CN115189926B - 网络流量的检测方法、网络流量的检测系统和电子设备 - Google Patents
网络流量的检测方法、网络流量的检测系统和电子设备 Download PDFInfo
- Publication number
- CN115189926B CN115189926B CN202210712894.1A CN202210712894A CN115189926B CN 115189926 B CN115189926 B CN 115189926B CN 202210712894 A CN202210712894 A CN 202210712894A CN 115189926 B CN115189926 B CN 115189926B
- Authority
- CN
- China
- Prior art keywords
- rule
- network traffic
- detection
- follow
- acquired
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 158
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000013486 operation strategy Methods 0.000 claims description 4
- 230000009545 invasion Effects 0.000 claims description 2
- 230000009471 action Effects 0.000 description 22
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 21
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络流量的检测方法,网络流量的检测系统和电子设备,该方法包括:获取待检测的网络流量;基于检测规则中的前置规则对获取的网络流量进行第一检测,得到第一检测结果,其中,检测规则用于检测所获取的网络流量是否为恶意程序;当确定第一检测结果中具有前置规则所指示的内容时,基于检测规则中的后续规则对获取的网络流量进行第二检测,以确定网络流量是否为所述恶意程序;当确定第一检测结果中不具有前置规则指示的内容时,不再使用后续规则对网络流量进行检测。该方法首先加载前置规则,后续规则根据前置规则的命中情况加载或卸载,相对于全部规则一次性加载,提高了网络流量的检测系统的命中效率。
Description
技术领域
本申请涉及入侵检测技术领域,特别涉及一种网络流量的检测方法、网络流量的检测系统和电子设备。
背景技术
入侵检测是一种动态安全技术,能够对网络传输进行实时监控,在发现可疑传输时可以发出告警或者采取主动反应措施。网络流量的检测系统可以主动收集包括系统审计数据,网络数据包,根据预先加载的入侵检测规则库,当网络中存在漏洞攻击、僵尸网络、木马、蠕虫等攻击时,可以产生相应的告警信息,根据告警信息可以进行溯源工作,定位到攻击源信息,定位落地的恶意样本等,也可以发现恶意攻击后对网络进行阻断,防止进一步的恶意行为。随着网络攻击越来越多,根据网络攻击行为编写的规则也会越来越多,网络流量的检测系统全部加载的规则越来越多,现有的入侵检测规则一次性全部加载所有的规则,会导致检测效率降低。
发明内容
为了解决上述技术问题,本申请实施例提供了一种网络流量的检测方法、网络流量的检测系统和电子设备,该方法有效利用检测规则中的前置规则和后续规则,对待检测的网络流量进行检测,提高了入侵检测的命中效率。
为了解决上述技术问题,本申请的实施例采用了如下技术方案:一种网络流量的检测方法,应用于电子设备中,其特征在于,所述方法包括:
获取待检测的网络流量;
基于检测规则中的前置规则对获取的所述网络流量进行第一检测,得到第一检测结果,其中,所述检测规则用于检测所获取的网络流量是否为恶意程序;
当确定所述第一检测结果中具有所述前置规则所指示的内容时,基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测,以确定所述网络流量是否为所述恶意程序;
当确定所述第一检测结果中不具有所述前置规则指示的内容时,不再使用所述后续规则对所述网络流量进行检测。
优选地,所述基于检测规则中的前置规则对获取的所述网络流量进行第一检测,得到第一检测结果,包括:
将所述网络流量中包含的网络特征与所述前置规则中的预设特征进行对比;
根据对比结果,确定所述第一检测结果。
优选地,所述基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测,以确定所述网络流量是否为所述恶意程序,包括:
将所述网络流量中包含的网络特征与所述后续规则中的预设特征进行对比;
根据对比结果,确定所述网络流量是否为所述恶意程序;
其中,所述后续规则中的预设特征与所述前置规则中的预设特征不同。
优选地,所述后续规则中的预设特征至少包括以下一种:文件下载、执行命令、文件管理、按键信息窃取、屏幕捕获、声音监听、远程执行命令、远程重启和远程关机。
优选地,在基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测之后,所述方法还包括:
基于预设的时间阈值,确定是否继续使用所述后续规则对所述网络流量进行检测;
在所述后续规则加载到电子设备中的待使用时间超出所述时间阈值范围,并且在加载时间段内没有使用所述后续规则对所述网络流量进行分析的情况下,将所述后续规则卸载。
优选地,在确定所述第一检测结果中具有所述前置规则所指示的内容后,所述方法还包括:
调用与所述前置规则对应的操作策略,对所述网络流量进行提示操作。
优选地,所述方法还包括:
当确定所获取的网络流量为恶意程序时,调用与所述后续规则对应的防护策略,对所述恶意程序进行防护处理。
优选地,所述方法还包括:
根据所述网络流量的网络特征,构建所述检测规则,其中,所述检测规则包括所述前置规则和所述后续规则,所述前置规则和所述后续规则根据所述网络流量的多种网络特征分别构建。
本申请实施例的目的在于提供一种网络流量的检测系统,其特征在于,包括:
获取模块,其用于获取待检测的网络流量;
第一处理模块,其用于基于检测规则中的前置规则对获取的所述网络流量进行第一检测,得到第一检测结果,其中,所述检测规则用于检测所获取的网络流量是否为恶意程序;
第二处理模块,其用于当确定所述第一检测结果中具有所述前置规则所指示的内容时,基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测,以确定所述网络流量是否为所述恶意程序;
确定模块,其用于当确定所述第一检测结果中不具有所述前置规则指示的内容时,不再使用所述后续规则对所述网络流量进行检测。
本申请实施例的目的在于提供一种电子设备,其特征在于,包括:
存储器,用于存储可执行程序;
处理器,用于执行所述可执行程序,以实现上述方法。
与现有技术相比,本申请实施例的有益效果在于:该方法首先基于检测规则中的前置规则对网络流量进行检测,然后加载检测规则中的后续规则对网络流量进行进一步检测,前置规则对应首先发生的攻击,后续规则对应后续发生的攻击,网络流量的检测系统默认只加载前置规则,后续规则根据前置规则的命中情况加载或卸载,前置规则命中后,再加载后续规则,在一定时间内后续规则命中,继续加载后续规则,在一定时间内后续规则没有命中,将后续规则从网络流量的检测系统中卸载。相对于全部规则一次性加载,提高了网络流量的检测系统的命中效率。
附图说明
图1为本申请实施例中一种网络流量的检测方法的流程示意图;
图2为本申请实施例中一种网络流量的检测方法的另一流程示意图;
图3为本申请实施例中一种网络流量的检测方法的又一流程示意图;
图4为本申请实施例中一种网络流量的检测方法的具体框架示意图;
图5为本申请实施例中网络流量的检测系统的示意图;
图6为本申请实施例中电子设备的示意图。
具体实施方式
下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所公开的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
下面,结合附图详细的说明本申请实施例。
如图1所示,本申请实施例提供一种网络流量的检测方法,应用于电子设备中,所述方法包括:
S100:获取待检测的网络流量。
在本实施例中,电子设备获取待检测的网络流量,网络流量可以来自外部网络,例如,通过服务器获取的外部网络的网页信息、网络文件、电子邮件等信息。具体地,电子设备的网络流量的检测系统接收输入网络的网络流量包。
S200:基于检测规则中的前置规则对获取的所述网络流量进行第一检测,得到第一检测结果。
在本实施例中,所述检测规则用于检测所获取的网络流量是否为恶意程序,具体地,检测规则可为预先加载的入侵检测规则库。本实施例的方法基于检测规则中的前置规则对获取的网络流量进行第一检测,具体地,在本实施例中,在获取待检测的网络流量后,网络流量的检测系统默认只加载检测规则中的前置规则,再基于前置规则对获取的网络流量进行第一检测。第一检测利用前置规则对网络流量的具体内容进行检测和分析,第一检测可以包括但不限于,对获取的网络流量中的IP信息、端口信息、协议类型等信息进行检测。例如,当接收到的网络流量为远程信息时,远程信息会接入电子设备的网络端,此时,前置规则对远程信息进行检测,得到第一检测结果,第一检测结果表明前置规则是否命中接入网络端的网络流量的具体内容是否与中相应的内容相匹配。
S300:当确定所述第一检测结果中具有所述前置规则所指示的内容时,基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测,以确定所述网络流量是否为所述恶意程序。
在本实施例中,在使用前置规则对网络流量的内容进行检测和分析,并且得到第一检测结果之后,确定第一检测结果中是否具有前置规则所指示的内容。具体地,当第一检测结果表明接入网络端的网络流量的具体内容与前置规则中相应的内容相匹配时,可以确定第一检测结果中具有前置规则所指示的内容。例如,当接收到的网络流量为远程控制程序时,远程控制程序首先会接入本地网络,建立连接后,前置规则检测到远程控制程序的连接信息。此时,得到的第一检测结果表明,远程控制程序的连接信息为前置规则所指示的内容,表明连入了外部网络信息。当确定第一检测结果中具有前置规则所指示的内容时,基于检测规则中的后续规则对获取的网络流量进行第二检测,第二检测利用后续规则对网络流量的具体内容进行检测和分析,第二检测可以包括但不限于,对获取的网络流量中的操作程序信息进行检测。例如,当使用前置规则对获取的网络流量进行检测,并且得出第一检测结果中具有前置规则所指示的内容之后,基于检测规则中的后续规则对获取的网络流量进行第二检测,通过第二检测,可以确定获取的网络流量在连入网络端之后是否有进一步的入侵动作。具体地,使用后续规则对网络流量的具体内容进行检测和分析时,当网络流量的具体内容与后续规则中相应的内容相匹配时,可以确定获取的网络流量在连入网络端之后有进一步的入侵动作。例如,当接收到的网络流量为远程控制程序时,远程控制程序在连入网络端之后,如果后续规则检测到远程控制程序的后续入侵动作,则表明所获取的网络流量为恶意程序。
S400:当确定所述第一检测结果中不具有所述前置规则指示的内容时,不再使用所述后续规则对所述网络流量进行检测。
在本实施例中,在利用前置规则对获取的网络流量进行第一检测时,当确定第一检测结果中不具有前置规则指示的内容时,也就是获取的网络流量没有显示出恶意入侵的属性时,不再使用后续规则对网络流量进行检测,后续规则不需加载。
该网络流量的检测方法首先基于检测规则中的前置规则对网络流量进行检测,然后加载检测规则中的后续规则对网络流量进行进一步检测,前置规则对应首先发生的攻击,后续规则对应后续发生的攻击,网络流量的检测系统默认只加载前置规则,前置规则命中后,再加载后续规则,前置规则没有命中,则不加载后续规则,节省了网络设备的内存,相对于全部规则一次性加载,提高了网络流量的检测系统的命中效率。
在本申请的一个实施例中,如图2所示,所述基于检测规则中的前置规则对获取的所述网络流量进行第一检测,得到第一检测结果,包括:
S210:将所述网络流量中包含的网络特征与所述前置规则中的预设特征进行对比;
S220:根据对比结果,确定所述第一检测结果。
在本实施例中,在利用前置规则对获取的网络流量进行第一检测时,可将网络流量中包含的网络特征与前置规则中的预设特征进行对比,当网络流量中包含的网络特征与前置规则中的预设特征一致时,可以确定网络流量连入网络端的动作为入侵行为。即,第一检测结果表明前置规则命中。例如,当接收到的网络流量为Gh0st木马时,Gh0st木马首先将客户端与服务器进行连接,建立连接后,前置规则检测到Gh0st木马的入侵,也就是Gh0st木马的连接信息。此时,Gh0st木马中包含的连接信息与前置规则中的预设特征一致,表明前置规则命中了Gh0st木马的入侵动作。
在本申请的一个实施例中,如图3所示,所述基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测,以确定所述网络流量是否为所述恶意程序,包括:
S310:将所述网络流量中包含的网络特征与所述后续规则中的预设特征进行对比;
S320:根据对比结果,确定所述网络流量是否为所述恶意程序;
在本实施例中,在利用后续规则对获取的网络流量进行第二检测时,可将网络流量中包含的网络特征与后续规则中的预设特征进行对比,当网络流量中包含的网络特征与后续规则中的预设特征一致时,可以确定网络流量连入网络端后的后续动作为入侵动作。即,对比结果表明后续规则命中,根据对比结果,确定网络流量为所述恶意程序。例如,当接收到的网络流量为Gh0st木马时,在前置规则检测到Gh0st木马的连接操作之后,加载后续规则,对Gh0st木马的后续动作进行进一步的检测,如果Gh0st木马的后续动作中包含的具体特征与后续规则中的预设特征一致,表明后续规则命中了Gh0st木马的后续入侵动作。在本实施例中,后续规则中的预设特征与前置规则中的预设特征不同。前置规则中的预设特征能够快速检测网络流量中包含的网络特征,例如,前置规则中的预设特征能够检测网络流量是否连入网络端,进而确定连接动作是否为入侵行为。后续规则中的预设特征能够检测网络流量中包含的多种网络特征,例如,在网络流量接入网络端之后,后续规则中的预设特征能够检测网络流量中的多种后续入侵动作。
在本申请的一个实施例中,后续规则中的预设特征至少包括以下一种:文件下载、执行命令、文件管理、按键信息窃取、屏幕捕获、声音监听、远程执行命令、远程重启和远程关机。
具体地,在本实施例中,将网络流量中包含的网络特征与后续规则中的预设特征进行对比时,如果确定网络流量中包含的网络特征与后续规则中的预设特征一致,表明后续规则命中,此时,网络流量的后续动作存在入侵动作。例如,Gh0st木马接入网络端之后,会有多种后续的入侵动作,包括文件下载、执行命令、文件管理、按键信息窃取、屏幕捕获、声音监听、远程执行命令、远程重启和远程关机。当后续规则对Gh0st木马的后续入侵动作进行检测时,会根据与上述入侵动作相对应的预设特征,对文件下载、执行命令、文件管理、按键信息窃取、屏幕捕获、声音监听、远程执行命令、远程重启和远程关机等入侵动作进行检测,进而执行后续操作。
在本申请的一个实施例中,如图4所示,在基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测之后,所述方法还包括:
基于预设的时间阈值,确定是否继续使用所述后续规则对所述网络流量进行检测;
在所述后续规则加载到电子设备中的待使用时间超出所述时间阈值范围,并且在加载时间段内没有使用所述后续规则对所述网络流量进行分析的情况下,将所述后续规则卸载。
具体地,在本实施例中,在基于后续规则对获取的网络流量进行第二检测之后,设置后续规则加载的时间阈值,以确定是否继续使用后续规则对网络流量进行检测。例如,当多个电子设备接收到的网络流量为Gh0st木马时,在前置规则检测到Gh0st木马的连接操作之后,加载后续规则,对Gh0st木马的后续动作进行进一步的检测。在多个电子设备加载并利用后续规则对Gh0st木马进行进一步的检测时,基于预设的时间阈值,确定是否继续使用后续规则对Gh0st木马进行检测。在本实施例中,设置时间阈值为24小时。加载了后续规则的24小时内,如果多个电子设备中有一个电子设备或若干个电子设备检测到了Gh0st木马的后续入侵动作,表明后续规则命中,在这些电子设备中继续加载后续规则,以执行后续的防护处理。如果在后续规则加载到电子设备中的待使用时间超出时间阈值范围,并且在加载时间段内没有使用后续规则对网络流量进行分析的情况下,也就是后续规则在时间阈值范围内没有命中,将后续规则从电子设备中卸载。例如,在多个电子设备加载了后续规则的24小时内,如果多个电子设备中有一个电子设备或若干个电子设备一直没有检测到Gh0st木马的后续入侵动作,表明后续规则没有命中,在这些电子设备中将后续规则卸载,以节省内存。
在本申请的一个实施例中,在确定所述第一检测结果中具有所述前置规则所指示的内容后,所述方法还包括:
调用与所述前置规则对应的操作策略,对所述网络流量进行提示操作。
具体地,在本实施例中,在使用前置规则对网络流量的内容进行检测时,如果确定第一检测结果中具有前置规则所指示的内容,调用与前置规则对应的操作策略,对网络流量进行提示操作。例如,当接收到的网络流量为远程控制程序时,远程控制程序首先会接入本地网络,建立连接后,前置规则检测到远程控制程序的连接信息。此时,可以调用与前置规则对应的操作策略,例如弹窗消息来进行提示操作,这样,用户能够意识到外部网络信息连入了电子设备,进而可以采取防入侵手段。
在本申请的一个实施例中,所述方法还包括:
当确定所获取的网络流量为恶意程序时,调用与所述后续规则对应的防护策略,对所述恶意程序进行防护处理。
具体地,在本实施例中,在使用后续规则对网络流量的内容进行检测时,如果确定所获取的网络流量为恶意程序,调用与后续规则对应的防护策略,对恶意程序进行防护处理。例如,当接收到的网络流量为远程控制程序时,在远程控制程序接入本地网络后,如果后续规则检测到远程控制程序的入侵动作,可以调用与所述后续规则对应的防护策略,例如告警操作,这样,用户能够意识到恶意程序的入侵,进而可以采取防入侵手段,对所述恶意程序进行防护处理。
在本申请的一个实施例中,如图4所示,所述方法还包括:
根据所述网络流量的网络特征,构建所述检测规则,其中,所述检测规则包括所述前置规则和所述后续规则,所述前置规则和所述后续规则根据所述网络流量的多种网络特征分别构建。
具体地,在本实施例中,在对获取的网络流量进行检测之前,根据预先获取的网络流量,对网络流量特征进行分析,并且根据不同的网络流量特征,来构建检测规则。例如,将检测规则分为前置规则和后续规则,前置规则和后续规则根据网络流量的多种网络特征分别构建,将客户端与服务器进行连接的规则构建为前置规则,将文件管理、按键信息窃取、屏幕捕获、声音监听、远程执行命令、远程重启、远程关机对应的规则构建为后续规则。网络流量的检测系统加载检测规则时,只加载前置规则,前置规则命中后,继续加载后续规则,在预设的时间阈值内后续规则命中,后续规则继续加载,在预设的时间阈值内后续规则没有命中,将后续规则从网络流量的检测系统中卸载。
基于同样的发明构思本申请实施例还提供了一种网络流量的检测系统,如图5所示,包括:
获取模块,其用于获取待检测的网络流量;
第一处理模块,其用于基于检测规则中的前置规则对获取的所述网络流量进行第一检测,得到第一检测结果,其中,所述检测规则用于检测所获取的网络流量是否为恶意程序;
第二处理模块,其用于当确定所述第一检测结果中具有所述前置规则所指示的内容时,基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测,以确定所述网络流量是否为所述恶意程序;
确定模块,其用于当确定所述第一检测结果中不具有所述前置规则指示的内容时,不再使用所述后续规则对所述网络流量进行检测。
在本申请的一个实施例中,第一处理模块还用于:
将所述网络流量中包含的网络特征与所述前置规则中的预设特征进行对比;
根据对比结果,确定所述第一检测结果。
在本申请的一个实施例中,第二处理模块还用于:
将所述网络流量中包含的网络特征与所述后续规则中的预设特征进行对比;
根据对比结果,确定所述网络流量是否为所述恶意程序。
在本申请的一个实施例中,确定模块还用于:
基于预设的时间阈值,确定是否继续使用所述后续规则对所述网络流量进行检测;
在所述后续规则加载到电子设备中的待使用时间超出所述时间阈值范围,并且在加载时间段内没有使用所述后续规则对所述网络流量进行分析的情况下,将所述后续规则卸载。
在本申请的一个实施例中,网络流量的检测系统还包括:
提示模块,其用于调用与所述前置规则对应的操作策略,对所述网络流量进行提示操作。
在本申请的一个实施例中,提示模块还用于:
当确定所获取的网络流量为恶意程序时,调用与所述后续规则对应的防护策略,对所述恶意程序进行防护处理。
在本申请的一个实施例中,网络流量的检测系统还包括:
构建模块,其用于根据所述网络流量的网络特征,构建所述检测规则,其中,所述检测规则包括所述前置规则和所述后续规则,所述前置规则和所述后续规则根据所述网络流量的多种网络特征分别构建。
基于同一发明构思,本实施例还包括一种电子设备,如图6所示,包括:
存储器,用于存储可执行程序;
处理器,用于执行所述可执行程序,以实现上述方法。
由于本申请中的电子设备解决问题的原理与本申请上述方法相似,因此电子设备的实施可以参见方法的实施,重复之处不再赘述。
本申请实施例提供了一种存储介质,该存储介质为计算机可读介质,存储有计算机程序,该计算机程序被处理器执行时实现本申请任意实施例提供的方法,包括如上所述的方法步骤。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行上述实施例记载的方法步骤。可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种网络流量的检测方法,应用于电子设备中,其特征在于,所述方法包括:
获取待检测的网络流量;
基于检测规则中的前置规则对获取的所述网络流量进行第一检测,得到第一检测结果,其中,所述检测规则用于检测所获取的网络流量是否为恶意程序,所述第一检测包括:对获取的网络流量中的IP信息、端口信息以及协议类型进行检测;
当确定所述第一检测结果中具有所述前置规则所指示的内容时,基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测,以确定所述网络流量是否为所述恶意程序,其中,所述第二检测包括对获取的网络流量中的操作程序信息进行检测,所述前置规则所指示的内容表征获取的所述网络流量具有恶意入侵的属性;
当确定所述第一检测结果中不具有所述前置规则指示的内容时,不再使用所述后续规则对所述网络流量进行检测。
2.根据权利要求1所述的方法,其特征在于,所述基于检测规则中的前置规则对获取的所述网络流量进行第一检测,得到第一检测结果,包括:
将所述网络流量中包含的网络特征与所述前置规则中的预设特征进行对比;
根据对比结果,确定所述第一检测结果。
3.根据权利要求1所述的方法,其特征在于,所述基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测,以确定所述网络流量是否为所述恶意程序,包括:
将所述网络流量中包含的网络特征与所述后续规则中的预设特征进行对比;
根据对比结果,确定所述网络流量是否为所述恶意程序;
其中,所述后续规则中的预设特征与所述前置规则中的预设特征不同。
4.根据权利要求3所述的方法,其特征在于,
所述后续规则中的预设特征至少包括以下一种:文件下载、执行命令、文件管理、按键信息窃取、屏幕捕获、声音监听、远程执行命令、远程重启和远程关机。
5.根据权利要求1所述的方法,其特征在于,在基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测之后,所述方法还包括:
基于预设的时间阈值,确定是否继续使用所述后续规则对所述网络流量进行检测;
在所述后续规则加载到电子设备中的待使用时间超出所述时间阈值范围,并且在加载时间段内没有使用所述后续规则对所述网络流量进行分析的情况下,将所述后续规则卸载。
6.根据权利要求1所述的方法,其特征在于,在确定所述第一检测结果中具有所述前置规则所指示的内容后,所述方法还包括:
调用与所述前置规则对应的操作策略,对所述网络流量进行提示操作。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定所获取的网络流量为恶意程序时,调用与所述后续规则对应的防护策略,对所述恶意程序进行防护处理。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述网络流量的网络特征,构建所述检测规则,其中,所述检测规则包括所述前置规则和所述后续规则,所述前置规则和所述后续规则根据所述网络流量的多种网络特征分别构建。
9.一种网络流量的检测系统,其特征在于,包括:
获取模块,其用于获取待检测的网络流量;
第一处理模块,其用于基于检测规则中的前置规则对获取的所述网络流量进行第一检测,得到第一检测结果,其中,所述检测规则用于检测所获取的网络流量是否为恶意程序,所述第一检测包括:对获取的网络流量中的IP信息、端口信息以及协议类型进行检测;
第二处理模块,其用于当确定所述第一检测结果中具有所述前置规则所指示的内容时,基于所述检测规则中的后续规则对获取的所述网络流量进行第二检测,以确定所述网络流量是否为所述恶意程序,其中,所述第二检测包括对获取的网络流量中的操作程序信息进行检测,所述前置规则所指示的内容表征获取的所述网络流量具有恶意入侵的属性;
确定模块,其用于当确定所述第一检测结果中不具有所述前置规则指示的内容时,不再使用所述后续规则对所述网络流量进行检测。
10.一种电子设备,其特征在于,包括:
存储器,用于存储可执行程序;
处理器,用于执行所述可执行程序,以实现如权利要求1-8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210712894.1A CN115189926B (zh) | 2022-06-22 | 2022-06-22 | 网络流量的检测方法、网络流量的检测系统和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210712894.1A CN115189926B (zh) | 2022-06-22 | 2022-06-22 | 网络流量的检测方法、网络流量的检测系统和电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115189926A CN115189926A (zh) | 2022-10-14 |
CN115189926B true CN115189926B (zh) | 2024-01-26 |
Family
ID=83515454
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210712894.1A Active CN115189926B (zh) | 2022-06-22 | 2022-06-22 | 网络流量的检测方法、网络流量的检测系统和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115189926B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101378115B1 (ko) * | 2012-11-01 | 2014-03-27 | 한국전자통신연구원 | Pcre 기반 패턴 매칭 기법을 이용한 네트워크 침입 탐지 장치 및 방법 |
CN104424438A (zh) * | 2013-09-06 | 2015-03-18 | 华为技术有限公司 | 一种反病毒文件检测方法、装置及网络设备 |
WO2015123972A1 (zh) * | 2014-02-24 | 2015-08-27 | 珠海市君天电子科技有限公司 | 宏病毒检测方法及装置 |
CN105376222A (zh) * | 2015-10-30 | 2016-03-02 | 四川九洲电器集团有限责任公司 | 基于云计算平台的智能防御系统 |
CN106453438A (zh) * | 2016-12-23 | 2017-02-22 | 北京奇虎科技有限公司 | 一种网络攻击的识别方法及装置 |
CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
CN113395237A (zh) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | 攻击检测方法及装置、计算机可存储介质 |
CN113596028A (zh) * | 2021-07-29 | 2021-11-02 | 南京南瑞信息通信科技有限公司 | 一种网络异常行为的处置方法及装置 |
CN113938312A (zh) * | 2021-11-12 | 2022-01-14 | 北京天融信网络安全技术有限公司 | 一种暴力破解流量的检测方法及装置 |
-
2022
- 2022-06-22 CN CN202210712894.1A patent/CN115189926B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101378115B1 (ko) * | 2012-11-01 | 2014-03-27 | 한국전자통신연구원 | Pcre 기반 패턴 매칭 기법을 이용한 네트워크 침입 탐지 장치 및 방법 |
CN104424438A (zh) * | 2013-09-06 | 2015-03-18 | 华为技术有限公司 | 一种反病毒文件检测方法、装置及网络设备 |
WO2015123972A1 (zh) * | 2014-02-24 | 2015-08-27 | 珠海市君天电子科技有限公司 | 宏病毒检测方法及装置 |
CN105376222A (zh) * | 2015-10-30 | 2016-03-02 | 四川九洲电器集团有限责任公司 | 基于云计算平台的智能防御系统 |
CN106453438A (zh) * | 2016-12-23 | 2017-02-22 | 北京奇虎科技有限公司 | 一种网络攻击的识别方法及装置 |
CN111277587A (zh) * | 2020-01-19 | 2020-06-12 | 武汉思普崚技术有限公司 | 基于行为分析的恶意加密流量检测方法及系统 |
CN113395237A (zh) * | 2020-03-12 | 2021-09-14 | 中国电信股份有限公司 | 攻击检测方法及装置、计算机可存储介质 |
CN113596028A (zh) * | 2021-07-29 | 2021-11-02 | 南京南瑞信息通信科技有限公司 | 一种网络异常行为的处置方法及装置 |
CN113938312A (zh) * | 2021-11-12 | 2022-01-14 | 北京天融信网络安全技术有限公司 | 一种暴力破解流量的检测方法及装置 |
Non-Patent Citations (1)
Title |
---|
SNORT规则集匹配的优化策略研究;任贤;王莹莹;;河池学院学报(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115189926A (zh) | 2022-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10893068B1 (en) | Ransomware file modification prevention technique | |
JP6726706B2 (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
CN111651757A (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
US20080141376A1 (en) | Determining maliciousness of software | |
US20190147163A1 (en) | Inferential exploit attempt detection | |
CN114329489A (zh) | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 | |
US20170155683A1 (en) | Remedial action for release of threat data | |
CN110674496A (zh) | 程序对入侵终端进行反制的方法、系统以及计算机设备 | |
CN115859274B (zh) | 一种监控Windows进程清空系统事件日志行为的方法及系统 | |
CN113055407A (zh) | 一种资产的风险信息确定方法、装置、设备及存储介质 | |
CN108156127B (zh) | 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 | |
CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
CN115189926B (zh) | 网络流量的检测方法、网络流量的检测系统和电子设备 | |
CN115828256A (zh) | 一种越权与未授权逻辑漏洞检测方法 | |
CN113672925B (zh) | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 | |
CN112069505B (zh) | 一种审计信息处理方法及电子设备 | |
EP3819799A1 (en) | Method of threat detection | |
CN113472789A (zh) | 一种攻击检测方法、攻击检测系统、存储介质和电子设备 | |
CN112632534A (zh) | 一种恶意行为检测方法及装置 | |
CN113139179A (zh) | 基于web攻击的分析方法及装置 | |
CN113691518B (zh) | 情报分析方法、装置、设备及存储介质 | |
CN116094848B (zh) | 访问控制方法、装置、计算机设备和存储介质 | |
CN113779583B (zh) | 一种行为检测方法、装置、存储介质及电子设备 | |
US11245703B2 (en) | Security tool for considering multiple security contexts | |
CN115499176A (zh) | 一种带外攻击检测方法、装置、探针、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |