CN114710354B - 异常事件检测方法及装置、存储介质及电子设备 - Google Patents
异常事件检测方法及装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN114710354B CN114710354B CN202210375192.9A CN202210375192A CN114710354B CN 114710354 B CN114710354 B CN 114710354B CN 202210375192 A CN202210375192 A CN 202210375192A CN 114710354 B CN114710354 B CN 114710354B
- Authority
- CN
- China
- Prior art keywords
- detected
- data
- abnormal
- abnormal event
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 363
- 238000001514 detection method Methods 0.000 title claims abstract description 124
- 230000004044 response Effects 0.000 claims abstract description 106
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000012545 processing Methods 0.000 claims abstract description 22
- 238000012216 screening Methods 0.000 claims description 7
- 230000001960 triggered effect Effects 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 8
- 230000006854 communication Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开提供了一种异常事件检测方法、装置、电子设备及存储介质。该方法包括:获取包含有请求报文及其响应报文的待检测报文数据;将请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段;调用异常事件检测模型,将多个待检测数据段输入到异常事件检测模型中进行处理,以根据异常事件检测模型中各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定待检测报文数据对应的目标异常事件及其威胁类别。该方法可以将成对的请求报文及其响应报文作为待检测报文数据,并将待检测报文数据拆分为具有关联关系的多个待检测数据段作为检测对象进行检测,使得检测对象更全面,获得的检测结果更准确。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种异常事件检测方法及装置、存储介质及电子设备。
背景技术
随着计算机技术和互联网技术的发展,使用网络进行数据传输已成为用户常用的一种通信方式;为保障通信安全,对网络流量数据例如报文数据进行安全管控已成为通信过程中的重要一环。
相关技术中针对报文数据进行检测时,通常只从单个报文数据的URI、User-Agent等请求字段进行匹配,确定出报文数据所对应的异常事件以作为检测结果。相关技术的异常事件检测中所考虑的报文数据特征较简单,常常导致异常事件检测的准确度低。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种异常事件检测方法、装置、电子设备及存储介质,以解决异常事件检测的准确度低的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种异常事件检测方法,包括:获取包含有请求报文及其响应报文的待检测报文数据;将请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段;调用异常事件检测模型,异常事件检测模型包括一个或多个异常事件的异常匹配规则,以及各个异常事件的威胁类别阈值数据;将多个待检测数据段输入到异常事件检测模型中进行处理,以根据各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定待检测报文数据对应的目标异常事件及其威胁类别。
在本公开一个实施例中,根据各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定待检测报文数据对应的目标异常事件及其威胁类别的步骤,包括:对于一个或多个异常事件中的第一异常事件,根据第一异常事件的异常匹配规则处理多个待检测数据段,获得待检测报文数据对应于第一异常事件的命中值,进而获得待检测报文数据对应于各个异常事件的命中值;根据待检测报文数据对应于各个异常事件的命中值和相应异常事件的威胁类别阈值数据,确定待检测报文数据对应的目标异常事件及其威胁类别。
在本公开一个实施例中,异常匹配规则包括:各数据段类型对应的特征字符串和各数据段类型的权重值;以及,根据第一异常事件的异常匹配规则处理多个待检测数据段,获得待检测报文数据对应于第一异常事件的命中值的步骤,包括:对于多个待检测数据段中的第一待检测数据段,将第一待检测数据段与第一异常事件的异常匹配规则中相应数据段类型下的特征字符串进行匹配,获得第一待检测数据段对应于第一异常事件在相应数据段类型下的匹配值,进而获得多个待检测数据段中各待检测数据段对应于第一异常事件在相应数据段类型下的匹配值;根据各待检测数据段对应于第一异常事件在相应数据段类型下的匹配值以及第一异常事件的异常匹配规则中各数据段类型的权重值,确定待检测报文数据对应于异常事件的命中值。
在本公开一个实施例中,威胁类别阈值数据包括:至少一种威胁类别以及各威胁类别的阈值;以及,根据待检测报文数据对应于各个异常事件的命中值和相应异常事件的威胁类别阈值数据,确定待检测报文数据对应的目标异常事件及其威胁类别的步骤,包括:将待检测报文数据对应于各个异常事件的命中值,分别与相应异常事件的各威胁类别的阈值进行比对,确定待检测报文数据对应于各个异常事件的威胁类别;获取预设的筛选条件;根据筛选条件和待检测报文数据对应于各个异常事件的威胁类别,从一个或多个异常事件中确定出待检测报文数据对应的目标异常事件,以及确定目标异常事件的威胁类别。
在本公开一个实施例中,获取包含有请求报文及其响应报文的待检测报文数据的步骤,包括:获取历史流量数据;确定历史流量数据中的历史HTTP流量数据;从HTTP流量数据中提取成对的请求报文和响应报文,以成对的请求报文和响应报文作为待检测报文数据。
在本公开一个实施例中,获取包含有请求报文及其响应报文的待检测报文数据的步骤,包括:记录实时HTTP流量数据中的请求报文;当检测到请求报文的响应报文返回时,抓取请求报文与响应报文作为待检测报文数据。
在本公开一个实施例中,多个数据段类型包括:请求行、请求头、请求体、响应头和响应体;将请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段的步骤,包括:解析请求报文,基于拆分规则将请求报文拆分为待检测请求行、待检测请求头和待检测请求体;解析响应报文,基于拆分规则将响应报文拆分为待检测响应头和待检测响应体;以待检测请求行、待检测请求头、待检测请求体、待检测响应头和待检测响应体,作为多个待检测数据段。
在本公开一个实施例中,在调用异常事件检测模型的步骤之前,还包括:获取一个或多个异常事件的历史异常日志数据,从历史异常日志数据中提取与异常事件对应的历史报文数据以及异常事件的威胁类别;根据历史报文数据提取与多个数据段类型对应的特征信息;基于特征信息和相应的威胁类别确定异常事件的异常匹配规则元数据;以及,调用异常事件检测模型的步骤,包括:调取异常匹配规则元数据;基于异常匹配规则元数据生成异常事件检测模型。
根据本公开的另一个方面,提供一种异常事件检测装置,包括:获取模块,用于获取包含有请求报文及其响应报文的待检测报文数据;拆分模块,用于将所述请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段;调用模块,用于调用异常事件检测模型,所述异常事件检测模型包括一个或多个异常事件的异常匹配规则,以及各个异常事件的威胁类别阈值数据;处理模块,用于将所述多个待检测数据段输入到所述异常事件检测模型中进行处理,以根据所述各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定所述待检测报文数据对应的目标异常事件及其威胁类别。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的异常事件检测方法。
根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的异常事件检测方法。
本公开的实施例所提供的异常事件检测方法,一方面可以将成对的请求报文及其响应报文作为待检测报文数据,并将待检测报文数据拆分为多个数据段类型下的待检测数据段,从而可以将具有关联关系的多个待检测数据段作为检测对象进行检测,使得检测对象更全面,获得的检测结果更准确;另一方面,可以通过设置一个或多个异常事件的异常匹配规则以及相应威胁类别阈值数据,以对多个待检测数据段进行详细检测,将检测获得的目标异常事件及其威胁类别作为待检测报文数据的检测结果,达到使检测结果更加详细准确的效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了可以应用本公开实施例的异常事件检测方法的示例性系统架构的示意图;
图2示出了本公开一个实施例的异常事件检测方法的流程图;
图3示出了本公开一个实施例的异常事件检测方法中确定目标异常事件及其威胁类别的流程图;
图4示出了本公开一个实施例的异常事件检测方法中获得命中值的流程图;
图5示出了本公开一个实施例的异常事件检测方法中确定目标异常事件及其威胁类别的流程图;
图6示出了本公开一个实施例的异常事件检测装置的框图;和
图7示出了本公开实施例中一种异常事件检测计算机设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
针对上述相关技术中存在的技术问题,本公开实施例提供了一种异常事件检测方法,以用于至少解决上述技术问题中的一个或者全部。
图1示出了可以应用本公开实施例的异常事件检测方法的示例性系统架构的示意图。
如图1所示,该系统架构可以包括服务器101、网络102和客户端103。网络102用以在客户端103和服务器101之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
在示例性实施例中,与服务端101进行数据传输的客户端103可以包括但不限于智能手机、台式计算机、平板电脑、笔记本电脑、智能音箱、数字助理、AR(Augmented Reality,增强现实)设备、VR(Virtual Reality,虚拟现实)设备、智能可穿戴设备等类型的电子设备,或者,客户端103也可以是个人计算机,比如膝上型便携计算机和台式计算机等等。可选的,电子设备上运行的操作系统可以包括但不限于安卓系统、IOS系统、linux、windows等。
服务器101可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。在一些实际应用中,服务器101也可以是网络平台的服务器,网络平台例如可以是交易平台、直播平台、社交平台或者音乐平台等,本公开实施例对此不作限定。其中,服务器可以是一台服务器,也可以是多台服务器形成的集群,本公开对于服务器的具体架构不做限定。
在示例性实施例中,服务器101用于实现异常事件检测方法的过程可以是:服务器101获取包含有请求报文及其响应报文的待检测报文数据;服务器101将请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段;服务器101调用异常事件检测模型,异常事件检测模型包括一个或多个异常事件的异常匹配规则,以及各个异常事件的威胁类别阈值数据;服务器101将多个待检测数据段输入到异常事件检测模型中进行处理,以根据各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定待检测报文数据对应的目标异常事件及其威胁类别。
此外,需要说明的是,图1所示的仅仅是本公开提供的异常事件检测方法的一种应用环境。图1中的客户端、网络和服务器的数目仅仅是示意性的,根据实际需要,可以具有任意数目的客户端、网络和服务器。
下面,将结合附图及实施例对本公开示例实施例中的异常事件检测方法的各个步骤进行更详细的说明。
图2示出了本公开一个实施例的异常事件检测方法的流程图。本公开实施例提供的方法可以由如图1所示的服务器或客户端中执行,但本公开并不限定于此。
在下面的举例说明中,以服务器集群101为执行主体进行示例说明。
如图2所示,本公开实施例提供的异常事件检测方法可以包括以下步骤:
步骤S201,获取包含有请求报文及其响应报文的待检测报文数据。
本实施例中,可以先获取待检测流量数据,再确定待检测流量数据中的HTTP(Hyper Text Transfer Protocol,超文本传输协议)流量数据,进而从HTTP流量数据中获取请求报文及其响应报文;其中,请求报文可以是从客户端发往服务器的报文,响应报文可以是服务器收到该请求报文后,作为响应发往客户端的报文,也即本公开中所处理的待检测报文数据为成对的请求报文和响应报文。
进一步地,在一些实施例中步骤S201可以包括:获取历史流量数据;确定历史流量数据中的历史HTTP流量数据;从HTTP流量数据中提取成对的请求报文和响应报文,以成对的请求报文和响应报文作为待检测报文数据。
其中,可以从网络日志或预设的数据库中获取预设时间段内的历史流量数据,再从中获取待检测报文数据。可见,本公开实施例所提出的异常事件检测方法可以用于对历史流量数据进行检测。
又例如在一些实施例中,步骤S201也可以进一步包括:记录实时HTTP流量数据中的请求报文;当检测到请求报文的响应报文返回时,抓取请求报文与响应报文作为待检测报文数据。
其中,可以实时通过网卡驱动接收流量数据,当检测到有请求报文时,记录该请求报文,并当检测到该请求报文的响应报文返回时,抓取该响应报文,将记录到的请求报文以及对应的响应报文作为待检测报文数据,以通过后续步骤进行检测。可见,本公开实施例所提出的异常事件检测方法可以用于对实时流量数据进行检测。
步骤S203,将请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段。
本实施例中,可以基于预设的多个数据段类型对待检测报文数据(包括请求报文及其响应报文)进行拆分,从同一待检测报文数据中拆分出的多个待检测数据段可以认为是具有关联关系的数据。通过本实施例可以将请求报文及其响应报文进行拆分,提取出待检测报文数据在多个数据段类型下的待检测数据段分别用于检测,使得能够在后续检测过程中考虑进多个待检测数据段之间的关联关系,从而得到更准确的检测结果。
在一些实施例中,多个数据段类型可以包括:请求行、请求头、请求体、响应头和响应体;步骤S203可以进一步包括:解析请求报文,基于拆分规则将请求报文拆分为待检测请求行、待检测请求头和待检测请求体;解析响应报文,基于拆分规则将响应报文拆分为待检测响应头和待检测响应体;以待检测请求行、待检测请求头、待检测请求体、待检测响应头和待检测响应体,作为多个待检测数据段。其中,拆分规则例如可以是将请求报文的第一行作为请求行、当检测到空行时则将报文数据分段等规则。
通过本实施例中的方法,可以解析待检测报文数据得到待检测请求行、待检测请求头、待检测请求体、待检测响应头和待检测响应体这五个具有关联关系且各自携带不同信息的待检测数据段,以作为检测对象进行检测,进一步增加了检测结果的准确性。
步骤S205,调用异常事件检测模型,异常事件检测模型包括一个或多个异常事件的异常匹配规则,以及各个异常事件的威胁类别阈值数据。
本实施例中,异常事件可以是想要检测出的事件,例如可以是系统漏洞触发的安全事件、恶意攻击、从指定端口流出数据等,也可以是指定类型的事件(如登陆事件、文件读取事件等)。威胁类别可以对应于异常事件所造成的损害类型或损害程度,例如可以是“攻击成功”、“告警”(其中“攻击成功”的损害程度可以认为是高于“告警”的损害程度)等类别,也可以是用数字(其中数字越大可以代表损害程度越高)指示威胁级别以作为威胁类别。本实施例中,威胁类别阈值数据可以是结合异常匹配规则进行设置的;在一些实际应用中,一个异常事件可以对应设置一个威胁类别,以及相应的威胁类别阈值;在又一些实际应用中,同一异常事件也可以存在不同的发生程度,不同发生程度会导致不同的损害类型或损害程度,故威胁类别也可以对应于不同发生程度的异常事件所造成的损害类型或损害程度,即一个异常事件也可以对应设置多个威胁类别。进一步地,在一个异常事件对应有多个威胁类别的情况下,可以为该异常事件设置一个异常匹配规则以及多个威胁类别阈值;或者,也可以为该异常事件设置对应于不同威胁类别的不同异常匹配规则,并在每一异常匹配规则中设置一个威胁类别阈值。
例如,对于一异常事件,假设该异常事件对应有“攻击成功”和“告警”这两个威胁类别,则可以为其设置一个异常匹配规则,以及设置不同的“攻击成功”威胁阈值和“告警”威胁阈值;也可以为其在“攻击成功”威胁类别和“告警”威胁类别下分别设置不同的异常匹配规则,以及为这两种异常匹配规则分别设置“攻击成功”威胁阈值和“告警”威胁阈值。
可见,通过本实施例中的方法,可以通过设置一个或多个异常事件的异常匹配规则以及相应威胁类别阈值数据,以对多个待检测数据段进行详细检测,为获得准确的检测结果(包括目标异常事件及其威胁类别)提供了检测工具的支持。
步骤S207,将多个待检测数据段输入到异常事件检测模型中进行处理,以根据各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定待检测报文数据对应的目标异常事件及其威胁类别。
本实施例中,可以将具有关联关系的多个待检测数据段作为检测对象通过每一异常事件的异常匹配规则进行检测,获得待检测报文数据与各异常事件的匹配结果。待检测报文数据与异常事件的匹配结果可以用于确定待检测报文数据与该异常事件是否匹配,或者,该匹配结果也可以用于与相应异常事件的威胁类别阈值数据进行比较,以确定待检测报文数据与该异常事件的匹配程度,该匹配程度可以看作是待检测报文数据可能导致的异常事件将会造成的损害类型或损害程度,即该匹配程度可以对应于待检测报文数据在该异常事件下的威胁类别。将待检测报文数据与各个异常事件的异常匹配规则进行匹配、以及基于相应威胁类别阈值数据进行比较后,可以确定待检测报文数据对应的目标异常事件及其威胁类别。
在一些实际应用中,可以先对异常事件将会造成的损害类型或损害程度进行评估,再根据评估情况设置相应威胁阈值的数值;例如,对于一些异常事件,假设其“攻击成功”造成的损害类型或损害程度高于“告警”造成的损害类型或损害程度,那么“攻击成功”威胁阈值可以设置地高于“告警”威胁阈值。
可见,通过本实施例中的方法,可以通过异常事件检测模型将具有关联关系的多个待检测数据段作为检测对象进行检测,以在检测过程中考虑到多个待检测数据段以及它们之间的关联关系,进而确定出待检测报文数据对应的目标异常事件及其威胁类别,使得检测对象更全面、检测结果更详细准确。
通过如图2所示的实施例,首先可以将成对的请求报文及其响应报文作为待检测报文数据,然后将待检测报文数据拆分为多个待检测数据段,进而可以调用异常事件检测模型,通过异常事件检测模型中的异常事件的异常匹配规则以及相应威胁类别阈值数据对多个待检测数据段进行检测,确定出待检测报文数据对应的目标异常事件及其威胁类别。可见,通过本公开实施例,一方面可以将成对的请求报文及其响应报文作为待检测报文数据,并将待检测报文数据拆分为多个数据段类型下的待检测数据段,从而可以将具有关联关系的多个待检测数据段作为检测对象进行检测,使得检测对象更全面,获得的检测结果更准确;另一方面,可以通过设置一个或多个异常事件的异常匹配规则以及相应威胁类别阈值数据,以对多个待检测数据段进行详细检测,将检测获得的目标异常事件及其威胁类别作为待检测报文数据的检测结果,达到使检测结果更加详细准确的效果。
图3示出了本公开一个实施例的异常事件检测方法中确定目标异常事件及其威胁类别的流程图,如图3所示,步骤S207中根据各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定待检测报文数据对应的目标异常事件及其威胁类别,可以进一步包括以下步骤:
步骤S301,对于一个或多个异常事件中的第一异常事件,根据第一异常事件的异常匹配规则处理多个待检测数据段,获得待检测报文数据对应于第一异常事件的命中值,进而获得待检测报文数据对应于各个异常事件的命中值。
其中,第一异常事件可以理解为一个或多个异常事件中的某一个异常事件,术语“第一”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。在本实施例中,异常匹配规则中可以设置有针对各数据段类型的检测方式,如针对各个数据段的匹配规则,进而可以根据针对各数据段类型的检测方式获得各待检测数据段的检测结果,再基于各待检测数据段的检测结果获得待检测报文数据与异常事件的匹配结果,上述命中值则可以认为是匹配结果的量化体现。
在一些实际应用中,命中值的范围可以大于或等于0;命中值为0可以看作是待检测报文数据与异常事件不匹配;命中值大于0可以看作是待检测报文数据与异常事件存在一定程度的匹配,可以在后续步骤中确定具体地匹配程度,进而确定待检测报文数据在存在匹配的异常事件下的威胁类别。
步骤S303,根据待检测报文数据对应于各个异常事件的命中值和相应异常事件的威胁类别阈值数据,确定待检测报文数据对应的目标异常事件及其威胁类别。
本实施例中,在获得待检测报文数据在不同异常事件下的命中值后,可以将命中值与相应异常事件的威胁类别阈值数据相结合,进而确定出该待检测报文数据对应的目标异常事件及其威胁类别。
例如,假设待检测报文数据X对应于异常事件A的命中值为10,异常事件A对应有“攻击成功”这一种威胁类别,且“攻击成功”威胁阈值为5,那么可以确定出命中值(即10)已超过“攻击成功”威胁阈值(即5),则可以确定出异常事件A为待检测报文数据对应的目标异常事件,且威胁类别为“攻击成功”。再例如,假设待检测报文数据X对应于异常事件B的命中值为15,异常事件B对应有“攻击成功”和“告警”这两个威胁类别,其中“攻击成功”威胁阈值为30、“告警”威胁阈值为10,那么可以确定出命中值(即15)已超过“告警”威胁阈值(即10)但未超过“攻击成功”(即30),则可以确定出异常事件B为待检测报文数据对应的目标异常事件,且威胁类别为“告警”。又例如,假设待检测报文数据X对应于异常事件C的命中值为20,异常事件C对应有“攻击成功”和“告警”这两个威胁类别,其中“攻击成功”威胁阈值为30、“告警”威胁阈值为25,那么可以确定出命中值(即20)既没有超过“告警”威胁阈值(即25)也没有超过“攻击成功”(即30),则可以确定出异常事件C不是待检测报文数据对应的目标异常事件,相应地也不存在威胁类别。
可见,由于在实际应用中,同一条待检测报文数据与不同异常事件的匹配程度通常是不同的,而不同异常事件所会造成的损害类型或损害程度通常也是不同的,因此根据本实施例中的方法,可以通过为各个异常事件设置异常匹配规则来准确获得待检测报文数据在不同异常事件下的命中值,以及通过为各个异常事件设置威胁类别阈值数据以用于与命中值进行比较,来准确获得待检测报文数据在相应异常事件下的威胁类别。
在一些实施例中,异常匹配规则可以包括:各数据段类型对应的特征字符串和各数据段类型的权重值;图4示出了本公开一个实施例的异常事件检测方法中获得命中值的流程图,如图4所示,步骤S301中的根据第一异常事件的异常匹配规则处理多个待检测数据段,获得待检测报文数据对应于第一异常事件的命中值,可以进一步包括以下步骤:
步骤S401,对于多个待检测数据段中的第一待检测数据段,将第一待检测数据段与第一异常事件的异常匹配规则中相应数据段类型下的特征字符串进行匹配,获得第一待检测数据段对应于第一异常事件在相应数据段类型下的匹配值,进而获得多个待检测数据段中各待检测数据段对应于第一异常事件在相应数据段类型下的匹配值。
本实施例中,第一待检测数据段可以理解为多个待检测数据段中的某一个待检测数据段,术语“第一”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。以多个数据段类型分别为请求行、请求头、请求体、响应头和响应体为例进行说明,本实施例中上述多个待检测数据段可以包括待检测请求行、待检测请求头、待检测请求体、待检测响应头和待检测响应体这五个待检测数据段,第一待检测数据段可以是这五个待检测数据段中的一个;每一异常事件的异常匹配规则中都可以包括针对这五个数据段类型的特征字符串和这五个数据段类型的权重值,不同异常匹配规则中的特征字符串以及相应的权重值都可以分别进行设置。在一些实际应用中,异常事件的异常匹配规则中还可以包括如规则编号、异常事件的名称、事件标签等信息。
本实施例中,特征字符串可以是正则规则,进而可以用于与相应数据段类型的待检测数据段进行匹配以获得匹配值。匹配值可以用于表征待检测数据段在其数据段类型下与异常事件匹配程度的匹配结果;在一些实际应用中匹配值可以是0或1,匹配值为0可以表示待检测数据段在其数据段类型下与异常事件不匹配,匹配值为1可以表示待检测数据段在其数据段类型下与异常事件匹配。
举例而言,对于一名称为“Jboss登录管理后台失败”、事件标签为“登录事件”的异常事件D,其异常匹配规则中可以包括针对请求行的特征字符串“\/management”、针对请求头的特征字符串“Authorization:Digest”、针对请求体的特征字符串“:"”、针对响应头的特征字符串“HTTP\/1\\.(0|1)401”,以及针对响应体的特征字符串“:"”,且这五个特征字符串均为正则规则,那么可以将待检测报文数据的五个待检测数据段分别通过相应数据段类型下的正则规则(即特征字符串)进行匹配,获得五个待检测数据段各自的匹配值。
步骤S403,根据各待检测数据段对应于第一异常事件在相应数据段类型下的匹配值以及第一异常事件的异常匹配规则中各数据段类型的权重值,确定待检测报文数据对应于异常事件的命中值。
异常事件的异常匹配规则中还可以设置各数据段类型的权重值,权重值可以用于表征数据段类型对于异常事件整体匹配结果的影响程度。例如,若一异常事件的异常匹配规则中请求行的权重为5、响应体的权重为0,则可以认为对于该异常事件,待检测报文数据中待检测请求行的内容比待检测响应体的内容更能用于判断该待检测报文数据是否与该异常事件相匹配。
继续以上述名称为“Jboss登录管理后台失败”的异常事件D为例进行说明,异常事件D的异常匹配规则中可以设置请求行的权重为5、请求头的权重为5、请求体的权重为0、响应头的权重为5,以及响应体的权重为0。假设一待检测报文数据Y的各待检测数据段分别与异常事件D的异常匹配规则中各特征字符串进行匹配后,获得的匹配值依次为1、1、1、1和0(按照待检测请求行、待检测请求头、待检测请求体、待检测响应头和待检测响应体的顺序),那么可以通过加权计算的方式进行如下计算:1×5+1×5+1×0+1×5+0×0=15,从而可以将数值15确定为待检测报文数据Y对应于异常事件D的命中值。
在一些实施例中,威胁类别阈值数据可以包括:至少一种威胁类别以及各威胁类别的阈值;图5示出了本公开一个实施例的异常事件检测方法中确定目标异常事件及其威胁类别的流程图,如图5所示,步骤S303可以进一步包括以下步骤:
步骤S501,将待检测报文数据对应于各个异常事件的命中值,分别与相应异常事件的各威胁类别的阈值进行比对,确定待检测报文数据对应于各个异常事件的威胁类别。
本实施例中,威胁类别以及威胁类别的阈值可以是根据实际情况进行设置的,威胁类别的阈值可以是一个数值,也可以是一个数值范围,不同形式的威胁类别阈值可以对应有不同的用于将命中值与阈值进行比较的方式。继续以上述名称为“Jboss登录管理后台失败”的异常事件D为例进行说明,异常事件D的异常匹配规则中可以包括有“攻击成功”和“告警”这两个威胁类别,对于“攻击成功”可以设置阈值为30,对于“告警”可以设置阈值为10,那么对于上述待检测报文数据Y,在获得待检测报文数据Y对应于异常事件D的命中值为15后,可以将命中值15分别与“攻击成功”阈值30与“告警”阈值10进行对比,确定命中值15已超过“告警”阈值(即10)但未超过“攻击成功”阈值(即30),进而可以确定出待检测报文数据Y对应于异常事件D的威胁类别为“告警”。
再例如,对于一名称为“Cknife webshell连接操作”、事件标签为“webshell连接操作”的异常事件E,其异常匹配规则中可以设置如下信息:针对请求行的特征字符串“(java)|(@eval.*;&action)”、请求行的权重5、针对请求头的特征字符串“java”、请求头的权重5、针对请求体的特征字符串“@eval(.*);&action”、请求体的权重5、针对响应头的特征字符串“:"”、响应头的权重0、针对响应体的特征字符串“->\\|[\\s\\S]*\\|<-”,以及响应体的权重16,且这五个特征字符串均为正则规则;异常事件E的异常匹配规则中还可以设置“告警”这一威胁类别的阈值为10,以及设置“攻击成功”这一威胁类别的阈值为30。
假设一待检测报文数据Z的各待检测数据段分别与异常事件E的异常匹配规则中各特征字符串进行匹配后,获得的匹配值依次为1、0、1、0和1(按照待检测请求行、待检测请求头、待检测请求体、待检测响应头和待检测响应体的顺序),那么可以通过加权计算的方式进行如下计算:1×5+0×5+1×5+0×0+1×16=31,从而可以将数值31确定为待检测报文数据Z对应于异常事件E的命中值;进一步地,将命中值31分别与“攻击成功”阈值30与“告警”阈值10进行对比,可以确定命中值15已超过“告警”阈值(即10)且已超过“攻击成功”阈值(即30),进而可以确定出待检测报文数据Z对应于异常事件E的威胁类别为“攻击成功”。此外,在本实施例中,可以看出在异常事件E的异常匹配规则中,响应体的权重16设置地比其他数据段类型的权重都高,那么可以认为对于异常事件E,待检测数据中待检测响应体的内容对于待检测数据与异常事件E匹配程度的影响是高于其他数据段类型的。
步骤S503,获取预设的筛选条件;根据筛选条件和待检测报文数据对应于各个异常事件的威胁类别,从一个或多个异常事件中确定出待检测报文数据对应的目标异常事件,以及确定目标异常事件的威胁类别。
本实施例中,筛选条件可以是基于实际情况进行设置和调整的,例如可以是将检测到的存在威胁类别的前n个异常事件作为目标异常事件,也可以是将检测到的威胁类别为指定类别(如“攻击成功”)的异常事件作为目标异常事件,也可以是将检测到的威胁类别为指定类别的前m个异常事件作为目标异常事件。
在一些实施例中,异常事件的异常匹配规则中还可以设置在指定威胁类别下数据段类型的内容是否被检测的功能,具体地,可以设置一个检测开关字段,检测开关字段的值可以为0或1,其中值为0可以表示在指定威胁类别下不对相应数据段类型的待检测数据段进行检测,值为1可以表示在指定威胁类别下对相应数据段类型的待检测数据段进行检测。
例如,对于一名称为“activeMQ任意文件写入”的异常事件F,其异常匹配规则中可以包括有“攻击成功”和“告警”这两个威胁类别,且在其异常匹配规则中可以为响应头设置在“告警”这一威胁类别下的检测开关字段,该字段的值可以设置为0,这种设置意味着当确定待检测报文数据在异常事件F下的威胁类别是否为“告警”时,待检测响应头的检测结果不参与计算,也即,待检测响应头的检测结果只用于计算待检测报文数据在异常事件F下的威胁类别是否为“攻击成功”。这种设置可以有针对性地控制各个待检测数据段的检测结果与确定具体威胁类别时的对应关系,进而能够获得更准确的检测结果。
在一些实施例中,在步骤S205(即调用异常事件检测模型)之前,还可以包括:获取一个或多个异常事件的历史异常日志数据,从历史异常日志数据中提取与异常事件对应的历史报文数据以及异常事件的威胁类别;根据历史报文数据提取与多个数据段类型对应的特征信息;基于特征信息和相应的威胁类别确定异常事件的异常匹配规则元数据。
其中,异常匹配规则元数据中可以包括异常事件的信息,如异常事件名称、异常事件标签信息等;可以包括数据段类型标识与数据段类型特征信息之间的对应关系,例如,可以包括“请求体”与“请求体正则规则”之间的对应关系;异常匹配规则元数据中还可以包括不同数据段类型特征信息对应的威胁类别、威胁类别阈值数据等信息。
在一些实际应用中,数据段类型对应的特征信息可以基于预设频率(如一周或一个月等)进行更新,从而可以不断精确异常事件的检测效果。威胁类别阈值数据也可以基于预设频率进行更新,具体地,可以基于曾设置过的历史阈值数据进行确定(如可以求取历史阈值数据的平均值以作为新的威胁类别阈值数据),也可以基于一段时间内的检测结果统计信息进行迭代更新,以使异常事件的检测效果更准确。
基于上述实施例,在一些实施例中步骤S205(即调用异常事件检测模型)可以包括:调取异常匹配规则元数据;基于异常匹配规则元数据生成异常事件检测模型。
其中,异常匹配规则元数据的存储格式可以基于实际生产环境进行设置,例如可以是存储在关系型数据库中,也可以是存储为json格式的文件。在生成异常事件检测模型过程中,可以基于预设格式对异常匹配规则元数据文件进行格式转化,获得配置文件,进而基于配置文件生成异常事件检测模型。
需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
图6示出本公开第五实施例中一种异常事件检测装置600的框图;如图6所示,包括:
获取模块601,用于获取包含有请求报文及其响应报文的待检测报文数据;
拆分模块602,用于将所述请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段;
调用模块603,用于调用异常事件检测模型,所述异常事件检测模型包括一个或多个异常事件的异常匹配规则,以及各个异常事件的威胁类别阈值数据;
处理模块604,用于将所述多个待检测数据段输入到所述异常事件检测模型中进行处理,以根据所述各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定所述待检测报文数据对应的目标异常事件及其威胁类别。
图6实施例的其它内容可以参照上述其它实施例。
通过本公开实施例,首先可以将成对的请求报文及其响应报文作为待检测报文数据,然后将待检测报文数据拆分为多个待检测数据段,进而可以调用异常事件检测模型,通过异常事件检测模型中的异常事件的异常匹配规则以及相应威胁类别阈值数据对多个待检测数据段进行检测,确定出待检测报文数据对应的目标异常事件及其威胁类别。可见,通过本公开实施例,一方面可以将成对的请求报文及其响应报文作为待检测报文数据,并将待检测报文数据拆分为多个数据段类型下的待检测数据段,从而可以将具有关联关系的多个待检测数据段作为检测对象进行检测,使得检测对象更全面,获得的检测结果更准确;另一方面,可以通过设置一个或多个异常事件的异常匹配规则以及相应威胁类别阈值数据,以对多个待检测数据段进行详细检测,将检测获得的目标异常事件及其威胁类别作为待检测报文数据的检测结果,达到使检测结果更加详细准确的效果。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
图7示出本公开实施例中一种异常事件检测计算机设备的结构框图。需要说明的是,图示出的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
下面参照图7来描述根据本发明的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:上述至少一个处理单元710、上述至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元710执行,使得所述处理单元710执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元710可以执行如图2中所示的方法。
存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备800(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备700交互的设备通信,和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器760通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (10)
1.一种异常事件检测方法,其特征在于,包括:
获取包含有请求报文及其响应报文的待检测报文数据;
将所述请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段;其中,所述多个数据段类型包括:请求行、请求头、请求体、响应头和响应体;
调用异常事件检测模型,所述异常事件检测模型包括一个或多个异常事件的异常匹配规则,以及各个异常事件的威胁类别阈值数据;其中,所述异常事件包括以下至少一种:系统漏洞触发的安全事件、恶意攻击事件、从指定端口流出数据事件、指定类型的事件;
将所述多个待检测数据段输入到所述异常事件检测模型中进行处理,以根据所述各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定所述待检测报文数据对应的目标异常事件及其威胁类别;
其中,将所述请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段,包括:解析所述请求报文,基于拆分规则将所述请求报文拆分为待检测请求行、待检测请求头和待检测请求体;解析所述响应报文,基于拆分规则将所述响应报文拆分为待检测响应头和待检测响应体;以所述待检测请求行、待检测请求头、待检测请求体、待检测响应头和待检测响应体,作为所述多个待检测数据段。
2.根据权利要求1所述的方法,其特征在于,所述根据所述各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定所述待检测报文数据对应的目标异常事件及其威胁类别的步骤,包括:
对于所述一个或多个异常事件中的第一异常事件,根据所述第一异常事件的异常匹配规则处理所述多个待检测数据段,获得所述待检测报文数据对应于所述第一异常事件的命中值,进而获得所述待检测报文数据对应于各个异常事件的命中值;
根据所述待检测报文数据对应于各个异常事件的命中值和相应异常事件的威胁类别阈值数据,确定所述待检测报文数据对应的目标异常事件及其威胁类别。
3.根据权利要求2所述的方法,其特征在于,所述异常匹配规则包括:各数据段类型对应的特征字符串和各数据段类型的权重值;以及,
所述根据所述第一异常事件的异常匹配规则处理所述多个待检测数据段,获得所述待检测报文数据对应于所述第一异常事件的命中值的步骤,包括:
对于所述多个待检测数据段中的第一待检测数据段,将所述第一待检测数据段与所述第一异常事件的异常匹配规则中相应数据段类型下的特征字符串进行匹配,获得所述第一待检测数据段对应于所述第一异常事件在相应数据段类型下的匹配值,进而获得所述多个待检测数据段中各待检测数据段对应于所述第一异常事件在相应数据段类型下的匹配值;
根据所述各待检测数据段对应于所述第一异常事件在相应数据段类型下的匹配值以及所述第一异常事件的异常匹配规则中各数据段类型的权重值,确定所述待检测报文数据对应于所述异常事件的命中值。
4.根据权利要求2所述的方法,其特征在于,威胁类别阈值数据包括:至少一种威胁类别以及各威胁类别的阈值;以及,
所述根据所述待检测报文数据对应于各个异常事件的命中值和相应异常事件的威胁类别阈值数据,确定所述待检测报文数据对应的目标异常事件及其威胁类别的步骤,包括:
将所述待检测报文数据对应于各个异常事件的命中值,分别与相应异常事件的各威胁类别的阈值进行比对,确定所述待检测报文数据对应于各个异常事件的威胁类别;
获取预设的筛选条件;
根据所述筛选条件和所述待检测报文数据对应于各个异常事件的威胁类别,从所述一个或多个异常事件中确定出所述待检测报文数据对应的目标异常事件,以及确定所述目标异常事件的威胁类别。
5.根据权利要求1-4任一所述的方法,其特征在于,所述获取包含有请求报文及其响应报文的待检测报文数据的步骤,包括:
获取历史流量数据;
确定所述历史流量数据中的历史HTTP流量数据;
从所述HTTP流量数据中提取成对的请求报文和响应报文,以所述成对的请求报文和响应报文作为所述待检测报文数据。
6.根据权利要求1-4任一所述的方法,其特征在于,所述获取包含有请求报文及其响应报文的待检测报文数据的步骤,包括:
记录实时HTTP流量数据中的请求报文;
当检测到所述请求报文的响应报文返回时,抓取所述请求报文与所述响应报文作为所述待检测报文数据。
7.根据权利要求1-4任一所述的方法,其特征在于,在所述调用异常事件检测模型的步骤之前,还包括:
获取所述一个或多个异常事件的历史异常日志数据,从所述历史异常日志数据中提取与所述异常事件对应的历史报文数据以及所述异常事件的威胁类别;
根据所述历史报文数据提取与所述多个数据段类型对应的特征信息;
基于所述特征信息和相应的威胁类别确定所述异常事件的异常匹配规则元数据;以及,
所述调用异常事件检测模型的步骤,包括:调取所述异常匹配规则元数据;基于所述异常匹配规则元数据生成所述异常事件检测模型。
8.一种异常事件检测装置,其特征在于,包括:
获取模块,用于获取包含有请求报文及其响应报文的待检测报文数据;
拆分模块,用于将所述请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段;其中,所述多个数据段类型包括:请求行、请求头、请求体、响应头和响应体;
调用模块,用于调用异常事件检测模型,所述异常事件检测模型包括一个或多个异常事件的异常匹配规则,以及各个异常事件的威胁类别阈值数据;其中,所述异常事件包括以下至少一种:系统漏洞触发的安全事件、恶意攻击事件、从指定端口流出数据事件、指定类型的事件;
处理模块,用于将所述多个待检测数据段输入到所述异常事件检测模型中进行处理,以根据所述各个异常事件的异常匹配规则和相应异常事件的威胁类别阈值数据,确定所述待检测报文数据对应的目标异常事件及其威胁类别;
其中,拆分模块将所述请求报文及其响应报文拆分为与预设的多个数据段类型对应的多个待检测数据段,包括:解析所述请求报文,基于拆分规则将所述请求报文拆分为待检测请求行、待检测请求头和待检测请求体;解析所述响应报文,基于拆分规则将所述响应报文拆分为待检测响应头和待检测响应体;以所述待检测请求行、待检测请求头、待检测请求体、待检测响应头和待检测响应体,作为所述多个待检测数据段。
9.一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如权利要求1至7任一项所述的异常事件检测方法。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至7任一项所述的异常事件检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210375192.9A CN114710354B (zh) | 2022-04-11 | 2022-04-11 | 异常事件检测方法及装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210375192.9A CN114710354B (zh) | 2022-04-11 | 2022-04-11 | 异常事件检测方法及装置、存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114710354A CN114710354A (zh) | 2022-07-05 |
| CN114710354B true CN114710354B (zh) | 2023-09-08 |
Family
ID=82172248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210375192.9A Active CN114710354B (zh) | 2022-04-11 | 2022-04-11 | 异常事件检测方法及装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114710354B (zh) |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
| CN108259482A (zh) * | 2018-01-04 | 2018-07-06 | 平安科技(深圳)有限公司 | 网络异常数据检测方法、装置、计算机设备及存储介质 |
| CN109191021A (zh) * | 2018-10-30 | 2019-01-11 | 全球能源互联网研究院有限公司 | 电网异常事件的关联规则匹配方法及装置 |
| CN109726727A (zh) * | 2017-10-27 | 2019-05-07 | 中移(杭州)信息技术有限公司 | 一种数据检测方法及系统 |
| CN110881043A (zh) * | 2019-11-29 | 2020-03-13 | 杭州迪普科技股份有限公司 | 一种web服务器漏洞的检测方法及装置 |
| CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN111193747A (zh) * | 2019-12-31 | 2020-05-22 | 奇安信科技集团股份有限公司 | 报文的威胁检测方法、装置、电子设备和存储介质 |
| US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
| CN111510434A (zh) * | 2020-03-24 | 2020-08-07 | 中国建设银行股份有限公司 | 网络入侵检测方法、系统及相关设备 |
| CN111740946A (zh) * | 2020-05-09 | 2020-10-02 | 郑州启明星辰信息安全技术有限公司 | Webshell报文的检测方法及装置 |
| CN113032792A (zh) * | 2021-04-12 | 2021-06-25 | 中国移动通信集团陕西有限公司 | 系统业务漏洞检测方法、系统、设备及存储介质 |
| CN113132392A (zh) * | 2021-04-22 | 2021-07-16 | 苏州联电能源发展有限公司 | 工控网络流量异常检测方法、装置及系统 |
| CN113315742A (zh) * | 2020-02-27 | 2021-08-27 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
| CN113395237A (zh) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | 攻击检测方法及装置、计算机可存储介质 |
| CN113542252A (zh) * | 2021-07-11 | 2021-10-22 | 北京长亭科技有限公司 | Web攻击的检测方法、检测模型和检测装置 |
| CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
| CN113904829A (zh) * | 2021-09-29 | 2022-01-07 | 上海市大数据股份有限公司 | 一种基于机器学习的应用防火墙系统 |
| CN114095274A (zh) * | 2021-12-10 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种攻击研判方法及装置 |
-
2022
- 2022-04-11 CN CN202210375192.9A patent/CN114710354B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
| US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
| CN109726727A (zh) * | 2017-10-27 | 2019-05-07 | 中移(杭州)信息技术有限公司 | 一种数据检测方法及系统 |
| CN108259482A (zh) * | 2018-01-04 | 2018-07-06 | 平安科技(深圳)有限公司 | 网络异常数据检测方法、装置、计算机设备及存储介质 |
| CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN109191021A (zh) * | 2018-10-30 | 2019-01-11 | 全球能源互联网研究院有限公司 | 电网异常事件的关联规则匹配方法及装置 |
| CN110881043A (zh) * | 2019-11-29 | 2020-03-13 | 杭州迪普科技股份有限公司 | 一种web服务器漏洞的检测方法及装置 |
| CN111193747A (zh) * | 2019-12-31 | 2020-05-22 | 奇安信科技集团股份有限公司 | 报文的威胁检测方法、装置、电子设备和存储介质 |
| CN113315742A (zh) * | 2020-02-27 | 2021-08-27 | 华为技术有限公司 | 攻击行为检测方法、装置及攻击检测设备 |
| CN113395237A (zh) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | 攻击检测方法及装置、计算机可存储介质 |
| CN111510434A (zh) * | 2020-03-24 | 2020-08-07 | 中国建设银行股份有限公司 | 网络入侵检测方法、系统及相关设备 |
| CN111740946A (zh) * | 2020-05-09 | 2020-10-02 | 郑州启明星辰信息安全技术有限公司 | Webshell报文的检测方法及装置 |
| CN113032792A (zh) * | 2021-04-12 | 2021-06-25 | 中国移动通信集团陕西有限公司 | 系统业务漏洞检测方法、系统、设备及存储介质 |
| CN113132392A (zh) * | 2021-04-22 | 2021-07-16 | 苏州联电能源发展有限公司 | 工控网络流量异常检测方法、装置及系统 |
| CN113542252A (zh) * | 2021-07-11 | 2021-10-22 | 北京长亭科技有限公司 | Web攻击的检测方法、检测模型和检测装置 |
| CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
| CN113904829A (zh) * | 2021-09-29 | 2022-01-07 | 上海市大数据股份有限公司 | 一种基于机器学习的应用防火墙系统 |
| CN114095274A (zh) * | 2021-12-10 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种攻击研判方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114710354A (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10135830B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| CN112636957B (zh) | 基于日志的预警方法、装置、服务器及存储介质 | |
| US20200334498A1 (en) | User behavior risk analytic system with multiple time intervals and shared data extraction | |
| CN111526136A (zh) | 基于云waf的恶意攻击检测方法、系统、设备和介质 | |
| US20160283853A1 (en) | Fingerprinting and matching log streams | |
| US10489715B2 (en) | Fingerprinting and matching log streams | |
| EP3817316A1 (en) | Detection of security threats in a network environment | |
| US10545811B2 (en) | Automatic root cause analysis for web applications | |
| US20210264023A1 (en) | Command inspection method and apparatus, computer device, and storage medium | |
| CN110543506A (zh) | 数据分析方法、装置、电子设备及存储介质 | |
| CN113760674A (zh) | 信息生成方法、装置、电子设备和计算机可读介质 | |
| CN115329381A (zh) | 基于敏感数据的分析预警方法、装置、计算机设备及介质 | |
| CN115357470A (zh) | 信息生成方法、装置、电子设备和计算机可读介质 | |
| CN115034596A (zh) | 一种风险传导预测方法、装置、设备和介质 | |
| CN113568626B (zh) | 动态打包、应用程序包开启方法、装置和电子设备 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN113132393A (zh) | 异常检测方法、装置、电子设备以及存储介质 | |
| CN114710354B (zh) | 异常事件检测方法及装置、存储介质及电子设备 | |
| CN111383096A (zh) | 欺诈检测及其模型训练方法、装置、电子设备及存储介质 | |
| CN113839944B (zh) | 应对网络攻击的方法、装置、电子设备和介质 | |
| US11489877B2 (en) | Cybersecurity maturity determination | |
| US20220083918A1 (en) | Intelligent scoring of missing data records | |
| CN112347066B (zh) | 日志处理方法、装置及服务器和计算机可读存储介质 | |
| CN113052509A (zh) | 模型评估方法、模型评估装置、电子设备和存储介质 | |
| CN113037555A (zh) | 风险事件标记方法、风险事件标记装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20220705 Assignee: Tianyiyun Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000020 Denomination of invention: Abnormal event detection methods and devices, storage media, and electronic devices Granted publication date: 20230908 License type: Common License Record date: 20240315 |
|
| EE01 | Entry into force of recordation of patent licensing contract |