CN112272186B - 一种网络流量检测装置、方法及电子设备和存储介质 - Google Patents

一种网络流量检测装置、方法及电子设备和存储介质 Download PDF

Info

Publication number
CN112272186B
CN112272186B CN202011195091.0A CN202011195091A CN112272186B CN 112272186 B CN112272186 B CN 112272186B CN 202011195091 A CN202011195091 A CN 202011195091A CN 112272186 B CN112272186 B CN 112272186B
Authority
CN
China
Prior art keywords
network
target
log
detection
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011195091.0A
Other languages
English (en)
Other versions
CN112272186A (zh
Inventor
杨玉华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202011195091.0A priority Critical patent/CN112272186B/zh
Publication of CN112272186A publication Critical patent/CN112272186A/zh
Application granted granted Critical
Publication of CN112272186B publication Critical patent/CN112272186B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络流量检测框架、方法及一种电子设备和计算机可读存储介质,该框架包括:日志读取模块,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;检测模块,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;分析模块,用于利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。由此可见,本申请提供的网络流量检测框架,提高了对内网网络流量的检测能力。

Description

一种网络流量检测装置、方法及电子设备和存储介质
技术领域
本申请涉及通信技术领域,更具体地说,涉及一种网络流量检测装置、方法及一种电子设备和一种计算机可读存储介质。
背景技术
当前网络攻击活动日益活跃,在相关技术中,可以在网络边界部署防火墙、病毒网关、沙箱等设备监控外来流量并进行查杀。该方案主要关注外来流量,且由于串联部署,往往无法对内网流量进行检测。另外,在相关技术中,还可以在终端机器上安装杀毒软件进行全盘监控查杀。该方案多偏向于磁盘监控杀毒,对内网网络流量检测能力同样较差。
因此,如何提高对内网网络流量的检测能力是本领域技术人员需要解决的技术问题。
发明内容
本申请的目的在于提供一种网络流量检测装置、方法及一种电子设备和一种计算机可读存储介质,提高了对内网网络流量的检测能力。
为实现上述目的,本申请提供了一种网络流量检测装置,包括:
日志读取模块,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;
检测模块,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
分析模块,用于利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。
其中,所述日志读取模块包括至少一种日志类型对应的日志读取插件,每种所述日志读取插件用于获取对应的日志类型的网络审计日志;其中,所述日志类型包括HTTP类型、SMB类型、FTP类型和SMTP类型中的任一项或任几项的组合。
其中,还包括:
结构化处理模块,用于对所述网络审计日志中的网络流日志进行结构化处理,并为结构化处理后的网络流日志添加网络资产字段。
其中,还包括:
过滤模块,用于对所述网络审计日志中网络资产字段为目标网络资产的网络流日志进行过滤;其中,所述目标网络资产为网络资产白名单中的网络资产。
其中,还包括:
告警模块,用于生成告警信息,并基于所述告警信息进行告警。
其中,所述告警模块包括:
生成单元,用于生成告警信息;
结构化处理单元,用于基于所述目标攻击场景对应的告警事件格式字段对所述告警信息进行结构化处理,得到目标告警信息;
一个或多个告警插件,用于利用对应的告警方式基于所述目标告警信息进行告警。
其中,所述告警插件包括:用于将所述目标告警信息存储至数据库的第一告警插件,和/或,用于将所述目标告警信息组装为目标邮件并分发至运维邮箱的第二告警插件,和/或,用于将所述目标告警信息推送至目标账户的第三告警插件。
其中,所述检测模块包括多个检测插件,每个所述检测插件用于利用对应的检测规则在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
所述分析模块具体用于通过判断多个所述目标网络流日志之间是否符合所述目标攻击场景对应的关联规则,分析是否存在所述目标攻击场景对应的攻击事件。
其中,所述检测模块还包括:
加载单元,用于当接收到目标检测插件的注册请求时,在所述检测模块中加载所述目标检测插件。
其中,还包括:
接收模块,用于接收自定义的目标关联规则,并将所述目标关联规则确定为所述目标攻击场景对应的关联规则。
为实现上述目的,本申请提供了一种网络流量检测方法,包括:
获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;
在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。
为实现上述目的,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述网络流量检测方法的步骤。
为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述网络流量检测方法的步骤。
通过以上方案可知,本申请提供的一种网络流量检测装置,包括:日志读取模块,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;检测模块,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;分析模块,用于利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。
相关技术中网络流量的检测对象一般为传输层的流量日志,对内网流量的检测能力较差。因此,在本申请中,检测对象为网络层的网络审计日志,网络层的网络审计日志既包含外网的网络流日志也包含内网的网络流日志。对于需要检测的每种攻击场景,利用检测模块在网络审计日志中确定与对应的攻击场景相关的网络流日志,并基于该攻击场景对应的规则分析是否存在攻击事件。由此可见,本申请提供的网络流量检测装置,提高了对内网网络流量的检测能力。本申请还公开了一种网络流量检测方法及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为根据一示例性实施例示出的一种网络流量检测装置的结构图;
图2为根据一示例性实施例示出的另一种网络流量检测装置的结构图;
图3为根据一示例性实施例示出的一种网络流量检测方法的流程图;
图4为根据一示例性实施例示出的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。另外,在本申请实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例公开了一种网络流量检测装置,提高了对内网网络流量的检测能力。
参见图1,根据一示例性实施例示出的一种网络流量检测装置的结构图,如图1所示,包括:
日志读取模块10,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;
在本实施例中,日志读取模块10的检测对象为网络层的网络审计日志,可以包括HTTP审计日志、SMB审计日志、FTP审计日志、SMTP审计日志等,日志形式可以是标准结构化的类json数据,也可以是非结构化的流数据,在此不进行具体限定。网络设计日志的存储形式可以是数据库record,也可以是二进制文件,或者自定义的KV(键值对)数据,在此不进行具体限定。
需要说明的是,网络审计日志包括多条按时间顺序排列的网络流日志,即在存储过程中,较后时间点产生的网络流日志需要存在较前时间点产生的网络流日志之后。
可以理解的是,对于不同类型的网络审计日志可以采用不同的插件进行读取,即所述日志读取模块包括至少一种日志类型对应的日志读取插件,每种所述日志读取插件用于获取对应的日志类型的网络审计日志;其中,所述日志类型包括HTTP类型、SMB类型、FTP类型和SMTP类型中的任一项或任几项的组合。在具体实施中,若存在其他类型的网络审计日志的需求只需要添加读取插件,若不需要分析某一类型的网络审计日志,则直接关闭该类型对应的插件。可见,采用插件的方式进行网络日志的读取较为灵活。
作为一种优选实施方式,本实施例包括:结构化处理模块,用于对所述网络审计日志中的网络流日志进行结构化处理,并为结构化处理后的网络流日志添加网络资产字段。在具体实施中,由于通过读取插件获取的网络审计日志可能是非结构化的,因此需要对其按照预设的装置进行结构化处理,并添加上例如用户资产归属、日志方向等涉及用户网络资产的网络资产字段。例如,流量中的源IP(10.222.122.20)属于客户的Web服务器资产。
作为一种优选实施方式,本实施例还包括:过滤模块,用于对所述网络审计日志中网络资产字段为目标网络资产的网络流日志进行过滤;其中,所述目标网络资产为网络资产白名单中的网络资产。在具体实施中,若用户明确知道目标网络资产不存在问题或不需要对目标网络资产进行检测,可以设置网络资产白名单,在网络审计日志中剔除网络资产字段为目标网络资产的网络流日志。
检测模块20,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
在本实施例中,对于目标攻击场景的检测,检测模块20在网络审计日志中确定与目标攻击场景相关的目标网络流日志。在具体实施中,检测模块20可以基于预设逻辑规则确定与目标攻击场景相关的目标网络流日志,每种攻击场景对应的检测插件的逻辑规则由安全分析人员进行编写,可以包括简单的字段规则、正则匹配,也可以是AI模型算法的分类规则,在此不进行具体限定。
作为一种优选实施方式,对于不同的攻击场景可以采用不同的检测插件进行检测,即所述检测模块包括一个或多个检测插件,每个所述检测插件用于利用对应的检测规则在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志。在具体实施中,对于需要检测的每种攻击场景均设置对应的检测插件,该检测插件可以在网络审计日志中确定与对应的攻击场景相关的网络流日志。由于各检测插件需要输入的网络流日志的类型不同,因此对于需要检测的目标攻击场景,需要确定目标攻击场景对应的网络流日志的类型,将网络审计日志中该类型的网络流日志发送至目标攻击场景对应的检测插件的缓冲区,等待检测插件读取,提升分析效率。
本实施例的检测能力均以检测插件的形式存在,可以以任意代码形式编写,例如Python,只需符合装置接口定义需求即可,检测插件可以在检测系统运行时动态加载,支持热插拔,即所述检测模块还包括:加载单元,用于当接收到目标检测插件的注册请求时,在所述检测模块中加载所述目标检测插件。在具体实施中,检测插件存在时,检测模块会自动重新加载,无需重启程序。
分析模块30,用于利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。
在具体实施中,对于检测模块检测到的目标网络流日志,分析模块30利用目标攻击场景对应的规则分析是否存在攻击事件。
在本申请实施例中,检测对象为网络层的网络审计日志,网络层的网络审计日志既包含外网的网络流日志也包含内网的网络流日志。对于需要检测的每种攻击场景,利用检测模块在网络审计日志中确定与对应的攻击场景相关的网络流日志,并基于该攻击场景对应的规则分析是否存在攻击事件。由此可见,本申请实施例提供的网络流量检测装置,提高了对内网网络流量的检测能力。
在上述实施例的基础上,作为一种优选实施方式,所述网络流量检测装置还包括:告警模块,用于生成告警信息,并基于所述告警信息进行告警。在具体实施中,若存在目标攻击场景对应的攻击事件,则告警模块生成告警信息并进行告警。
可以理解的是,不同的告警方式同样可以以不同的告警插件进行实现,即所述告警模块包括:生成单元,用于生成告警信息;结构化处理单元,用于基于所述目标攻击场景对应的告警事件格式字段对所述告警信息进行结构化处理,得到目标告警信息;一个或多个告警插件,用于利用对应的告警方式基于所述目标告警信息进行告警。在具体实施中,将告警信息按照业务所需告警事件格式字段进行组装和格式化,然后按系统要求分发到不同业务中。不同的告警方式对应的告警插件可以在告警模块中进行注册,支持热插拔。告警插件可以包括:用于将所述目标告警信息存储至数据库的第一告警插件,如需要Web前端举证告警则可以插入ES(ElasticSearch)或Mongo等数据库中待查,还可以包括:用于将所述目标告警信息组装为目标邮件并分发至运维邮箱的第二告警插件,即组装成一封告警邮件分发到用户运维组成员的邮箱中,还可以包括:用于将所述目标告警信息推送至目标账户的第三告警插件,例如通过微信接口发送到置定微信号。
本申请实施例公开了一种网络流量检测装置,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。具体的:
参见图2,根据一示例性实施例示出的另一种网络流量检测装置的结构图,如图2所示,包括:
日志读取模块10,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;
检测模块20,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
其中,所述检测模块20包括多个检测插件201,每个所述检测插件用于利用对应的检测规则在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
分析模块30,用于通过判断多个所述目标网络流日志之间是否符合所述目标攻击场景对应的关联规则,分析是否存在所述目标攻击场景对应的攻击事件。
可以理解的是,一个网络流日志对应一个事件,单一事件可能不构成攻击行为,但是多个事件的组合构成一种攻击场景,与目标攻击场景相关的事件即为本步骤中的目标事件。目标攻击场景对应的检测插件可以在网络审计日志中确定目标事件对应的网络流日志。
关联规则定义了不同攻击手法之间存在的潜在关系,关联规则可以是厂商安全研究人员根据经验进行编写,也可以接口开放给用户,让用户根据其网络业务特点结构进行编写,自定义安全场景合事件,实现安全检测规则和用户业务资产贴合,减少误判和无效告警。在本步骤中,读取目标攻击场景对应的关联规则,对检测插件检出的目标事件对应的网络流日志进行关联分析,得到是否产生目标攻击场景的攻击行为。
本实施例的关联规则可以包括常见的逻辑与或关系、网络流日志的时序、频率的统计规则等。对于逻辑与关系,关联规则包括多条检测规则,对于每条检测规则,若网络审计日志中均可以匹配到符合该检测规则的网络流日志,判定产生目标攻击场景的攻击行为。对于逻辑与关系,关联规则包括多条检测规则,若网络审计日志中均可以匹配到符合任意检测规则的网络流日志,判定产生目标攻击场景的攻击行为。对于网络流日志的时序的统计规则,若在预设时间段内存在目标事件对应的网络流日志,则判定产生目标攻击场景的攻击行为。对于网络流日志的频率的统计规则,若在预设时间段内存在目标事件对应的网络流日志的数量大于预设值,则判定产生目标攻击场景的攻击行为。
下面对一种基于关联进行检测的实例进行介绍,检测过程包括:将关联规则中第一个检测规则确定为目标检测规则,并将网络审计日志中的第一个网络流日志作为第一候选网络流日志;从第一候选网络流日志开始进行目标检测规则的匹配;判断是否匹配到符合目标检测规则的第二候选网络流日志;若未匹配到第二候选网络流日志,则进入判定不存在目标攻击场景的攻击行为;若匹配到第二候选网络流日志,则判断目标检测规则是否为关联规则中最后一个检测规则的网络流日志;若是,则判定产生目标攻击场景的攻击行为;若否,则进入将目标检测规则的下一个检测规则重新确定为目标检测规则,将第一候选网络流日志更新为第二候选网络流日志,并重新进入从第一候选网络流日志开始进行目标检测规则的匹配的步骤。
在具体实施中,关联规则包括多条检测规则,例如,第一条检测规则为:源主机对目的主机创建了SMB管道,第二条检测规则为:源主机对目的主机传输了可执行文件,第三条检测规则为:目的主机存在进程创建行为。在具体实施中,将关联规则中第一个检测规则确定为目标检测规则,并将网络审计日志中的第一个网络流日志作为第一候选网络流日志。从第一候选网络流日志开始进行目标检测规则的匹配,即判断第一候选网络流日志及后续网络流日志中是否存在符合目标检测规则的第二候选网络流日志。若存在第二候选网络流日志,则从第二网络流日志开始重新进行后续检测规则的匹配,直到匹配到关联规则中最后一个检测规则。若匹配到最后一个检测规则对应的第二候选网络流日志,则判定产生目标攻击场景的攻击行为,否则判定不存在目标攻击场景的攻击行为。由此可见,上述方案实现一种跨网络流日志的多条检测规则环环相扣的模式,从而准确表述横跨多个网络流日志的攻击流程,有效提升关联规则表述准确性和可用性,进而提高了网络流量检测的准确度。
需要说明的是,本实施例还支持用户自定义关联规则,即本实施例还包括:接收模块,用于接收自定义的目标关联规则,并将所述目标关联规则确定为所述目标攻击场景对应的关联规则。在具体实施中,对于用户自定义的关联规则,例如用户需要关注自己的域控服务是否遭受攻击,那么可以自定义一条规则:源主机对目的主机发起了DCSync请求,且源主机是内网终端,而目的主机是域控服务器资产。
由此可见,本实施例利用关联规则对内网流量进行检测,若多个目标网络流日志之间是否符合目标攻击场景对应的关联规则,则判定存在目标攻击场景对应的攻击事件,提高了检测的准确性。
下面对本申请实施例提供的一种网络流量检测方法进行介绍,下文描述的一种网络流量检测方法与上文描述的一种网络流量检测装置可以相互参照。
参见图3,根据一示例性实施例示出的一种网络流量检测方法的流程图,如图3所示,包括:
S101:获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;
S102:在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
S103:利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。
在本申请实施例中,检测对象为网络层的网络审计日志,网络层的网络审计日志既包含外网的网络流日志也包含内网的网络流日志。对于需要检测的每种攻击场景,利用检测模块在网络审计日志中确定与对应的攻击场景相关的网络流日志,并基于该攻击场景对应的规则分析是否存在攻击事件。由此可见,本申请实施例提供的网络流量检测方法,提高了对内网网络流量的检测能力。
在上述实施例的基础上,作为一种优选实施方式,所述获取应用层的网络审计日志,包括:
利用每种日志读取插件对应的日志类型的网络审计日志;其中,所述日志类型包括HTTP类型、SMB类型、FTP类型和SMTP类型中的任一项或任几项的组合。
在上述实施例的基础上,作为一种优选实施方式,所述获取应用层的网络审计日志之后,还包括:
对所述网络审计日志中的网络流日志进行结构化处理,并为结构化处理后的网络流日志添加网络资产字段。
在上述实施例的基础上,作为一种优选实施方式,为结构化处理后的网络流日志添加网络资产字段之后,还包括:
对所述网络审计日志中网络资产字段为目标网络资产的网络流日志进行过滤;其中,所述目标网络资产为网络资产白名单中的网络资产。
在上述实施例的基础上,作为一种优选实施方式,若存在攻击事件,则还包括:
生成告警信息,并基于所述告警信息进行告警。
在上述实施例的基础上,作为一种优选实施方式,所述基于所述告警信息进行告警,包括:
基于所述目标攻击场景对应的告警事件格式字段对所述告警信息进行结构化处理,得到目标告警信息;
利用所述目标攻击场景对应的告警方式基于所述目标告警信息进行告警。
在上述实施例的基础上,作为一种优选实施方式,所述利用所述目标攻击场景对应的告警方式基于所述目标告警信息进行告警,包括:
将所述目标告警信息存储至数据库,和/或,将所述目标告警信息组装为目标邮件并分发至运维邮箱,和/或,将所述目标告警信息推送至目标账户。
在上述实施例的基础上,作为一种优选实施方式,在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志,包括:
利用多个检测插件基于对应的检测规则在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
相应的,利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件,包括:
通过判断多个所述目标网络流日志之间是否符合所述目标攻击场景对应的关联规则,分析是否存在所述目标攻击场景对应的攻击事件。
在上述实施例的基础上,作为一种优选实施方式,还包括:
当接收到目标检测插件的注册请求时,加载所述目标检测插件。
在上述实施例的基础上,作为一种优选实施方式,还包括:
接收自定义的目标关联规则,并将所述目标关联规则确定为所述目标攻击场景对应的关联规则。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备,图4为根据一示例性实施例示出的一种电子设备的结构图,如图4所示,电子设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的应用的访问方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,电子设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图4中将各种总线都标为总线系统4。
本申请实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述方法的步骤。
处理器2执行所述程序时实现本申请实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (13)

1.一种网络流量检测装置,其特征在于,包括:
日志读取模块,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;
检测模块,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
分析模块,用于利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件;
其中,所述检测模块包括多个检测插件,每个所述检测插件用于利用对应的检测规则在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
对于不同的攻击场景采用不同的检测插件进行检测,检测插件在网络审计日志中确定与对应的攻击场景相关的网络流日志,不同的检测插件需要输入的网络流日志的类型不同。
2.根据权利要求1所述网络流量检测装置,其特征在于,所述日志读取模块包括至少一种日志类型对应的日志读取插件,每种所述日志读取插件用于获取对应的日志类型的网络审计日志;其中,所述日志类型包括HTTP类型、SMB类型、FTP类型和SMTP类型中的任一项或任几项的组合。
3.根据权利要求1所述网络流量检测装置,其特征在于,还包括:
结构化处理模块,用于对所述网络审计日志中的网络流日志进行结构化处理,并为结构化处理后的网络流日志添加网络资产字段。
4.根据权利要求3所述网络流量检测装置,其特征在于,还包括:
过滤模块,用于对所述网络审计日志中网络资产字段为目标网络资产的网络流日志进行过滤;其中,所述目标网络资产为网络资产白名单中的网络资产。
5.根据权利要求1所述网络流量检测装置,其特征在于,还包括:
告警模块,用于生成告警信息,并基于所述告警信息进行告警。
6.根据权利要求5所述网络流量检测装置,其特征在于,所述告警模块包括:
生成单元,用于生成告警信息;
结构化处理单元,用于基于所述目标攻击场景对应的告警事件格式字段对所述告警信息进行结构化处理,得到目标告警信息;
一个或多个告警插件,用于利用对应的告警方式基于所述目标告警信息进行告警。
7.根据权利要求6所述网络流量检测装置,其特征在于,所述告警插件包括:用于将所述目标告警信息存储至数据库的第一告警插件,和/或,用于将所述目标告警信息组装为目标邮件并分发至运维邮箱的第二告警插件,和/或,用于将所述目标告警信息推送至目标账户的第三告警插件。
8.根据权利要求1至7中任一项所述网络流量检测装置,其特征在于, 所述分析模块具体用于通过判断多个所述目标网络流日志之间是否符合所述目标攻击场景对应的关联规则,分析是否存在所述目标攻击场景对应的攻击事件。
9.根据权利要求8所述网络流量检测装置,其特征在于,所述检测模块还包括:
加载单元,用于当接收到目标检测插件的注册请求时,在所述检测模块中加载所述目标检测插件。
10.根据权利要求8所述网络流量检测装置,其特征在于,还包括:
接收模块,用于接收自定义的目标关联规则,并将所述目标关联规则确定为所述目标攻击场景对应的关联规则。
11.一种网络流量检测方法,其特征在于,包括:
获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;
在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件;
其中,在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志,包括:
多个检测插件分别利用对应的检测规则在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
其中,对于不同的攻击场景采用不同的检测插件进行检测,检测插件在网络审计日志中确定与对应的攻击场景相关的网络流日志,不同的检测插件需要输入的网络流日志的类型不同。
12.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求11所述网络流量检测方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求11所述网络流量检测方法的步骤。
CN202011195091.0A 2020-10-30 2020-10-30 一种网络流量检测装置、方法及电子设备和存储介质 Active CN112272186B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011195091.0A CN112272186B (zh) 2020-10-30 2020-10-30 一种网络流量检测装置、方法及电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011195091.0A CN112272186B (zh) 2020-10-30 2020-10-30 一种网络流量检测装置、方法及电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN112272186A CN112272186A (zh) 2021-01-26
CN112272186B true CN112272186B (zh) 2023-07-18

Family

ID=74345079

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011195091.0A Active CN112272186B (zh) 2020-10-30 2020-10-30 一种网络流量检测装置、方法及电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN112272186B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113472772B (zh) * 2021-06-29 2023-05-16 深信服科技股份有限公司 网络攻击的检测方法、装置、电子设备及存储介质
CN113992404B (zh) * 2021-10-27 2023-11-10 北京天融信网络安全技术有限公司 一种攻击证据记录方法及装置
CN114189371B (zh) * 2021-12-01 2024-01-23 北京天融信网络安全技术有限公司 摄像头管控行为的审计方法、装置、电子设备及存储介质
CN114363044B (zh) * 2021-12-30 2024-04-09 深信服科技股份有限公司 一种分层告警方法、系统、存储介质和终端
CN114448679B (zh) * 2022-01-04 2024-05-24 深圳萨摩耶数字科技有限公司 攻击链构建方法、装置、电子设备及存储介质
CN114584491B (zh) * 2022-04-21 2023-09-08 腾讯科技(深圳)有限公司 检测方法、装置、存储介质及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101800668A (zh) * 2010-03-23 2010-08-11 成都市华为赛门铁克科技有限公司 日志归并方法和装置
CN108183916A (zh) * 2018-01-15 2018-06-19 华北电力科学研究院有限责任公司 一种基于日志分析的网络攻击检测方法及装置
WO2019043804A1 (ja) * 2017-08-30 2019-03-07 日本電気株式会社 ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167754B (zh) * 2018-07-26 2021-03-02 北京计算机技术及应用研究所 一种网络应用层安全防护系统
CN110472414A (zh) * 2019-07-23 2019-11-19 中国平安人寿保险股份有限公司 系统漏洞的检测方法、装置、终端设备及介质
CN110417772B (zh) * 2019-07-25 2022-08-16 浙江大华技术股份有限公司 攻击行为的分析方法及装置、存储介质、电子装置
CN111147504B (zh) * 2019-12-26 2022-11-22 深信服科技股份有限公司 威胁检测方法、装置、设备和存储介质
CN111726357A (zh) * 2020-06-18 2020-09-29 北京优特捷信息技术有限公司 攻击行为检测方法、装置、计算机设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101800668A (zh) * 2010-03-23 2010-08-11 成都市华为赛门铁克科技有限公司 日志归并方法和装置
WO2019043804A1 (ja) * 2017-08-30 2019-03-07 日本電気株式会社 ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
CN108183916A (zh) * 2018-01-15 2018-06-19 华北电力科学研究院有限责任公司 一种基于日志分析的网络攻击检测方法及装置

Also Published As

Publication number Publication date
CN112272186A (zh) 2021-01-26

Similar Documents

Publication Publication Date Title
CN112272186B (zh) 一种网络流量检测装置、方法及电子设备和存储介质
US11271955B2 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US11949692B1 (en) Method and system for efficient cybersecurity analysis of endpoint events
KR101255359B1 (ko) 사용자 변경가능 파일들의 효과적인 화이트 리스팅
US7551073B2 (en) Method, system and program product for alerting an information technology support organization of a security event
US11240275B1 (en) Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
Fredj A realistic graph‐based alert correlation system
CN111786966A (zh) 浏览网页的方法和装置
CN112818307B (zh) 用户操作处理方法、系统、设备及计算机可读存储介质
US20170155683A1 (en) Remedial action for release of threat data
CN111404937B (zh) 一种服务器漏洞的检测方法和装置
CN112003864B (zh) 一种基于全流量的网站安全检测系统和方法
CN112887159B (zh) 一种统计告警方法和装置
CN113472772B (zh) 网络攻击的检测方法、装置、电子设备及存储介质
CN113872965B (zh) 一种基于Snort引擎的SQL注入检测方法
CN107231364B (zh) 一种网站漏洞检测方法及装置、计算机装置及存储介质
CN116599747A (zh) 一种网络与信息安全服务系统
JP2005316779A (ja) 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム
CN115022366B (zh) 一种资产识别方法、装置及电子设备和存储介质
CN113824748B (zh) 一种资产特征主动探测对抗方法、装置、电子设备及介质
CN113364766B (zh) 一种apt攻击的检测方法及装置
KR101754964B1 (ko) 악성 행위 탐지 방법 및 시스템
CN113347203B (zh) 网络攻击的检测方法、装置、电子设备及存储介质
CN114301689B (zh) 校园网络安全防护方法、装置、计算设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant