一种检测内部用户攻击行为的网络安全防护方案

专利类型：发明专利 

语 言：中文 

申 请 号：CN201410325479.6 

申 请 日：20140709 

发 明 人：向宏匡蕾李思遥胡兵王磊谢锦睿 

申 请 人：重庆大学 

申请人地址：400044 重庆市沙坪坝区沙正街174号重庆大学 

公 开 日：20141022 

公 开 号：CN104113538A 

代 理 人：郭吉安 

代理机构：重庆大学专利中心 50201 

摘　　要：本发明属于网络安全技术领域，特别是一种检测内部用户攻击行为的网络安全防护方案。本发明步骤：构造网络已知攻击的特征的数据库，分析内部网络通信流特征，分析通信数据包特征，确定攻击类型；利用蜜罐技术跟踪未知攻击类型的数据包行为，确定数据包危害性，提取数据包特征值，存储特征数据库中。本发明能够全方位的有效保护内部网络安全，内部人员实施的攻击无论是传统类型还是未知类型，都可以被及时发现、及时报警，及时断开攻击的途径。从而使组织避免遭受到重大的损失。 

主 权 项：一种检测内部用户攻击行为的网络安全防护方案，其特征在于步骤如下：?步骤1：构造网络可能遭遇到的所有攻击数据包类型的攻击特征向量的集合；?利用现有的国防专利201318000561.8中所述的攻击特征集合，构造网络可能遭遇到的所有攻击类型的攻击特征向量；?SC＝(SC₁，SC₂，SC₃)?其中，SC表示集合中攻击类型的特征向量，SC₁表示集合中的攻击数据包字节分布，SC₂表示集合中攻击数据包请求类型，SC₃表示集合中攻击数据包响应代码；?步骤2：获取内部网络当前每个通信数据流；?利用现有网络数据流监控捕获技术，捕获当前的内部网络中的所有通信数据流；?步骤3：分析当前每个通信数据流状况；?利用现有网络分析嗅探技术，分析当前每个内部网络通信数据流的状况，包括会话时长、发送数据包总量以及接收数据包 

关 键 词： 

法律状态：生效 

IPC专利分类号：H04L29/06(2006.01)I