CN114584391A - 异常流量处理策略的生成方法、装置、设备及存储介质 - Google Patents

异常流量处理策略的生成方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN114584391A
CN114584391A CN202210287019.3A CN202210287019A CN114584391A CN 114584391 A CN114584391 A CN 114584391A CN 202210287019 A CN202210287019 A CN 202210287019A CN 114584391 A CN114584391 A CN 114584391A
Authority
CN
China
Prior art keywords
strategy
management
abnormal
generating
flow data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210287019.3A
Other languages
English (en)
Other versions
CN114584391B (zh
Inventor
李蓉
王泽政
李鹏超
尚程
杨满智
王杰
傅强
梁彧
田野
金红
陈晓光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eversec Beijing Technology Co Ltd
Original Assignee
Eversec Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eversec Beijing Technology Co Ltd filed Critical Eversec Beijing Technology Co Ltd
Priority to CN202210287019.3A priority Critical patent/CN114584391B/zh
Publication of CN114584391A publication Critical patent/CN114584391A/zh
Application granted granted Critical
Publication of CN114584391B publication Critical patent/CN114584391B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种异常流量处理策略的生成方法、装置、设备及存储介质。该方法包括获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。本发明实施例的技术方案提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。

Description

异常流量处理策略的生成方法、装置、设备及存储介质
技术领域
本发明实施例涉及计算机技术,尤其涉及网络安全技术,尤其涉及一种异常流量处理策略的生成方法、装置、设备及存储介质。
背景技术
当前生产业务增长产生更大的网络流量、发展和变化太快的威胁形式和日益增长的网络告警(每周可高至上万次)使现有的网络安全体系效率低下,安全监控工具和响应机制不完善,很难真正了解网络的安全态势。
现有针对网络流量的策略管理技术通过软件将策略变更涉及到的流量可视化,人工进行策略变更影响分析、风险和脆弱性评估和合规检查,基于这些分析的基础上确定批准还是拒绝。
发明人在实现本发明的过程中,发现现有技术存在如下缺陷:通过人工对策略进行分析确认,导致对网络中大量流量数据生成策略较慢的问题。
发明内容
本发明实施例提供了一种异常流量处理策略的生成方法、装置、设备及存储介质,以提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。
第一方面,本发明实施例提供了一种异常流量处理策略的生成方法,该方法包括:
获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
第二方面,本发明实施例还提供了一种异常流量处理策略的生成装置,该装置包括:
异常流量数据集获取模块,用于获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
预管理策略生成模块,用于分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
新的目标管理策略筛选模块,用于将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例所述的一种异常流量处理策略的生成方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如本发明任意实施例所述的一种异常流量处理策略的生成方法。
本发明实施例通过获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略的技术手段,解决现有技术通过人工进行策略变更分析确认导致对大量网络流量生成策略缓慢的问题,提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。
附图说明
图1为本发明实施例一提供的一种异常流量处理策略的生成方法的流程图;
图1a为本发明实施例一提供的一种异常流量处理策略的生成方法的具体示例图;
图1b为本发明实施例一提供的一种异常流量处理策略的生成方法集成于全流量处理设备的具体场景示意图;
图2为本发明实施例二提供的一种异常流量处理策略的生成装置的结构示意图;
图3为本发明实施例三提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种异常流量处理策略的生成方法的流程图,本实施例可适用于对网络流量进行监测并生成处理策略的情况,该方法可以由异常流量处理策略的生成装置来执行,该装置可以通过软件和/或硬件的方式实现,并一般可以集成在服务器中。具体的,参考图1,该方法具体包括如下步骤:
S110、获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集。
其中,待检测流量数据集可以是从网络交换机处获取的镜像流量数据,也可以是之间网络系统中,从网络系统中直接采集流量数据。预先构建的异常知识库可以包括攻击者信息和被攻击者信息,其中,攻击者信息例如可以包括恶意链接和威胁情报等信息,被攻击者信息例如可以包括企业资产漏洞等信息。该异常知识库可以定期进行丰富更新处理。异常流量数据集可以是初始待检测流量数据集中具有异常攻击者信息及北攻击者信息的流量数据。
在本发明实施例中,可以通过预先构建的异常知识库比对待检测流量数据集,从待检测流量数据集中筛选出具有异常攻击者信息及被攻击者信息的流量数据,从而得到异常流量数据集。
可选的,在得到异常流量数据集之后,还可以包括:将各所述异常流量数据在攻击者信息和被攻击者信息维度上,生成相应的图表分析结果;根据所述图表分析结果生成预警信息。
其中,图表分析结果可以是柱状图、折线图、饼图和表格等形式。该图标分析结果可以包括恶意链接、威胁情报和企业资产漏洞等分析结果。
示例性的,可以根据异常流量数据集中各异常流量数据的类型等分别统计每种类型下的异常流量数据在攻击者和被攻击者信息维度上的分布情况,其中,对异常流量数据的分类例如可以按照所属行业、所属地域和所属企业等进行分类。
具体的,可以将各异常流量数据在攻击者信息和被攻击者信息维度上,生成相应的图表分析结果,根据图表分析结果生成预警信息发送至相应的监督平台。
S120、分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集。
其中,数据描述信息可以包括源地址、目标地址、源端口、目标端口、应用、接口索引和服务类型中的至少一项。预设策略模板可以是指对异常流量数据生成策略时的标准策略格式,例如,除包括异常流量数据的数据描述信息外,还可以包括匹配的响应动作和策略生效时间。预管理策略可以是对各异常流量数据生成的初步管理策略。
在本发明实施例中,可以分析各异常流量数据的数据描述信息,并按照预设策略模板,生成匹配的预管理策略集。
在本发明实施例的一个可选实施方式中,分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集,可以包括:根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间;将所述各异常流量数据的数据描述信息,及与各异常流量数据匹配的响应动作和策略生效时间,按照预设策略模板,生成与所述异常流量数据集对应的预管理策略集。
其中,响应动作可以指阻止和不阻止等动作。策略生效时间可以包括立即生效和指定XX时间生效等。
在本发明实施例中,可以分析各异常流量数据的数据描述信息,判断是否异常或者异常程度等,从而确定匹配的响应动作和策略响应时间等,将各异常流量数据的数据描述信息及匹配的响应动作和策略生效时间信息共同按照预设策略模板,生成匹配的预管理策略集。
可选的,根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间,可以包括:
依次获取一条异常流量数据,作为当前处理数据,并获取与所述当前处理数据对应的各所述数据描述信息;根据所述数据描述信息,生成与响应动作匹配的第一比对特征向量,并将所述第一比对特征向量与各类型的响应动作分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标响应动作;根据所述数据描述信息,生成与策略生效时间匹配的第二比对特征向量,并将所述第二比对特征向量与各类型的策略生效时间分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标策略生效时间;返回执行依次获取一条异常流量数据,作为当前处理数据的操作,直至完成对全部异常流量数据的处理。
S130、将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
其中,新的目标管理策略可以是预管理策略集中没有预先存储于策略库的管理策略。新的目标管理策略可以是预管理策略的子集。
在本发明实施例中,可以将预管理策略集中的各预管理策略与策略库中已存管理策略进行比对匹配,筛选区别于已存管理策略的预管理策略作为新的目标管理策略。
在本发明实施例的一个可选实施方式中,将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略,可以包括:在所述预管理策略集中滤除与所述已存管理策略相同的管理策略,以及,滤除策略内容包含于所述已存管理策略中的管理策略,得到所述新的目标管理策略。
具体的,在将预管理策略集中的各预管理策略与策略库中已存管理策略进行比对匹配的过程中,可以从预管理策略集中滤除与已存管理策略的数据描述信息、响应动作和策略生效时间均相同的管理策略,以及,策略内容为已存管理策略的子集的管理策略,从而将剩余的预管理策略作为新的目标管理策略。
可选的,在所述预管理策略集中滤除策略内容包含于所述已存管理策略中的管理策略,可以包括:检测各所述已存管理策略中,是否存在与所述预管理策略集中的当前处理策略仅一项目标数据描述信息不同的相似管理策略;如果确定存在所述相似管理策略,则检测所述当前处理策略的所述目标数据描述信息是否为所述相似管理策略的所述目标数据描述信息的真子集;若是,则在所述预管理策略集中滤除所述当前处理策略。
其中,目标数据描述信息可以是源地址、目标地址、源端口、目标端口、应用、接口索引和服务类型中的的一种。
具体的,在将预管理策略集中的各预管理策略与策略库中已存管理策略进行比对匹配的过程中,检测已存管理策略中是否存在与预管理策略集中的当前处理策略仅一项目标数据描述信息不同的已存管理策略,如果存在,将该一寸管理策略作为当前处理策略的相似管理策略,并可以继续检测当前处理策略的目标数据描述信息是否为该相似管理策略的目标数据描述信息的真子集,如果是,可以从预管理策略集中滤除当前处理策略。
本发明实施例的技术方案,通过获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略的技术手段,解决了现有技术通过人工进行策略变更分析确认导致对大量网络流量生成策略缓慢的问题,提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。
在上述技术方案的基础上,优选可以在从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略之后,还可以包括:将所述新的目标管理策略添加至所述策略库,并根据所述策略库,对所述异常流量数据集执行相应的处理操作。
为了使本领域技术人员更好地理解本实施例异常流量处理策略的生成方法,下面采用一个具体示例进行说明,参考图1a,具体过程包括有:
步骤1、根据异常数据流量的数据描述信息预生成策略。
步骤2、判断策略库中是否存在相同的策略,如果有,则存储记录,并不生成新策略;如果没有相同策略,则进入下一步判断是否有相似策略。
步骤3、判断策略库中是否存在相似策略,如果有,则进行策略合并,判断新策略是否包含在旧策略中,如果合并后策略包含于策略库的已存策略,则存储记录,但不生成新策略;如果合并后策略没有包含于策略库的已存策略,则生成新策略。
示例性的,图1b还为本发明实施例一提供一种异常流量处理策略的生成方法集成于全流量处理设备的具体场景示意图,可以接收网络交换机的镜像流量数据,也可以直接接入到网络中(可二选一接入,或全部接入,全部接入时结果展示可以进行去重处理)。
当接收网络交换机发送的镜像流量数据,发送给异常流量检测模块进行流量检测,异常流量检测模块通过攻击者信息(包括恶意链接和威胁情报等信息)和被攻击者信息(资产漏洞)形成的异常知识库(该知识库定期更新)进行分析,将异常流量的结果展示,其中,统计结果可分为恶意链接分布、威胁情报分布和资产漏洞分布等维度。
当全流量处理设备接入网络系统中,通过流量分发模块将流量复制成两份,一份通过策略模块进行策略匹配,快速按需对异常流量自动阻断。另一份可以通过异常流量检测模块进行流量检测,异常流量检测模块通过攻击者信息(包括恶意链接和威胁情报等信息)和被攻击者信息(资产漏洞)形成的知识库(该知识库定期更新)进行分析,将异常流量的结果展示。异常流量检测模块将筛选得到的异常流量数据发送至策略生成模块,策略生成模块根据异常流量数据的特征(即,数据描述信息)分析生成新策略,并将新策略发给策略模块。策略模块接收新策略后进行分析,接收策略并将策略接受情况返回给策略生成模块。策略生成模块将依据返回的策略接受情况进行下一次的策略分析并依次生成新策略。
策略模块还可以开发API(Application Programming Interface,应用程序编程接口)接口和其他安全设备联动:接收其他安全设备生成的新策略,并给其他安全设备发送策略,让其他安全设备做相应的响应。
实施例二
图2为本发明实施例二提供的一种异常流量处理策略的生成装置的结构示意图,该装置可以执行上述各实施例中涉及到的异常流量处理策略的生成方法。参照图2,该装置包括:异常流量数据集获取模块210、预管理策略生成模块220和新的目标管理策略筛选模块230。其中:
异常流量数据集获取模块210,用于获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
预管理策略生成模块220,用于分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
新的目标管理策略筛选模块230,用于将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
本发明实施例的技术方案,通过获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略的技术手段,解决了现有技术通过人工进行策略变更分析确认导致对大量网络流量生成策略缓慢的问题,提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。
上述装置中,可选的是,预管理策略生成模块220,包括:
响应动作和策略生效时间生成单元,用于根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间;
预管理策略生成单元,用于将所述各异常流量数据的数据描述信息,及与各异常流量数据匹配的响应动作和策略生效时间,按照预设策略模板,生成与所述异常流量数据集对应的预管理策略集。
上述装置中,可选的是,响应动作和策略生效时间生成单元,具体可以用于:
依次获取一条异常流量数据,作为当前处理数据,并获取与所述当前处理数据对应的各所述数据描述信息;
根据所述数据描述信息,生成与响应动作匹配的第一比对特征向量,并将所述第一比对特征向量与各类型的响应动作分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标响应动作;
根据所述数据描述信息,生成与策略生效时间匹配的第二比对特征向量,并将所述第二比对特征向量与各类型的策略生效时间分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标策略生效时间;
返回执行依次获取一条异常流量数据,作为当前处理数据的操作,直至完成对全部异常流量数据的处理。
上述装置中,可选的是,新的目标管理策略筛选模块230,具体可以用于:
在所述预管理策略集中滤除与所述已存管理策略相同的管理策略,以及,滤除策略内容包含于所述已存管理策略中的管理策略,得到所述新的目标管理策略。
上述装置中,可选的是,新的目标管理策略筛选模块230,具体还可以用于:
检测各所述已存管理策略中,是否存在与所述预管理策略集中的当前处理策略仅一项目标数据描述信息不同的相似管理策略;
如果确定存在所述相似管理策略,则检测所述当前处理策略的所述目标数据描述信息是否为所述相似管理策略的所述目标数据描述信息的真子集;
若是,则在所述预管理策略集中滤除所述当前处理策略。
上述装置中,可选的是,所述异常知识库包括攻击者和被攻击者信息;
还包括,预警信息生成模块,用于在得到异常流量数据集之后:
将各所述异常流量数据在攻击者信息和被攻击者信息维度上,生成相应的图表分析结果;
根据所述图表分析结果生成预警信息。
上述装置中,可选的是,还包括,操作执行模块,用于在从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略之后:
将所述新的目标管理策略添加至所述策略库,并根据所述策略库,对所述异常流量数据集执行相应的处理操作。
本发明实施例所提供的异常流量处理策略的生成装置可执行本发明任意实施例所提供的异常流量处理策略的生成方法,具备执行方法相应的功能模块和有益效果。
实施例三
图3为本发明实施例三提供的一种电子设备的结构示意图,如图3所示,该设备包括处理器310、存储装置320、输入装置330和输出装置340;设备中处理器310的数量可以是一个或多个,图3中以一个处理器310为例;设备中的处理器310、存储装置320、输入装置330和输出装置340可以通过总线或其他方式连接,图3中以通过总线连接为例。
存储装置320作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的异常流量处理策略的生成方法对应的程序指令/模块(例如,异常流量处理策略的生成装置中的异常流量数据集获取模块210、预管理策略生成模块220和新的目标管理策略筛选模块230)。处理器310通过运行存储在存储装置320中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的异常流量处理策略的生成方法,该方法可以包括:
获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
存储装置320可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置320可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置320可进一步包括相对于处理器310远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置330可用于接收输入的数字或字符信息,以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置340可包括显示屏等显示设备。
实施例四
本发明实施例四还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在由计算机处理器执行时用于执行一种异常流量处理策略的生成方法,该方法可以包括:
获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
当然,本发明实施例所提供的一种计算机可读存储介质,其上存储有计算机程序,其计算机程序不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的异常流量处理策略的生成方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述异常流量处理策略的生成装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (10)

1.一种异常流量处理策略的生成方法,其特征在于,包括:
获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
2.根据权利要求1所述的方法,其特征在于,分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集,包括:
根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间;
将所述各异常流量数据的数据描述信息,及与各异常流量数据匹配的响应动作和策略生效时间,按照预设策略模板,生成与所述异常流量数据集对应的预管理策略集。
3.根据权利要求2所述的方法,其特征在于,根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间,包括:
依次获取一条异常流量数据,作为当前处理数据,并获取与所述当前处理数据对应的各所述数据描述信息;
根据所述数据描述信息,生成与响应动作匹配的第一比对特征向量,并将所述第一比对特征向量与各类型的响应动作分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标响应动作;
根据所述数据描述信息,生成与策略生效时间匹配的第二比对特征向量,并将所述第二比对特征向量与各类型的策略生效时间分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标策略生效时间;
返回执行依次获取一条异常流量数据,作为当前处理数据的操作,直至完成对全部异常流量数据的处理。
4.根据权利要求1所述的方法,其特征在于,将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略,包括:
在所述预管理策略集中滤除与所述已存管理策略相同的管理策略,以及,滤除策略内容包含于所述已存管理策略中的管理策略,得到所述新的目标管理策略。
5.根据权利要求4所述的方法,其特征在于,在所述预管理策略集中滤除策略内容包含于所述已存管理策略中的管理策略,包括:
检测各所述已存管理策略中,是否存在与所述预管理策略集中的当前处理策略仅一项目标数据描述信息不同的相似管理策略;
如果确定存在所述相似管理策略,则检测所述当前处理策略的所述目标数据描述信息是否为所述相似管理策略的所述目标数据描述信息的真子集;
若是,则在所述预管理策略集中滤除所述当前处理策略。
6.根据权利要求1所述的方法,其特征在于,所述异常知识库包括攻击者和被攻击者信息;
在得到异常流量数据集之后,还包括:
将各所述异常流量数据在攻击者信息和被攻击者信息维度上,生成相应的图表分析结果;
根据所述图表分析结果生成预警信息。
7.根据权利要求1所述的方法,其特征在于,在从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略之后,还包括:
将所述新的目标管理策略添加至所述策略库,并根据所述策略库,对所述异常流量数据集执行相应的处理操作。
8.一种异常流量处理策略的生成装置,其特征在于,包括:
异常流量数据集获取模块,用于获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
预管理策略生成模块,用于分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
新的目标管理策略筛选模块,用于将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
9.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的一种异常流量处理策略的生成方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的一种异常流量处理策略的生成方法。
CN202210287019.3A 2022-03-22 2022-03-22 异常流量处理策略的生成方法、装置、设备及存储介质 Active CN114584391B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210287019.3A CN114584391B (zh) 2022-03-22 2022-03-22 异常流量处理策略的生成方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210287019.3A CN114584391B (zh) 2022-03-22 2022-03-22 异常流量处理策略的生成方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN114584391A true CN114584391A (zh) 2022-06-03
CN114584391B CN114584391B (zh) 2024-02-09

Family

ID=81777248

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210287019.3A Active CN114584391B (zh) 2022-03-22 2022-03-22 异常流量处理策略的生成方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN114584391B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117707830A (zh) * 2024-02-04 2024-03-15 中航信移动科技有限公司 Redis连接异常的处理方法、电子设备及存储介质

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080034425A1 (en) * 2006-07-20 2008-02-07 Kevin Overcash System and method of securing web applications across an enterprise
CN102122374A (zh) * 2011-03-03 2011-07-13 江苏方天电力技术有限公司 电力自动化系统流量异常智能分析系统
CN103368858A (zh) * 2012-04-01 2013-10-23 百度在线网络技术(北京)有限公司 多策略组合加载的流量清洗方法及装置
CN105429977A (zh) * 2015-11-13 2016-03-23 武汉邮电科学研究院 基于信息熵度量的深度包检测设备异常流量监控方法
CN107404442A (zh) * 2016-05-19 2017-11-28 中兴通讯股份有限公司 流量处理方法及系统
CN109714312A (zh) * 2018-11-19 2019-05-03 中国科学院信息工程研究所 一种基于外部威胁的采集策略生成方法及系统
CN111314121A (zh) * 2020-02-03 2020-06-19 支付宝(杭州)信息技术有限公司 链路异常检测方法以及装置
CN112311600A (zh) * 2020-10-29 2021-02-02 亚信科技(中国)有限公司 基于网络数据分析的策略建议生成方法、装置
CN112448919A (zh) * 2019-08-30 2021-03-05 中国电信股份有限公司 网络异常检测方法、装置和系统、计算机可读存储介质
CN113157524A (zh) * 2021-04-22 2021-07-23 深圳壹账通创配科技有限公司 基于大数据的异常问题解决方法、系统、设备和存储介质
WO2021258348A1 (zh) * 2020-06-24 2021-12-30 深圳市欢太科技有限公司 异常流量检测方法和系统、及计算机存储介质
CN113904804A (zh) * 2021-09-06 2022-01-07 河南信大网御科技有限公司 基于行为策略的内网安全防护方法、系统及介质

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080034425A1 (en) * 2006-07-20 2008-02-07 Kevin Overcash System and method of securing web applications across an enterprise
CN102122374A (zh) * 2011-03-03 2011-07-13 江苏方天电力技术有限公司 电力自动化系统流量异常智能分析系统
CN103368858A (zh) * 2012-04-01 2013-10-23 百度在线网络技术(北京)有限公司 多策略组合加载的流量清洗方法及装置
CN105429977A (zh) * 2015-11-13 2016-03-23 武汉邮电科学研究院 基于信息熵度量的深度包检测设备异常流量监控方法
CN107404442A (zh) * 2016-05-19 2017-11-28 中兴通讯股份有限公司 流量处理方法及系统
CN109714312A (zh) * 2018-11-19 2019-05-03 中国科学院信息工程研究所 一种基于外部威胁的采集策略生成方法及系统
CN112448919A (zh) * 2019-08-30 2021-03-05 中国电信股份有限公司 网络异常检测方法、装置和系统、计算机可读存储介质
CN111314121A (zh) * 2020-02-03 2020-06-19 支付宝(杭州)信息技术有限公司 链路异常检测方法以及装置
WO2021258348A1 (zh) * 2020-06-24 2021-12-30 深圳市欢太科技有限公司 异常流量检测方法和系统、及计算机存储介质
CN112311600A (zh) * 2020-10-29 2021-02-02 亚信科技(中国)有限公司 基于网络数据分析的策略建议生成方法、装置
CN113157524A (zh) * 2021-04-22 2021-07-23 深圳壹账通创配科技有限公司 基于大数据的异常问题解决方法、系统、设备和存储介质
CN113904804A (zh) * 2021-09-06 2022-01-07 河南信大网御科技有限公司 基于行为策略的内网安全防护方法、系统及介质

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
YANG LIU, HONGPING XU, HANG YI, XIAOTAO YAN, JIAN KANG, WEIQIANG XIA, QINGPING SHI, CHAOPENG SHEN: "Abnormal Traffic Flow Detection Based on Dynamic Hybrid Strategy", 《SPRINGER LINK》 *
刘奕, 李建华, 张一瑫, 孟涛: "基于特征属性信息熵的网络异常流量检测方法", 《信息网络安全》 *
沙泓州;刘庆云;柳厅文;周舟;郭莉;方滨兴;: "恶意网页识别研究综述", 计算机学报, no. 03 *
王荣;万振凯;: "校园网流量监控与优化研究", 天津工业大学学报, no. 02 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117707830A (zh) * 2024-02-04 2024-03-15 中航信移动科技有限公司 Redis连接异常的处理方法、电子设备及存储介质
CN117707830B (zh) * 2024-02-04 2024-04-26 中航信移动科技有限公司 Redis连接异常的处理方法、电子设备及存储介质

Also Published As

Publication number Publication date
CN114584391B (zh) 2024-02-09

Similar Documents

Publication Publication Date Title
US11522882B2 (en) Detection of adversary lateral movement in multi-domain IIOT environments
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
CN107888574B (zh) 检测数据库风险的方法、服务器及存储介质
CN110933101B (zh) 安全事件日志处理方法、装置及存储介质
US20180288084A1 (en) Method and device for automatically establishing intrusion detection model based on industrial control network
CN115996146B (zh) 数控系统安全态势感知与分析系统、方法、设备及终端
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
JP2015076863A (ja) ログ分析装置、方法およびプログラム
CN111600880A (zh) 异常访问行为的检测方法、系统、存储介质和终端
WO2019035120A1 (en) SYSTEM AND METHOD FOR DETECTING CYBER-THREATS
EP2936772B1 (en) Network security management
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
CN111371581A (zh) 物联网卡业务异常检测的方法、装置、设备和介质
CN114579636A (zh) 数据安全风险预测方法、装置、计算机设备和介质
US20230087309A1 (en) Cyberattack identification in a network environment
CN117220957A (zh) 一种基于威胁情报的攻击行为响应方法及系统
CN114584391B (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
CN117952423A (zh) 一种基于数智化的产业链风险管理系统及方法
US20230018096A1 (en) Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program
US20190363925A1 (en) Cybersecurity Alert Management System
JP2019004284A (ja) 異常検出装置、および、異常検出方法
CN114221805A (zh) 一种工业互联网数据的监测方法、装置、设备及介质
CN112583825A (zh) 一种工业系统的异常检测方法和装置
CN112511568A (zh) 一种网络安全事件的关联分析方法、装置及存储介质
CN113055396B (zh) 一种跨终端溯源分析的方法、装置、系统和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant