CN115021984B - 一种网络安全检测方法、装置、电子设备及存储介质 - Google Patents
一种网络安全检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115021984B CN115021984B CN202210560236.5A CN202210560236A CN115021984B CN 115021984 B CN115021984 B CN 115021984B CN 202210560236 A CN202210560236 A CN 202210560236A CN 115021984 B CN115021984 B CN 115021984B
- Authority
- CN
- China
- Prior art keywords
- network
- information
- detection
- threat
- meta information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 138
- 238000004590 computer program Methods 0.000 claims description 18
- 238000000034 method Methods 0.000 claims description 13
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 12
- 239000000284 extract Substances 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000005070 sampling Methods 0.000 description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 238000000605 extraction Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 241000282326 Felis catus Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络安全检测方法、装置、电子设备及存储介质,用以解决基于DPI技术的网络安全检测方式对大流量背景下网络流量以及加密网络流量的检测成本高昂、检测效率较低的问题。所述网络安全检测方法,包括:接收网络设备发送的网络元信息,所述网络元信息为所述网络设备从流经所述网络设备的网络流量中提取的用于描述网络协议IP特征的元信息;将所述网络元信息与存储的检测规则进行匹配,获得匹配结果,所述检测规则是根据威胁情报数据生成的;根据所述匹配结果确定所述网络流量的检测结果。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络安全检测方法、装置、电子设备及存储介质。
背景技术
目前针对网络安全的检测一般是使用基于DPI(Deep packet inspection,深度数据包检测技术)的IDS技术(intrusion detection system,入侵检测系统)、IPS(IntrusionPrevention System,入侵防御系统)、下一代防火墙(Next Generation Firewall,NGFirewall)等网络安全防护设备,通过IDS技术将流经网络安全防护设备的网络流量报文解包,将解包后的传输层或应用层数据与预置在设备内的恶意特征进行比对,若命中则确定当前网络流量存在安全风险,标记发起当前网络流量的主机为恶意主机。
然而,这种基于DPI技术的网络安全检测方式通常需要全量读取网络流量,并对网络流量报文进行逐层拆解分析,针对拥有攻击特征的每一层数据都需要进行特征匹配,针对5G、物联网等大流量背景下网络流量以及加密网络流量的检测成本高昂,检测效率较低。
发明内容
为了解决基于DPI技术的网络安全检测方式对大流量背景下网络流量以及加密网络流量的检测成本高昂、检测效率较低的问题,本申请实施例提供了一种网络安全检测方法及、装置、电子设备及存储介质。
第一方面,本申请实施例提供了一种网络安全检测方法,包括:
接收网络设备发送的网络元信息,所述网络元信息为所述网络设备从流经所述网络设备的网络流量中提取的用于描述网络协议IP特征的元信息;
将所述网络元信息与存储的检测规则进行匹配,获得匹配结果,所述检测规则是根据威胁情报数据生成的;
根据所述匹配结果确定所述网络流量的检测结果。
在一种可能的实施方式中,所述网络元信息是所述网络设备从所述网络流量的第二层至第四层中提取出的。
在一种可能的实施方式中,通过以下方式根据威胁情报数据生成所述检测规则:
针对每一条威胁情报,从所述威胁情报中提取IP特征信息;
根据所述IP特征信息生成一条相应的检测规则。
在一种可能的实施方式中,所述网络元信息包括以下信息中的一种信息或多种信息的组合:
源IP地址、目的IP地址、源端口、目的端口、三层协议类型、传输控制协议标记TCPFLAG以及服务类型ToS。
在一种可能的实施方式中,在接收网络设备发送的网络元信息之后,还包括:
将所述网络元信息存储至数据队列中;
则在将所述网络元信息与存储的检测规则进行匹配之前,还包括:
从所述数据队列中按顺序提取所述网络元信息。
在一种可能的实施方式中,所述威胁情报数据和所述检测规则存储于设定数据仓库中;
所述方法,还包括:
按照预设时间周期对所述设定数据仓库中当前存储的威胁情报数据进行更新;并
根据新增的威胁情报生成对应的检测规则;以及
将删除的威胁情报对应的检测规则删除。
第二方面,本申请实施例提供了一种网络安全检测装置,包括:
接收单元,用于接收网络设备发送的网络元信息,所述网络元信息为所述网络设备从流经所述网络设备的网络流量中提取的用于描述网络协议IP特征的元信息;
匹配单元,用于将所述网络元信息与存储的检测规则进行匹配,获得匹配结果,所述检测规则是根据威胁情报数据生成的;
确定单元,用于根据所述匹配结果确定所述网络流量的检测结果。
在一种可能的实施方式中,所述网络元信息是所述网络设备从所述网络流量的第二层至第四层中提取出的。
在一种可能的实施方式中,所述匹配单元,具体用于通过以下方式根据威胁情报数据生成所述检测规则:
针对每一条威胁情报,从所述威胁情报中提取IP特征信息;
根据所述IP特征信息生成一条相应的检测规则。
在一种可能的实施方式中,所述网络元信息包括以下信息中的一种信息或多种信息的组合:
源IP地址、目的IP地址、源端口、目的端口、三层协议类型、传输控制协议标记TCPFLAG以及服务类型ToS。
在一种可能的实施方式中,所述装置,还包括:
存储单元,用于在接收网络设备发送的网络元信息之后,将所述网络元信息存储至数据队列中;
提取单元,用于在将所述网络元信息与存储的检测规则进行匹配之前,从所述数据队列中按顺序提取所述网络元信息。
在一种可能的实施方式中,所述威胁情报数据和所述检测规则存储于设定数据仓库中;
所述装置,还包括:
更新单元,用于按照预设时间周期对所述设定数据仓库中当前存储的威胁情报数据进行更新;
生成单元,用于根据新增的威胁情报生成对应的检测规则;
删除单元,用于将删除的威胁情报对应的检测规则删除。
第三方面,本申请实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请所述的网络安全检测方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请所述的网络安全检测方法中的步骤。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
本申请实施例的有益效果如下:
本申请实施例提供的网络安全检测方案中,接收网络设备发送的网络元信息,网络元信息为网络设备从流经该网络设备的网络流量中提取的用于描述IP(InternetProtocol,网络协议)特征的元信息,将网络元信息与存储的检测规则进行匹配,获得匹配结果,检测规则是根据威胁情报数据生成的,根据匹配结果确定网络流量的检测结果,相比于现有技术,本申请实施例中,通过网络设备从流经其上的网络流量中提取用于描述IP特征元信息,即:网络流量中的网络元信息,接收网络设备发送的网络元信息后,将网络元信息与预先根据威胁情报数据生成的检测规则进行匹配,以根据匹配结果获得网络流量的检测结果,由于无需对网络流量报文直接进行解析,且针对加密网络流量在提取网络元信息时无需对其进行解密,仅仅通过网络设备发送的网络流量中的网络元信息与根据威胁情报数据生成的检测规则进行匹配即可获得针对该网络流量的检测结果,大大提高了网络安全检测效率,节省了计算资源,降低了检测成本。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例提供的网络安全检测方法的应用场景示意图;
图2为本申请实施例提供的网络安全检测方法的流程示意图;
图3为本申请实施例提供的根据威胁情报数据生成检测规则的流程示意图;
图4为本申请实施例提供的网络安全检测装置的结构示意图;
图5为本申请实施例提供的电子设备的结构示意图。
具体实施方式
为了解决基于DPI技术的网络安全检测方式对大流量背景下网络流量以及加密网络流量的检测成本高昂、检测效率较低的问题,本申请实施例提供了一种网络安全检测方法及、装置、电子设备及存储介质。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
首先参考图1,其为本申请实施例提供的网络安全检测方法的一个应用场景示意图,可以包括网络设备100和服务器101,其中,网络设备100可以但不限于为网络路由器100-1和网络交换机100-2,网络设备100与服务器101之间通过网络进行连接。网络设备100实时提取流经其上的网络流量中的用于描述IP特征的元信息(即网络流量的网络元信息),网络设备100将提取的网络流量的网络元信息发送至服务器101,服务器101将接收的网络元信息与存储的检测规则进行匹配得到匹配结果,其中,检测规则是根据威胁情报数据生成的,进而,根据匹配结果确定网络流量的检测结果,如果网络元信息可以匹配到任一条检测规则,则确定发送该网络流量对的源端设备为恶意主机,以便对其后续发送的网络流量进行封堵。
服务器101可以是独立的物理服务器,也可以为集群服务器,也可以是提供云服务器、云数据库、云存储等基础云计算服务的云服务器。服务器101也可以为终端设备,可以但不限于为:智能终端、平板电脑、笔记本电脑、台式计算机等,本申请实施例对此不作限定。
本申请实施例中,网络设备100还可以为其他任意能够产生网络元信息数据的电子设备或计算机程序等,本申请实施例对此不作限定。
基于上述应用场景,下面将参照附图2~3更详细地描述本申请的示例性实施例,需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此不受任何限制。相反,本申请的实施方式可以应用于适用的任何场景。
如图2所示,其为本申请实施例提供的网络安全检测方法的实施流程示意图,可以应用于图1中的服务器101,包括以下步骤:
S21、接收网络设备发送的网络元信息。
具体实施时,网络设备(如网络交换机或网络路由器等)实时提取流经该网络设备的网络流量的网络元信息,网络元信息为网络设备从流经所述网络设备的网络流量中提取的用于描述IP特征的元信息。网络元信息可以但不限于包括以下信息中的一种信息或多种信息的组合:源IP地址、目的IP地址、源端口、目的端口、三层(Layer3)协议类型、TCP FLAG(Transmission Control Protocol Flag,传输控制协议标记)、服务类型(Type ofService)ToS、源自治域、目的自治域、平均包长、流量峰值、发包间隔等信息,同一条网络数据流的网络元信息相同,网络设备可以对同一条网络数据流生成一个对应的网络元信息数据报文,在实施时,网络设备可以但不限于采用以下技术提取网络流量中的网络元信息:Netflow、IPFIX、Sflow或Netstream,本申请实施例对此不作限定。以网络路由器为例,采用Netflow对流经网络路由器的网络流量报文生成网络元信息,包括但不限于:源IP地址、目的IP地址、源端口、目的端口、第三层协议类型、服务类型、路由器输入或输出接口索引、流量等信息。在网络设备生成网络元信息时,可以采用采样模式或非采样模式,例如处理网络主干的网络流量时,由于流量很大,可采用采样模式,只需处理N个数据包中的一个,N为采样率。以Cisco Netflow V5为例,对于10Gpbs的网络流量进行解析,使用1000:1的采样率,可大约产生1.3Mbps的网络元信息的数据流量,进而,在服务器接收到网络设备发送的网络元信息的数据流量并进行解析,仅仅需解析1.3Mbps的数据流量,可大大降低计算成本。
本申请实施例在提取网络元信息时,还可以通过将网络交换机或网络路由器设备流量镜像至计算机程序解析网络流量报文,输出网络元信息。
网络设备将提取的网络流量的网络元信息发送至服务器,服务器接收网络设备发送的网络元信息,需要说明的是,网络设备提取任一条网络流量的网络元信息后,可以将网络元信息中包含的各个元信息封装成一条报文发送至服务器。
在一种可能的实施方式中,网络元信息还可以为从历史网络流量中提取的预先存储于电子存储介质中的网络元信息数据,本申请实施例对此不作限定。
在一种可能的实施方式中,服务器在接收网络设备发送的网络元信息之后,还可以将网络元信息存储至数据队列中。
本申请实施例中,网络元信息是网络设备从网络流量的第二层至第四层中提取出的,即:从数据链路层、网络层和传输层中提取网络元信息。针对加密的网络流量,一般是对第四层以上(会话层、表示层、应用层)的信息进行加密,本申请实施例中,网络设备仅仅解析第二层至第四层即可提取出网络元信息,无需对网络流量进行解密处理,提高了检测效率。
S22、将网络元信息与存储的检测规则进行匹配,获得匹配结果,检测规则是根据威胁情报数据生成的。
具体实施时,服务器获取威胁情报数据,并将威胁情报数据存储于设定数据仓库中,服务器根据威胁情报数据生成检测规则,并将检测规则也存储于该设定数据仓库中,其中,检测规则是根据从威胁情报中提取的IP特征信息生成的,设定数据仓库可以设置于服务器上,也可以为单独的数据库,通过网络与服务器进行连接,本申请实施例对此不作限定。其中,设定数据仓库可以采用关系型数据库,如Oracle、MySQL、SQLServer、PostgreSQL等,还可以采用非关系型数据库,如MongoDB、ElasticSearch、HBase等,还可以采用内存数据库,如Redis等,还可以采用Hive等数据仓库,本申请实施例对此不作限定。
具体地,可以按照如图3所示的流程根据威胁情报数据生成检测规则:
S31、针对每一条威胁情报,从威胁情报中提取IP特征信息。
具体实施时,服务器分别从每一条威胁情报中提取IP特征信息,其中,IP特征信息可以但不限于包括以下信息中的一种信息或多种信息的组合:源IP地址、目的IP地址、源端口、目的端口、三层协议类型、TCP FLAG、服务类型、源自治域、目的自治域、平均包长、流量峰值、发包间隔等信息,本申请实施例对此不作限定。
S32、根据IP特征信息生成一条相应的检测规则。
具体实施时,服务器分别根据从每一条威胁情报中提取的IP特征信息生成一条与相应威胁情报对应的检测规则,也就是说,一条威胁情报可对应生成一条检测规则。
具体地,威胁情报的来源多种多样,例如,可以但不限于通过日志挖掘的方式获取,安全维护人员在攻防演练以及日常运维过程中,通过日志审计、设备告警、行为监控等安全事件源获取恶意攻击事件,获取攻击源的源IP地址、目的IP地址、源端口、目的端口、源自治域、目的自治域、三层协议类型、TCPFLAG、平均包长、流量峰值、发包间隔等一种或多种元数据,将获取的元数据封装为一条情报特征,封装后的一条情报特征即为一条检测规则。
下面列举几个实例进行说明:
示例1:
黑客通过漏洞控制了123.1.1.1/24网段的某运营商光猫向外发动SYN FLOOD攻击,触发了NTA(Network Traffic Analysis,网络流量分析)告警,生成威胁情报。
可以从中提取到的IP特征信息为:源IP为123.1.1.1/24,协议类型为TCP,TCPFLAG为SYN。则可以生成一条检测规则如下:
源IP:123.1.1.1/24,协议号:6(即协议类型为TCP协议),TCPFLAG:SYN。
可用英文字符表示如下:
Source IP==’123.1.1.1/24’&&Protocol==6&&TCPFLAG==SYN。
在实施过程中,由于计算机程序通常识别类似于Pcap Filter(包过滤)的表达式,则可将生成的检测规则转化为Pcap Filter形式的语法。可将上述检测规则转换为PcapFilter形式的语法如下:
src net 123.1.1.1/24and proto 6and tcp[tcpflags]==’tcp-syn’。
其中,src net表示源网段(也就是源IP),123.1.1.1/24表示如下网段IP地址:123.1.1.1~123.1.1.255之间的IP地址,proto为protocol(协议号)的缩写。
示例2:
黑客通过其个人计算机(外网IP为123.2.2.2,NAT(Network AddressTranslation,网络地址转换)出网端口为60011-60022)对某行政网站(IP为213.3.3.3,端口443)进行Web漏洞扫描,触发了WAF(Web Application Firewall,Web应用防火墙)告警,生成了威胁情报。
可以从中提取到的IP特征信息为:源IP为123.2.2.2,源端口为60011-60022,目的IP为213.3.3.3,目的端口为443,TCPFLAG为ACK-PSH,通过HTTPS(Hyper Text TransferProtocol over Secure Socket Layer,超文本传输安全协议)传输数据。则可以生成一条检测规则如下:
源IP:123.2.2.2,源端口:60011-60022,目的IP:213.3.3.3,目的端口:443,TCPFLAG:ACK-PSH。
可用英文字符表示如下:
Source IP==’123.2.2.2’&&Source Port==60011-60022&&Dest Port==443&&TCPFLAG==ACK-PSH。
可将其转化为Pcap Filter形式的语法为:
src host 123.2.2.2and src port 60011-60022and dst host 213.3.3.3anddst port 443and‘tcp[tcpflags]&tcp-ack!=0or tcp[tcpflags]&tcp-psh!=0’。
示例3:安全人员通过蜜罐程序捕获到利用漏洞进行攻击的木马程序,通过逆向工程获得木马的服务器IP为210.21.1.111,木马使用固定长度Payload(载荷)122Bytes(字节)对公网主机的9010端口(其为一个在线系统监听端口)进行攻击,协议类型为TCP。则可以生成一条检测规则如下:
源IP:210.21.1.111,数据包长:122。
可用英文字符表示如下:
Source IP==’210.21.1.111’&&Bytes==122。
将其转化为Pcap Filter语法为:
src host 210.21.1.111and greater 122and less 122。
具体实施时,服务器接收网络设备发送的包含网络元信息的报文后,解析该报文,提取出其中的网络元信息,将网络元信息与数据仓库中存储的检测规则进行匹配,获得匹配结果。
在一种可能的实施方式中,服务器还可从数据队列中按顺序提取网络元信息,本申请实施例对此不作限定。
在一种可能的实施方式中,为了保持检测规则的实时性,还可按照预设时间周期对设定数据仓库中当前存储的威胁情报数据进行更新,并根据新增的威胁情报生成对应的检测规则,将删除的威胁情报(如误报的情况)对应的检测规则同时予以删除。
例如,预先生成的检测规则如表1所示:
表1
假设服务器从某一网络元信息报文中提取出的网络元信息如表2所示:
表2
| 源IP | 123.1.1.211 |
| 目的IP | 2.46.2.199 |
| 源端口 | 63990 |
| 目的端口 | 6599 |
| 协议类型 | TCP |
| 数据包长 | 208 |
| 数据包数 | 10 |
| TCPFLAG | SYN |
将表2中的各个网络元信息与表1中的各个检测规则进行比对,根据源IP“123.1.1.211”、协议类型“TCP”、和TCPFLAG“SYN”命中检测规则1,生成告警信息,将IP为“123.1.1.211”的源端设备确定为恶意主机,对其后续一定时间段内(如7天内,可根据需求自行设置)该源端设备发送的网络流量进行封堵。
S23、根据匹配结果确定网络流量的检测结果。
具体实施时,如果网络元信息匹配到任一检测规则,则确定该网络元信息对应的网络流量存在恶意特征,确定发送该网络流量的源端设备为恶意主机,生成告警信息,以便对该恶意主机后续发送的网络流量进行封堵。
本申请实施例提供的网络安全检测方案中,接收网络设备发送的网络元信息,网络元信息为网络设备从流经该网络设备的网络流量中提取的用于描述IP特征的元信息,将网络元信息与存储的检测规则进行匹配,获得匹配结果,检测规则是根据威胁情报数据生成的,根据匹配结果确定网络流量的检测结果,相比于现有技术,本申请实施例中,通过网络设备从流经其上的网络流量中提取用于描述IP特征元信息,即:网络流量中的网络元信息,接收网络设备发送的网络元信息后,将网络元信息与预先根据威胁情报数据生成的检测规则进行匹配,以根据匹配结果获得网络流量的检测结果,由于无需对网络流量报文直接进行解析,仅仅通过网络设备发送的网络流量中的网络元信息与根据威胁情报数据生成的检测规则进行匹配即可获得针对该网络流量的检测结果,大大提高了网络安全检测效率,节省了计算资源,降低了检测成本。并且,由于针对加密的网络流量,一般是对第四层以上的信息进行加密,现有技术中采用DPI技术对加密网络流量进行检测时,则需要先对第四层以上的信息进行解密,再逐层拆解分析,针对拥有攻击特征的每一层数据进行特征匹配,而本申请实施例中,网络设备仅仅解析第二层至第四层即可提取出网络元信息,无需对网络流量进行解密处理,提高了针对加密网络流量的检测效率。
基于同一发明构思,本申请实施例还提供了一种网络安全检测装置,由于上述网络安全检测装置解决问题的原理与网络安全检测方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图4所示,其为本申请实施例提供的网络安全检测装置的结构示意图,可以包括:
接收单元41,用于接收网络设备发送的网络元信息,所述网络元信息为所述网络设备从流经所述网络设备的网络流量中提取的用于描述网络协议IP特征的元信息;
匹配单元42,用于将所述网络元信息与存储的检测规则进行匹配,获得匹配结果,所述检测规则是根据威胁情报数据生成的;
确定单元43,用于根据所述匹配结果确定所述网络流量的检测结果。
在一种可能的实施方式中,所述网络元信息是所述网络设备从所述网络流量的第二层至第四层中提取出的。
在一种可能的实施方式中,所述匹配单元42,具体用于通过以下方式根据威胁情报数据生成所述检测规则:
针对每一条威胁情报,从所述威胁情报中提取IP特征信息;
根据所述IP特征信息生成一条相应的检测规则。
在一种可能的实施方式中,所述网络元信息包括以下信息中的一种信息或多种信息的组合:
源IP地址、目的IP地址、源端口、目的端口、三层协议类型、传输控制协议标记TCPFLAG以及服务类型ToS。
在一种可能的实施方式中,所述装置,还包括:
存储单元,用于在接收网络设备发送的网络元信息之后,将所述网络元信息存储至数据队列中;
提取单元,用于在将所述网络元信息与存储的检测规则进行匹配之前,从所述数据队列中按顺序提取所述网络元信息。
在一种可能的实施方式中,所述威胁情报数据和所述检测规则存储于设定数据仓库中;
所述装置,还包括:
更新单元,用于按照预设时间周期对所述设定数据仓库中当前存储的威胁情报数据进行更新;
生成单元,用于根据新增的威胁情报生成对应的检测规则;
删除单元,用于将删除的威胁情报对应的检测规则删除。
在一种可能的实施方式中,所述网络设备包括网络交换机或网络路由器。
基于同一技术构思,本申请实施例还提供了一种电子设备500,参照图5所示,电子设备500用于实施上述方法实施例记载的网络安全检测方法,该实施例的电子设备500可以包括:存储器501、处理器502以及存储在所述存储器中并可在所述处理器上运行的计算机程序,例如网络安全检测程序。所述处理器执行所述计算机程序时实现上述各个网络安全检测方法实施例中的步骤,例如图2所示的步骤S21。或者,所述处理器执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如41。
本申请实施例中不限定上述存储器501、处理器502之间的具体连接介质。本申请实施例在图5中以存储器501、处理器502之间通过总线503连接,总线503在图5中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线503可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器501可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器501也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器501是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器501可以是上述存储器的组合。
处理器502,用于实现如图2所示的一种网络安全检测方法,包括:
所述处理器502,用于调用所述存储器501中存储的计算机程序执行如图2中所示的步骤S21、接收网络设备发送的网络元信息,步骤S22、将网络元信息与存储的检测规则进行匹配,获得匹配结果,检测规则是根据威胁情报数据生成的,和步骤S23、根据匹配结果确定网络流量的检测结果。
本申请实施例还提供了一种计算机可读存储介质,存储为执行上述处理器所需执行的计算机可执行指令,其包含用于执行上述处理器所需执行的程序。
在一些可能的实施方式中,本申请提供的网络安全检测方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使所述电子设备执行本说明书上述描述的根据本申请各种示例性实施方式的网络安全检测方法中的步骤,例如,所述电子设备可以执行如图2中所示的步骤S21、接收网络设备发送的网络元信息,步骤S22、将网络元信息与存储的检测规则进行匹配,获得匹配结果,检测规则是根据威胁情报数据生成的,和步骤S23、根据匹配结果确定网络流量的检测结果。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (6)
1.一种网络安全检测方法,其特征在于,包括:
接收网络设备发送的网络元信息,所述网络元信息为所述网络设备从流经所述网络设备的网络流量中提取的用于描述网络协议IP特征的元信息,所述网络元信息是所述网络设备从所述网络流量的第二层至第四层中提取出的,所述网络元信息包括以下信息中的一种信息或多种信息的组合:源IP地址、目的IP地址、源端口、目的端口、三层协议类型、传输控制协议标记TCP FLAG以及服务类型ToS;其中,同一条网络流量的网络元信息相同,所述网络设备对同一条网络流量生成一个对应的网络元信息数据报文;
将所述网络元信息与存储的检测规则进行匹配,获得匹配结果,所述检测规则是根据威胁情报数据生成的;通过以下方式根据威胁情报数据生成所述检测规则:针对每一条威胁情报,从所述威胁情报中提取IP特征信息;根据所述IP特征信息生成一条相应的检测规则;所述IP特征信息包括以下一种或多种元数据:攻击源的源IP地址、目的IP地址、源端口、目的端口、源自治域、目的自治域、三层协议类型、TCP FLAG、平均包长、流量峰值、发包间隔;
根据所述匹配结果确定所述网络流量的检测结果。
2.如权利要求1所述的方法,其特征在于,在接收网络设备发送的网络元信息之后,还包括:
将所述网络元信息存储至数据队列中;
则在将所述网络元信息与存储的检测规则进行匹配之前,还包括:
从所述数据队列中按顺序提取所述网络元信息。
3.如权利要求1所述的方法,其特征在于,所述威胁情报数据和所述检测规则存储于设定数据仓库中;
所述方法,还包括:
按照预设时间周期对所述设定数据仓库中当前存储的威胁情报数据进行更新;并
根据新增的威胁情报生成对应的检测规则;以及
将删除的威胁情报对应的检测规则删除。
4.一种网络安全检测装置,其特征在于,包括:
接收单元,用于接收网络设备发送的网络元信息,所述网络元信息为所述网络设备从流经所述网络设备的网络流量中提取的用于描述网络协议IP特征的元信息,所述网络元信息是所述网络设备从所述网络流量的第二层至第四层中提取出的,所述网络元信息包括以下信息中的一种信息或多种信息的组合:源IP地址、目的IP地址、源端口、目的端口、三层协议类型、传输控制协议标记TCP FLAG以及服务类型ToS;其中,同一条网络流量的网络元信息相同,所述网络设备对同一条网络流量生成一个对应的网络元信息数据报文;
匹配单元,用于将所述网络元信息与存储的检测规则进行匹配,获得匹配结果,所述检测规则是根据威胁情报数据生成的;
所述匹配单元,具体用于通过以下方式根据威胁情报数据生成所述检测规则:针对每一条威胁情报,从所述威胁情报中提取IP特征信息;根据所述IP特征信息生成一条相应的检测规则;所述IP特征信息包括以下一种或多种元数据:攻击源的源IP地址、目的IP地址、源端口、目的端口、源自治域、目的自治域、三层协议类型、TCP FLAG、平均包长、流量峰值、发包间隔;
确定单元,用于根据所述匹配结果确定所述网络流量的检测结果。
5.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~3任一项所述的网络安全检测方法。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~3任一项所述的网络安全检测方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210560236.5A CN115021984B (zh) | 2022-05-23 | 2022-05-23 | 一种网络安全检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210560236.5A CN115021984B (zh) | 2022-05-23 | 2022-05-23 | 一种网络安全检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115021984A CN115021984A (zh) | 2022-09-06 |
| CN115021984B true CN115021984B (zh) | 2024-02-13 |
Family
ID=83069078
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210560236.5A Active CN115021984B (zh) | 2022-05-23 | 2022-05-23 | 一种网络安全检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115021984B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016127834A1 (zh) * | 2015-02-15 | 2016-08-18 | 华为技术有限公司 | 网络安全防护方法及装置 |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
| CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| CN110213207A (zh) * | 2018-05-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种基于日志分析的网络安全防御方法及设备 |
| CN110798429A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的威胁追捕方法、装置及设备 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| CN111901329A (zh) * | 2020-07-22 | 2020-11-06 | 浙江军盾信息科技有限公司 | 一种识别网络安全事件方法和装置 |
| CN113162953A (zh) * | 2021-06-09 | 2021-07-23 | 南京聚铭网络科技有限公司 | 网络威胁报文检测及溯源取证方法和装置 |
| CN113596058A (zh) * | 2021-08-13 | 2021-11-02 | 广东电网有限责任公司 | 一种恶意地址的处理方法、装置、计算机设备和存储介质 |
| WO2021233373A1 (zh) * | 2020-05-20 | 2021-11-25 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
| CN114301659A (zh) * | 2021-12-24 | 2022-04-08 | 中国电信股份有限公司 | 网络攻击预警方法、系统、设备及存储介质 |
| CN114363020A (zh) * | 2021-12-20 | 2022-04-15 | 北京六方云信息技术有限公司 | 加密流量检测方法、系统、设备及存储介质 |
| CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106034056B (zh) * | 2015-03-18 | 2020-04-24 | 北京启明星辰信息安全技术有限公司 | 一种业务安全分析的方法和系统 |
| US11005892B2 (en) * | 2017-09-17 | 2021-05-11 | Allot Ltd. | System, method, and apparatus of securing and managing internet-connected devices and networks |
| US20210112091A1 (en) * | 2019-10-10 | 2021-04-15 | Charter Communications Operating, Llc | Denial-of-service detection and mitigation solution |
| CN112532614A (zh) * | 2020-11-25 | 2021-03-19 | 国网辽宁省电力有限公司信息通信分公司 | 一种用于电网终端的安全监测方法和系统 |
| CN113726790B (zh) * | 2021-09-01 | 2023-06-16 | 中国移动通信集团广西有限公司 | 网络攻击源的识别和封堵方法、系统、装置及介质 |
| CN114157459A (zh) * | 2021-11-20 | 2022-03-08 | 杭州安恒信息技术股份有限公司 | 威胁情报自动生成方法、装置、计算机设备和存储介质 |
-
2022
- 2022-05-23 CN CN202210560236.5A patent/CN115021984B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016127834A1 (zh) * | 2015-02-15 | 2016-08-18 | 华为技术有限公司 | 网络安全防护方法及装置 |
| CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
| CN110213207A (zh) * | 2018-05-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种基于日志分析的网络安全防御方法及设备 |
| CN110798429A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的威胁追捕方法、装置及设备 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| WO2021233373A1 (zh) * | 2020-05-20 | 2021-11-25 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
| CN111901329A (zh) * | 2020-07-22 | 2020-11-06 | 浙江军盾信息科技有限公司 | 一种识别网络安全事件方法和装置 |
| CN113162953A (zh) * | 2021-06-09 | 2021-07-23 | 南京聚铭网络科技有限公司 | 网络威胁报文检测及溯源取证方法和装置 |
| CN113596058A (zh) * | 2021-08-13 | 2021-11-02 | 广东电网有限责任公司 | 一种恶意地址的处理方法、装置、计算机设备和存储介质 |
| CN114363020A (zh) * | 2021-12-20 | 2022-04-15 | 北京六方云信息技术有限公司 | 加密流量检测方法、系统、设备及存储介质 |
| CN114301659A (zh) * | 2021-12-24 | 2022-04-08 | 中国电信股份有限公司 | 网络攻击预警方法、系统、设备及存储介质 |
| CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
Non-Patent Citations (3)
| Title |
|---|
| 刘芳 等编著.《 网络流量监测与控制》.北京邮电大学出版社,2009,第92-93页. * |
| 基于威胁情报的恶意软件识别;周松松;马勇;;信息网络安全(S1);全文 * |
| 基于行为的内网安全威胁检测系统在电力企业的应用;周祥峰;《计算机安全》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115021984A (zh) | 2022-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Parra et al. | Implementation of deep packet inspection in smart grids and industrial Internet of Things: Challenges and opportunities | |
| CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| US20160381049A1 (en) | Identifying network intrusions and analytical insight into the same | |
| JP2016513944A (ja) | ネットワーク通信分析のためにメタデータを抽出及び保持するシステム及び方法 | |
| Meng et al. | Adaptive non-critical alarm reduction using hash-based contextual signatures in intrusion detection | |
| CN113518042A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN106096406A (zh) | 一种安全漏洞回溯分析方法及装置 | |
| Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
| Yang et al. | Modelling Network Traffic and Exploiting Encrypted Packets to Detect Stepping-stone Intrusions. | |
| Ahmed et al. | A Linux-based IDPS using Snort | |
| Değirmenci et al. | ROSIDS23: Network intrusion detection dataset for robot operating system | |
| Campbell et al. | Intrusion detection at 100G | |
| CN115021984B (zh) | 一种网络安全检测方法、装置、电子设备及存储介质 | |
| Volarević et al. | Network forensics | |
| US20220247763A1 (en) | Dynamic Computer Threat Alert System and Method | |
| van der Eijk et al. | Detecting cobalt strike beacons in netflow data | |
| CN113596037A (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| RU183015U1 (ru) | Средство обнаружения вторжений | |
| Tang | The generation of attack signatures based on virtual honeypots | |
| Paul et al. | Polys: Network-based signature generation for zero-day polymorphic worms | |
| Friday et al. | Offloading network forensic analytics to programmable data plane switches | |
| Li et al. | DeviceRadar: Online IoT Device Fingerprinting in ISPs Using Programmable Switches | |
| Hu et al. | Industrial network protocol security enhancement using programmable switches | |
| Carr | Automating Suricata Rule-Writing | |
| Mikki et al. | NetworkMonitoring System (NMS) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |