),還可以采用第二種方式,第二種方式不僅僅需要維度數(shù)據(jù)超過預(yù)設(shè)維度數(shù)據(jù)閾值,還需要將所有主機(jī)的相同的該維度數(shù)據(jù)進(jìn)行比較,只有在其中一臺(tái)主機(jī)的維度數(shù)據(jù)與其他主機(jī)的維度數(shù)據(jù)相比出現(xiàn)異常時(shí),才判斷該維度數(shù)據(jù)發(fā)生異常,即判斷該維度數(shù)據(jù)為異常維度數(shù)據(jù);這種方式也可以稱為橫向比較方式,即需要與所有監(jiān)控的主機(jī)進(jìn)行比較??蛇x的,可以通過計(jì)算偏差的方式來量化其中一臺(tái)主機(jī)的維度數(shù)據(jù)與其他主機(jī)的維度數(shù)據(jù)相比出現(xiàn)異常的程度,即首先計(jì)算所有主機(jī)相同的維度數(shù)據(jù)的平均值,然后計(jì)算每臺(tái)主機(jī)的維度數(shù)據(jù)與該平均值的偏差,如果偏差大于預(yù)設(shè)偏差,則判斷該主機(jī)的維度數(shù)據(jù)發(fā)生異常??蛇x的,針對(duì)某一臺(tái)主機(jī)的新建會(huì)話數(shù),如果新建會(huì)話數(shù)超過對(duì)應(yīng)的閾值,且顯著大于其它主機(jī)時(shí),即可確定該主機(jī)的新建會(huì)話數(shù)發(fā)生異常;針對(duì)某一臺(tái)主機(jī)的新建知名端口會(huì)話,如果新建的目的端口為知名端口的會(huì)話數(shù)超過閾值,且顯著大于其它主機(jī)時(shí),即可確定該主機(jī)的新建知名端口會(huì)話發(fā)生異常;針對(duì)某一臺(tái)主機(jī)的新建HTTP會(huì)話:新建的HTTP會(huì)話數(shù)超過閾值,且顯著大于其它主機(jī)時(shí),即可確定該主機(jī)的新建HTTP會(huì)話發(fā)生異常;針對(duì)某一臺(tái)主機(jī)的知名端口存活會(huì)話數(shù)量:知名端口的連接數(shù)超過閾值,且顯著大于其它主機(jī),即可確定該主機(jī)的知名端口存活會(huì)話數(shù)量發(fā)生異常;針對(duì)某一臺(tái)主機(jī)的HTTP存活會(huì)話數(shù)量:HTTP連接數(shù)超過閾值,且顯著大于其它主機(jī),即可確定該主機(jī)的HTTP存活會(huì)話數(shù)量發(fā)生異常;針對(duì)某一臺(tái)主機(jī)的連接數(shù)量:總連接數(shù)超過閾值,且顯著大于其它主機(jī)時(shí),即可確定該主機(jī)的連接數(shù)量發(fā)生異常;針對(duì)某一臺(tái)主機(jī)的上行流量:上行流量超過閾值,且顯著大于其它主機(jī)時(shí),即可確定該主機(jī)的上行流量發(fā)生異常;針對(duì)某一臺(tái)主機(jī)的上下行流量比例:上下行流量比例顯著大于其它主機(jī)時(shí),即可確定該主機(jī)的上下行流量比例發(fā)生異常;針對(duì)某一臺(tái)主機(jī)的HTTP訪問路徑:到固定的目的地址的不同的URL路徑,數(shù)量超過閾值,且顯著大于其它主機(jī),即可確定該主機(jī)的HTTP訪問路徑發(fā)生異常。在一種可選的實(shí)施例中,步驟S106中確定維度數(shù)據(jù)中的異常維度數(shù)據(jù)之后,還包括:步驟S302,按照周期性對(duì)異常維度數(shù)據(jù)進(jìn)行分組;則步驟S108中將異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配,可以具體為:將處于同一個(gè)周期的異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配。具體的,如上文,針對(duì)一個(gè)主機(jī),由于單個(gè)異常維度數(shù)據(jù)并不一定代表異常網(wǎng)絡(luò)行為發(fā)生,可能在有多個(gè)異常維度數(shù)據(jù)時(shí)才表示某個(gè)異常網(wǎng)絡(luò)行為發(fā)生,因此與預(yù)定義規(guī)則進(jìn)行匹配的異常維度數(shù)據(jù)可以是單個(gè)異常維度數(shù)據(jù),也可以是多個(gè)異常維度數(shù)據(jù)進(jìn)行關(guān)聯(lián)匹配,并且優(yōu)選為對(duì)同一周期的異常維度數(shù)據(jù)進(jìn)行匹配,因此首先需要按照周期性對(duì)異常維度數(shù)據(jù)進(jìn)行分組,其中,用于分組的周期可以自定義設(shè)置。可選的,當(dāng)上行知名端口請(qǐng)求超過閾值,并且上行知名端口返回失敗超過閾值時(shí),可以判斷為向外部發(fā)起掃描;每秒內(nèi)連接HTTP的新建連接超過閾值,并且存活的連接超過閾值,可以判斷為連接耗盡攻擊;HTTP新建請(qǐng)求數(shù)量超過閾值,并且HTTP請(qǐng)求路徑數(shù)量找過閾值,可以判斷為爬蟲行為;HTTP新建請(qǐng)求數(shù)量超過閾值,并大量返回3XX的響應(yīng)碼,可以判斷為嘗試?yán)@過認(rèn)證或者爬蟲;下載可執(zhí)行文件,并產(chǎn)生大量惡意域名或者機(jī)器生產(chǎn)域名的DNS請(qǐng)求,可以判斷為中了木馬或者后門軟件。在一種可選的實(shí)施例中,步驟S106中確定維度數(shù)據(jù)中的異常維度數(shù)據(jù)之后,包括:步驟S402,使用腳步程序分析所有主機(jī)的異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為。具體的,針對(duì)有些周期性較長(zhǎng)且涉及的網(wǎng)絡(luò)數(shù)據(jù)很多的網(wǎng)絡(luò)行為,例如攻擊行為,很難通過預(yù)定義的規(guī)則來對(duì)維度數(shù)據(jù)進(jìn)行關(guān)聯(lián),為了解決這種問題,可以使用腳步程序周期性的對(duì)異常維度進(jìn)行分析,具體可以根據(jù)分析長(zhǎng)時(shí)間內(nèi)大量的異常維度數(shù)據(jù)的規(guī)律,并且根據(jù)該規(guī)律匹配對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,使用腳步程序可以分析的大量的歷史數(shù)據(jù),并且時(shí)間跨度時(shí)間長(zhǎng),甚至可以和其它主機(jī)進(jìn)行關(guān)聯(lián),因此使用腳步程序可以更加復(fù)雜和靈活的對(duì)歷史的維度異常進(jìn)行分析,能彌補(bǔ)預(yù)定義規(guī)則不夠靈活的問題。在一種可選的實(shí)施例中,如圖3所示,通過轉(zhuǎn)發(fā)、基于流的包過濾模塊可以確定需要采集的元數(shù)據(jù),其中元數(shù)據(jù)也就是網(wǎng)絡(luò)行為數(shù)據(jù),通過對(duì)多個(gè)主機(jī)的元數(shù)據(jù)的采集,可以對(duì)元數(shù)據(jù)進(jìn)行預(yù)處理,得到維度數(shù)據(jù),其中多個(gè)主機(jī)在圖3上表示為主機(jī)1、主機(jī)2、主機(jī)3等,具體的,可以將元數(shù)據(jù)輸入到主機(jī)的維度對(duì)應(yīng)的處理函數(shù)中進(jìn)行預(yù)處理,得到每個(gè)主機(jī)的多個(gè)維度數(shù)據(jù),具體的維度數(shù)據(jù)在圖3中表示為維度1、維度2、維度3等,得到維度數(shù)據(jù)后,可以確定維度數(shù)據(jù)中的異常維度數(shù)據(jù),并將異常維度數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫中,經(jīng)過對(duì)數(shù)據(jù)庫中異常維度數(shù)據(jù)的綜合分析,即可得到對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,也就是可能會(huì)產(chǎn)生威脅的事件,并且在確定異常網(wǎng)絡(luò)行為后,可以進(jìn)行異常網(wǎng)絡(luò)行為報(bào)警。在一中可選的實(shí)施例中,本發(fā)明適用于網(wǎng)關(guān)類產(chǎn)品,例如作為防火墻/UTM/下一代防火墻的一個(gè)補(bǔ)充,以增強(qiáng)內(nèi)網(wǎng)主機(jī)的異常檢測(cè)能力,本發(fā)明可以幫助企業(yè)、校園發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)的異?,F(xiàn)象,最終可能定位出內(nèi)網(wǎng)主機(jī)可能被種木馬、感染病毒等情況;以及幫助發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)主動(dòng)對(duì)企業(yè)、校園以及外部服務(wù)器發(fā)起攻擊,降低企業(yè)、校園的安全風(fēng)險(xiǎn)。實(shí)施例2根據(jù)本發(fā)明實(shí)施例,提供了一種基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)裝置的產(chǎn)品實(shí)施例,圖4是根據(jù)本發(fā)明實(shí)施例的基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)裝置,如圖4所示,該裝置包括采集模塊101、分析模塊103、確定模塊105和匹配模塊107。其中,采集模塊101,用于根據(jù)歷史異常網(wǎng)絡(luò)行為,采集至少一個(gè)主機(jī)中每個(gè)主機(jī)的網(wǎng)絡(luò)行為數(shù)據(jù);分析模塊103,用于對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行多維度分析,得到每個(gè)主機(jī)在至少一個(gè)維度中各維度上的維度數(shù)據(jù);確定模塊105,用于確定維度數(shù)據(jù)中的異常維度數(shù)據(jù);匹配模塊107,用于針對(duì)每個(gè)主機(jī),將異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配,確定是否發(fā)生異常網(wǎng)絡(luò)行為,并在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,其中,預(yù)定義規(guī)則用于根據(jù)異常維度數(shù)據(jù)確定是否發(fā)生異常網(wǎng)絡(luò)行為以及在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為。在本發(fā)明實(shí)施例中,采用對(duì)內(nèi)網(wǎng)中的每個(gè)主機(jī)進(jìn)行觀察、學(xué)習(xí)和分析的方式,得到一段時(shí)間內(nèi)發(fā)現(xiàn)的可疑的網(wǎng)絡(luò)行為,也就是歷史網(wǎng)絡(luò)行為,由采集模塊101根據(jù)歷史異常網(wǎng)絡(luò)行為,采集至少一個(gè)主機(jī)中每個(gè)主機(jī)的網(wǎng)絡(luò)行為數(shù)據(jù);分析模塊103對(duì)網(wǎng)絡(luò)行為數(shù)據(jù)進(jìn)行多維度分析,得到每個(gè)主機(jī)在至少一個(gè)維度中各維度上的維度數(shù)據(jù);確定模塊105確定維度數(shù)據(jù)中的異常維度數(shù)據(jù);匹配模塊107針對(duì)每個(gè)主機(jī),將異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配,確定是否發(fā)生異常網(wǎng)絡(luò)行為,并在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,其中,預(yù)定義規(guī)則用于根據(jù)異常維度數(shù)據(jù)確定是否發(fā)生異常網(wǎng)絡(luò)行為以及在確定發(fā)生異常網(wǎng)絡(luò)行為的情況下,確定異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為,從而達(dá)到了對(duì)基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)的目的,從而實(shí)現(xiàn)了根據(jù)網(wǎng)絡(luò)行為中單個(gè)會(huì)話/連接就能找出異常網(wǎng)絡(luò)行為的技術(shù)效果,進(jìn)而解決了現(xiàn)有技術(shù)中一些異常無法通過單會(huì)話/連接檢測(cè)的技術(shù)問題。此處需要說明的是,本發(fā)明實(shí)施例中基于主機(jī)網(wǎng)絡(luò)行為的異常檢測(cè)裝置突破了以會(huì)話/連接為核心的思路,轉(zhuǎn)而以主機(jī)為核心,綜合主機(jī)在歷史過程中的網(wǎng)絡(luò)行為進(jìn)行采樣、預(yù)處理,之后再記性分析,來判斷是否有異常網(wǎng)絡(luò)行為,本發(fā)明可以與
背景技術(shù)
中基于防火墻三、四層的包過濾技術(shù)和應(yīng)用層數(shù)據(jù)的深度內(nèi)容檢測(cè)技術(shù)結(jié)合使用,作為防火墻三、四層包過濾和應(yīng)用層數(shù)據(jù)的深度內(nèi)容檢測(cè)的一個(gè)有效補(bǔ)充,以增強(qiáng)防火墻的異常檢測(cè)能力。此處需要說明的是,上述采集模塊101、分析模塊103、確定模塊105和匹配模塊107對(duì)應(yīng)于實(shí)施例1中的步驟S102至步驟S108,上述模塊與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同,但不限于上述實(shí)施例1所公開的內(nèi)容。需要說明的是,上述模塊作為裝置的一部分可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行。在一種可選的實(shí)施例中,如圖5所示,確定模塊105包括第一確定模塊201和/或第二確定模塊203;其中,第一確定模塊201,用于確定每個(gè)主機(jī)的維度數(shù)據(jù)中超過預(yù)設(shè)維度數(shù)據(jù)閾值的維度數(shù)據(jù)為異常維度數(shù)據(jù);第二確定模塊203,用于確定每個(gè)主機(jī)的維度數(shù)據(jù)中超過預(yù)設(shè)維度數(shù)據(jù)閾值且與所有主機(jī)的平均維度數(shù)據(jù)的偏差超過預(yù)設(shè)偏差的維度數(shù)據(jù)為異常維度數(shù)據(jù)。此處需要說明的是,上述第一確定模塊201和第二確定模塊203對(duì)應(yīng)于實(shí)施例1中的步驟S202至步驟S204,上述模塊與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同,但不限于上述實(shí)施例1所公開的內(nèi)容。需要說明的是,上述模塊作為裝置的一部分可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行。在一種可選的實(shí)施例中,如圖6所示,裝置還包括分組模塊301,用于在確定模塊105確定維度數(shù)據(jù)中的異常維度數(shù)據(jù)之后,按照周期性對(duì)異常維度數(shù)據(jù)進(jìn)行分組;因此匹配模塊107的具體實(shí)施例可以為將處于同一個(gè)周期的異常維度數(shù)據(jù)與預(yù)定義規(guī)則進(jìn)行匹配。此處需要說明的是,上述分組模塊301對(duì)應(yīng)于實(shí)施例1中的步驟S302,上述模塊與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同,但不限于上述實(shí)施例1所公開的內(nèi)容。需要說明的是,上述模塊作為裝置的一部分可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行。在一種可選的實(shí)施例中,如圖7所示,裝置還包括腳步程序分析模塊401,用于在確定模塊105確定維度數(shù)據(jù)中的異常維度數(shù)據(jù)之后,使用腳步程序分析所有主機(jī)的異常維度數(shù)據(jù)對(duì)應(yīng)的異常網(wǎng)絡(luò)行為。此處需要說明的是,上述腳步程序分析模塊401對(duì)應(yīng)于實(shí)施例1中的步驟S402,上述模塊與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同,但不限于上述實(shí)施例1所公開的內(nèi)容。需要說明的是,上述模塊作為裝置的一部分可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行。在一種可選的實(shí)施例中,網(wǎng)絡(luò)行為數(shù)據(jù)包括如下至少之一:流量數(shù)據(jù)、連接數(shù)據(jù)、TCP數(shù)據(jù)、HTTP協(xié)議數(shù)據(jù)和DNS數(shù)據(jù)。上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣。在本發(fā)明的上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重,某個(gè)實(shí)施例中沒有詳述的部分,可以參見其他實(shí)施例的相關(guān)描述。在本申請(qǐng)所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所揭露的技術(shù)內(nèi)容,可通過其它的方式實(shí)現(xiàn)。其中,以上所描述的裝置實(shí)施例僅僅是示意性的,例如所述單元的劃分,可以為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點(diǎn),所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,單元或模塊的間接耦合或通信連接,可以是電性或其它的形式。所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。另外,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理存在,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能單元的形式實(shí)現(xiàn)。所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí),可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可為個(gè)人計(jì)算機(jī)、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括:U盤、只讀存儲(chǔ)器(ROM,Read-OnlyMemory)、隨機(jī)存取存儲(chǔ)器(RAM,RandomAccessMemory)、移動(dòng)硬盤、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本
技術(shù)領(lǐng)域
的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。當(dāng)前第1頁1 2 3 
當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1