CN111181978B - 异常网络流量的检测方法、装置、电子设备及存储介质 - Google Patents
异常网络流量的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111181978B CN111181978B CN201911421809.0A CN201911421809A CN111181978B CN 111181978 B CN111181978 B CN 111181978B CN 201911421809 A CN201911421809 A CN 201911421809A CN 111181978 B CN111181978 B CN 111181978B
- Authority
- CN
- China
- Prior art keywords
- access
- flow
- equipment
- target
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种异常网络流量的检测方法,所述根据目标设备的网络全流量确定所述目标设备与其他设备之间的访问关系;根据所述访问关系与预设访问规则配置流量访问策略;利用所述流量访问策略检测所述目标设备的异常访问流量。本申请能够提高流量访问策略的有效性,提高检测异常网络流量的准确率。本申请还公开了一种异常网络流量的检测装置、一种电子设备及一种存储介质,具有以上有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种异常网络流量的检测方法、装置、一种电子设备及一种存储介质。
背景技术
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证,提高网络安全能够避免信息泄露并实现业务正常运行。
目前防火墙、路由器等安全设备都只能从单个视角对流量进行管控,分析视角单一,并且在访问策略运维过程中会出现策略失效或策略配置不合理的情况。
因此,如何提高流量访问策略的有效性,提高检测异常网络流量的准确率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种异常网络流量的检测方法、装置、一种电子设备及一种存储介质,能够提高流量访问策略的有效性,提高检测异常网络流量的准确率。
为解决上述技术问题,本申请提供一种异常网络流量的检测方法,该异常网络流量的检测方法包括:
根据目标设备的网络全流量确定所述目标设备与其他设备之间的访问关系;
根据所述访问关系与预设访问规则配置流量访问策略;
利用所述流量访问策略检测所述目标设备的异常访问流量。
可选的,根据所述访问关系与预设访问规则配置流量访问策略包括:
若所述访问关系对应的其他设备为黑名单中的第一设备,则生成禁止所述目标设备访问所述第一设备的流量访问策略,和/或,禁止所述第一设备访问所述目标设备的流量访问策略;
若所述访问关系对应的其他设备为白名单中的第二设备,则生成允许所述目标设备访问所述第二设备的流量访问策略,和/或,允许所述第二设备访问所述目标设备的流量访问策略。
可选的,根据所述访问关系与预设访问规则配置流量访问策略包括:
根据所述访问关系对应的五元组与所述预设访问规则配置所述流量访问策略。
可选的,还包括:
将所述访问关系对应的应用信息、生效时间和域名信息设置为所述流量访问策略的辅助评价信息;
相应的,利用所述流量访问策略检测所述目标设备的包括:
获取所述待检测流量对应的待检测访问关系;
判断所述待检测访问关系对应的五元组是否符合所述流量访问策略;
若所述待检测访问关系对应的五元组不符合所述流量访问策略,则判定所述待检测流量为异常访问流量;
若所述待检测访问关系对应的五元组符合所述流量访问策略,则将所述待检测访问关系对应的五元组所符合的流量访问策略设置为目标流量访问策略;
判断所述待检测访问关系对应的应用信息、生效时间和域名信息与所述目标流量访问策略的辅助评价信息是否相同;
若不相同,则判定所述待检测流量为异常访问流量。
可选的,在若所述待检测访问关系对应的五元组不符合所述流量访问策略,则判定所述待检测流量为异常访问流量之后,还包括:
判断所述异常访问流量不符合所述流量访问策略的原因是否为五元组失效;
若是,则根据所述异常访问流量的五元组更新流量访问策略。
可选的,在利用所述流量访问策略检测所述目标设备的异常访问流量之后,还包括:
判断所述异常访问流量是否被误判;
若是,则根据所述异常访问流量生成新流量访问策略。
可选的,还包括:
在用户界面生成所述网络全流量对应的可视化信息;其中,所述可视化信息包括目标设备的设备信息、访问趋势和访问信息中任一项或任几项的组合,所述设备信息包括会话数量、开放端口名称和总流量,所述访问信息包括访问对象组和所述访问对象组对应的访问方向,所述访问对象组通过对所述其他设备按照预设分组规则聚合得到。
可选的,还包括:
若接收到访问方向筛选指令,则确定所述访问方向筛选指令对应的目标访问方向,并显示所述目标访问方向对应的可视化信息;其中,所述目标访问方向包括所述目标设备访问所述其他设备的访问方向,或所述其他设备访问所述目标设备的访问方向;
若接收到访问对象筛选指令,则确定所述访问对象筛选指令对应的目标访问对象组,并显示所述目标对象访问组内每一设备对应的可视化信息。
本申请还提供了一种异常网络流量的检测装置,该异常网络流量的检测装置包括:
访问关系确定模块,用于根据目标设备的网络全流量确定所述目标设备与其他设备之间的访问关系;
策略配置模块,用于根据所述访问关系与预设访问规则配置流量访问策略;
检测模块,用于利用所述流量访问策略检测所述目标设备的异常访问流量。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述异常网络流量的检测方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述异常网络流量的检测方法执行的步骤。
本申请提供了一种异常网络流量的检测方法,包括根据目标设备的网络全流量确定所述目标设备与其他设备之间的访问关系;根据所述访问关系与预设访问规则配置流量访问策略;利用所述流量访问策略检测所述目标设备的异常访问流量。
本申请首先获取目标设备的网络全流量,根据网络全流量确定目标设备对其他设备的访问关系。由于访问关系根据网络全流量确定,因此访问关系更够体现目标设备在全局范围内的访问状况,根据访问关系与预设访问规则配置的流量访问策略可以从对多个被访问设备的角度设置流量访问策略,以便在进行全局流量检测分析时流量访问策略能够对目标设备的所有访问流量进行检测。可见本申请能够提高流量访问策略的有效性,提高检测异常网络流量的准确率。本申请同时还提供了一种异常网络流量的检测装置、一种电子设备和一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种异常网络流量的检测方法的流程图;
图2为本申请实施例所提供的一种基于全流量分析的异常网络流量的检测方法的流程图;
图3为本申请实施例所提供的一种异常网络流量的检测装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种异常网络流量的检测方法的流程图。
具体步骤可以包括:
S101:根据目标设备的网络全流量确定目标设备与其他设备之间的访问关系;
其中,目标设备可以为网络系统中的设备,目标设备可以与其他设备进行流量交互,本步骤可以利用流量探针获取目标设备的网络全流量。访问流量指目标设备访问其他设备时产生的流量,根据访问流量可以确定目标设备与其他设备之间的访问关系。
作为一种可行的实施方式,本步骤可以利用流量探针获取所述目标设备在目标时间段内的网络全流量。本步骤还可以根据网络全流量中的五元组(即源IP、目的IP、协议和目的端口)确定目标设备与其他设备之间的访问关系,该访问关系即可以包括目标设备访问其他设备,也可以包括其他设备访问目标设备。
S102:根据访问关系与预设访问规则配置流量访问策略;
具体的,预设访问规则可以为允许和/或禁止目标设备访问其他设备,也可以为允许和/或禁止其他设备访问目标设备,本实施例可以利用黑白名单设置访问规则,进而结合访问关系与预设访问规则配置流量访问策略。
比如,预设访问规则中规定设备A不可以访问设备B,但是由于某种原因,发现设备A访问了设备B,那么可基于设备A与设备B的访问关系直接配置一条设备A不可以访问设备B的流量访问策略,并在后续的访问过程中,根据该配置的流量访问策略对后续设备A与设备B之间的访问流量进行监控。另外,流量访问策略可以有多个,比如,上述设备A还访问了设备C,如果预设访问规则中设备A也不可以访问设备C,那么可基于设备A与设备C的访问关系直接配置一条设备A不可以访问设备C的流量访问策略。
S103:利用流量访问策略检测目标设备的异常访问流量。
其中,在得到了流量访问策略之后,本实施例可以利用流量访问策略对目标设备中的访问流量进行实时监控,进而确定异常访问流量。具体的,检测到异常访问流量的原因可以为流量访问策略构建不完整或存在漏洞导致,因此可以根据违规访问流量更新或添加流量访问策略。进一步的,本实施例可以对违规访问流量进行筛选得到误判流量,根据误判流量的五元组、应用信息、生效时间和域名信息生成新的流量访问策略。
本实施例首先获取目标设备的网络全流量,根据网络全流量确定目标设备对其他设备的访问关系。由于访问关系根据网络全流量确定,因此访问关系更够体现目标设备在全局范围内的访问状况,根据访问关系与预设访问规则配置的流量访问策略可以从对多个被访问设备的角度设置流量访问策略,以便在进行全局流量检测分析时流量访问策略能够对目标设备的所有访问流量进行检测。可见本实施例能够提高流量访问策略的有效性,提高检测异常网络流量的准确率。
作为对于图1对应实施例的进一步介绍,S102中配置流量访问策略的方案可以具体为:若所述访问关系对应的其他设备为黑名单中的第一设备,则生成禁止所述目标设备访问所述第一设备的流量访问策略,和/或,禁止所述第一设备访问所述目标设备的流量访问策略。若所述访问关系对应的其他设备为白名单中的第二设备,则生成允许所述目标设备访问所述第二设备的流量访问策略,和/或,允许所述第二设备访问所述目标设备的流量访问策略。黑名单中可以包括任意数量个第一设备,白名单中可以包括任意数量个第二设备。若所述访问关系对应的其他设备为黑名单中的第一设备,配置的流量访问策略中包括该访问关系的五元组,以便将具有该五元组的网络流量设置为异常网络流量。若所述访问关系对应的其他设备为白名单中的第二设备,配置的流量访问策略中包括该访问关系的五元组,以便将不具有该五元组的网络流量设置为异常网络流量。
进一步的,本实施例还可以将所述访问关系对应的应用信息、生效时间和域名信息设置为所述流量访问策略的辅助评价信息。相应的,利用所述流量访问策略检测所述目标设备的可以包括以下步骤:
步骤1:获取所述待检测流量对应的待检测访问关系。
步骤2:判断所述待检测访问关系对应的五元组是否符合所述流量访问策略;若否,则进入步骤3;若是,则进入步骤4。
步骤3:判定所述待检测流量为异常访问流量,并结束流程。
步骤4:将所述待检测访问关系对应的五元组所符合的流量访问策略设置为目标流量访问策略。
步骤5:判断所述待检测访问关系对应的应用信息、生效时间和域名信息与所述目标流量访问策略的辅助评价信息是否相同;若是,则判定待检测流量为正常流量,若否,则进入步骤6。
其中,应用信息指访问流量对应的应用名称,利用目标设备利用通讯应用访问其他设备,应用信息包括该通讯应用的名称。生效时间为该访问流量的发生时间。
步骤6:判定所述待检测流量为异常访问流量。
进一步的,在若所述待检测访问关系对应的五元组不符合所述流量访问策略,则判定所述待检测流量为异常访问流量之后,还可以判断所述异常访问流量不符合所述流量访问策略的原因是否为五元组失效;若是,则根据所述异常访问流量的五元组更新流量访问策略。
进一步的,在利用所述流量访问策略检测所述目标设备的异常访问流量之后,还可以判断所述异常访问流量是否被误判;若是,则根据所述异常访问流量生成新流量访问策略。具体的可以根据异常访问流量对应的五元组、应用信息、生效时间和域名信息生成新流量访问策略。
进一步的,S103中利用所述流量访问策略检测所述目标设备的异常访问流量可以包括以下步骤:
步骤1:获取所述目标设备的待检测流量,并提取所述待检测流量的报文信息;
步骤2:判断所述报文信息是否符合所述流量访问策略;若是,则进入步骤3;若否,则结束流程。
步骤3:判定所述待检测流量为所述违规访问流量。
其中,上述提取所述待检测流量的报文信息的操作即提取五元组、应用信息、生效时间和域名信息的过程。由于流量访问策略根据预先获取的网络全流量的五元组、应用信息、生效时间和域名信息设置得到,因此若所述报文信息与流量访问策略对应的五元组、应用信息、生效时间和域名信息不相同可以确定该访问流量为违规访问流量。
作为对于图1对应实施例的进一步介绍,图1对应的实施例还可以包括信息可视化显示的操作,可以在用户界面生成所述网络全流量对应的可视化信息;其中,所述可视化信息包括目标设备的设备信息、访问趋势和访问信息中任一项或任几项的组合,所述设备信息包括会话数量、开放端口名称和总流量,所述访问信息包括访问对象组和所述访问对象组对应的访问方向,所述访问对象组通过对所述其他设备按照预设分组规则聚合得到。
具体的,预设分组规则可以为按照设备所处区域或IP地址区间进行划分,例如可以将A部门的三台设备a1、a2和a3作为第一访问对象组,将B部门的两台设备b1和b2作为第二访问对象组,当目标设备访问a1和a2时可以从用户界面上观察到目标设备访问第一访问对象组的信息,以便精简显示内容。
进一步,还可以通过信息筛选指令对用户界面中显示的内容进行有选择性的显示,例如若接收到访问方向筛选指令,则确定所述访问方向筛选指令对应的目标访问方向,并显示所述目标访问方向对应的可视化信息;其中,所述目标访问方向包括所述目标设备访问所述其他设备的访问方向,或所述其他设备访问所述目标设备的访问方向;若接收到访问对象筛选指令,则确定所述访问对象筛选指令对应的目标访问对象组,并显示所述目标对象访问组内每一设备对应的可视化信息。
下面通过在实际应用中的实施例说明上述实施例描述的流程。请参见图2,图2为本申请实施例所提供的一种基于全流量分析的异常网络流量的检测方法的流程图,具体可以包括以下步骤:
步骤1:采集流量分析;
其中,本步骤可以通过流量探针的方式获取目标设备的网络全流量。
步骤2:访问关系可视化显示;
本实施例可以基于网络访问关系的复杂性和工具需要给人带来便捷的操作性,设计简洁的可视内容显示方式。例如可以围绕服务器和IP组两个对象进行可视化显示。显示的内容可以包括:策略对象简介(如会话数、开放端口、总流量等)、访问趋势、筛选访问类别工具(如筛选访问方向、访问对象)、访问列表。本步骤还可以将访问关系以访问对象组聚合展示,精简访问数量,便于分析师快速做策略决策,提高配置效率。
步骤3、配置流量访问策略;
其中,本步骤可以根据访问流量确定对应的流量访问策略。在产品层面,可以通过可一键转策略,高效快速配置策略。在技术层面,可以提取访问关系的五元组(源ip、源端口、目的ip、目的端口、协议)、应用信息、生效时间、域名信息转为一条访问策略。
步骤4、检测违规访问流量;
基于步骤1的流量采集,可以对目标设备的访问流量进行报文提取,报文内容与策略内容相同,然后将报文与策略规则进行匹配,如果提取的信息与规则匹配成功,那么违规检测是失败的,表明该条策略是有效的,相反则表明该条策略是失效的,产生违规访问。
步骤5、策略改进;
通过分析违规访问信息,将五元组、域名、应用等信息分别与违规策略做匹配分析,如果策略是简单的五元组失效,则在策略中做补充修改,如果匹配内容相差较大,也可以针对违规访问信息做新增策略。
本实施例首先采集网络全流量,在对网络全流量统一分析后,展示主机所有的访问关系(即主机对于其他设备的访问流量),根据访问关系可以设置流量访问策略,然后通过一段时间的流量分析,一旦发现违规访问流量,就会展示违规访问和违规次数信息,以便根据违规访问信息做策略改进,从而有效管理策略,保证内网安全及稳定。
请参见图3,图3为本申请实施例所提供的一种异常网络流量的检测装置的结构示意图;
该装置可以包括:
访问关系确定模块100,用于根据目标设备的网络全流量确定所述目标设备与其他设备之间的访问关系;
策略配置模块200,用于根据所述访问关系与预设访问规则配置流量访问策略;
检测模块300,用于利用所述流量访问策略检测所述目标设备的异常访问流量。
本实施例首先获取目标设备的网络全流量,根据网络全流量确定目标设备对其他设备的访问关系。由于访问关系根据网络全流量确定,因此访问关系更够体现目标设备在全局范围内的访问状况,根据访问关系与预设访问规则配置的流量访问策略可以从对多个被访问设备的角度设置流量访问策略,以便在进行全局流量检测分析时流量访问策略能够对目标设备的所有访问流量进行检测。可见本实施例能够提高流量访问策略的有效性,提高检测异常网络流量的准确率。
进一步的,策略配置模块200包括:
第一配置单元,用于若所述访问关系对应的其他设备为黑名单中的第一设备,则生成禁止所述目标设备访问所述第一设备的流量访问策略,和/或,禁止所述第一设备访问所述目标设备的流量访问策略;
第二配置单元,用于若所述访问关系对应的其他设备为白名单中的第二设备,则生成允许所述目标设备访问所述第二设备的流量访问策略,和/或,允许所述第二设备访问所述目标设备的流量访问策略。
进一步的,策略配置模块200具体为用于根据所述访问关系对应的五元组与所述预设访问规则配置所述流量访问策略的模块。
进一步的,还包括:
辅助评价信息设置模块,用于将所述访问关系对应的应用信息、生效时间和域名信息设置为所述流量访问策略的辅助评价信息;
相应的,检测模块300包括:
关系获取单元,用于获取所述待检测流量对应的待检测访问关系;
第一判断单元,用于判断所述待检测访问关系对应的五元组是否符合所述流量访问策略;若所述待检测访问关系对应的五元组不符合所述流量访问策略,则判定所述待检测流量为异常访问流量;若所述待检测访问关系对应的五元组符合所述流量访问策略,则将所述待检测访问关系对应的五元组所符合的流量访问策略设置为目标流量访问策略;
第二判断单元,用于判断所述待检测访问关系对应的应用信息、生效时间和域名信息与所述目标流量访问策略的辅助评价信息是否相同;若不相同,则判定所述待检测流量为异常访问流量。
进一步的,还包括:
五元组更新模块,用于判断所述异常访问流量不符合所述流量访问策略的原因是否为五元组失效;若是,则根据所述异常访问流量的五元组更新流量访问策略。
进一步的,还包括:
策略添加模块,用于判断所述异常访问流量是否被误判;若是,则根据所述异常访问流量生成新流量访问策略。
进一步的,还包括:
可视化模块,用于在用户界面生成所述网络全流量对应的可视化信息;其中,所述可视化信息包括目标设备的设备信息、访问趋势和访问信息中任一项或任几项的组合,所述设备信息包括会话数量、开放端口名称和总流量,所述访问信息包括访问对象组和所述访问对象组对应的访问方向,所述访问对象组通过对所述其他设备按照预设分组规则聚合得到。
进一步,还包括:
访问方向筛选模块,用于若接收到访问方向筛选指令,则确定所述访问方向筛选指令对应的目标访问方向,并显示所述目标访问方向对应的可视化信息;其中,所述目标访问方向包括所述目标设备访问所述其他设备的访问方向,或所述其他设备访问所述目标设备的访问方向;
访问对象筛选模块,用于若接收到访问对象筛选指令,则确定所述访问对象筛选指令对应的目标访问对象组,并显示所述目标对象访问组内每一设备对应的可视化信息。由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (11)
1.一种异常网络流量的检测方法,其特征在于,包括:
根据目标设备的网络全流量确定所述目标设备与其他设备之间的访问关系;其中,所述网络全流量为所述目标设备在目标时间段内的网络全流量;
根据所述访问关系与预设访问规则配置流量访问策略;其中,所述预设访问规则为允许或禁止所述目标设备访问其他设备的规则;
利用所述流量访问策略检测所述目标设备的异常访问流量;
其中,利用所述流量访问策略检测所述目标设备的异常访问流量包括:在得到所述流量访问策略之后,利用所述流量访问策略对所述目标设备中的访问流量进行实时监控,进而确定所述异常访问流量。
2.根据权利要求1所述检测方法,其特征在于,根据所述访问关系与预设访问规则配置流量访问策略包括:
若所述访问关系对应的其他设备为黑名单中的第一设备,则生成禁止所述目标设备访问所述第一设备的流量访问策略,和/或,禁止所述第一设备访问所述目标设备的流量访问策略;
若所述访问关系对应的其他设备为白名单中的第二设备,则生成允许所述目标设备访问所述第二设备的流量访问策略,和/或,允许所述第二设备访问所述目标设备的流量访问策略。
3.根据权利要求1所述异常网络流量的检测方法,其特征在于,根据所述访问关系与预设访问规则配置流量访问策略包括:
根据所述访问关系对应的五元组与所述预设访问规则配置所述流量访问策略。
4.根据权利要求3所述异常网络流量的检测方法,其特征在于,还包括:
将所述访问关系对应的应用信息、生效时间和域名信息设置为所述流量访问策略的辅助评价信息;
相应的,利用所述流量访问策略检测所述目标设备的包括:
获取待检测流量对应的待检测访问关系;
判断所述待检测访问关系对应的五元组是否符合所述流量访问策略;
若所述待检测访问关系对应的五元组不符合所述流量访问策略,则判定所述待检测流量为异常访问流量;
若所述待检测访问关系对应的五元组符合所述流量访问策略,则将所述待检测访问关系对应的五元组所符合的流量访问策略设置为目标流量访问策略;
判断所述待检测访问关系对应的应用信息、生效时间和域名信息与所述目标流量访问策略的辅助评价信息是否相同;
若不相同,则判定所述待检测流量为异常访问流量。
5.根据权利要求4所述异常网络流量的检测方法,其特征在于,在若所述待检测访问关系对应的五元组不符合所述流量访问策略,则判定所述待检测流量为异常访问流量之后,还包括:
判断所述异常访问流量不符合所述流量访问策略的原因是否为五元组失效;
若是,则根据所述异常访问流量的五元组更新流量访问策略。
6.根据权利要求1所述检测方法,其特征在于,在利用所述流量访问策略检测所述目标设备的异常访问流量之后,还包括:
判断所述异常访问流量是否被误判;
若是,则根据所述异常访问流量生成新流量访问策略。
7.根据权利要求1至6任一项所述异常网络流量的检测方法,其特征在于,还包括:
在用户界面生成所述网络全流量对应的可视化信息;其中,所述可视化信息包括目标设备的设备信息、访问趋势和访问信息中任一项或任几项的组合,所述设备信息包括会话数量、开放端口名称和总流量,所述访问信息包括访问对象组和所述访问对象组对应的访问方向,所述访问对象组通过对所述其他设备按照预设分组规则聚合得到。
8.根据权利要求7所述异常网络流量的检测方法,其特征在于,还包括:
若接收到访问方向筛选指令,则确定所述访问方向筛选指令对应的目标访问方向,并显示所述目标访问方向对应的可视化信息;其中,所述目标访问方向包括所述目标设备访问所述其他设备的访问方向,或所述其他设备访问所述目标设备的访问方向;
若接收到访问对象筛选指令,则确定所述访问对象筛选指令对应的目标访问对象组,并显示所述目标对象访问组内每一设备对应的可视化信息。
9.一种异常网络流量的检测装置,其特征在于,包括:
访问关系确定模块,用于根据目标设备的网络全流量确定所述目标设备与其他设备之间的访问关系;其中,所述网络全流量为所述目标设备在目标时间段内的网络全流量;
策略配置模块,用于根据所述访问关系与预设访问规则配置流量访问策略;其中,所述预设访问规则为允许或禁止所述目标设备访问其他设备的规则;
检测模块,用于利用所述流量访问策略检测所述目标设备的异常访问流量;
其中,所述检测模块利用所述流量访问策略检测所述目标设备的异常访问流量的过程包括:在得到所述流量访问策略之后,利用所述流量访问策略对所述目标设备中的访问流量进行实时监控,进而确定所述异常访问流量。
10.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至8任一项所述异常网络流量的检测方法的步骤。
11.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至8任一项所述异常网络流量的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421809.0A CN111181978B (zh) | 2019-12-31 | 2019-12-31 | 异常网络流量的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421809.0A CN111181978B (zh) | 2019-12-31 | 2019-12-31 | 异常网络流量的检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111181978A CN111181978A (zh) | 2020-05-19 |
| CN111181978B true CN111181978B (zh) | 2022-09-30 |
Family
ID=70650664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911421809.0A Active CN111181978B (zh) | 2019-12-31 | 2019-12-31 | 异常网络流量的检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111181978B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112333191A (zh) * | 2020-11-06 | 2021-02-05 | 杭州安恒信息技术股份有限公司 | 违规网络资产检测与访问阻断方法、装置、设备及介质 |
| CN113206761B (zh) * | 2021-04-30 | 2022-11-22 | 深信服科技股份有限公司 | 一种应用连接检测方法、装置、电子设备及存储介质 |
| CN114389858B (zh) * | 2021-12-24 | 2023-08-25 | 安天科技集团股份有限公司 | 流量处理方法及装置、电子设备和计算机可读存储介质 |
| CN116980182B (zh) * | 2023-06-21 | 2024-02-27 | 杭州明实科技有限公司 | 异常请求检测方法、装置和电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107276858A (zh) * | 2017-08-17 | 2017-10-20 | 深信服科技股份有限公司 | 一种访问关系梳理方法及系统 |
| CN108777679A (zh) * | 2018-05-22 | 2018-11-09 | 深信服科技股份有限公司 | 终端的流量访问关系生成方法、装置和可读存储介质 |
| CN109583190A (zh) * | 2017-09-28 | 2019-04-05 | 华为技术有限公司 | 监控进程的方法和装置 |
| CN109995736A (zh) * | 2017-12-31 | 2019-07-09 | 中国移动通信集团四川有限公司 | 检测威胁攻击的方法、装置、设备和存储介质 |
| CN110519290A (zh) * | 2019-09-03 | 2019-11-29 | 南京中孚信息技术有限公司 | 异常流量检测方法、装置及电子设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109525558B (zh) * | 2018-10-22 | 2022-02-22 | 深信服科技股份有限公司 | 数据泄露检测方法、系统、装置及存储介质 |
| CN110445770B (zh) * | 2019-07-18 | 2022-07-22 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
-
2019
- 2019-12-31 CN CN201911421809.0A patent/CN111181978B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107276858A (zh) * | 2017-08-17 | 2017-10-20 | 深信服科技股份有限公司 | 一种访问关系梳理方法及系统 |
| CN109583190A (zh) * | 2017-09-28 | 2019-04-05 | 华为技术有限公司 | 监控进程的方法和装置 |
| CN109995736A (zh) * | 2017-12-31 | 2019-07-09 | 中国移动通信集团四川有限公司 | 检测威胁攻击的方法、装置、设备和存储介质 |
| CN108777679A (zh) * | 2018-05-22 | 2018-11-09 | 深信服科技股份有限公司 | 终端的流量访问关系生成方法、装置和可读存储介质 |
| CN110519290A (zh) * | 2019-09-03 | 2019-11-29 | 南京中孚信息技术有限公司 | 异常流量检测方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111181978A (zh) | 2020-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| CN112995196B (zh) | 网络安全等级保护中态势感知信息的处理方法及系统 | |
| CN103281177B (zh) | 对Internet信息系统恶意攻击的检测方法及系统 | |
| Hu et al. | Detecting and resolving firewall policy anomalies | |
| US7114183B1 (en) | Network adaptive baseline monitoring system and method | |
| CN111935172B (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
| CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| KR101223931B1 (ko) | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| US9692779B2 (en) | Device for quantifying vulnerability of system and method therefor | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
| CN111756720B (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
| CN110971579A (zh) | 一种网络攻击展示方法及装置 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN108076041A (zh) | 一种dns流量检测方法以及dns流量检测系统 | |
| CN108206769A (zh) | 过滤网络质量告警的方法、装置、设备和介质 | |
| CN110191004A (zh) | 一种端口检测方法及系统 | |
| CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
| CN113206761B (zh) | 一种应用连接检测方法、装置、电子设备及存储介质 | |
| CN110363002A (zh) | 一种入侵检测方法、装置、设备及可读存储介质 | |
| KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| RU2747476C1 (ru) | Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |