反弹连接检测方法和装置
基本信息
| 申请号 | CN201510119824.5 | 申请日 | - |
| 公开(公告)号 | CN104796405B | 公开(公告)日 | 2019-04-12 |
| 申请公布号 | CN104796405B | 申请公布日 | 2019-04-12 |
| 分类号 | H04L29/06(2006.01)I; H04L29/08(2006.01)I | 分类 | 电通信技术; |
| 发明人 | 林泽辉 | 申请(专利权)人 | 深信服网络科技(深圳)有限公司 |
| 代理机构 | 广州华进联合专利商标代理有限公司 | 代理人 | 何平 |
| 地址 | 518000 广东省深圳市南山区学苑大道1001号南山智园A1栋五层 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明提供了一种反弹连接检测方法和装置,该方法包括:跟踪会话;统计所述跟踪的会话的流量信息;按照预设周期而根据所述统计的流量信息提取对应预设流量行为特征集的特征;采用预训练分类器而根据所述提取的特征对所述跟踪的会话进行属于正常连接类或反弹连接类的分类,并在分类为反弹连接类时判定检测到反弹连接。本发明提供的反弹连接检测方法和装置,利用了模式分类手段来检测反弹连接,而且即使攻击者采用了隧道技术或者对传输的命令进行加密,也能通过流量行为特征分析出恶意反弹连接行为,可以有效检测到反弹连接。进而可以对检测到的反弹连接进行针对性的防御,也可以克服因封堵端口而带来的各种不便。 |
