CN115396314B - 获得防护策略集合、报文检测的方法、装置、系统及介质 - Google Patents

获得防护策略集合、报文检测的方法、装置、系统及介质 Download PDF

Info

Publication number
CN115396314B
CN115396314B CN202211033964.7A CN202211033964A CN115396314B CN 115396314 B CN115396314 B CN 115396314B CN 202211033964 A CN202211033964 A CN 202211033964A CN 115396314 B CN115396314 B CN 115396314B
Authority
CN
China
Prior art keywords
message
processed
protection
maximum value
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211033964.7A
Other languages
English (en)
Other versions
CN115396314A (zh
Inventor
邹浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Hubei Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211033964.7A priority Critical patent/CN115396314B/zh
Publication of CN115396314A publication Critical patent/CN115396314A/zh
Application granted granted Critical
Publication of CN115396314B publication Critical patent/CN115396314B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了获得防护策略集合、报文检测的方法、装置、系统及介质,该方法包括:通过统计方式获取各类待处理报文,其中,不同类的待处理报文是通过IP地址和端口号区分的;获取与所述各类待处理报文分别对应的防护策略,得到防护策略集合,通过本申请的一些实施例能够针对不同类型的业务流量获得相对应的防护策略,从而能够提升报文检测的准确性,进而提升接收设备的安全性。

Description

获得防护策略集合、报文检测的方法、装置、系统及介质
技术领域
本申请实施例涉及网络安全领域,具体涉及获得防护策略集合、报文检测的方法、装置、系统及介质。
背景技术
通常针对网络安全设备的安全配置有检测配置与防御配置,这些配置通过设置阈值来对待检测的报文进行检测。相关技术中,每一个阈值的取值通常会根据一定的经验来估算得到,导致报文检测不准确。
为了解决上述问题,相关技术对当前流量的数据访问行为进行学习与统计,获得相对较为客观的阈值。但是,不同的待检测报文使用同一标准进行检测,导致报文检测的准确率不能够得到有效的提升。
因此,如何提升报文检测的准确率成为需要解决的问题。
发明内容
本申请实施例提供了获得防护策略集合、报文检测的方法、装置、系统及介质,通过本申请的一些实施例至少能够实现针对不同类型的业务流量获得相对应的防护策略,从而能够提升报文检测的准确性,进而提升接收设备的安全性。
第一方面,本申请提供了一种获得防护策略集合的方法,所述方法包括:通过统计方式获取各类待处理报文,其中,不同类的待处理报文是通过IP地址和端口号区分的;获取与所述各类待处理报文分别对应的防护策略,得到防护策略集合。
因此,与相关技术中所有的待检测报文均使用同一标准(即阈值)进行检测的方案不同的是,本申请实施例通过将待处理报文进行分类,并且获得与各类相对应的防护策略,能够针对不同类型的业务流量获得相对应的防护策略,从而能够提升报文检测的准确性,进而提升接收设备的安全性。
结合第一方面,在本申请的一些实施例中,所述各类待处理报文包括第i类待处理报文,其中,所述第i类待处理报文为所述各类待处理报文中的任意一类;所述获取与所述各类待处理报文分别对应的防护策略,得到防护策略集合,包括:统计所述第i类待处理报文所对应的访问行为数据,其中,所述访问行为数据至少包括预设时间内所述第i类待处理报文的发包数量和传输时间;基于所述访问行为数据,生成与所述第i类待处理报文对应的防护策略。
因此,本申请实施例通过对各类待处理报文的访问行为数据进行统计,能够生成符合各类待处理报文特征的防护策略,从而是防护策略设置的更加精细化。
结合第一方面,在本申请的一些实施例中,所述防护策略包括检测阈值和防御阈值,其中,所述检测阈值用于判断是否触发预警,所述防御阈值用于判断是否执行防御动作,所述检测阈值至少通过所述发包数量获得,所述防御阈值至少包括出口流量、传输时间和发送源访问地址占比中的一种;所述基于所述访问行为数据,生成与所述第i类待处理报文对应的防护策略,包括:确认所述预设时间之内所述发包数量的最大值,以及所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值;将所述发包数量的最大值作为所述检测阈值,并且将所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值中的至少一种作为所述防御阈值。
因此,本申请实施例通过将发包数量的最大值和传输时间的最大值等作为阈值,能够根据真实的历史流量,获得与各类待检测报文对应的阈值。
结合第一方面,在本申请的一些实施例中,在所述通过统计方式获取各类待处理报文之前,所述方法还包括:确认所述端口号满足预设的限制条件。
因此,本申请实施例通过在对待处理报文进行分类前确认端口号满足预设条件,能够过滤掉不需要进行学习的待处理报文,从而提升学习效率。
第二方面,本申请提供了一种报文检测的方法,所述方法包括:获得待检测报文;根据防护策略集合对所述待检测报文进行检测,获得与所述待检测报文分别对应的检测结果。
结合第二方面,在本申请的一些实施例中,所述待检测报文为第j类待检测报文,所述防护策略集合中包括与所述第j类待检测报文对应的第j检测阈值和第j防御阈值;所述根据防护策略集合对所述待检测报文进行检测,获得与所述待检测报文分别对应的检测结果,包括:确认所述第j类待检测报文对应的发包数量大于所述第j检测阈值,则触发异常告警;并且,确认所述第j类待检测报文对应的传输时间大于所述第j防御阈值,则执行防御动作。
第三方面,本申请提供了一种报文检测的系统,所述系统包括:网络安全设备,被配置为:采用如第二方面任意实施例所述的方法获得待检测报文的检测结果;若确认所述检测结果为正常,则发送所述待检测报文;接收设备,被配置为接收所述待检测报文。
第四方面,本申请提供了一种获得防护策略集合的装置,所述装置包括:报文获取模块,被配置为通过统计方式获取各类待处理报文,其中,不同类的待处理报文是通过IP地址和端口号区分的;策略生成模块,被配置为获取与所述各类待处理报文分别对应的防护策略,得到防护策略集合。
结合第四方面,在本申请的一些实施例中,所述各类待处理报文包括第i类待处理报文,其中,所述第i类待处理报文为所述各类待处理报文中的任意一类;所述策略生成模块被配置为:统计所述第i类待处理报文所对应的访问行为数据,其中,所述访问行为数据至少包括预设时间内所述第i类待处理报文的发包数量和传输时间;基于所述访问行为数据,生成与所述第i类待处理报文对应的防护策略。
结合第四方面,在本申请的一些实施例中,所述防护策略包括检测阈值和防御阈值,其中,所述检测阈值用于判断是否触发预警,所述防御阈值用于判断是否执行防御动作,所述检测阈值至少通过所述发包数量获得,所述防御阈值至少包括出口流量、传输时间和发送源访问地址占比中的一种;所述策略生成模块被配置为:确认所述预设时间之内所述发包数量的最大值,以及所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值;将所述发包数量的最大值作为所述检测阈值,并且将所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值中的至少一种作为所述防御阈值。
结合第四方面,在本申请的一些实施例中,所述报文获取模块被配置为:确认所述端口号满足预设的限制条件。
第五方面,本申请提供了一种电子设备,包括:处理器、存储器和总线;所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机程序,所述计算机程序由所述处理器执行时可实现如第一方面和第二方面任意实施例所述的方法。
第六方面,本申请提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时可实现第一方面和第二方面任意实施例所述的方法。
附图说明
图1为本申请实施例示出的一种报文检测的场景示意图;
图2为本申请实施例示出的一种获得防护策略集合的方法流程图之一;
图3为本申请实施例示出的一种获得防护策略集合的方法流程图之二;
图4为本申请实施例示出的一种获得防护策略集合的方法流程图之三;
图5为本申请实施例示出的一种获得防护策略集合的方法流程图之四;
图6为本申请实施例示出的一种获得防护策略集合的装置组成示意图;
图7为本申请实施例示出的一种电子设备组成示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对附图中提供的本申请的实施例的详情描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护范围。
本申请实施例可以应用于生成防御策略集合并且根据该防御策略集合对待检测报文进行检测的场景,为了改善背景技术中的问题,在本申请的一些实施例中,通过对各类待处理报文的访问行为数据进行学习,获得与各类待处理报文分别对应的防护策略,得到防护策略集合。例如,在本申请的一些实施例中,首先,通过统计方式获取各类待处理报文,然后统计各类待处理报文分别对应的访问行为数据,最后,基于访问行为数据生成与各类待处理报文对应的防护策略。
下面结合附图详细描述本申请实施例中的方法步骤。
图1提供了本申请一些实施例中的报文检测的场景图,该场景包括发送源110、网络安全设备120和接收设备130。具体的,发送源110向网络安全设备120发送待检测报文,在网络安全设备120获得待检测报文之后,对待检测报文进行分类,并且依据类别查找对应的防护策略,从而使用该防护策略对待检测报文进行检测,获得检测结果。在网络安全设备120确认检测结果为该待检测报文安全,则将该待检测报文发送到接收设备130中。
与本申请实施例不同的是相关技术中,对当前流量的数据访问行为进行学习与统计,获得相对较为客观的阈值。但是,不同的待检测报文使用同一标准进行检测,导致报文检测的准确率不能够得到有效的提升。
需要说明的是,发送源110是发送待检测设备的外网设备,网络安全设备120可以是防火墙,接收设备130为接收待检测设备的内网设备。
下面以网络安全设备为例示例性的阐述本申请一些实施例提供的一种获得防护策略集合的描述方案。可以理解的是,本申请实施例的获得防护策略集合的技术方案可以应用于任何网络安全设备上,例如,防火墙产品上。
需要说明的是,本申请主要应用于抗分布式拒绝服务攻击(Distributed denialof service attack,DDOS)检测及对各类待检测报文进行清洗。本申请中为各类待检测报文独立配置防护策略,并且针对各类待检测报文的检测优先于默认待检测报文的检测。可以理解的是,默认待检测报文是不属于任何类的默认待检测报文。
本申请旨在根据网络流量来自动构建各类业务的防护策略,区别于一般默认防护策略,此时针对业务流量学习该业务类型下的配置信息,针对一般流量学习该默认待检测报文的配置信息,这两种配置信息是相互独立的,并且在针对当前报文匹配防护策略时将优先匹配各类业务对应的防护策略。当成功匹配,则使用基于粒度更细的防护策略集合来进行统一检测,若未成功匹配,则基于默认防护策略进行检测,因此在一定程度上能够提升现有检测系统的性能与准确性。
现有技术中,学习到了针对该默认待处理报文的防护策略后,后续所有的目的IP都将使用该防护策略进行防御分布式拒绝服务攻击。即发往被保护服务(即接收设备)的某些主要业务流量与普通数据流量都共用同一个配置模板信息进行检测,这样无法针对业务流量与普通数据流量设置检测的优先级,并且无法对业务流量进行特别配置调整,这样在一定场景下并不通用,并且按照统一配置防护策略在一定程度上会影响性能。
至少为了解决上述问题,如图2所示,本申请一些实施例提供了一种获得防护策略集合的方法,该方法包括:
S210,通过统计方式获取各类待处理报文。
需要说明的是,不同类的待处理报文是通过IP地址和端口号区分的。不同类的待处理报文可以是根据传输协议、请求来源不同等进行分类。可以理解的是,待处理报文的分类类别可以根据实际情况进行设定,本申请对待处理报文的分类类别不进行限定。
作为本申请一具体实施例,使用端口号区分传输协议,并且根据传输协议对待处理报文进行分类。例如,当收到http报文,对该http报文进行解析之后,检测到传输层TCP的目的端口为80,则会判断该报文的对应的业务为http,则将该报文分到协议为http这一类中。
作为本申请另一具体实施例,使用端口号或者IP地址区分待处理报文的业务类型,并且根据业务类型对待处理报文进行分类。例如,当接收到待处理报文中的目的IP地址为192.163.2.1,那么确认所述待处理报文的业务类型为某应用程序的请求数据,则将该待处理报文分到某应用程序这一类中。
在本申请的一种实施方式中,在S210之前还包括:确认端口号满足预设的限制条件。
也就是说,在对待处理报文进行分类之前需要通过端口号检测该端口号对应的待处理报文是否进行统计和学习。
具体的,如图3所示,判断端口号是否满足预设的限制条件的具体步骤包括:首先,S301开始之后,执行S302判断是否目的端口号小于1024,若是,则执行S306学习,若否,则执行S303目的端口号是否对应自定义业务。可以理解的是,自定义业务为管理人员根据实际情况设置的对应的端口号,例如,某应用程序的请求数据的目的端口号均为1.1.1.1。
在执行完成S303之后,若是,则执行S306学习,若否则执行S304判断是否源端口号小于1024或者大于49151,若是则执行S307,若否则执行S305目的端口号是否对应自定义业务,若是,则执行S307,若否则执行S306,最后执行S308结束判断。
需要说明的是,S306学习表示可以进行后续的统计和学习防护策略的操作。S307不学习表示不进行后续的统计和学习防护策略的操作。
S220,获取与各类待处理报文分别对应的防护策略,得到防护策略集合。
也就是说,本申请根据统计模块对网络流量的数量的统计,以及检测模块对数据包的静态特征与动态交互行为的分析,统一得到针对当前网络环境一段周期时间内较匹配的防护策略。
为了避免一定情况下的网络抖动,通常会学习多个周期时间段,在每次的学习周期时间段内,会针对每次得到的防护策略进行一定的修正,最终在整个学习周期结束后,会得到一个适合当前网络环境的防护策略,并且认为当前的防护策略就是属于正常情况,将当前得到的防护策略中部分数据下发到检测模块作为检测阈值,将配置信息中部分数据下发到防御模块作为防御阈值。
需要说明的是,防护策略包括检测阈值和防御阈值,其中,检测阈值用于判断是否触发预警,防御阈值用于判断是否执行防御动作,检测阈值至少通过发包数量获得,防御阈值至少包括出口流量、传输时间和发送源访问地址占比中的一种。
也就是说,在学习的过程中,基于待处理报文中的目的IP地址与目的端口进行学习,经过一定的学习周期后,自动创建各类待处理报文,后续会基于该各类待处理报文来学习具体的检测阈值与防御阈值。
在本申请的一种实施方式中,各类待处理报文包括第i类待处理报文,其中,第i类待处理报文为各类待处理报文中的任意一类。S220包括:
S2201,统计第i类待处理报文所对应的访问行为数据。
也就是说,本申请在对待处理报文进行分类获得各类待处理报文之后,通过各类待处理报文分别对应的访问行为数据,学习和统计与各类待处理报文分别对应的防护策略。
需要说明的是,访问行为数据表示待处理报文在访问网络安全设备时的访问行为。访问行为数据包括预设时间内第i类待处理报文的发包数量、预设时间内第i类待处理报文中的任意一条待处理报文的传输时间、预设时间内不同地址的访问占比等。可以理解的是,访问行为数据可以根据业务的实际情况进行设定,本申请对访问行为数据的类型不进行限制。预设时间是一次循环学习的时间,例如:5分钟。
作为本申请一具体实施方式中,首先,确认预设时间之内发包数量的最大值,以及预设时间内第i类待处理报文中的任意一条待处理报文的传输时间的最大值。
具体的,本申请将各类访问行为数据中对应的最大值,作为防护策略中的阈值,在学习的过程中,每5分钟一个周期进行学习,在一个周期结束之后,对最大值进行更新,并且在每个学习周期之后更新并下发防御策略。
然后,将发包数量的最大值作为检测阈值,并且将传输时间的最大值、出口流量的最大值和发送源访问地址占比的最大值中的至少一种作为防御阈值。
也就是说,检测阈值可以是发包数量的最大值,防御阈值可以是传输时间的最大值、可以是出口流量的最大值,也可以是发送源访问地址占比的最大值,还可以是出口流量的最大值和发送源访问地址占比的最大值。在计算完成每一类待处理报文对应的检测阈值和防御阈值之后,得到防护策略集合,并且将各类待处理报文对应的检测阈值下发到检测模块,将各类待处理报文对应的防御阈值下发到防御模块。
需要说明的是,检测阈值与防御阈值的具体内容一般是不一样的,例如,通常检测统计的是针对某一个目的IP的报文数量,防御阈值通常针对某一个源IP的报文数量或者针对某一个目的IP的报文数量。
需要说明的是,传输时间的最大值为第i类待处理报文中的任意一条待处理报文的传输时间的最大值。出口流量的最大值为通过网络安全设备的报文数量的最大值。发送源访问地址占比为在单位时间内发送源发送的任意一个URL的数量占总URL数量的比值。
S2202,基于访问行为数据,生成与第i类待处理报文对应的防护策略。
也就是说,在通过S2201获得检测阈值和防御阈值之后,生成与各类待处理报文对应的防护策略。
如图4所示,在本申请的一种实施方式中,使用学习系统410和检测与防御系统420进行防护策略的学习和使用防护策略对流量进行清洗。具体的,首先执行S401对清洗前的流量进行学习数据采集,之后通过S402业务学习配置和S403检测与防护策略配置对清洗前的流量进行学习,并且在每个周期之后,执行S406学习数据加工,即对检测阈值与防御阈值进行更新,之后指向S404报文类型和策略配置,即将待检测报文进行分类,并且将检测阈值和防御阈值进行策略配置,部署到检测与防御系统420中。最后,执行S405使用检测阈值和防御阈值对清洗前流量进行报文检测,输出清洗后流量,即确认访问行为数据低于检测阈值和防御阈值的流量为安全流量,并将其输出。
作为本申请一具体实施例,当开启学习系统410时,首先会针对学习系统410进行一些配置,比如学习时长、学习内容,本申请不仅支持学习默认防护策略,也支持学习与各类待处理报文对应的各类防护策略,从而区别于针对目的IP为维度的默认防护策略,创建针对目的IP和端口为维度的各类防护策略,使得具有这种目的IP和端口形式的流量包从默认防护的处理流程中独立出来,统一按照各类防护策略的处理流程进行,针对学习功能具体实现流程如下:
如图5所示,从流量入口501开始首先执行S502学习配置,之后执行S503统计,基于统计结果和学习配置执行S505统一转换为学习结果,即将统计的最大值转换为检测阈值和防御阈值,并且执行S506生成配置和S507入库。
具体的,首先,针对当前学习进行一些配置,例如,学习时长、学习内容。学习时长learn_duration=learn_cycle*learn_times,其中,learn_cycle为每次的学习周期,learn_times为总共的学习次数,通常默认情况下每次的学习周期learn_cycle为5分钟。学习内容通常包括各类待处理报文的传输时间最大值、发包数量最大值等,当配置了各类待处理报文的学习任务,则后续会基于各类待处理报文对应的各类防护策略进行学习。
然后,当待处理报文经过网络安全设备,统计模块会以每秒为单位统计预设时间内不同协议的待处理报文的个数以及待处理报文的大小;当前待处理报文目的端口若命中公认端口、自定义业务端口、注册端口,通常会在学习第二和第三个周期能够进行待处理报文的分类,获得各类待处理报文,此时一个学习周期结束后会创建各类待处理报文,与此同时会自动开启当前各类待处理报文的策略学习,后续会在每个学习周期中,根据统计模块得到符合当前各类待处理报文的统计值中最大值进行下发策略配置,并且在学习时长结束前,后续学习过程中会持续对当前各类待处理报文学习的策略配置进行更新,一直持续到整个学习时长结束,此时基于各类待处理报文的策略配置不会再进行改变。
接着,在整个学习周期后,后续待检测报文经过网络安全设备时,此时会优先根据检测报文的目的IP与目的端口进行匹配是否属于各类中的其中一类,这样可以在从默认待检测报文中独立出来各类待检测报文,从查找匹配效率来看,一定程度上能提高快速检测待检测报文的效率,当从待检测报文类型中查找到对应的类型,后续该报文的所有流程就会统一基于该类型进行处理。
最后,在待检测报文后续的处理流程中,会根据当前学习到的检测阈值与防御阈值与统计模块的统计值进行比较,统计值大于检测阈值则触发异常告警,并触发防御流程开启,当统计值大于防御阈值,则进行相应的防御动作,比如丢包或者加入黑名单处理等。
作为本申请另一具体实施例,以待处理报文为http报文为例:
当收到http报文后,检测到传输层TCP的目的端口为80,则会判断该报文的对应的业务或类型为http。
在第一个周期5分钟内会进行每秒统计当前针对http报文的数量,每一秒都会重新统计一次,一个周期结束就会得到统计的最小值、平均值、最大值。
当进行第二个周期同理会进行统计,此时第二个周期统计完毕会进行更新统计值,并且此时会针对该http业务来创建业务防护对象。
在创建了该http业务防护对象后,后续每个周期都会基于该业务防护对象进行学习,其中此时学习的内容主要包括行为,具体针对http业务包括:发包的速度与大小、慢速攻击、CC攻击(Challenge Collapsar Attack)等行为。
例如,慢速攻击针对的检测也是通用的http flood的包数量,例如:最大传输时间、异常会话阈值等,其中,最大传输时间为发送完http报文需要的时间,通常时间应该短,但是异常情况就是每次发送一部分,导致时间很长就会认为慢速攻击,最大传输时间达到了一定阈值认为当前为异常连接,如果存在多个,则为多个异常会话。CC攻击的主要学习一段时间内不同URI的访问占比,即一个比率。
在经过学习周期结束后,会将具体学习到的内容全部下发到基于业务防护对象的模板配置信息中,后续就会基于当前学习的配置学习来进行检测与防御。
因此,本申请提出一种基于IP地址和端口的维度自动创建业务防护对象,通过将业务防护从默认防护对象独立出来进行检测与防御流程的处理,可以明显提升整个系统使用便利性,增强检测系统的准确性与高效性。
上文描述了本申请提供的一种获得防护策略集合的方法,下文将描述本申请的一种报文检测的方法。
在本申请的一种实施方式中,获得待检测报文,并且根据防护策略集合对待检测报文进行检测,获得与待检测报文分别对应的检测结果。
具体的,待检测报文为第j类待检测报文,防护策略集合中包括与第j类待检测报文对应的第j检测阈值和第j防御阈值,在检测的过程中,首先,确认第j类待检测报文对应的发包数量大于第j检测阈值,则触发异常告警。然后,确认第j类待检测报文对应的传输时间大于第j防御阈值,则执行防御动作。
也就是说,在获得待检测报文之后,根据待检测报文的目的端口号和目的IP地址将该待检测报文对应的上述各类的其中一类中,之后使用对应的检测阈值和防御阈值对该待检测报文进行检测,若发包数量大于检测阈值则触发异常告警,并且传输时间大于对应的防御阈值则执行防御动作。
另外,若发包数量小于或等于检测阈值,并且传输时间小于或等于对应的防御阈值,则确认该待检测报文为安全流量,可以发送到接收设备中。
上文描述了本申请的一种报文检测的方法,下文将描述本申请的一种获得防护策略集合的装置。
如图6所示,本申请的一些实施例提供一种获得防护策略集合的装置600,该装置包括:报文获取模块610和策略生成模块620。
报文获取模块610,被配置为通过统计方式获取各类待处理报文,其中,不同类的待处理报文是通过IP地址和端口号区分的。
策略生成模块620,被配置为获取与所述各类待处理报文分别对应的防护策略,得到防护策略集合。
在本申请的一些实施例中,所述各类待处理报文包括第i类待处理报文,其中,所述第i类待处理报文为所述各类待处理报文中的任意一类;所述策略生成模块620被配置为:统计所述第i类待处理报文所对应的访问行为数据,其中,所述访问行为数据至少包括预设时间内所述第i类待处理报文的发包数量和传输时间;基于所述访问行为数据,生成与所述第i类待处理报文对应的防护策略。
在本申请的一些实施例中,所述防护策略包括检测阈值和防御阈值,其中,所述检测阈值用于判断是否触发预警,所述防御阈值用于判断是否执行防御动作,所述检测阈值至少通过所述发包数量获得,所述防御阈值至少包括出口流量、传输时间和发送源访问地址占比中的一种;所述策略生成模块620被配置为:确认所述预设时间之内所述发包数量的最大值,以及所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值;将所述发包数量的最大值作为所述检测阈值,并且将所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值中的至少一种作为所述防御阈值。
在本申请的一些实施例中,所述报文获取模块610被配置为:确认所述端口号满足预设的限制条件。
在本申请实施例中,图6所示模块能够实现图1至图5方法实施例中的各个过程。图6中的各个模块的操作和/或功能,分别为了实现图1至图5中的方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
如图7所示,本申请实施例提供一种电子设备700,包括:处理器710、存储器720和总线730,所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如上述所有实施例中任一项所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
其中,总线用于实现这些组件直接的连接通信。其中,本申请实施例中处理器可以是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,可以执行上述实施例中所述的方法。
可以理解,图7所示的结构仅为示意,还可包括比图7中所示更多或者更少的组件,或者具有与图7所示不同的配置。图7中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被服务器执行时实现上述所有实施方式中任一所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。

Claims (9)

1.一种获得防护策略集合的方法,其特征在于,所述方法包括:
通过统计方式获取各类待处理报文,其中,不同类的待处理报文是通过IP地址和端口号区分的;
获取与所述各类待处理报文分别对应的防护策略,得到防护策略集合;
其中,所述防护策略是通过多个周期时间段学习得到的,在每次的学习周期时间段内,针对每次得到的防护策略进行修正,最终在整个学习周期结束后,得到与当前网络环境相匹配的防护策略,其中,所述防护策略包括检测阈值和防御阈值,其中,所述检测阈值用于判断是否触发预警,所述防御阈值用于判断是否执行防御动作,所述检测阈值至少通过发包数量获得,所述防御阈值至少包括出口流量、传输时间和发送源访问地址占比中的一种;
其中,所述防护策略是通过如下步骤获得的:
确认预设时间之内所述发包数量的最大值,以及所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值;
将所述发包数量的最大值作为所述检测阈值,并且将所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值中的至少一种作为所述防御阈值;
其中,在学习所述防护策略的过程中,在第一个周期内进行每秒统计当前针对所述各类待处理报文的数量,所述第一个周期结束后得到统计值,包括最小值、平均值以及最大值;在第二个周期继续进行统计,统计完成后更新所述统计值,并且针对所述各类待处理报文创建业务防护对象;后续每个周期基于所述业务防护对象进行学习。
2.根据权利要求1所述的方法,其特征在于,所述各类待处理报文包括第i类待处理报文,其中,所述第i类待处理报文为所述各类待处理报文中的任意一类;
所述获取与所述各类待处理报文分别对应的防护策略,得到防护策略集合,包括:
统计所述第i类待处理报文所对应的访问行为数据,其中,所述访问行为数据至少包括预设时间内所述第i类待处理报文的发包数量和传输时间;
基于所述访问行为数据,生成与所述第i类待处理报文对应的防护策略。
3.根据权利要求1-2任一项所述的方法,其特征在于,在所述通过统计方式获取各类待处理报文之前,所述方法还包括:
确认所述端口号满足预设的限制条件。
4.一种报文检测的方法,其特征在于,所述方法包括:
获得待检测报文;
根据防护策略集合对所述待检测报文进行检测,获得与所述待检测报文分别对应的检测结果;
其中,所述防护策略是通过多个周期时间段学习得到的,在每次的学习周期时间段内,针对每次得到的防护策略进行修正,最终在整个学习周期结束后,得到与当前网络环境相匹配的防护策略,其中,所述防护策略包括检测阈值和防御阈值,其中,所述检测阈值用于判断是否触发预警,所述防御阈值用于判断是否执行防御动作,所述检测阈值至少通过发包数量获得,所述防御阈值至少包括出口流量、传输时间和发送源访问地址占比中的一种;
其中,所述防护策略是通过如下步骤获得的:
确认预设时间之内所述发包数量的最大值,以及所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值;
将所述发包数量的最大值作为所述检测阈值,并且将所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值中的至少一种作为所述防御阈值;
其中,在学习所述防护策略的过程中,在第一个周期内进行每秒统计当前针对各类待处理报文的数量,所述第一个周期结束后得到统计值,包括最小值、平均值以及最大值;在第二个周期继续进行统计,统计完成后更新所述统计值,并且针对所述各类待处理报文创建业务防护对象;后续每个周期基于所述业务防护对象进行学习。
5.根据权利要求4所述的方法,其特征在于,所述待检测报文为第j类待检测报文,所述防护策略集合中包括与所述第j类待检测报文对应的第j检测阈值和第j防御阈值;
所述根据防护策略集合对所述待检测报文进行检测,获得与所述待检测报文分别对应的检测结果,包括:
确认所述第j类待检测报文对应的发包数量大于所述第j检测阈值,则触发异常告警;并且,
确认所述第j类待检测报文对应的传输时间大于所述第j防御阈值,则执行防御动作。
6.一种报文检测的系统,其特征在于,所述系统包括:
网络安全设备,被配置为:
采用如权利要求4-5任一项所述的方法获得待检测报文的检测结果;
若确认所述检测结果为正常,则发送所述待检测报文;
接收设备,被配置为接收所述待检测报文。
7.一种获得防护策略集合的装置,其特征在于,所述装置包括:
报文获取模块,被配置为通过统计方式获取各类待处理报文,其中,不同类的待处理报文是通过IP地址和端口号区分的;
策略生成模块,被配置为获取与所述各类待处理报文分别对应的防护策略,得到防护策略集合;
其中,所述防护策略是通过多个周期时间段学习得到的,在每次的学习周期时间段内,针对每次得到的防护策略进行修正,最终在整个学习周期结束后,得到与当前网络环境相匹配的防护策略,其中,所述防护策略包括检测阈值和防御阈值,其中,所述检测阈值用于判断是否触发预警,所述防御阈值用于判断是否执行防御动作,所述检测阈值至少通过发包数量获得,所述防御阈值至少包括出口流量、传输时间和发送源访问地址占比中的一种;
其中,所述防护策略是通过如下步骤获得的:
确认预设时间之内所述发包数量的最大值,以及所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值;
将所述发包数量的最大值作为所述检测阈值,并且将所述传输时间的最大值、所述出口流量的最大值和所述发送源访问地址占比的最大值中的至少一种作为所述防御阈值;
其中,在学习所述防护策略的过程中,在第一个周期内进行每秒统计当前针对所述各类待处理报文的数量,所述第一个周期结束后得到统计值,包括最小值、平均值以及最大值;在第二个周期继续进行统计,统计完成后更新所述统计值,并且针对所述各类待处理报文创建业务防护对象;后续每个周期基于所述业务防护对象进行学习。
8.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机程序,所述计算机程序由所述处理器执行时可实现如权利要求1-5任一项所述方法。
9.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时可实现如权利要求1-5任一项所述方法。
CN202211033964.7A 2022-08-26 2022-08-26 获得防护策略集合、报文检测的方法、装置、系统及介质 Active CN115396314B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211033964.7A CN115396314B (zh) 2022-08-26 2022-08-26 获得防护策略集合、报文检测的方法、装置、系统及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211033964.7A CN115396314B (zh) 2022-08-26 2022-08-26 获得防护策略集合、报文检测的方法、装置、系统及介质

Publications (2)

Publication Number Publication Date
CN115396314A CN115396314A (zh) 2022-11-25
CN115396314B true CN115396314B (zh) 2024-04-26

Family

ID=84122241

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211033964.7A Active CN115396314B (zh) 2022-08-26 2022-08-26 获得防护策略集合、报文检测的方法、装置、系统及介质

Country Status (1)

Country Link
CN (1) CN115396314B (zh)

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009067915A1 (fr) * 2007-11-19 2009-06-04 Chengdu Huawei Symantec Technologies, Co., Ltd. Procede d'identification d'un type de service correspondant a un message et dispositif associe
CN101505218A (zh) * 2009-03-18 2009-08-12 杭州华三通信技术有限公司 攻击报文的检测方法和装置
KR20150033624A (ko) * 2015-02-12 2015-04-01 문종섭 IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법
CN107528749A (zh) * 2017-08-28 2017-12-29 杭州安恒信息技术有限公司 基于云防护日志的网站可用性检测方法、装置及系统
CN109302380A (zh) * 2018-08-15 2019-02-01 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及系统
CN109587167A (zh) * 2018-12-28 2019-04-05 杭州迪普科技股份有限公司 一种报文处理的方法和装置
CN111224960A (zh) * 2019-12-27 2020-06-02 北京天融信网络安全技术有限公司 信息处理方法、装置、电子设备及存储介质
CN111526121A (zh) * 2020-03-24 2020-08-11 杭州迪普科技股份有限公司 入侵防御方法、装置、电子设备及计算机可读介质
WO2021023053A1 (zh) * 2019-08-05 2021-02-11 阿里巴巴集团控股有限公司 数据处理方法、设备及存储介质
CN113315744A (zh) * 2020-07-21 2021-08-27 阿里巴巴集团控股有限公司 可编程交换机、流量统计方法、防御方法和报文处理方法
CN113992421A (zh) * 2021-11-03 2022-01-28 北京天融信网络安全技术有限公司 一种报文处理方法、装置及电子设备
CN114095258A (zh) * 2021-11-23 2022-02-25 北京天融信网络安全技术有限公司 攻击防御方法、装置、电子设备及存储介质
CN114095224A (zh) * 2021-11-12 2022-02-25 湖北天融信网络安全技术有限公司 报文检测方法、装置、电子设备和存储介质
CN114401113A (zh) * 2021-12-16 2022-04-26 中国人民解放军战略支援部队信息工程大学 基于安全本体建模的网络安防策略ai自主防御方法及系统
CN114760216A (zh) * 2022-04-12 2022-07-15 国家计算机网络与信息安全管理中心 一种扫描探测事件确定方法、装置及电子设备

Patent Citations (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009067915A1 (fr) * 2007-11-19 2009-06-04 Chengdu Huawei Symantec Technologies, Co., Ltd. Procede d'identification d'un type de service correspondant a un message et dispositif associe
CN101505218A (zh) * 2009-03-18 2009-08-12 杭州华三通信技术有限公司 攻击报文的检测方法和装置
KR20150033624A (ko) * 2015-02-12 2015-04-01 문종섭 IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법
CN107528749A (zh) * 2017-08-28 2017-12-29 杭州安恒信息技术有限公司 基于云防护日志的网站可用性检测方法、装置及系统
CN109302380A (zh) * 2018-08-15 2019-02-01 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及系统
CN109587167A (zh) * 2018-12-28 2019-04-05 杭州迪普科技股份有限公司 一种报文处理的方法和装置
WO2021023053A1 (zh) * 2019-08-05 2021-02-11 阿里巴巴集团控股有限公司 数据处理方法、设备及存储介质
CN111224960A (zh) * 2019-12-27 2020-06-02 北京天融信网络安全技术有限公司 信息处理方法、装置、电子设备及存储介质
CN111526121A (zh) * 2020-03-24 2020-08-11 杭州迪普科技股份有限公司 入侵防御方法、装置、电子设备及计算机可读介质
CN113315744A (zh) * 2020-07-21 2021-08-27 阿里巴巴集团控股有限公司 可编程交换机、流量统计方法、防御方法和报文处理方法
WO2022017249A1 (zh) * 2020-07-21 2022-01-27 阿里巴巴集团控股有限公司 可编程交换机、流量统计方法、防御方法和报文处理方法
CN113992421A (zh) * 2021-11-03 2022-01-28 北京天融信网络安全技术有限公司 一种报文处理方法、装置及电子设备
CN114095224A (zh) * 2021-11-12 2022-02-25 湖北天融信网络安全技术有限公司 报文检测方法、装置、电子设备和存储介质
CN114095258A (zh) * 2021-11-23 2022-02-25 北京天融信网络安全技术有限公司 攻击防御方法、装置、电子设备及存储介质
CN114401113A (zh) * 2021-12-16 2022-04-26 中国人民解放军战略支援部队信息工程大学 基于安全本体建模的网络安防策略ai自主防御方法及系统
CN114760216A (zh) * 2022-04-12 2022-07-15 国家计算机网络与信息安全管理中心 一种扫描探测事件确定方法、装置及电子设备

Also Published As

Publication number Publication date
CN115396314A (zh) 2022-11-25

Similar Documents

Publication Publication Date Title
US11797671B2 (en) Cyberanalysis workflow acceleration
CN109951500B (zh) 网络攻击检测方法及装置
CN109831461B (zh) 一种分布式拒绝服务DDoS攻击防御方法及装置
EP2136526A1 (en) Method, device for identifying service flows and method, system for protecting against a denial of service attack
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
CN106537872B (zh) 用于检测计算机网络中的攻击的方法
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
CN109657463B (zh) 一种报文洪泛攻击的防御方法及装置
CN107395632B (zh) SYN Flood防护方法、装置、清洗设备及介质
CN106534068B (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
CN113285918B (zh) 针对网络攻击的acl过滤表项建立方法及装置
CN1820452A (zh) 检测并防止网络上的蠕虫流量
CN110213204B (zh) 攻击防护方法及装置、设备及可读存储介质
CN112769833A (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
RU2679219C1 (ru) СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК
CN107454065B (zh) 一种UDP Flood攻击的防护方法及装置
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
CN112910839B (zh) 一种dns攻击的防御方法和装置
CN115396314B (zh) 获得防护策略集合、报文检测的方法、装置、系统及介质
CN109889470B (zh) 一种基于路由器防御DDoS攻击的方法和系统
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
CN108521413A (zh) 一种未来信息战争的网络抵抗和防御方法及系统
CN113992421A (zh) 一种报文处理方法、装置及电子设备
RU2704741C2 (ru) СПОСОБ ЗАЩИТЫ ОТ DDoS-АТАК НА ОСНОВЕ КЛАССИФИКАЦИИ ТРАФИКА
Zamil et al. A behavior based algorithm to detect spam bots

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant