CN114584391B - 异常流量处理策略的生成方法、装置、设备及存储介质 - Google Patents
异常流量处理策略的生成方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114584391B CN114584391B CN202210287019.3A CN202210287019A CN114584391B CN 114584391 B CN114584391 B CN 114584391B CN 202210287019 A CN202210287019 A CN 202210287019A CN 114584391 B CN114584391 B CN 114584391B
- Authority
- CN
- China
- Prior art keywords
- strategy
- management
- flow data
- policy
- abnormal flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 166
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000003860 storage Methods 0.000 title claims abstract description 24
- 238000005111 flow chemistry technique Methods 0.000 title claims abstract description 9
- 238000012216 screening Methods 0.000 claims abstract description 28
- 238000012545 processing Methods 0.000 claims description 57
- 230000009471 action Effects 0.000 claims description 28
- 230000004044 response Effects 0.000 claims description 28
- 239000013598 vector Substances 0.000 claims description 18
- 238000004458 analytical method Methods 0.000 claims description 17
- 238000001914 filtration Methods 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000010200 validation analysis Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 238000009826 distribution Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明实施例公开了一种异常流量处理策略的生成方法、装置、设备及存储介质。该方法包括获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。本发明实施例的技术方案提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。
Description
技术领域
本发明实施例涉及计算机技术,尤其涉及网络安全技术,尤其涉及一种异常流量处理策略的生成方法、装置、设备及存储介质。
背景技术
当前生产业务增长产生更大的网络流量、发展和变化太快的威胁形式和日益增长的网络告警(每周可高至上万次)使现有的网络安全体系效率低下,安全监控工具和响应机制不完善,很难真正了解网络的安全态势。
现有针对网络流量的策略管理技术通过软件将策略变更涉及到的流量可视化,人工进行策略变更影响分析、风险和脆弱性评估和合规检查,基于这些分析的基础上确定批准还是拒绝。
发明人在实现本发明的过程中,发现现有技术存在如下缺陷:通过人工对策略进行分析确认,导致对网络中大量流量数据生成策略较慢的问题。
发明内容
本发明实施例提供了一种异常流量处理策略的生成方法、装置、设备及存储介质,以提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。
第一方面,本发明实施例提供了一种异常流量处理策略的生成方法,该方法包括:
获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
第二方面,本发明实施例还提供了一种异常流量处理策略的生成装置,该装置包括:
异常流量数据集获取模块,用于获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
预管理策略生成模块,用于分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
新的目标管理策略筛选模块,用于将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例所述的一种异常流量处理策略的生成方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如本发明任意实施例所述的一种异常流量处理策略的生成方法。
本发明实施例通过获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略的技术手段,解决现有技术通过人工进行策略变更分析确认导致对大量网络流量生成策略缓慢的问题,提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。
附图说明
图1为本发明实施例一提供的一种异常流量处理策略的生成方法的流程图;
图1a为本发明实施例一提供的一种异常流量处理策略的生成方法的具体示例图;
图1b为本发明实施例一提供的一种异常流量处理策略的生成方法集成于全流量处理设备的具体场景示意图;
图2为本发明实施例二提供的一种异常流量处理策略的生成装置的结构示意图;
图3为本发明实施例三提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种异常流量处理策略的生成方法的流程图,本实施例可适用于对网络流量进行监测并生成处理策略的情况,该方法可以由异常流量处理策略的生成装置来执行,该装置可以通过软件和/或硬件的方式实现,并一般可以集成在服务器中。具体的,参考图1,该方法具体包括如下步骤:
S110、获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集。
其中,待检测流量数据集可以是从网络交换机处获取的镜像流量数据,也可以是之间网络系统中,从网络系统中直接采集流量数据。预先构建的异常知识库可以包括攻击者信息和被攻击者信息,其中,攻击者信息例如可以包括恶意链接和威胁情报等信息,被攻击者信息例如可以包括企业资产漏洞等信息。该异常知识库可以定期进行丰富更新处理。异常流量数据集可以是初始待检测流量数据集中具有异常攻击者信息及北攻击者信息的流量数据。
在本发明实施例中,可以通过预先构建的异常知识库比对待检测流量数据集,从待检测流量数据集中筛选出具有异常攻击者信息及被攻击者信息的流量数据,从而得到异常流量数据集。
可选的,在得到异常流量数据集之后,还可以包括:将各所述异常流量数据在攻击者信息和被攻击者信息维度上,生成相应的图表分析结果;根据所述图表分析结果生成预警信息。
其中,图表分析结果可以是柱状图、折线图、饼图和表格等形式。该图标分析结果可以包括恶意链接、威胁情报和企业资产漏洞等分析结果。
示例性的,可以根据异常流量数据集中各异常流量数据的类型等分别统计每种类型下的异常流量数据在攻击者和被攻击者信息维度上的分布情况,其中,对异常流量数据的分类例如可以按照所属行业、所属地域和所属企业等进行分类。
具体的,可以将各异常流量数据在攻击者信息和被攻击者信息维度上,生成相应的图表分析结果,根据图表分析结果生成预警信息发送至相应的监督平台。
S120、分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集。
其中,数据描述信息可以包括源地址、目标地址、源端口、目标端口、应用、接口索引和服务类型中的至少一项。预设策略模板可以是指对异常流量数据生成策略时的标准策略格式,例如,除包括异常流量数据的数据描述信息外,还可以包括匹配的响应动作和策略生效时间。预管理策略可以是对各异常流量数据生成的初步管理策略。
在本发明实施例中,可以分析各异常流量数据的数据描述信息,并按照预设策略模板,生成匹配的预管理策略集。
在本发明实施例的一个可选实施方式中,分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集,可以包括:根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间;将所述各异常流量数据的数据描述信息,及与各异常流量数据匹配的响应动作和策略生效时间,按照预设策略模板,生成与所述异常流量数据集对应的预管理策略集。
其中,响应动作可以指阻止和不阻止等动作。策略生效时间可以包括立即生效和指定XX时间生效等。
在本发明实施例中,可以分析各异常流量数据的数据描述信息,判断是否异常或者异常程度等,从而确定匹配的响应动作和策略响应时间等,将各异常流量数据的数据描述信息及匹配的响应动作和策略生效时间信息共同按照预设策略模板,生成匹配的预管理策略集。
可选的,根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间,可以包括:
依次获取一条异常流量数据,作为当前处理数据,并获取与所述当前处理数据对应的各所述数据描述信息;根据所述数据描述信息,生成与响应动作匹配的第一比对特征向量,并将所述第一比对特征向量与各类型的响应动作分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标响应动作;根据所述数据描述信息,生成与策略生效时间匹配的第二比对特征向量,并将所述第二比对特征向量与各类型的策略生效时间分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标策略生效时间;返回执行依次获取一条异常流量数据,作为当前处理数据的操作,直至完成对全部异常流量数据的处理。
S130、将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
其中,新的目标管理策略可以是预管理策略集中没有预先存储于策略库的管理策略。新的目标管理策略可以是预管理策略的子集。
在本发明实施例中,可以将预管理策略集中的各预管理策略与策略库中已存管理策略进行比对匹配,筛选区别于已存管理策略的预管理策略作为新的目标管理策略。
在本发明实施例的一个可选实施方式中,将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略,可以包括:在所述预管理策略集中滤除与所述已存管理策略相同的管理策略,以及,滤除策略内容包含于所述已存管理策略中的管理策略,得到所述新的目标管理策略。
具体的,在将预管理策略集中的各预管理策略与策略库中已存管理策略进行比对匹配的过程中,可以从预管理策略集中滤除与已存管理策略的数据描述信息、响应动作和策略生效时间均相同的管理策略,以及,策略内容为已存管理策略的子集的管理策略,从而将剩余的预管理策略作为新的目标管理策略。
可选的,在所述预管理策略集中滤除策略内容包含于所述已存管理策略中的管理策略,可以包括:检测各所述已存管理策略中,是否存在与所述预管理策略集中的当前处理策略仅一项目标数据描述信息不同的相似管理策略;如果确定存在所述相似管理策略,则检测所述当前处理策略的所述目标数据描述信息是否为所述相似管理策略的所述目标数据描述信息的真子集;若是,则在所述预管理策略集中滤除所述当前处理策略。
其中,目标数据描述信息可以是源地址、目标地址、源端口、目标端口、应用、接口索引和服务类型中的的一种。
具体的,在将预管理策略集中的各预管理策略与策略库中已存管理策略进行比对匹配的过程中,检测已存管理策略中是否存在与预管理策略集中的当前处理策略仅一项目标数据描述信息不同的已存管理策略,如果存在,将该一寸管理策略作为当前处理策略的相似管理策略,并可以继续检测当前处理策略的目标数据描述信息是否为该相似管理策略的目标数据描述信息的真子集,如果是,可以从预管理策略集中滤除当前处理策略。
本发明实施例的技术方案,通过获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略的技术手段,解决了现有技术通过人工进行策略变更分析确认导致对大量网络流量生成策略缓慢的问题,提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。
在上述技术方案的基础上,优选可以在从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略之后,还可以包括:将所述新的目标管理策略添加至所述策略库,并根据所述策略库,对所述异常流量数据集执行相应的处理操作。
为了使本领域技术人员更好地理解本实施例异常流量处理策略的生成方法,下面采用一个具体示例进行说明,参考图1a,具体过程包括有:
步骤1、根据异常数据流量的数据描述信息预生成策略。
步骤2、判断策略库中是否存在相同的策略,如果有,则存储记录,并不生成新策略;如果没有相同策略,则进入下一步判断是否有相似策略。
步骤3、判断策略库中是否存在相似策略,如果有,则进行策略合并,判断新策略是否包含在旧策略中,如果合并后策略包含于策略库的已存策略,则存储记录,但不生成新策略;如果合并后策略没有包含于策略库的已存策略,则生成新策略。
示例性的,图1b还为本发明实施例一提供一种异常流量处理策略的生成方法集成于全流量处理设备的具体场景示意图,可以接收网络交换机的镜像流量数据,也可以直接接入到网络中(可二选一接入,或全部接入,全部接入时结果展示可以进行去重处理)。
当接收网络交换机发送的镜像流量数据,发送给异常流量检测模块进行流量检测,异常流量检测模块通过攻击者信息(包括恶意链接和威胁情报等信息)和被攻击者信息(资产漏洞)形成的异常知识库(该知识库定期更新)进行分析,将异常流量的结果展示,其中,统计结果可分为恶意链接分布、威胁情报分布和资产漏洞分布等维度。
当全流量处理设备接入网络系统中,通过流量分发模块将流量复制成两份,一份通过策略模块进行策略匹配,快速按需对异常流量自动阻断。另一份可以通过异常流量检测模块进行流量检测,异常流量检测模块通过攻击者信息(包括恶意链接和威胁情报等信息)和被攻击者信息(资产漏洞)形成的知识库(该知识库定期更新)进行分析,将异常流量的结果展示。异常流量检测模块将筛选得到的异常流量数据发送至策略生成模块,策略生成模块根据异常流量数据的特征(即,数据描述信息)分析生成新策略,并将新策略发给策略模块。策略模块接收新策略后进行分析,接收策略并将策略接受情况返回给策略生成模块。策略生成模块将依据返回的策略接受情况进行下一次的策略分析并依次生成新策略。
策略模块还可以开发API(Application Programming Interface,应用程序编程接口)接口和其他安全设备联动:接收其他安全设备生成的新策略,并给其他安全设备发送策略,让其他安全设备做相应的响应。
实施例二
图2为本发明实施例二提供的一种异常流量处理策略的生成装置的结构示意图,该装置可以执行上述各实施例中涉及到的异常流量处理策略的生成方法。参照图2,该装置包括:异常流量数据集获取模块210、预管理策略生成模块220和新的目标管理策略筛选模块230。其中:
异常流量数据集获取模块210,用于获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
预管理策略生成模块220,用于分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
新的目标管理策略筛选模块230,用于将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
本发明实施例的技术方案,通过获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略的技术手段,解决了现有技术通过人工进行策略变更分析确认导致对大量网络流量生成策略缓慢的问题,提供一种异常流量处理策略的生成方法,实现快速针对大量网络流量生成策略的效果。
上述装置中,可选的是,预管理策略生成模块220,包括:
响应动作和策略生效时间生成单元,用于根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间;
预管理策略生成单元,用于将所述各异常流量数据的数据描述信息,及与各异常流量数据匹配的响应动作和策略生效时间,按照预设策略模板,生成与所述异常流量数据集对应的预管理策略集。
上述装置中,可选的是,响应动作和策略生效时间生成单元,具体可以用于:
依次获取一条异常流量数据,作为当前处理数据,并获取与所述当前处理数据对应的各所述数据描述信息;
根据所述数据描述信息,生成与响应动作匹配的第一比对特征向量,并将所述第一比对特征向量与各类型的响应动作分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标响应动作;
根据所述数据描述信息,生成与策略生效时间匹配的第二比对特征向量,并将所述第二比对特征向量与各类型的策略生效时间分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标策略生效时间;
返回执行依次获取一条异常流量数据,作为当前处理数据的操作,直至完成对全部异常流量数据的处理。
上述装置中,可选的是,新的目标管理策略筛选模块230,具体可以用于:
在所述预管理策略集中滤除与所述已存管理策略相同的管理策略,以及,滤除策略内容包含于所述已存管理策略中的管理策略,得到所述新的目标管理策略。
上述装置中,可选的是,新的目标管理策略筛选模块230,具体还可以用于:
检测各所述已存管理策略中,是否存在与所述预管理策略集中的当前处理策略仅一项目标数据描述信息不同的相似管理策略;
如果确定存在所述相似管理策略,则检测所述当前处理策略的所述目标数据描述信息是否为所述相似管理策略的所述目标数据描述信息的真子集;
若是,则在所述预管理策略集中滤除所述当前处理策略。
上述装置中,可选的是,所述异常知识库包括攻击者和被攻击者信息;
还包括,预警信息生成模块,用于在得到异常流量数据集之后:
将各所述异常流量数据在攻击者信息和被攻击者信息维度上,生成相应的图表分析结果;
根据所述图表分析结果生成预警信息。
上述装置中,可选的是,还包括,操作执行模块,用于在从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略之后:
将所述新的目标管理策略添加至所述策略库,并根据所述策略库,对所述异常流量数据集执行相应的处理操作。
本发明实施例所提供的异常流量处理策略的生成装置可执行本发明任意实施例所提供的异常流量处理策略的生成方法,具备执行方法相应的功能模块和有益效果。
实施例三
图3为本发明实施例三提供的一种电子设备的结构示意图,如图3所示,该设备包括处理器310、存储装置320、输入装置330和输出装置340;设备中处理器310的数量可以是一个或多个,图3中以一个处理器310为例;设备中的处理器310、存储装置320、输入装置330和输出装置340可以通过总线或其他方式连接,图3中以通过总线连接为例。
存储装置320作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的异常流量处理策略的生成方法对应的程序指令/模块(例如,异常流量处理策略的生成装置中的异常流量数据集获取模块210、预管理策略生成模块220和新的目标管理策略筛选模块230)。处理器310通过运行存储在存储装置320中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的异常流量处理策略的生成方法,该方法可以包括:
获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
存储装置320可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置320可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置320可进一步包括相对于处理器310远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置330可用于接收输入的数字或字符信息,以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置340可包括显示屏等显示设备。
实施例四
本发明实施例四还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在由计算机处理器执行时用于执行一种异常流量处理策略的生成方法,该方法可以包括:
获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略。
当然,本发明实施例所提供的一种计算机可读存储介质,其上存储有计算机程序,其计算机程序不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的异常流量处理策略的生成方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述异常流量处理策略的生成装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (9)
1.一种异常流量处理策略的生成方法,其特征在于,包括:
获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略;
所述分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集,包括:
根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间;
将所述各异常流量数据的数据描述信息,及与各异常流量数据匹配的响应动作和策略生效时间,按照预设策略模板,生成与所述异常流量数据集对应的预管理策略集。
2.根据权利要求1所述的方法,其特征在于,根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间,包括:
依次获取一条异常流量数据,作为当前处理数据,并获取与所述当前处理数据对应的各所述数据描述信息;
根据所述数据描述信息,生成与响应动作匹配的第一比对特征向量,并将所述第一比对特征向量与各类型的响应动作分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标响应动作;
根据所述数据描述信息,生成与策略生效时间匹配的第二比对特征向量,并将所述第二比对特征向量与各类型的策略生效时间分别对应的标准特征向量进行相似度计算,获取当前处理数据匹配的目标策略生效时间;
返回执行依次获取一条异常流量数据,作为当前处理数据的操作,直至完成对全部异常流量数据的处理。
3.根据权利要求1所述的方法,其特征在于,将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略,包括:
在所述预管理策略集中滤除与所述已存管理策略相同的管理策略,以及,滤除策略内容包含于所述已存管理策略中的管理策略,得到所述新的目标管理策略。
4.根据权利要求3所述的方法,其特征在于,在所述预管理策略集中滤除策略内容包含于所述已存管理策略中的管理策略,包括:
检测各所述已存管理策略中,是否存在与所述预管理策略集中的当前处理策略仅一项目标数据描述信息不同的相似管理策略;
如果确定存在所述相似管理策略,则检测所述当前处理策略的所述目标数据描述信息是否为所述相似管理策略的所述目标数据描述信息的真子集;
若是,则在所述预管理策略集中滤除所述当前处理策略。
5.根据权利要求1所述的方法,其特征在于,所述异常知识库包括攻击者和被攻击者信息;
在得到异常流量数据集之后,还包括:
将各所述异常流量数据在攻击者信息和被攻击者信息维度上,生成相应的图表分析结果;
根据所述图表分析结果生成预警信息。
6.根据权利要求1所述的方法,其特征在于,在从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略之后,还包括:
将所述新的目标管理策略添加至所述策略库,并根据所述策略库,对所述异常流量数据集执行相应的处理操作。
7.一种异常流量处理策略的生成装置,其特征在于,包括:
异常流量数据集获取模块,用于获取待检测流量数据集,并根据预先构建的异常知识库对所述待检测流量数据集进行筛选,得到异常流量数据集;
预管理策略生成模块,用于分析所述异常流量数据集中各异常流量数据的数据描述信息,按照预设策略模板,生成相应的预管理策略集;
新的目标管理策略筛选模块,用于将所述预管理策略集与策略库中的各已存管理策略进行匹配,从所述预管理策略集中筛选出区别于已存管理策略的新的目标管理策略;
所述预管理策略生成模块,包括:
响应动作和策略生效时间生成单元,用于根据所述各异常流量数据的至少一项数据描述信息,生成与各异常流量数据分别对应的响应动作和策略生效时间;
预管理策略生成单元,用于将所述各异常流量数据的数据描述信息,及与各异常流量数据匹配的响应动作和策略生效时间,按照预设策略模板,生成与所述异常流量数据集对应的预管理策略集。
8.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6中任一所述的一种异常流量处理策略的生成方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一所述的一种异常流量处理策略的生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210287019.3A CN114584391B (zh) | 2022-03-22 | 2022-03-22 | 异常流量处理策略的生成方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210287019.3A CN114584391B (zh) | 2022-03-22 | 2022-03-22 | 异常流量处理策略的生成方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114584391A CN114584391A (zh) | 2022-06-03 |
| CN114584391B true CN114584391B (zh) | 2024-02-09 |
Family
ID=81777248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210287019.3A Active CN114584391B (zh) | 2022-03-22 | 2022-03-22 | 异常流量处理策略的生成方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584391B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102122374A (zh) * | 2011-03-03 | 2011-07-13 | 江苏方天电力技术有限公司 | 电力自动化系统流量异常智能分析系统 |
| CN103368858A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 多策略组合加载的流量清洗方法及装置 |
| CN105429977A (zh) * | 2015-11-13 | 2016-03-23 | 武汉邮电科学研究院 | 基于信息熵度量的深度包检测设备异常流量监控方法 |
| CN107404442A (zh) * | 2016-05-19 | 2017-11-28 | 中兴通讯股份有限公司 | 流量处理方法及系统 |
| CN109714312A (zh) * | 2018-11-19 | 2019-05-03 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
| CN111314121A (zh) * | 2020-02-03 | 2020-06-19 | 支付宝(杭州)信息技术有限公司 | 链路异常检测方法以及装置 |
| CN112311600A (zh) * | 2020-10-29 | 2021-02-02 | 亚信科技(中国)有限公司 | 基于网络数据分析的策略建议生成方法、装置 |
| CN112448919A (zh) * | 2019-08-30 | 2021-03-05 | 中国电信股份有限公司 | 网络异常检测方法、装置和系统、计算机可读存储介质 |
| CN113157524A (zh) * | 2021-04-22 | 2021-07-23 | 深圳壹账通创配科技有限公司 | 基于大数据的异常问题解决方法、系统、设备和存储介质 |
| WO2021258348A1 (zh) * | 2020-06-24 | 2021-12-30 | 深圳市欢太科技有限公司 | 异常流量检测方法和系统、及计算机存储介质 |
| CN113904804A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 基于行为策略的内网安全防护方法、系统及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7934253B2 (en) * | 2006-07-20 | 2011-04-26 | Trustwave Holdings, Inc. | System and method of securing web applications across an enterprise |
-
2022
- 2022-03-22 CN CN202210287019.3A patent/CN114584391B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102122374A (zh) * | 2011-03-03 | 2011-07-13 | 江苏方天电力技术有限公司 | 电力自动化系统流量异常智能分析系统 |
| CN103368858A (zh) * | 2012-04-01 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 多策略组合加载的流量清洗方法及装置 |
| CN105429977A (zh) * | 2015-11-13 | 2016-03-23 | 武汉邮电科学研究院 | 基于信息熵度量的深度包检测设备异常流量监控方法 |
| CN107404442A (zh) * | 2016-05-19 | 2017-11-28 | 中兴通讯股份有限公司 | 流量处理方法及系统 |
| CN109714312A (zh) * | 2018-11-19 | 2019-05-03 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
| CN112448919A (zh) * | 2019-08-30 | 2021-03-05 | 中国电信股份有限公司 | 网络异常检测方法、装置和系统、计算机可读存储介质 |
| CN111314121A (zh) * | 2020-02-03 | 2020-06-19 | 支付宝(杭州)信息技术有限公司 | 链路异常检测方法以及装置 |
| WO2021258348A1 (zh) * | 2020-06-24 | 2021-12-30 | 深圳市欢太科技有限公司 | 异常流量检测方法和系统、及计算机存储介质 |
| CN112311600A (zh) * | 2020-10-29 | 2021-02-02 | 亚信科技(中国)有限公司 | 基于网络数据分析的策略建议生成方法、装置 |
| CN113157524A (zh) * | 2021-04-22 | 2021-07-23 | 深圳壹账通创配科技有限公司 | 基于大数据的异常问题解决方法、系统、设备和存储介质 |
| CN113904804A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 基于行为策略的内网安全防护方法、系统及介质 |
Non-Patent Citations (4)
| Title |
|---|
| Abnormal Traffic Flow Detection Based on Dynamic Hybrid Strategy;Yang Liu, Hongping Xu, Hang Yi, Xiaotao Yan, Jian Kang, Weiqiang Xia, Qingping Shi, Chaopeng Shen;《Springer Link》;全文 * |
| 基于特征属性信息熵的网络异常流量检测方法;刘奕, 李建华, 张一瑫, 孟涛;《信息网络安全》;全文 * |
| 恶意网页识别研究综述;沙泓州;刘庆云;柳厅文;周舟;郭莉;方滨兴;;计算机学报(03);全文 * |
| 校园网流量监控与优化研究;王荣;万振凯;;天津工业大学学报(02);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114584391A (zh) | 2022-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10657258B2 (en) | Deployment of machine learning models for discernment of threats | |
| US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| US11562064B2 (en) | Machine learning-based security alert escalation guidance | |
| EP3772004B1 (en) | Malicious incident visualization | |
| EP2936772B1 (en) | Network security management | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| WO2019035120A1 (en) | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS | |
| CN115996146A (zh) | 数控系统安全态势感知与分析系统、方法、设备及终端 | |
| US9773116B2 (en) | Automated local exception rule generation system, method and computer program product | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| US20230018096A1 (en) | Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN113923037B (zh) | 一种基于可信计算的异常检测优化装置、方法及系统 | |
| CN114579636A (zh) | 数据安全风险预测方法、装置、计算机设备和介质 | |
| CN113595986A (zh) | 一种基于智能合约防火墙框架的智能合约拦截方法及装置 | |
| JP2023523079A (ja) | 行動予測モデルを用いたエンドポイントセキュリティ | |
| CN112511568A (zh) | 一种网络安全事件的关联分析方法、装置及存储介质 | |
| CN114154160B (zh) | 容器集群监测方法、装置、电子设备及存储介质 | |
| US20230403294A1 (en) | Cyber security restoration engine | |
| KR102587114B1 (ko) | 화이트 리스트를 기반으로 한 원격 제어 소프트웨어 탐지 장치 및 방법 | |
| US20230396640A1 (en) | Security event management system and associated method | |
| Prakash et al. | A Proactive Threat Hunting Model to Detect Concealed Anomaly in the Network | |
| Mercaldo et al. | Not so Crisp, Malware! Fuzzy Classification of Android Malware Classes | |
| US20230362184A1 (en) | Security threat alert analysis and prioritization | |
| CN117650938A (zh) | 基于数据关联分析的行业工业系统网络威胁处置方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |