CN110636085A - 基于流量的攻击检测方法、装置及计算机可读存储介质 - Google Patents
基于流量的攻击检测方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110636085A CN110636085A CN201911099463.7A CN201911099463A CN110636085A CN 110636085 A CN110636085 A CN 110636085A CN 201911099463 A CN201911099463 A CN 201911099463A CN 110636085 A CN110636085 A CN 110636085A
- Authority
- CN
- China
- Prior art keywords
- attack
- flow
- attack detection
- event
- outputting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
根据本发明实施例公开的一种基于流量的攻击检测方法、装置及计算机可读存储介质,获取网络总出口的镜像流量,并将镜像流量传输至流量探针;通过流量探针对镜像流量进行解析,并将解析得到的所有流量元数据上传至基于预设攻击事件样本训练得到的全流量攻击检测模型;通过全流量攻击检测模型对流量元数据进行攻击检测,输出全局流量的攻击事件。通过本发明的实施,利用机器学习引擎的大数据分析能力对全局流量进行攻击检测,增强了攻击检测的全面性,提升了攻击检测的准确性。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种基于流量的攻击检测方法、装置及计算机可读存储介质。
背景技术
随着计算机与网络技术的不断发展,网络流量的攻击检测与处理逐渐成为研究热点。
目前,各行业对于网络攻击的分析和呈现主要是基于安全设备告警日志实现,然而安全设备的检测范围不全导致无法全量覆盖所有攻击流量检测,从而检测范围存在盲区,并且,安全设备基于通用规则进行检测,容易产生大量误报告警,检测准确性较低。
发明内容
本发明实施例的主要目的在于提供一种基于流量的攻击检测方法、装置及计算机可读存储介质,至少能够解决相关技术中基于安全设备告警日志进行网络攻击检测,所导致的检测存在盲区、检测准确性较低的问题。
为实现上述目的,本发明实施例第一方面提供了一种基于流量的攻击检测方法,该方法包括:
获取网络总出口的镜像流量,并将所述镜像流量传输至流量探针;
通过所述流量探针对所述镜像流量进行解析,并将解析得到的所有流量元数据上传至全流量攻击检测模型;其中,所述全流量攻击检测模型基于预设的攻击事件样本训练得到;
通过所述全流量攻击检测模型对所述流量元数据进行攻击检测,并基于攻击检测结果输出全局流量的攻击事件。
为实现上述目的,本发明实施例第二方面提供了一种基于流量的攻击检测装置,该装置包括:
获取模块,用于获取网络总出口的镜像流量,并将所述镜像流量传输至流量探针;
解析模块,用于通过所述流量探针对所述镜像流量进行解析,并将解析得到的所有流量元数据上传至全流量攻击检测模型;其中,所述全流量攻击检测模型基于预设的攻击事件样本训练得到;
检测模块,用于通过所述全流量攻击检测模型对所述流量元数据进行攻击检测,并基于攻击检测结果输出全局流量的攻击事件。
为实现上述目的,本发明实施例第三方面提供了一种电子装置,该电子装置包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和存储器之间的连接通信;
所述处理器用于执行所述存储器中存储的一个或者多个程序,以实现上述任意一种基于流量的攻击检测方法的步骤。
为实现上述目的,本发明实施例第四方面提供了一种计算机可读存储介质,该计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任意一种基于流量的攻击检测方法的步骤。
根据本发明实施例提供的基于流量的攻击检测方法、装置及计算机可读存储介质,获取网络总出口的镜像流量,并将镜像流量传输至流量探针;通过流量探针对镜像流量进行解析,并将解析得到的所有流量元数据上传至基于预设攻击事件样本训练得到的全流量攻击检测模型;通过全流量攻击检测模型对流量元数据进行攻击检测,输出全局流量的攻击事件。通过本发明的实施,利用机器学习引擎的大数据分析能力对全局流量进行攻击检测,增强了攻击检测的全面性,提升了攻击检测的准确性和效率。
本发明其他特征和相应的效果在说明书的后面部分进行阐述说明,且应当理解,至少部分效果从本发明说明书中的记载变的显而易见。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明第一实施例提供的攻击检测方法的流程示意图;
图2为本发明第一实施例提供的失陷资产评估方法的流程示意图;
图3为本发明第二实施例提供的一种攻击检测装置的结构示意图;
图4为本发明第二实施例提供的另一种攻击检测装置的结构示意图;
图5为本发明第三实施例提供的电子装置的结构示意图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
第一实施例:
为了解决相关技术中基于安全设备告警日志进行网络攻击检测,所导致的检测存在盲区、检测准确性较低的技术问题,本实施例提出了一种基于流量的攻击检测方法,如图1所示为本实施例提供的攻击检测方法的流程示意图,具体包括以下的步骤:
步骤101、获取网络总出口的镜像流量,并将镜像流量传输至流量探针。
具体的,本实施例采用流量镜像技术实施获取网络总出口的镜像流量,流量镜像技术是通过在如交换机或路由器上,将一个或多个源端口的数据流量转发到某个指定端口来实现对网络的监听,指定端口称之为“镜像端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。本实施例的攻击检测仅需使用单台流量探针,可以极大降低系统部署成本。
步骤102、通过流量探针对镜像流量进行解析,并将解析得到的所有流量元数据上传至全流量攻击检测模型。
具体的,在本实施例中,流量探针(UTS)主要完成流量数据的采集、解析以及pcap数据的存储功能,对流量数据进行逐层解码并将解析完成后的元数据信息发送至全流量攻击检测模型进行集中处理和分析。
另外,在本实施例中,全流量攻击检测模型基于预设的攻击事件样本训练得到,利用机器学习引擎,能有效检未知威胁。以机器学习引擎来检测蠕虫攻击为例,机器学习引擎从大量蠕虫攻击事件中找到蠕虫攻击的特性,比如蠕虫攻击的目的IP分散、目的端口集中、包大小集中等特性;然后提取攻击的特性并整合成计算机算法程序形成算法模型,然后用大量蠕虫攻击流量和正常流量对蠕虫算法模型进行训练调优最终分析展示;当新的未知流量穿过机器学习引擎时,机器学习引擎就能智能的判断该流量是否带有蠕虫,是否具有攻击性。
步骤103、通过全流量攻击检测模型对流量元数据进行攻击检测,并基于攻击检测结果输出全局流量的攻击事件。
具体的,全流量攻击检测模型是本实施例的攻击检测方案的核心,采集用户原始流量,并实现应用层流量还原、安全场景分析,为高级威胁分析提供数据支撑的平台系统,目的是为安全管理员提供尽可能准确的“结果”。全流量攻击检测模型具备全流量分析功能,利用其机器学习引擎和规则检测能力,可以及时发现网络攻击事件线索,及时检测病毒木马、网络攻击等攻击事件情况。并且,全流量攻击检测模型具备全流量关联和取证功能,能够从多维度多角度进行长时间跨度的关联分析,同时系统提供渐进式攻击事件分析和取证;全流量攻击检测模型具备特定攻击场景分析能力,能够快速实现场景分析。应当说明的是,本实施例为了便于系统部署与集成,全流量攻击检测模型同时也向用户提供北向接口,可与出口路由器联动,实现一键封堵。
还应当说明的是,本实施例的系统中还可以设置有文件检测单元(TAC)和威胁情报单元(NTI),其中,文件检测单元提供恶意文件检测功能,基于沙箱检测引擎,可以动态虚拟执行各类文件及应用程序,并将检测结果上报至全流量攻击检测模型进行进一步处理和分析;另外,威胁情报单元提供威胁情报功能,通过与情报的有效结合,可以实时获取全球最新的安全威胁热点事件和信息,大幅提升输出的攻击事件的可信程度。
在本实施例一种可选的实施方式中,基于攻击检测结果输出全局流量的攻击事件的实现方式包括但不限于以下两种:
方式一,实时获取当前的安全威胁热点事件类型,并基于攻击检测结果对符合安全威胁热点事件类型的全局流量的攻击事件进行输出;
具体的,本实施例在系统可以对事件告警进行关联分析并输出普遍关注的重点事件,如热点事件、apt攻击事件、Botnet事件、恶意样本传播事件或单次高危攻击事件等。
方式二,获取预设的自定义攻击事件类型,并基于攻击检测结果对符合自定义攻击事件类型的全局流量的攻击事件进行输出;
具体的,在本实施例中,用户也可以根据自身业务特点自定义事件类型进行输出,帮助安全管理员从海量告警中快速发现需要处理的重点事件。
如图2所示为本实施例提供的失陷资产评估方法的流程示意图,在本实施例一种可选的实施方式中,在基于攻击检测结果输出全局流量的攻击事件之后,还包括以下步骤:
步骤201、基于攻击事件的攻击属性信息获取可疑失陷资产;
步骤202、对可疑失陷资产进行失陷度评估;
步骤203、根据失陷度评估结果输出失陷资产总体信息。
具体的,本实施例可以结合攻击属性信息例如攻击方向、攻击类型等维度对失陷资产进行判断,从资产角度出发,结合攻击链模型向用户展示失陷资产的总体情况,帮助安全管理员从海量告警事件中,快速定位需要关注和处理的资产。
在本实施例一种可选的实施方式中,在基于攻击检测结果输出全局流量的攻击事件之后,还包括:通过查询流量日志,或针对攻击事件下钻到原始流量,从流量探针所存储的全局流量pcap包信息中获取关联于攻击事件的pcap包信息。
具体的,在本实施例中,基于数据回溯功能,系统提供pcap包取证能力,当事件发生后,可以溯源历史流量数据和pcap文件,从而分析还原攻击者的具体行为及过程。用户可以通过查看流量日志进行pcap包取证,也支持以事件下钻的方式,自动关联出攻击告警相关的pcap包信息。用户还可以手动设置条件,查询自己关心的流量,对历史流量进行精确下载。
应当说明的是,在本实施例中,出于流量元数据和全量pcap包的使用场景不同,在存储过程中对上述两种数据也进行了分开存储。流量元数据信息通过流量探针解码之后,直接发送到全流量攻击检测模型进行存储和后续利用;而全量pcap包平时只保存在流量探针内部,当用户进行pcap取证时,全流量攻击检测模型会按照规则调取流量探针中的pcap数据到自身平台中,供用户下载使用,最大程度地提高数据的存储性能(存储效率和存储空间利用率)。
还应当说明的是,本实施例可以在流量层面,对攻击事件进行扩展调查,聚合攻击者的所有通信流量,提取可能留下攻击痕迹的特征,例如流量大小、会话数量、连接时长等,然后再进行特征可视化,捕获更多攻击行为。
在本实施例一种可选的实施方式中,在基于攻击检测结果输出全局流量的攻击事件之后,还包括:基于攻击事件的攻击属性信息提取攻击者特征信息;对攻击者特征信息进行关联查询,并基于查询结果输出攻击者画像。
具体的,本实施例的攻击者特征可以包括攻击者ID、攻击项目名称、攻击者所属地区等。系统可以从攻击者的角度出发,为安全管理员梳理出对网络最具威胁的攻击者,通过情报关联功能,追溯攻击者的相关信息,聚合攻击者在网络中的攻击行为和通信行为,增加攻击事件可信度,安全管理员可以通过攻击者画像分析,回溯事件源头,从根本上处置类似攻击事件的发生。
在本实施例一种可选的实施方式中,在基于攻击检测结果输出全局流量的攻击事件之后,还包括:获取攻击事件所对应的攻击者的IP地址;在出口路由器上针对攻击者的IP地址添加黑洞路由。
具体的,在本实施例中,可以采用BGP二次迭代,根据分析出来的攻击者IP地址,通过全流量攻击检测模型发送BGP黑洞路由实现对攻击IP地址的一键封堵。这里的封堵所实现的功能可以包括自动封禁、自动解封。
在本实施例一种可选的实施方式中,在基于攻击检测结果输出全局流量的攻击事件之后,还包括:基于攻击事件的攻击属性信息,获取关联攻击事件;基于攻击事件以及关联攻击事件建立攻击链。
具体的,本实施例的攻击链用于表征攻击事件之间的关联关系。在本实施例中,建立基于攻击链的攻击事件关联分析方式,将各种有关联的攻击事件进行分析梳理,形成攻击事件的树状结构图,一旦发现了某种攻击事件,就能够基于树状结构进行反向的历史追溯或正向的研判分析,从而将各种看似没有关系的异常行为串联起来,实现对已经发生的攻击事件进行溯源,对还没有产生的攻击事件进行预警。
此外,还应当说明的是,在本实施例的全流量攻击检测模型之外,考虑到用户的一些个性化的攻击检测需求,本实施例还支持自定义黑名单、自定义规则、自定义检测插件,来辅助进行更为全面的攻击检测。其中,自定义黑名单支持自定义IP、域名、URL等黑名单,自定义规则基于spark、spark sql等,执行黑名单、sql类的规则检测,而自定义检测插件则是以插件的方式实现复杂的检测模型,对检测插件进行调度和监控,快速响应客户的需求。
根据本发明实施例提供的基于流量的攻击检测方法,获取网络总出口的镜像流量,并将镜像流量传输至流量探针;通过流量探针对镜像流量进行解析,并将解析得到的所有流量元数据上传至基于预设攻击事件样本训练得到的全流量攻击检测模型;通过全流量攻击检测模型对流量元数据进行攻击检测,输出全局流量的攻击事件。通过本发明的实施,利用机器学习引擎的大数据分析能力对全局流量进行攻击检测,增强了攻击检测的全面性,提升了攻击检测的准确性和效率。
第二实施例:
为了解决相关技术中基于安全设备告警日志进行网络攻击检测,所导致的检测存在盲区、检测准确性较低的技术问题,本实施例示出了一种基于流量的攻击检测装置,具体请参见图3,本实施例的攻击检测装置包括:
获取模块301,用于获取网络总出口的镜像流量,并将镜像流量传输至流量探针;
解析模块302,用于通过流量探针对镜像流量进行解析,并将解析得到的所有流量元数据上传至全流量攻击检测模型;其中,全流量攻击检测模型基于预设的攻击事件样本训练得到;
检测模块303,用于通过全流量攻击检测模型对流量元数据进行攻击检测,并基于攻击检测结果输出全局流量的攻击事件。
在本实施例的一些实施方式中,检测模块303在基于攻击检测结果输出全局流量的攻击事件时,具体用于:实时获取当前的安全威胁热点事件类型,并基于攻击检测结果对符合安全威胁热点事件类型的全局流量的攻击事件进行输出;或,获取预设的自定义攻击事件类型,并基于攻击检测结果对符合自定义攻击事件类型的全局流量的攻击事件进行输出。
如图4为本实施例提供的另一种攻击检测装置,在本实施例的一些实施方式中,攻击检测装置还包括:评估模块304,用于在基于攻击检测结果输出全局流量的攻击事件之后,基于攻击事件的攻击属性信息获取可疑失陷资产;对可疑失陷资产进行失陷度评估;根据失陷度评估结果输出失陷资产总体信息。
在本实施例的一些实施方式中,获取模块301还用于:在基于攻击检测结果输出全局流量的攻击事件之后,通过查询流量日志,或针对攻击事件下钻到原始流量,从流量探针所存储的全局流量pcap包信息中获取关联于攻击事件的pcap包信息。
请再次参阅图4,在本实施例的一些实施方式中,攻击检测装置还包括:添加模块305,用于:在基于攻击检测结果输出全局流量的攻击事件之后,获取攻击事件所对应的攻击者的IP地址;在出口路由器上针对攻击者的IP地址添加黑洞路由。
请再次参阅图4,在本实施例的一些实施方式中,攻击检测装置还包括:输出模块306,用于:在基于攻击检测结果输出全局流量的攻击事件之后,基于攻击事件的攻击属性信息提取攻击者特征信息;对攻击者特征信息进行关联查询,并基于查询结果输出攻击者画像。
请再次参阅图4,进一步地,在本实施例的一些实施方式中,攻击检测装置还包括:建立模块307,用于:在基于攻击检测结果输出全局流量的攻击事件之后,基于攻击事件的攻击属性信息,获取关联攻击事件;基于攻击事件以及关联攻击事件建立攻击链,其中,攻击链用于表征攻击事件之间的关联关系。
应当说明的是,前述实施例中的基于流量的攻击检测方法均可基于本实施例提供的基于流量的攻击检测装置实现,所属领域的普通技术人员可以清楚的了解到,为描述的方便和简洁,本实施例中所描述的基于流量的攻击检测装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
采用本实施例提供的基于流量的攻击检测装置,获取网络总出口的镜像流量,并将镜像流量传输至流量探针;通过流量探针对镜像流量进行解析,并将解析得到的所有流量元数据上传至基于预设攻击事件样本训练得到的全流量攻击检测模型;通过全流量攻击检测模型对流量元数据进行攻击检测,输出全局流量的攻击事件。通过本发明的实施,利用机器学习引擎的大数据分析能力对全局流量进行攻击检测,增强了攻击检测的全面性,提升了攻击检测的准确性和效率。
第三实施例:
本实施例提供了一种电子装置,参见图5所示,其包括处理器501、存储器502及通信总线503,其中:通信总线503用于实现处理器501和存储器502之间的连接通信;处理器501用于执行存储器502中存储的一个或者多个计算机程序,以实现上述实施例一中的基于流量的攻击检测方法中的至少一个步骤。
本实施例还提供了一种计算机可读存储介质,该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory,随机存取存储器),ROM(Read-Only Memory,只读存储器),EEPROM(Electrically Erasable Programmable read only memory,带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
本实施例中的计算机可读存储介质可用于存储一个或者多个计算机程序,其存储的一个或者多个计算机程序可被处理器执行,以实现上述实施例一中的方法的至少一个步骤。
本实施例还提供了一种计算机程序,该计算机程序可以分布在计算机可读介质上,由可计算装置来执行,以实现上述实施例一中的方法的至少一个步骤;并且在某些情况下,可以采用不同于上述实施例所描述的顺序执行所示出或描述的至少一个步骤。
本实施例还提供了一种计算机程序产品,包括计算机可读装置,该计算机可读装置上存储有如上所示的计算机程序。本实施例中该计算机可读装置可包括如上所示的计算机可读存储介质。
可见,本领域的技术人员应该明白,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。
此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种基于流量的攻击检测方法,其特征在于,包括:
获取网络总出口的镜像流量,并将所述镜像流量传输至流量探针;
通过所述流量探针对所述镜像流量进行解析,并将解析得到的所有流量元数据上传至全流量攻击检测模型;其中,所述全流量攻击检测模型基于预设的攻击事件样本训练得到;
通过所述全流量攻击检测模型对所述流量元数据进行攻击检测,并基于攻击检测结果输出全局流量的攻击事件。
2.如权利要求1所述的攻击检测方法,其特征在于,所述基于攻击检测结果输出全局流量的攻击事件包括:
实时获取当前的安全威胁热点事件类型,并基于攻击检测结果对符合所述安全威胁热点事件类型的全局流量的攻击事件进行输出;
或,获取预设的自定义攻击事件类型,并基于攻击检测结果对符合所述自定义攻击事件类型的全局流量的攻击事件进行输出。
3.如权利要求1所述的攻击检测方法,其特征在于,所述基于攻击检测结果输出全局流量的攻击事件之后,还包括:
基于所述攻击事件的攻击属性信息获取可疑失陷资产;
对所述可疑失陷资产进行失陷度评估;
根据所述失陷度评估结果输出失陷资产总体信息。
4.如权利要求1所述的攻击检测方法,其特征在于,所述基于攻击检测结果输出全局流量的攻击事件之后,还包括:
通过查询流量日志,或针对所述攻击事件下钻到原始流量,从所述流量探针所存储的全局流量pcap包信息中获取关联于所述攻击事件的pcap包信息。
5.如权利要求1所述的攻击检测方法,其特征在于,所述基于攻击检测结果输出全局流量的攻击事件之后,还包括:
获取所述攻击事件所对应的攻击者的IP地址;
在出口路由器上针对所述攻击者的IP地址添加黑洞路由。
6.如权利要求1所述的攻击检测方法,其特征在于,所述基于攻击检测结果输出全局流量的攻击事件之后,还包括:
基于所述攻击事件的攻击属性信息提取攻击者特征信息;
对所述攻击者特征信息进行关联查询,并基于查询结果输出攻击者画像。
7.如权利要求1至6中任意一项所述的攻击检测方法,其特征在于,所述基于攻击检测结果输出全局流量的攻击事件之后,还包括:
基于所述攻击事件的攻击属性信息,获取关联攻击事件;
基于所述攻击事件以及关联攻击事件建立攻击链;其中,所述攻击链用于表征攻击事件之间的关联关系。
8.一种基于流量的攻击检测装置,其特征在于,包括:
获取模块,用于获取网络总出口的镜像流量,并将所述镜像流量传输至流量探针;
解析模块,用于通过所述流量探针对所述镜像流量进行解析,并将解析得到的所有流量元数据上传至全流量攻击检测模型;其中,所述全流量攻击检测模型基于预设的攻击事件样本训练得到;
检测模块,用于通过所述全流量攻击检测模型对所述流量元数据进行攻击检测,并基于攻击检测结果输出全局流量的攻击事件。
9.一种电子装置,其特征在于,包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和存储器之间的连接通信;
所述处理器用于执行所述存储器中存储的一个或者多个程序,以实现如权利要求1至7中任意一项所述的基于流量的攻击检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至7中任意一项所述的基于流量的攻击检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911099463.7A CN110636085A (zh) | 2019-11-12 | 2019-11-12 | 基于流量的攻击检测方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911099463.7A CN110636085A (zh) | 2019-11-12 | 2019-11-12 | 基于流量的攻击检测方法、装置及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110636085A true CN110636085A (zh) | 2019-12-31 |
Family
ID=68979295
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911099463.7A Pending CN110636085A (zh) | 2019-11-12 | 2019-11-12 | 基于流量的攻击检测方法、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110636085A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935145A (zh) * | 2020-08-10 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
| CN112910842A (zh) * | 2021-01-14 | 2021-06-04 | 中国电子科技集团公司第十五研究所 | 一种基于流量还原的网络攻击事件取证方法与装置 |
| CN113259202A (zh) * | 2021-06-28 | 2021-08-13 | 四川新网银行股份有限公司 | 一种监控不安全文件共享的方法与系统 |
| CN113329035A (zh) * | 2021-06-29 | 2021-08-31 | 深信服科技股份有限公司 | 一种攻击域名的检测方法、装置、电子设备及存储介质 |
| CN113452707A (zh) * | 2021-06-28 | 2021-09-28 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
| CN113596037A (zh) * | 2021-07-31 | 2021-11-02 | 南京云利来软件科技有限公司 | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 |
| CN113645224A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
| CN113726790A (zh) * | 2021-09-01 | 2021-11-30 | 中国移动通信集团广西有限公司 | 网络攻击源的识别和封堵方法、系统、装置及介质 |
| CN114266047A (zh) * | 2021-12-14 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种恶意程序防御方法、装置、电子设备及存储介质 |
| CN114826727A (zh) * | 2022-04-22 | 2022-07-29 | 南方电网数字电网研究院有限公司 | 流量数据采集方法、装置、计算机设备、存储介质 |
| CN116827698A (zh) * | 2023-08-31 | 2023-09-29 | 国能大渡河大数据服务有限公司 | 一种网络关口流量安全态势感知系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302318A (zh) * | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| US20180324573A1 (en) * | 2014-04-23 | 2018-11-08 | Huawei Technologies Co., Ltd. | Information Sending Method, Network Device, and Terminal |
-
2019
- 2019-11-12 CN CN201911099463.7A patent/CN110636085A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180324573A1 (en) * | 2014-04-23 | 2018-11-08 | Huawei Technologies Co., Ltd. | Information Sending Method, Network Device, and Terminal |
| CN106302318A (zh) * | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 绿盟科技: ""绿盟全流量威胁分析解决方案白皮书"", 《百度》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935145A (zh) * | 2020-08-10 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
| CN111935145B (zh) * | 2020-08-10 | 2021-05-25 | 武汉思普崚技术有限公司 | 一种实现网络流量安全分析的硬件无关化方法及系统 |
| CN112910842A (zh) * | 2021-01-14 | 2021-06-04 | 中国电子科技集团公司第十五研究所 | 一种基于流量还原的网络攻击事件取证方法与装置 |
| CN112910842B (zh) * | 2021-01-14 | 2021-10-01 | 中国电子科技集团公司第十五研究所 | 一种基于流量还原的网络攻击事件取证方法与装置 |
| CN113259202A (zh) * | 2021-06-28 | 2021-08-13 | 四川新网银行股份有限公司 | 一种监控不安全文件共享的方法与系统 |
| CN113452707A (zh) * | 2021-06-28 | 2021-09-28 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
| CN113329035A (zh) * | 2021-06-29 | 2021-08-31 | 深信服科技股份有限公司 | 一种攻击域名的检测方法、装置、电子设备及存储介质 |
| CN113596037A (zh) * | 2021-07-31 | 2021-11-02 | 南京云利来软件科技有限公司 | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 |
| CN113645224A (zh) * | 2021-08-09 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
| CN113645224B (zh) * | 2021-08-09 | 2022-12-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
| CN113726790A (zh) * | 2021-09-01 | 2021-11-30 | 中国移动通信集团广西有限公司 | 网络攻击源的识别和封堵方法、系统、装置及介质 |
| CN113726790B (zh) * | 2021-09-01 | 2023-06-16 | 中国移动通信集团广西有限公司 | 网络攻击源的识别和封堵方法、系统、装置及介质 |
| CN114266047A (zh) * | 2021-12-14 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 一种恶意程序防御方法、装置、电子设备及存储介质 |
| CN114826727A (zh) * | 2022-04-22 | 2022-07-29 | 南方电网数字电网研究院有限公司 | 流量数据采集方法、装置、计算机设备、存储介质 |
| CN114826727B (zh) * | 2022-04-22 | 2024-05-07 | 南方电网数字电网研究院有限公司 | 流量数据采集方法、装置、计算机设备、存储介质 |
| CN116827698A (zh) * | 2023-08-31 | 2023-09-29 | 国能大渡河大数据服务有限公司 | 一种网络关口流量安全态势感知系统及方法 |
| CN116827698B (zh) * | 2023-08-31 | 2023-12-05 | 国能大渡河大数据服务有限公司 | 一种网络关口流量安全态势感知系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110636085A (zh) | 基于流量的攻击检测方法、装置及计算机可读存储介质 | |
| US8578493B1 (en) | Botnet beacon detection | |
| US10616258B2 (en) | Security information and event management | |
| US9979739B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
| US9003528B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using N-gram distribution of data | |
| CN110881043B (zh) | 一种web服务器漏洞的检测方法及装置 | |
| CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| CN105812200B (zh) | 异常行为检测方法及装置 | |
| CN108134761B (zh) | 一种apt检测系统及装置 | |
| Smallwood et al. | Intrusion analysis with deep packet inspection: increasing efficiency of packet based investigations | |
| Osanaiye et al. | Change-point cloud DDoS detection using packet inter-arrival time | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| CN112822147A (zh) | 一种用于分析攻击链的方法、系统及设备 | |
| CN111641591A (zh) | 云服务安全防御方法、装置、设备及介质 | |
| CN113783880A (zh) | 网络安全检测系统及其网络安全检测方法 | |
| CN116389099A (zh) | 威胁检测方法、装置、电子设备及存储介质 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN112217777A (zh) | 攻击回溯方法及设备 | |
| Catalin et al. | An efficient method in pre-processing phase of mining suspicious web crawlers | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| CN112671800A (zh) | 一种威胁量化企业风险值的方法 | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| Joshi et al. | An enhanced framework for identification and risks assessment of zero-day vulnerabilities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191231 |