CN113556308A - 一种流量安全性检测方法、系统、设备及计算机存储介质 - Google Patents
一种流量安全性检测方法、系统、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN113556308A CN113556308A CN202010326113.6A CN202010326113A CN113556308A CN 113556308 A CN113556308 A CN 113556308A CN 202010326113 A CN202010326113 A CN 202010326113A CN 113556308 A CN113556308 A CN 113556308A
- Authority
- CN
- China
- Prior art keywords
- analyzed
- flow
- information
- traffic
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本申请公开了一种流量安全性检测方法、系统、设备及计算机介质,获取待分析流量数据;获取与待分析流量数据对应的已有流量信息,已有流量信息为已收集的与待分析流量数据对应的、表征待分析流量数据本身之外的其他信息的流量信息;基于待分析流量数据及已有流量信息,确定待分析流量数据的安全性。本申请中,基于待分析流量数据及已有流量信息确定待分析流量数据的安全性,由于已有流量信息为已收集的表征待分析流量数据之外的其他信息的流量信息,所以已有流量信息可以扩充待分析流量数据的信息量,进而可以准确、快速的确定出待分析流量数据中的恶意流量。本申请提供的流量安全性检测系统、设备及计算机可读存储介质也解决了相应技术问题。
Description
技术领域
本申请涉及流量安全技术领域,更具体地说,涉及一种流量安全性检测方法、系统、设备及计算机存储介质。
背景技术
随着网络通信技术的发展,用户访问网络的需求越来越高,由此带来的网络安全问题也日益增多,对流量数据的安全性进行判断便成为一个判断网络安全的手段,然而,随着网络流量数据的增多,如何准确从多数量的流量数据中分析出恶意流量数据也越来越困难。
综上所述,如何提高流量数据安全性的分析准确率是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种流量安全性检测方法,其能在一定程度上解决如何提高流量数据安全性的分析准确率的技术问题。本申请还提供了一种流量安全性检测系统、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种流量安全性检测方法,包括:
获取待分析流量数据;
获取与所述待分析流量数据对应的已有流量信息,所述已有流量信息为已收集的与所述待分析流量数据对应的、表征所述待分析流量数据本身之外的其他信息的流量信息;
基于所述待分析流量数据及所述已有流量信息,确定所述待分析流量数据的安全性。
优选的,所述获取待分析流量数据,所述获取与所述待分析流量数据对应的已有流量信息之前,还包括:
过滤掉安全性已知的所述待分析流量数据。
优选的,所述过滤掉安全性已知的所述待分析流量数据,包括:
基于预设的流量白名单,过滤掉安全性已知的所述待分析流量数据。
优选的,所述过滤掉安全性已知的所述待分析流量数据,包括:
按照流量数据的信息类型对所述待分析流量数据进行聚类,得到聚类结果;
按照所述聚类结果对应的安全判定方式,对所述聚类结果进行安全性判定;
在所述聚类结果中,删除掉安全性判定结果为安全的所述待分析流量数据。
优选的,所述聚类结果包括域名聚类结果;
所述按照所述聚类结果对应的安全判定方式,对所述聚类结果进行安全性判定,包括:
对所述域名聚类结果进行解析,得到域名解析结果;
判断所述域名解析结果是否与安全域名的解析结果相似,若是,则判定所述解析结果所对应的待分析流量数据安全。
优选的,所述聚类结果包括url聚类结果;
所述按照所述聚类结果对应的安全判定方式,对所述聚类结果进行安全性判定,包括:
在所述url聚类结果中,统计出属于相同host路径的所述待分析流量数据;
对于属于相同host路径的所述待分析流量数据,判断文件类型是否相同;若文件类型相同,则判断路径长度超过预设级别的所述待分析流量数据的数量是否超过预设数量;若路径长度超过预设级别的所述待分析流量数据的数量超过所述预设数量,则判定属于相同host路径的所述待分析流量数据安全。
优选的,所述聚类结果包括url聚类结果;
所述按照所述聚类结果对应的安全判定方式,对所述聚类结果进行安全性判定,包括:
判断所述url聚类结果中是否包含预设安全路径信息,若是,则判定包含所述预设安全路径信息的所述待分析流量数据安全。
优选的,所述已有流量信息包括注册信息;
所述获取与所述待分析流量数据对应的已有流量信息,包括:
基于所述待分析流量数据的域名,获取所述注册信息,所述注册信息包括注册机构、注册时间、过期时间、分类信息。
优选的,所述已有流量信息包括已有ip信息及已有url信息;
其中,所述已有ip信息包括地理位置信息、ip标签;所述url信息包括MD5信息、标签信息。
优选的,所述基于所述待分析流量数据及所述已有流量信息,确定所述待分析流量数据的安全性,包括:
基于各个所述待分析流量数据间的相似性和/或各个所述已有流量信息间的相似性,对所述待分析流量数据进行聚类,得到相似流量聚类结果;
判断所述相似流量聚类结果是否构成恶意场景,若是,则判定所述相似流量聚类结果对应的所述待分析流量数据危险。
优选的,所述判断所述相似流量聚类结果是否构成恶意场景,包括:
判断所述相似流量聚类结果是否构成扫描场景或僵尸网络通信场景或垃圾邮件场景。
一种流量安全性检测系统,包括:
第一获取模块,用于获取待分析流量数据;
第二获取模块,用于获取与所述待分析流量数据对应的已有流量信息,所述已有流量信息为已收集的与所述待分析流量数据对应的、表征所述待分析流量数据本身之外的其他信息的流量信息;
第一确定模块,用于基于所述待分析流量数据及所述已有流量信息,确定所述待分析流量数据的安全性。
一种流量安全性检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述流量安全性检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述流量安全性检测方法的步骤。
本申请提供的一种流量安全性检测方法,获取待分析流量数据;获取与待分析流量数据对应的已有流量信息,已有流量信息为已收集的与待分析流量数据对应的、表征待分析流量数据本身之外的其他信息的流量信息;基于待分析流量数据及已有流量信息,确定待分析流量数据的安全性。本申请中,在获取到待分析流量数据之后,并不是直接对待分析流量数据进行安全性分析,而是先获取与待分析流量对应的已有流量信息,再基于待分析流量数据及已有流量信息确定待分析流量数据的安全性,由于已有流量信息为已收集的表征待分析流量数据之外的其他信息的流量信息,所以已有流量信息可以扩充待分析流量数据的信息量,进而可以准确、快速的确定出待分析流量数据中的恶意流量。本申请提供的一种流量安全性检测系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种流量安全性检测方法的第一流程图;
图2为本申请实施例提供的一种流量安全性检测方法的第二流程图;
图3为实际应用中本申请提供的一种流量安全性检测方法的流程图;
图4为本申请实施例提供的一种流量安全性检测系统的结构示意图;
图5为本申请实施例提供的一种流量安全性检测设备的结构示意图;
图6为本申请实施例提供的一种流量安全性检测设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
随着网络通信技术的发展,用户访问网络的需求越来越高,由此带来的网络安全问题也日益增多,对流量数据的安全性进行判断便成为一个判断网络安全的手段,然而,随着网络流量数据的增多,如何准确从多数量的流量数据中分析出恶意流量数据也越来越困难。本申请提供的一种流量安全性分析方法可以提高流量数据安全性的分析准确率。
请参阅图1,图1为本申请实施例提供的一种流量安全性检测方法的第一流程图。
本申请实施例提供的一种流量安全性检测方法,可以包括以下步骤:
步骤S101:获取待分析流量数据。
实际应用中,可以先获取待分析流量数据,待分析流量数据的数据量及内容等可以根据实际需要。
步骤S102:获取与待分析流量数据对应的已有流量信息,已有流量信息为已收集的与待分析流量数据对应的、表征待分析流量数据本身之外的其他信息的流量信息。
步骤S103:基于待分析流量数据及已有流量信息,确定待分析流量数据的安全性。
实际应用中,在获取待分析流量数据之后,可以再获取与待分析流量数据对应的已有流量信息,且已有流量信息为表征待分析流量数据本身之外的其他信息的流量信息,使得借助流量信息可以反映与待分析流量数据相应的更多的数据信息,扩大待分析流量的信息量,使得基于待分析流量数据及已有流量信息,可以准确判定待分析流量数据的安全性。
具体应用场景中,可以创建保存各种流量数据对应的已有流量信息的数据库,借助该数据库来快速、方便地获取与待分析流量数据对应的已有流量信息等。
本申请提供的一种流量安全性检测方法,获取待分析流量数据;获取与待分析流量数据对应的已有流量信息,已有流量信息为已收集的与待分析流量数据对应的、表征待分析流量数据本身之外的其他信息的流量信息;基于待分析流量数据及已有流量信息,确定待分析流量数据的安全性。本申请中,在获取到待分析流量数据之后,并不是直接对待分析流量数据进行安全性分析,而是先获取与待分析流量对应的已有流量信息,再基于待分析流量数据及已有流量信息确定待分析流量数据的安全性,由于已有流量信息为已收集的表征待分析流量数据之外的其他信息的流量信息,所以已有流量信息可以扩充待分析流量数据的信息量,进而可以准确、快速的确定出待分析流量数据中的恶意流量。
本申请实施例提供的一种流量安全性检测方法中,为了避免重复对已有的安全流量数据进行分析,节省本申请的资源消耗,在获取待分析流量数据,获取与待分析流量数据对应的已有流量信息之前,还可以过滤掉安全性已知的待分析流量数据。
实际应用中,过滤掉安全性已知的待分析流量数据的步骤,可以具体为:基于预设的流量白名单,过滤掉安全性已知的待分析流量数据。也即可以创建流量白名单来保存安全的流量数据的信息,再将待分析流量数据与白名单进行匹配,并过滤掉与白名单匹配的待分析流量数据,再对剩下的待分析流量数据进行安全性分析。
实际应用中,为了提高对安全性已知的待分析流量数据的过滤效率,可以批量对待分析流量数据进行分析、过滤,则过滤掉安全性已知的待分析流量数据的步骤,可以具体为:按照流量数据的信息类型对待分析流量数据进行聚类,得到聚类结果;按照聚类结果对应的安全判定方式,对聚类结果进行安全性判定;在聚类结果中,删除掉安全性判定结果为安全的待分析流量数据。
具体应用场景中,聚类结果可以包括域名聚类结果,域名也即网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识;相应的,按照聚类结果对应的安全判定方式,对聚类结果进行安全性判定的步骤,可以具体为:对域名聚类结果进行解析,得到域名解析结果;判断域名解析结果是否与安全域名的解析结果相似,若是,则判定解析结果所对应的待分析流量数据安全。为了便于理解,假设安全域名的解析信息为abc.com,而域名解析结果与该解析信息相似,则可以判定该域名解析结果安全,相应的,可以判定解析结果所对应的待分析流量数据安全。
具体应用场景中,聚类结果可以包括url(uniform resource locator,统一资源定位系统)聚类结果;相应的,按照聚类结果对应的安全判定方式,对聚类结果进行安全性判定的步骤,可以具体为:在url聚类结果中,统计出属于相同host路径的待分析流量数据;对于属于相同host路径的待分析流量数据,判断文件类型是否相同;若文件类型相同,则判断路径长度超过预设级别的待分析流量数据的数量是否超过预设数量;若路径长度超过预设级别的待分析流量数据的数量超过预设数量,则判定属于相同host路径的待分析流量数据安全。假设广告类流量的判定原则为文件类型相同且路径长度超过3级的url数量超过5条,则可以将url聚类结果中,文件类型相同且路径长度超过3级的url数量超过5条的待分析流量数据判定为广告类流量进行过滤。
具体应用场景中,聚类结果可以包括url聚类结果;相应的,按照聚类结果对应的安全判定方式,对聚类结果进行安全性判定的步骤,可以具体为:判断url聚类结果中是否包含预设安全路径信息,若是,则判定包含预设安全路径信息的待分析流量数据安全。
本申请实施例提供的一种流量安全性检测方法中,已有流量信息可以包括注册信息;相应的,获取与待分析流量数据对应的已有流量信息的步骤,可以具体为:基于待分析流量数据的域名,获取注册信息,注册信息包括注册机构、注册时间、过期时间、分类信息。也即可以通过对注册信息进行分析来确定待分析流量数据的安全性,比如可以将注册时间短的待分析流量数据确定为恶意流量;将注册时间相同的多个待分析流量数据确定为恶意流量等。
实际应用中,已有流量信息可以包括已有ip信息和/或已有url信息;且已有ip信息可以包括地理位置信息、ip标签;url信息包括MD5信息、标签信息。也即可以根据已有ip信息及已有url信息来对待分析流量数据进行安全性分析,比如可以将解析出多个ip且多个ip的地理位置信息不同的待分析流量数据确定为恶意流量等。
应当指出,由于ip、域名、url间的相关性,所以在待分析流量数据只包含ip、域名、url间的任一信息时,也可以根据ip、域名、url间的相关性,来获取到其他两个信息。
请参阅图2,图2为本申请实施例提供的一种流量安全性检测方法的第二流程图。
本申请实施例提供的一种流量安全性检测方法,可以包括以下步骤:
步骤S201:获取待分析流量数据。
步骤S202:获取与待分析流量数据对应的已有流量信息,已有流量信息为已收集的与待分析流量数据对应的、表征待分析流量数据本身之外的其他信息的流量信息。
步骤S203:基于各个待分析流量数据间的相似性和/或各个已有流量信息间的相似性,对待分析流量数据进行聚类,得到相似流量聚类结果。
步骤S204:判断相似流量聚类结果是否构成恶意场景,若是,则执行步骤S205:判定相似流量聚类结果对应的待分析流量数据危险。
实际应用中,可能存在不法份子借助多个待分析流量数据来破坏网络安全性的情况,也即可能存在单个待分析流量数据不存在威胁性,但多个待分析流量数据结合后便存在威胁性的问题,所以基于待分析流量数据及已有流量信息,确定待分析流量数据的安全性的步骤,可以具体为:基于各个待分析流量数据间的相似性和/或各个已有流量信息间的相似性,对待分析流量数据进行聚类,得到相似流量聚类结果;判断相似流量聚类结果是否构成恶意场景,若是,则判定相似流量聚类结果对应的待分析流量数据危险。也即可以根据待分析流量数据的共性来判断待分析流量数据的安全性,比如可以根据待分析流量数据的相同字节流、所属的同一文件等来判断待分析流量数据的安全性。
具体应用场景中,判断相似流量聚类结果是否构成恶意场景的步骤,可以具体为:判断相似流量聚类结果是否构成扫描场景或僵尸网络通信场景或垃圾邮件场景。其中,可以通过相似流量聚类结果的访问ip数量及发出数据大小,来判断相似流量聚类结果是否为扫描场景;可以通过机器学习算法模型识别相似流量聚类结果中的dga(Domain GenerateAlgorithm,使用随机算法产生的域名)域名数量,来判断相似流量聚类结果是否为僵尸网络通信场景,僵尸网络指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络;可以通过统计相似流量聚类结果访问的邮件服务器信息,判断相似流量聚类结果是否为垃圾邮件场景等。
请参阅图3,图3为实际应用中本申请提供的一种流量安全性检测方法的流程图。
为了便于理解本申请提供的流量安全性检测方法,现以用户终端通过网络终端访问服务器的过程进行描述,并假设本申请提供的流量安全性检测方法应用于网络终端,则该过程可以包括以下步骤:
用户终端在用户操作下生成流量数据;
用户终端发送流量数据至网络终端;
网络终端获取流量数据并作为待分析流量数据;
网络终端基于预设的流量白名单,按照流量数据的信息类型对待分析流量数据进行聚类,得到聚类结果;
网络终端按照聚类结果对应的安全判定方式,对聚类结果进行安全性判定;在聚类结果中,删除掉安全性判定结果为安全的待分析流量数据;
网络终端获取与待分析流量数据对应的已有流量信息,已有流量信息为已收集的与待分析流量数据对应的、表征待分析流量数据本身之外的其他信息的流量信息;
网络终端基于各个待分析流量数据间的相似性和/或各个已有流量信息间的相似性,对待分析流量数据进行聚类,得到相似流量聚类结果;
网络终端判断相似流量聚类结果是否构成恶意场景,若是,则判定相似流量聚类结果对应的待分析流量数据危险,若否,则判定相似流量聚类结果对应的待分析流量数据安全;
网络终端将安全的待分析流量作为目标流量;
网络终端将目标流量发送至服务器;
服务器接收目标流量,并生成与目标流量对应的响应数据;
服务器发送响应数据至网络终端;
网络终端发送响应数据至用户终端。
请参阅图4,图4为本申请实施例提供的一种流量安全性检测系统的结构示意图。
本申请实施例提供的一种流量安全性检测系统,可以包括:
第一获取模块101,用于获取待分析流量数据;
第二获取模块102,用于获取与待分析流量数据对应的已有流量信息,已有流量信息为已收集的与待分析流量数据对应的、表征待分析流量数据本身之外的其他信息的流量信息;
第一确定模块103,用于基于待分析流量数据及已有流量信息,确定待分析流量数据的安全性。
本申请实施例提供的一种流量安全性检测系统,还可以包括:
第一过滤模块,用于第一获取模块获取待分析流量数据,第二获取模块获取与待分析流量数据对应的已有流量信息之前,过滤掉安全性已知的待分析流量数据。
本申请实施例提供的一种流量安全性检测系统,第一过滤模块可以包括:
第一过滤单元,用于基于预设的流量白名单,过滤掉安全性已知的待分析流量数据。
本申请实施例提供的一种流量安全性检测系统,第一过滤模块可以包括:
第一聚类子模块,用于按照流量数据的信息类型对待分析流量数据进行聚类,得到聚类结果;
第一判断子模块,用于按照聚类结果对应的安全判定方式,对聚类结果进行安全性判定;
第一删除子模块,用于在聚类结果中,删除掉安全性判定结果为安全的待分析流量数据。
本申请实施例提供的一种流量安全性检测系统,聚类结果可以包括域名聚类结果;
第一判断子模块可以包括:
第一解析单元,用于对域名聚类结果进行解析,得到域名解析结果;
第一判断单元,用于判断域名解析结果是否与安全域名的解析结果相似,若是,则判定解析结果所对应的待分析流量数据安全。
本申请实施例提供的一种流量安全性检测系统,聚类结果可以包括url聚类结果;
第一判断子模块可以包括:
第一统计单元,用于在url聚类结果中,统计出属于相同host路径的待分析流量数据;
第二判断单元,用于对于属于相同host路径的待分析流量数据,判断文件类型是否相同;若文件类型相同,则判断路径长度超过预设级别的待分析流量数据的数量是否超过预设数量;若路径长度超过预设级别的待分析流量数据的数量超过预设数量,则判定属于相同host路径的待分析流量数据安全。
本申请实施例提供的一种流量安全性检测系统,聚类结果可以包括url聚类结果;
第一判断子模块可以包括:
第三判断单元,用于判断url聚类结果中是否包含预设安全路径信息,若是,则判定包含预设安全路径信息的待分析流量数据安全。
本申请实施例提供的一种流量安全性检测系统,已有流量信息可以包括注册信息;
第二获取模块可以包括:
第一获取单元,用于基于待分析流量数据的域名,获取注册信息,注册信息包括注册机构、注册时间、过期时间、分类信息。
本申请实施例提供的一种流量安全性检测系统,已有流量信息可以包括已有ip信息及已有url信息;其中,已有ip信息可以包括地理位置信息、ip标签;url信息包括MD5信息、标签信息。
本申请实施例提供的一种流量安全性检测系统,第一确定模块可以包括:
第一确定单元,用于基于各个待分析流量数据间的相似性和/或各个已有流量信息间的相似性,对待分析流量数据进行聚类,得到相似流量聚类结果;
第二判断子模块,用于判断相似流量聚类结果是否构成恶意场景,若是,则判定相似流量聚类结果对应的待分析流量数据危险。
本申请实施例提供的一种流量安全性检测系统,第二判断子模块可以包括:
第四判断单元,用于判断相似流量聚类结果是否构成扫描场景或僵尸网络通信场景或垃圾邮件场景。
本申请还提供了一种流量安全性检测设备及计算机可读存储介质,其均具有本申请实施例提供的一种流量安全性检测方法具有的对应效果。请参阅图5,图5为本申请实施例提供的一种流量安全性检测设备的结构示意图。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:
获取待分析流量数据;
获取与待分析流量数据对应的已有流量信息,已有流量信息为已收集的与待分析流量数据对应的、表征待分析流量数据本身之外的其他信息的流量信息;
基于待分析流量数据及已有流量信息,确定待分析流量数据的安全性。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:获取与待分析流量数据对应的已有流量信息之前,过滤掉安全性已知的待分析流量数据。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:基于预设的流量白名单,过滤掉安全性已知的待分析流量数据。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:按照流量数据的信息类型对待分析流量数据进行聚类,得到聚类结果;按照聚类结果对应的安全判定方式,对聚类结果进行安全性判定;在聚类结果中,删除掉安全性判定结果为安全的待分析流量数据。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:聚类结果包括域名聚类结果;对域名聚类结果进行解析,得到域名解析结果;判断域名解析结果是否与安全域名的解析结果相似,若是,则判定解析结果所对应的待分析流量数据安全。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:聚类结果包括url聚类结果;在url聚类结果中,统计出属于相同host路径的待分析流量数据;对于属于相同host路径的待分析流量数据,判断文件类型是否相同;若文件类型相同,则判断路径长度超过预设级别的待分析流量数据的数量是否超过预设数量;若路径长度超过预设级别的待分析流量数据的数量超过预设数量,则判定属于相同host路径的待分析流量数据安全。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:聚类结果包括url聚类结果;判断url聚类结果中是否包含预设安全路径信息,若是,则判定包含预设安全路径信息的待分析流量数据安全。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:已有流量信息包括注册信息;基于待分析流量数据的域名,获取注册信息,注册信息包括注册机构、注册时间、过期时间、分类信息。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:已有流量信息包括已有ip信息及已有url信息;其中,已有ip信息包括地理位置信息、ip标签;url信息包括MD5信息、标签信息。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:基于各个待分析流量数据间的相似性和/或各个已有流量信息间的相似性,对待分析流量数据进行聚类,得到相似流量聚类结果;判断相似流量聚类结果是否构成恶意场景,若是,则判定相似流量聚类结果对应的待分析流量数据危险。
本申请实施例提供的一种流量安全性检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如下步骤:判断相似流量聚类结果是否构成扫描场景或僵尸网络通信场景或垃圾邮件场景。
请参阅图6,本申请实施例提供的另一种流量安全性检测设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现流量安全性检测设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:
获取待分析流量数据;
获取与待分析流量数据对应的已有流量信息,已有流量信息为已收集的与待分析流量数据对应的、表征待分析流量数据本身之外的其他信息的流量信息;
基于待分析流量数据及已有流量信息,确定待分析流量数据的安全性。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:获取待分析流量数据,获取与待分析流量数据对应的已有流量信息之前,过滤掉安全性已知的待分析流量数据。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:基于预设的流量白名单,过滤掉安全性已知的待分析流量数据。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:按照流量数据的信息类型对待分析流量数据进行聚类,得到聚类结果;按照聚类结果对应的安全判定方式,对聚类结果进行安全性判定;在聚类结果中,删除掉安全性判定结果为安全的待分析流量数据。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:聚类结果包括域名聚类结果;对域名聚类结果进行解析,得到域名解析结果;判断域名解析结果是否与安全域名的解析结果相似,若是,则判定解析结果所对应的待分析流量数据安全。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:聚类结果包括url聚类结果;在url聚类结果中,统计出属于相同host路径的待分析流量数据;对于属于相同host路径的待分析流量数据,判断文件类型是否相同;若文件类型相同,则判断路径长度超过预设级别的待分析流量数据的数量是否超过预设数量;若路径长度超过预设级别的待分析流量数据的数量超过预设数量,则判定属于相同host路径的待分析流量数据安全。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:聚类结果包括url聚类结果;判断url聚类结果中是否包含预设安全路径信息,若是,则判定包含预设安全路径信息的待分析流量数据安全。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:已有流量信息包括注册信息;基于待分析流量数据的域名,获取注册信息,注册信息包括注册机构、注册时间、过期时间、分类信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:已有流量信息包括已有ip信息及已有url信息;其中,已有ip信息包括地理位置信息、ip标签;url信息包括MD5信息、标签信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:基于各个待分析流量数据间的相似性和/或各个已有流量信息间的相似性,对待分析流量数据进行聚类,得到相似流量聚类结果;判断相似流量聚类结果是否构成恶意场景,若是,则判定相似流量聚类结果对应的待分析流量数据危险。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:判断相似流量聚类结果是否构成扫描场景或僵尸网络通信场景或垃圾邮件场景。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的流量安全性检测系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的流量安全性检测方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (14)
1.一种流量安全性检测方法,其特征在于,包括:
获取待分析流量数据;
获取与所述待分析流量数据对应的已有流量信息,所述已有流量信息为已收集的与所述待分析流量数据对应的、表征所述待分析流量数据本身之外的其他信息的流量信息;
基于所述待分析流量数据及所述已有流量信息,确定所述待分析流量数据的安全性。
2.根据权利要求1所述的方法,其特征在于,所述获取待分析流量数据,所述获取与所述待分析流量数据对应的已有流量信息之前,还包括:
过滤掉安全性已知的所述待分析流量数据。
3.根据权利要求2所述的方法,其特征在于,所述过滤掉安全性已知的所述待分析流量数据,包括:
基于预设的流量白名单,过滤掉安全性已知的所述待分析流量数据。
4.根据权利要求2所述的方法,其特征在于,所述过滤掉安全性已知的所述待分析流量数据,包括:
按照流量数据的信息类型对所述待分析流量数据进行聚类,得到聚类结果;
按照所述聚类结果对应的安全判定方式,对所述聚类结果进行安全性判定;
在所述聚类结果中,删除掉安全性判定结果为安全的所述待分析流量数据。
5.根据权利要求4所述的方法,其特征在于,所述聚类结果包括域名聚类结果;
所述按照所述聚类结果对应的安全判定方式,对所述聚类结果进行安全性判定,包括:
对所述域名聚类结果进行解析,得到域名解析结果;
判断所述域名解析结果是否与安全域名的解析结果相似,若是,则判定所述解析结果所对应的待分析流量数据安全。
6.根据权利要求4所述的方法,其特征在于,所述聚类结果包括url聚类结果;
所述按照所述聚类结果对应的安全判定方式,对所述聚类结果进行安全性判定,包括:
在所述url聚类结果中,统计出属于相同host路径的所述待分析流量数据;
对于属于相同host路径的所述待分析流量数据,判断文件类型是否相同;若文件类型相同,则判断路径长度超过预设级别的所述待分析流量数据的数量是否超过预设数量;若路径长度超过预设级别的所述待分析流量数据的数量超过所述预设数量,则判定属于相同host路径的所述待分析流量数据安全。
7.根据权利要求4所述的方法,其特征在于,所述聚类结果包括url聚类结果;
所述按照所述聚类结果对应的安全判定方式,对所述聚类结果进行安全性判定,包括:
判断所述url聚类结果中是否包含预设安全路径信息,若是,则判定包含所述预设安全路径信息的所述待分析流量数据安全。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述已有流量信息包括注册信息;
所述获取与所述待分析流量数据对应的已有流量信息,包括:
基于所述待分析流量数据的域名,获取所述注册信息,所述注册信息包括注册机构、注册时间、过期时间、分类信息。
9.根据权利要求1至7任一项所述的方法,其特征在于,所述已有流量信息包括已有ip信息及已有url信息;
其中,所述已有ip信息包括地理位置信息、ip标签;所述url信息包括MD5信息、标签信息。
10.根据权利要求1所述的方法,其特征在于,所述基于所述待分析流量数据及所述已有流量信息,确定所述待分析流量数据的安全性,包括:
基于各个所述待分析流量数据间的相似性和/或各个所述已有流量信息间的相似性,对所述待分析流量数据进行聚类,得到相似流量聚类结果;
判断所述相似流量聚类结果是否构成恶意场景,若是,则判定所述相似流量聚类结果对应的所述待分析流量数据危险。
11.根据权利要求10所述的方法,其特征在于,所述判断所述相似流量聚类结果是否构成恶意场景,包括:
判断所述相似流量聚类结果是否构成扫描场景或僵尸网络通信场景或垃圾邮件场景。
12.一种流量安全性检测系统,其特征在于,包括:
第一获取模块,用于获取待分析流量数据;
第二获取模块,用于获取与所述待分析流量数据对应的已有流量信息,所述已有流量信息为已收集的与所述待分析流量数据对应的、表征所述待分析流量数据本身之外的其他信息的流量信息;
第一确定模块,用于基于所述待分析流量数据及所述已有流量信息,确定所述待分析流量数据的安全性。
13.一种流量安全性检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至11任一项所述流量安全性检测方法的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至11任一项所述流量安全性检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010326113.6A CN113556308B (zh) | 2020-04-23 | 2020-04-23 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010326113.6A CN113556308B (zh) | 2020-04-23 | 2020-04-23 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113556308A true CN113556308A (zh) | 2021-10-26 |
CN113556308B CN113556308B (zh) | 2022-09-30 |
Family
ID=78101031
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010326113.6A Active CN113556308B (zh) | 2020-04-23 | 2020-04-23 | 一种流量安全性检测方法、系统、设备及计算机存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113556308B (zh) |
Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102420701A (zh) * | 2011-11-28 | 2012-04-18 | 北京邮电大学 | 一种互联网业务流特征的提取方法 |
WO2014011799A1 (en) * | 2012-07-12 | 2014-01-16 | Telcordia Technologies, Inc. | System and method for spammer host detection from network flow data profiles |
CN104135400A (zh) * | 2014-07-14 | 2014-11-05 | 南京烽火星空通信发展有限公司 | 一种基于分布式时空机理的主干网僵尸网络追踪方法 |
CN104376000A (zh) * | 2013-08-13 | 2015-02-25 | 阿里巴巴集团控股有限公司 | 确定网页属性的方法及装置 |
US8972376B1 (en) * | 2013-01-02 | 2015-03-03 | Palo Alto Networks, Inc. | Optimized web domains classification based on progressive crawling with clustering |
US20160065597A1 (en) * | 2011-07-06 | 2016-03-03 | Nominum, Inc. | System for domain reputation scoring |
CN105824822A (zh) * | 2015-01-05 | 2016-08-03 | 任子行网络技术股份有限公司 | 一种由钓鱼网页聚类定位目标网页的方法 |
CN106060067A (zh) * | 2016-06-29 | 2016-10-26 | 上海交通大学 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
CN106302440A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道获取可疑钓鱼网站的方法 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN106973051A (zh) * | 2017-03-27 | 2017-07-21 | 山石网科通信技术有限公司 | 建立检测网络威胁模型的方法、装置、存储介质和处理器 |
WO2018047027A1 (en) * | 2016-09-12 | 2018-03-15 | Politecnico Di Torino | A method for exploring traffic passive traces and grouping similar urls |
CN108737439A (zh) * | 2018-06-04 | 2018-11-02 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN110099059A (zh) * | 2019-05-06 | 2019-08-06 | 腾讯科技(深圳)有限公司 | 一种域名识别方法、装置及存储介质 |
CN110336789A (zh) * | 2019-05-28 | 2019-10-15 | 北京邮电大学 | 基于混合学习的Domain-flux僵尸网络检测方法 |
-
2020
- 2020-04-23 CN CN202010326113.6A patent/CN113556308B/zh active Active
Patent Citations (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160065597A1 (en) * | 2011-07-06 | 2016-03-03 | Nominum, Inc. | System for domain reputation scoring |
CN102420701A (zh) * | 2011-11-28 | 2012-04-18 | 北京邮电大学 | 一种互联网业务流特征的提取方法 |
WO2014011799A1 (en) * | 2012-07-12 | 2014-01-16 | Telcordia Technologies, Inc. | System and method for spammer host detection from network flow data profiles |
US8972376B1 (en) * | 2013-01-02 | 2015-03-03 | Palo Alto Networks, Inc. | Optimized web domains classification based on progressive crawling with clustering |
CN104376000A (zh) * | 2013-08-13 | 2015-02-25 | 阿里巴巴集团控股有限公司 | 确定网页属性的方法及装置 |
CN104135400A (zh) * | 2014-07-14 | 2014-11-05 | 南京烽火星空通信发展有限公司 | 一种基于分布式时空机理的主干网僵尸网络追踪方法 |
CN105824822A (zh) * | 2015-01-05 | 2016-08-03 | 任子行网络技术股份有限公司 | 一种由钓鱼网页聚类定位目标网页的方法 |
CN106060067A (zh) * | 2016-06-29 | 2016-10-26 | 上海交通大学 | 基于Passive DNS迭代聚类的恶意域名检测方法 |
CN106302440A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道获取可疑钓鱼网站的方法 |
WO2018047027A1 (en) * | 2016-09-12 | 2018-03-15 | Politecnico Di Torino | A method for exploring traffic passive traces and grouping similar urls |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN106973051A (zh) * | 2017-03-27 | 2017-07-21 | 山石网科通信技术有限公司 | 建立检测网络威胁模型的方法、装置、存储介质和处理器 |
CN109391599A (zh) * | 2017-08-10 | 2019-02-26 | 蓝盾信息安全技术股份有限公司 | 一种基于https流量特征分析的僵尸网络通讯信号的检测系统 |
CN108737439A (zh) * | 2018-06-04 | 2018-11-02 | 上海交通大学 | 一种基于自反馈学习的大规模恶意域名检测系统及方法 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN110099059A (zh) * | 2019-05-06 | 2019-08-06 | 腾讯科技(深圳)有限公司 | 一种域名识别方法、装置及存储介质 |
CN110336789A (zh) * | 2019-05-28 | 2019-10-15 | 北京邮电大学 | 基于混合学习的Domain-flux僵尸网络检测方法 |
Non-Patent Citations (1)
Title |
---|
臧小东等: "基于AGD的恶意域名检测", 《通信学报》 * |
Also Published As
Publication number | Publication date |
---|---|
CN113556308B (zh) | 2022-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
CN108092962B (zh) | 一种恶意url检测方法及装置 | |
CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
WO2015051720A1 (zh) | 检测可疑dns的方法、装置和可疑dns的处理方法、系统 | |
CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
CN110351280A (zh) | 一种威胁情报提取的方法、系统、设备及可读存储介质 | |
CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
CN107995179B (zh) | 一种未知威胁感知方法、装置、设备及系统 | |
CN109889511B (zh) | 进程dns活动监控方法、设备及介质 | |
CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
CN112769775B (zh) | 一种威胁情报关联分析方法、系统、设备及计算机介质 | |
CN108270761A (zh) | 一种域名合法性检测方法及装置 | |
CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
CN108270754B (zh) | 一种钓鱼网站的检测方法及装置 | |
CN107135199B (zh) | 网页后门的检测方法和装置 | |
CN113890758B (zh) | 一种威胁情报方法、装置、设备及计算机存储介质 | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
CN107172033B (zh) | 一种waf误判识别方法以及装置 | |
CN109413022A (zh) | 一种基于用户行为检测http flood攻击的方法和装置 | |
CN113556308B (zh) | 一种流量安全性检测方法、系统、设备及计算机存储介质 | |
CN109308264B (zh) | 数据脱敏效果的评价方法及相应设备和存储介质 | |
CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |