CN115883170A - 网络流量数据监测分析方法、装置及电子设备及存储介质 - Google Patents
网络流量数据监测分析方法、装置及电子设备及存储介质 Download PDFInfo
- Publication number
- CN115883170A CN115883170A CN202211496141.8A CN202211496141A CN115883170A CN 115883170 A CN115883170 A CN 115883170A CN 202211496141 A CN202211496141 A CN 202211496141A CN 115883170 A CN115883170 A CN 115883170A
- Authority
- CN
- China
- Prior art keywords
- network traffic
- target terminal
- determining
- traffic data
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络流量数据监测分析方法、装置、电子设备及存储介质,涉及信息安全技术领域,所述方法包括:获取目标终端的网络流量日志;基于所述网络流量日志确定是否存在异常网络流量数据;若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击;若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象。通过本发明的方案,能够对目标终端的网络流量日志进行监测分析,以此确定目标终端可能存在的安全威胁,以此能够及时针对安全威胁做出防御措施,避免造成用户的隐私数据的泄露,以及目标终端的服务器瘫痪等重大网络安全问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种网络流量数据监测分析方法、装置及电子设备及存储介质。
背景技术
近年来,随着科技技术的快速发展,越来越多的用户使用网络。网络流量是反映网络承载的基本形态,随着网络的普及和网络使用量的与日俱增,网络流量也呈现指数式的上升。网络流量在一定程度上能够反映了网络的安全性,许多网络攻击都是使得网络流量产生异常,例如分布式拒绝服务攻击就是利用大量的正常访问请求来攻击服务器,从而非法获取他人的隐私数据,严重的甚至导致服务器的瘫痪。目前如何对网络流量进行监测和分析以发现异常流量情况并采取相应措施是有待解决的问题。
发明内容
本发明实施例提供一种网络流量数据监测分析方法、装置、电子设备及存储介质,可以对目标终端的网络流量日志进行监控分析,以确定网络流量日志中的异常网络流量数据,并根据异常网络流量数据确定目标终端被攻击以及发起攻击的对象。
为达到上述目的,本发明采用如下技术方案:
第一方面,提供一种网络流量数据监测分析方法,所述方法包括:获取目标终端的网络流量日志;基于所述网络流量日志确定是否存在异常网络流量数据;若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击;若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象。
根据第一方面所述的方法可知,本发明通过获取目标终端的网络流量日志,然后对网络流量日志进行分析来确定网络流量日志中的异常网络流量日志,进而能够根据异常网络流量日志进行行为分析,以此来确定目标终端是否被攻击,当确定目标终端被攻击的情况下,根据异常网络流量数据来确定对目标终端发起攻击的对象。本发明能够对目标终端的网络流量日志进行监测分析,以此确定目标终端可能存在的安全威胁,以此能够及时针对安全威胁做出防御措施,避免造成用户的隐私数据的泄露,以及目标终端的服务器瘫痪等重大网络安全问题。
结合第一方面,在一种可能的设计方案中,所述基于所述网络流量日志确定是否存在异常网络流量数据包括:在第一预设时长内,在所述网络流量日志中确定所述目标终端的不同端口的流量大小;若存在任一端口的流量大于流量阈值,则确定对应端口的网络流量数据中所述端口的被访问次数;若所述被访问次数大于第一次数阈值,则确定所述网络流量日志中存在异常网络流量数据。
根据该可能的设计方案可知,可根据目标终端的网络流量日志进行分析来确定异常网络流量数据,并且在目标终端中任一端口存在流量大小大于流量阈值的网络流量数据,则进一步根据该端口的访问次数来确定该端口在第一预设时长内的网络流量数据是否为异常网络流量数据,提高了异常网络流量数据的确定的准确性。
结合第一方面,在一种可能的设计方案中,所述基于所述网络流量日志确定是否存在异常网络流量数据还包括:在所述网络流量日志中确定存在标志的警告网络流量数据,所述警告网络流量数据为所述目标终端被访问时进行警告产生的网络数据流量;基于所述警告网络流量数据确定在第二预设时长内的警告次数;若所述警告次数大于第二次数阈值,则确定所述网络流量日志中存在异常网络流量数据。
根据可能的设计方案可知,能够根据网络流量日志中根据警告网络流量数据来确定是否存在异常网络流量数据,为确定是否存在异常网络流量数据提供另一种方法,提高了异常网络流量数据的确定的准确性。
结合第一方面,在一种可能的设计方案中,所述若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击包括:若存在所述异常网络数据流量,则在第二预设时长内根据所述异常网络数据确定所述目标终端的访问失败次数;若所述访问失败次数大于第三次数阈值,则确定所述目标终端被攻击。
根据可能的设计方案可知,在本实施例中对异常网络流量数据进行分析,以此确定目标终端是否被攻击,避免由于不是攻击行为导致的异常网络流量数据也被确认为攻击行为,提高攻击行为确定的准确性。
结合第一方面,在一种可能的设计方案中,所述若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象包括:若所述目标终端被攻击,确定所述目标终端中被攻击的目标端口;确定所述目标端口的异常网络流量数据,并基于所述异常网路流量数据中的访问协议和访问IP确定所述发起攻击的对象。
根据可能的设计方案可知,本实施例通过被攻击的目标终端的目标端口对应的异常网络流量数据来确定发起攻击的对象,以此提高效率。
结合第一方面,在一种可能的设计方案中,所述基于所述异常网络流量数据确定发起攻击的对象之后,所述方法还包括:基于所述异常网络数据流量,确定所述目标终端中被攻击的所有目标端口;对所述所有目标端口进行封堵,以阻断所述目标端口进行数据交互。
根据可能的设计方案可知,通过对目标终端中所有被攻击的目标端口进行风度,以此实现在目标终端处对目标终端进行隔离,避免目标终端再次被攻击。
结合第一方面,在一种可能的设计方案中,所述基于所述异常网络流量数据确定发起攻击的对象之后,所述方法还包括:将所述发起攻击的对象的访问IP加入黑名单,阻断所述发起攻击的对象再次对所述目标终端发起攻击;或启动所述目标终端中的登录验证函数,对所述发起攻击的对象的访问行为进行验证。
根据可能的设计方案可知,本实施例可以通过将发起攻击的对象加入黑名单或启动登录验证函数,以此对发起攻击的对象进行隔离,进而保证了目标终端的安全。
第二方面,提供一种网络流量数据监测分析装置,所述装置包括:网络流量日志获取模块,用于获取目标终端的网络流量日志;异常确定模块,用于基于所述网络流量日志确定是否存在异常网络流量数据;攻击确定模块,用于若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击;对象确定模块,用于若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象。
此外,第二方面所述的网络流量数据监测分析装置的技术效果可以参考第一方面所述的网络流量数据监测分析方法的技术效果,此处不再赘述。
第三方面,本发明实施例提供了一种电子设备。该电子设备包括:处理器和存储器;该存储器用于存储计算机程序,当该处理器执行该计算机程序时,以使该电子设备执行第一方面中的任意一种实现方式所述的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,包括:计算机程序或指令;当该计算机程序或指令在计算机上运行时,使得该计算机执行第一方面中的任意一种可能的实现方式所述的方法。
附图说明
图1为本发明实施例提供的应用场景的示意图;
图2为本发明实施例提供的网络流量数据监测分析方法的方法流程图;
图3为本发明实施例提供的网络流量数据监测分析装置的结构示意图;
图4为本发明实施例提供的可读存储介质的结构示意图。
具体实施方式
下面结合附图,对本发明中的技术方案进行描述。
在本发明实施例中,“示例地”、“例如”等词用于表示作例子、例证或说明。本发明中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用示例的一词旨在以具体方式呈现概念。此外,在本发明实施例中,“和/或”所表达的含义可以是两者都有,或者可以是两者任选其一。
本发明实施例中,“图像”,“图片”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。“的(of)”,“相应的(correponding,relevant)”和“对应的(correponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。
在现有技术中,对于网络流量的监测分析通常通过简单网络管理协议(impleNetwork Management Protocol,NMP)或远端网络监控(Remote Network Monitoring,RMON)来获取数据包或字节进行统计,以获得网络流量进行监测分析。但是现有技术中对网络流量的只能获取整体的网络流量,利用整体的网络流量在一定程度上反映网络的安全程度,但是这种整体的网络流量只能够反映网络的总体流量状态,当发现异常时无法协助用户或管理员分析网络攻击目标并采取更有针对性的措施。
因此,为了克服上述缺陷,本发明实施例提供了一种网络流量数据监测分析方法、装置、电子设备以及可读存储介质,所述方法包括:获取目标终端的网络流量日志;基于所述网络流量日志确定是否存在异常网络流量数据;若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击;若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象。通过本发明的方案,能够对目标终端的网络流量日志进行监测分析,以此确定目标终端可能存在的安全威胁,以此能够及时针对安全威胁做出防御措施,避免造成用户的隐私数据的泄露,以及目标终端的服务器瘫痪等重大网络安全问题。
图1是根据本申请一实施例示出的应用场景的示意图,如图1所示,该应用场景包括目标终端110和服务器120。
对于一些实施方式,服务器120可以用于执行网络流量数据监测分析方法。具体的,可服务器120获取目标终端110的网络流量日志,通过对目标终端110的网络流量日志进行监测分析来确定目标终端110是否被攻击,并在目标终端110被攻击时,下发隔离策略,以此避免目标终端110再次被攻击。其中,发起攻击的额对象可以为目标终端110所处的拓扑网络中的另一个终端,也可以为服务器,还可以为用户的电子设备,例如智能手机、笔记本电脑、智能平板等设备。
请参阅图2,图2为本发明实施例提供的网络流量数据监测分析方法的方法流程图,该方法可以由具备处理能力的电子设备执行,该电子设备例如服务器、云服务器等,在此不进行具体限定。具体的,该方法包括步骤110至步骤140。
步骤110,获取目标终端的网络流量日志。
目标终端泛指需要进行监控或检测的终端,可选的,目标终端可以是在某一区域内由多台计算机互联成的计算机组中的某一台主机或服务器;可选的,目标终端也可以是被监控的电子设备,例如手机、笔记本电脑、智能联网终端设备等,在此不进行具体限定。
目标终端本身具有网络流量日志记录功能,可选的,当有远程终端或设备创建连接,尝试访问目标终端时,目标终端会记录数据交互所产生的网络数据流量。
可选的,网络流量日志中可包括对目标终端进行访问、数据交互、目标终端对外访问的协议、目标终端的端口IP、进行访问或数据交互或攻击的对象的目标IP等。
步骤120,基于所述网络流量日志确定是否存在异常网络流量数据。
可选的,异常网络流量数据可以是在短时间内不停对目标终端的某一端口进行访问,并且出现多次访问失败对应的网络流量数据。
可选的,可通过调用数据库中对目标终端曾经发起过攻击对应的网络流量日志进行匹配来确定当前目标终端的网络流量日志中是否存在同样的攻击或相似的攻击。可选的,可通过确定目标终端的网络流量日志中各端口的网络流量数据的哈希值和数据库中的历史攻击的对应的异常网络流量数据的哈希值进行比对以此确定异常网络流量数据。可选的,若目标终端的网络流量日志中各端口的网络流量数据的哈希值与数据库中的历史攻击的对应的异常网络流量数据的哈希值之间的差值大于或等于差值阈值,可确定目标终端的网络流量日志中存在异常网络流量数据。
在一些实施例中,步骤120包括:在第一预设时长内,在所述网络流量日志中确定所述目标终端的不同端口的流量大小;若存在任一端口的流量大于流量阈值,则确定对应端口的网络流量数据中所述端口的被访问次数;若所述被访问次数大于第一次数阈值,则确定所述网络流量日志中存在异常网络流量数据。
可选的,若在一定时长内,目标终端中任意端口的网络流量数据的流量大小过于大时,该端口可能存在异常访问行为,对应的其网络流量数据为异常网络流量数据。
可选的,若在一定时长内,目标终端的任一端口被访问多次,可确定该端口可能存在异常访问行为,对应的其网络流量数据为异常网络流量数据。
可选的,可在各端口的网络流量数据中确定各端口每次被访问的时间间隔,若各端口每次被访问的时间间隔小于时间间隔阈值,可确定该网络流量数据为异常网络流量数据。
在本实施例中和,可根据目标终端的网络流量日志进行分析来确定异常网络流量数据,并且在目标终端中任一端口存在流量大小大于流量阈值的网络流量数据,则进一步根据该端口的访问次数来确定该端口在第一预设时长内的网络流量数据是否为异常网络流量数据,提高了异常网络流量数据的确定的准确性。
在另一些实施例中,步骤120还包括:在所述网络流量日志中确定存在标志的警告网络流量数据,所述警告网络流量数据为所述目标终端被访问时进行警告产生的网络数据流量;基于所述警告网络流量数据确定在第二预设时长内的警告次数;若所述警告次数大于第二次数阈值,则确定所述网络流量日志中存在异常网络流量数据。
可选的,当端口被异常访问时,会生成警告提示,对应的会产生警告网络流量数据。
可选的,若在目标终端的网络流量日志中存在警告网络流量数据时,目标终端可根据警告网络流量数据生成警告信息,以提示用户目标终端当前可能存在。告警信息可包括目标终端的信息、目标端口的信息、对目标端口发起攻击的时间以及次数、对目标端口或目标终端发起攻击的结果。
可选的,该告警信息可以是显示在目标终端的显示界面上的信息,目标终端的对该告警信息进行显示可以是通过弹窗显示,也可以是以短信的方式进行显示,具体的显示方式可根据实际需要来设定,在此不进行具体限定。
在本实施例中,能够根据网络流量日志中根据警告网络流量数据来确定是否存在异常网络流量数据,为确定是否存在异常网络流量数据提供另一种方法,提高了异常网络流量数据的确定的准确性。
步骤130,若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击。
可选的,目标终端被攻击可以是目标终端被暴力破解,其中,暴力破解简称暴破,通过利用大量的猜测和穷举的方式来尝试获取用户口令的攻击方式。可选的,目标终端被攻击还可以是目标终端被远程登录,该远程登录是指目标终端未授权该远程登录,但其他终端强行对目标终端进行远程登录。
可选的,步骤130包括:若存在所述异常网络数据流量,则在第二预设时长内根据所述异常网络数据确定所述目标终端的访问失败次数;若所述访问失败次数大于第三次数阈值,则确定所述目标终端被攻击。
可选的,目标终端的网络流量日志中可以包括其他终端与目标终端创建连接后,目标终端对应记录的其他终端对目标终端的任一端口进行访问的时间以及其他终端访问目标终端的任一端口的访问结果,其中,访问结果包括访问成功与访问失败的结果。
可选的,可根据获取的目标网络流量日志中中的访问时间作为起始时间,根据第二预设时长确定网络流量日志中任一端口的访问失败的次数,可选的,还可根据网络流量日志中任意端口的访问失败的标识个数来确定访问失败的次数。
可选的,可通过异常网络流量数据中,确定对任一端口的异常访问次数来确定目标终端是否被攻击,例如,在30分钟内,一端口被访问的次数达到600次,可确定目标终端被攻击。在另一些实施例中,可通过异常网络流量数据的传输来确定目标终端是否被攻击,例如,若目标终端的网络流量日志中突然出现大量流量输入至目标终端中的隐私数据存储处的端口,可确定目标终端被攻击。
在一些实施例中,目标终端的网络流量日志中可包括对目标终端进行访问的终端的标识信息,不同终端对应有唯一的标识信息,可通过该标识信息来确定发起攻击的对象。可选的,该标识信息可以是IP地址。
在本实施例中,通过对异常网络流量数据进行分析,以此确定目标终端是否被攻击,避免由于不是攻击行为导致的异常网络流量数据也被确认为攻击行为,提高攻击行为确定的准确性。
步骤140,若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象。
在一些实施例中,步骤140包括:若所述目标终端被攻击,确定所述目标终端中被攻击的目标端口;确定所述目标端口的异常网络流量数据,并基于所述异常网路流量数据中的访问协议和访问IP确定所述发起攻击的对象。
可选的,当在异常网络流量数据中确定了访问协议和访问IP后,可根据该访问IP确定对目标终端发起攻击的对象的地址,基于该地址可确定发起攻击的对象。其中,发起攻击的对象可以是其他终端,也可以是目标终端中的某一进程。进程是一个具有一定独立功能的程序关于某个数据集合的一次运行活动,在本实施例中,进程是指在对目标终端发起攻击的进程。
可选的,对目标终端发起攻击的对象发起攻击时,需要与目标终端建立通信连接,进而通过该通信连接与目标终端进行数据传输,在建立通信连接时,需要确定目标终端的端口,通过该端口以及通信协议建立连接,与端口连接时,需要发起攻击的对象的IP地址,进而可根据目标端口的异常网络流量数据的访问IP确定发起攻击的对象。
可选的,可预先构建黑名单,黑名单中记录有确信为恶意的IP地址。或者,也可预先构建白名单,白名单中记录有确信属于非恶意的IP地址。可将异常网络流量数据中的访问IP与黑名单进行匹配,如果黑名单中具有与该访问IP相匹配的地址信息,则确定发起攻击的对象。或者,可将该第一地址信息与白名单进行匹配,如果白名单中不具有与该访问IP相匹配的地址信息,则将该访问IP加入黑名单中,避免再次对目标终端发起攻击。
在本实施例中,通过被攻击的目标终端的目标端口对应的异常网络流量数据来确定发起攻击的对象,以此提高效率。
可选的,在一些实施例中,步骤140之后,该方法还包括:基于所述异常网络数据流量,确定所述目标终端中所有被攻击的目标端口;对所述目标端口进行封堵,以阻断所述目标端口进行数据交互。
可选的,在本实施例中,通过在目标终端处进行隔离,以此避免目标终端与外界进行数据交互,以此避免其他终端或进程对目标终端的端口发起攻击,但不影响其他端口大的数据交互的正常进行,避免目标终端无法与其他终端进行数据交互导致的无法进行正常工作。
在本实施例中,通过对目标终端中所有被攻击的目标端口进行风度,以此实现在目标终端处对目标终端进行隔离,避免目标终端再次被攻击。
可选的,在另一些实施例中,步骤140之后,该方法还包括:将所述发起攻击的对象的访问IP加入黑名单,阻断所述发起攻击的对象再次对所述目标终端发起攻击;或启动所述目标终端中的登录验证函数,对所述发起攻击的对象的访问行为进行验证。
可选的,在本实施例中,通过在源头处进行隔离,及对发起攻击的对象进行阻断,或者是通过开启验证的方法,以此避免目标终端再次被该对象攻击。
其中,登录验证函数可以是可验证随机函数,可验证随机函数是一种加密函数,基于数据输入生成伪随机数并附上一份证明,任何人都可以对其进行验证。可验证随机函数的数据输入通常包含一对公钥和私钥(也称为“verification key”和“secret key”)以及一个seed。公钥和私钥是生成的,而seed则是选择的。将这些数值一起输入VRF,用私钥和seed来生成随机数。然后,VRF会生成一个随机数以及一份证明。最关键的一步是生成证明,因为用户可以通过证明来验证函数。而将私钥保密则可以确保随机数无法被预测。
可选的,用户可预先根据登录验证函数设置验证问题以及各验证的答案,当启动验证登录函数后,根据预先设置的验证问题进行验证,并根据输入的答案与预先存储的各验证问题对应的答案进行匹配,以此来确定是否同意该对象登录目标终端。
在本实施例中,通过将发起攻击的对象加入黑名单或启动登录验证函数,以此对发起攻击的对象进行隔离,进而保证了目标终端的安全。
在本发明的方案中,通过获取目标终端的网络流量日志,然后对网络流量日志进行分析来确定网络流量日志中的异常网络流量日志,进而能够根据异常网络流量日志进行行为分析,以此来确定目标终端是否被攻击,当确定目标终端被攻击的情况下,根据异常网络流量数据来确定对目标终端发起攻击的对象。本发明能够对目标终端的网络流量日志进行监测分析,以此确定目标终端可能存在的安全威胁,以此能够及时针对安全威胁做出防御措施,避免造成用户的隐私数据的泄露,以及目标终端的服务器瘫痪等重大网络安全问题。
示例性地,图3为本发明实施例提供的网络流量数据监测分析装置的结构示意图。如图3所示,网络流量数据监测分析装置300包括:网络流量日志获取模块310、异常确定模块320、攻击确定模块330以及对象确定模块340。
具体的,网络流量日志获取模块310,用于获取目标终端的网络流量日志;
异常确定模块320,用于基于所述网络流量日志确定是否存在异常网络流量数据;
攻击确定模块330,用于若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击;
对象确定模块340,用于若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象。
可选的,所述异常确定模块320包括:流量大小确定单元,用于在第一预设时长内,在所述网络流量日志中确定所述目标终端的不同端口的流量大小;被访问次数确定单元,用于若存在任一端口的流量大于流量阈值,则确定对应端口的网络流量数据中所述端口的被访问次数;异常网络流量数据第一确定单元,用于若所述被访问次数大于第一次数阈值,则确定所述网络流量日志中存在异常网络流量数据。
可选的,所述异常确定模块320还包括:警告网络流量数据确定单元,用于在所述网络流量日志中确定存在标志的警告网络流量数据,所述警告网络流量数据为所述目标终端被访问时进行警告产生的网络数据流量;警告次数确定单元,用于基于所述警告网络流量数据确定在第二预设时长内的警告次数;异常网络流量数据第二确定单元,用于若所述警告次数大于第二次数阈值,则确定所述网络流量日志中存在异常网络流量数据。
可选的,所述攻击确定模块330包括:访问失败次数确定单元,用于若存在所述异常网络数据流量,则在第二预设时长内根据所述异常网络数据确定所述目标终端的访问失败次数;攻击确定单元,用于若所述访问失败次数大于第三次数阈值,则确定所述目标终端被攻击。
可选的,所述对象确定模块340包括:目标端口确定单元,用于若所述目标终端被攻击,确定所述目标终端中被攻击的目标端口;对象确定单元,用于确定所述目标端口的异常网络流量数据,并基于所述异常网路流量数据中的访问协议和访问IP确定所述发起攻击的对象。
可选的,所述网络流量数据监测分析装置300还包括:目标端口确定模块,用于基于所述异常网络数据流量,确定所述目标终端中所有被攻击的目标端口;第一处理模块,用于对所述目标端口进行封堵,以阻断所述目标端口进行数据交互。
可选的,所述网络流量数据监测分析装置300还包括:第二处理模块,用于将所述发起攻击的对象的访问IP加入黑名单,阻断所述发起攻击的对象再次对所述目标终端发起攻击;第三处理模块,用于启动所述目标终端中的登录验证函数,对所述发起攻击的对象的访问行为进行验证。
为了便于说明,图3仅示出了该网络流量数据监测分析装置300的主要部件。
此外,网络流量数据监测分析装置300的技术效果可以参考前述任一基于图像的目标对象检测方法的技术效果,此处不再赘述。
可选地,本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质包括计算机程序或指令,当所述计算机程序或指令在计算机上运行时,使得本发明任一实施例所提供的网络流量数据监测分析方法或训练方法被执行。
可选地,本发明实施例还提供一种电子设备,用于执行本发明任一实施例所提供的网络流量数据监测分析方法、装置,或者用于执行本发明任一实施例所提供的训练方法、装置。
如图4所示,电子设备2000可以包括处理器2001。
可选地,电子设备2000还可以包括存储器2002和/或收发器2003。
其中,处理器2001与存储器2002和收发器2003耦合,如可以通过通信总线连接。
下面结合图4对电子设备2000的各个构成部件进行具体的介绍:
其中,处理器2001是电子设备2000的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器2001是一个或多个中央处理器(central proceing unit,CPU),也可以是特定集成电路(application pecific integrated circuit,AIC),或者是被配置成实施本发明实施例的一个或多个集成电路,例如:一个或多个微处理器(digitalignal proceor,DP),或,一个或者多个现场可编程门阵列(field programmable gatearray,FPGA)。
可选地,处理器2001可以通过运行或执行存储在存储器2002内的软件程序,以及调用存储在存储器2002内的数据,执行电子设备2000的各种功能。
在具体的实现中,作为一种实施例,处理器2001可以包括一个或多个CPU,例如图4中所示出的CPU0和CPU1。
在具体实现中,作为一种实施例,电子设备2000也可以包括多个处理器,例如图4中所示的处理器2001和处理器2004。这些处理器中的每一个可以是一个单核处理器(ingle-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
其中,所述存储器2002用于存储执行本发明方案的软件程序,并由处理器2001来控制执行,具体实现方式可以参考上述方法实施例,此处不再赘述。
可选地,存储器2002可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random acce memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically eraable programmable read-only memory,EEPROM)、只读光盘(compactdic read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器2002可以和处理器2001集成在一起,也可以独立存在,并通过电子设备2000的接口电路(图4中未示出)与处理器2001耦合,本发明实施例对此不作具体限定。
收发器2003,用于与其他电子设备之间的通信。例如,电子设备2000为智能手机,收发器2003可以用于与网络设备通信,或者与另一个终端设备通信。又例如,电子设备2000为网络设备,收发器2003可以用于与终端设备通信,或者与另一个网络设备通信。
可选地,收发器2003可以包括接收器和发送器(图4中未单独示出)。其中,接收器用于实现接收功能,发送器用于实现发送功能。
可选地,收发器2003可以和处理器2001集成在一起,也可以独立存在,并通过电子设备2000的接口电路(图4中未示出)与处理器2001耦合,本发明实施例对此不作具体限定。
需要说明的是,图4中示出的电子设备2000的结构并不构成对该电子设备的限定,实际的电子设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
应理解,在本发明实施例中的处理器可以是中央处理单元(central proceingunit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital ignalproceor,DP)、专用集成电路(application pecific integrated circuit,AIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述实施例,可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种网络流量数据监测分析方法,其特征在于,所述方法包括:
获取目标终端的网络流量日志;
基于所述网络流量日志确定是否存在异常网络流量数据;
若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击;
若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象。
2.根据权利要求1所述的方法,其特征在于,所述基于所述网络流量日志确定是否存在异常网络流量数据包括:
在第一预设时长内,在所述网络流量日志中确定所述目标终端的不同端口的流量大小;
若存在任一端口的流量大于流量阈值,则确定对应端口的网络流量数据中所述端口的被访问次数;
若所述被访问次数大于第一次数阈值,则确定所述网络流量日志中存在异常网络流量数据。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述网络流量日志中确定存在标志的警告网络流量数据,所述警告网络流量数据为所述目标终端被访问时进行警告产生的网络数据流量;
基于所述警告网络流量数据确定在第二预设时长内的警告次数;
若所述警告次数大于第二次数阈值,则确定所述网络流量日志中存在异常网络流量数据。
4.根据权利要求1所述的方法,其特征在于,所述若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击包括:
若存在所述异常网络数据流量,则在第二预设时长内根据所述异常网络数据确定所述目标终端的访问失败次数;
若所述访问失败次数大于第三次数阈值,则确定所述目标终端被攻击。
5.根据权利要求1所述的方法,其特征在于,所述若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象包括:
若所述目标终端被攻击,确定所述目标终端中被攻击的目标端口;
确定所述目标端口的异常网络流量数据,并基于所述异常网路流量数据中的访问协议和访问IP确定所述发起攻击的对象。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述基于所述异常网络流量数据确定发起攻击的对象之后,所述方法还包括:
基于所述异常网络数据流量,确定所述目标终端中所有被攻击的目标端口;
对所述目标端口进行封堵,以阻断所述目标端口进行数据交互。
7.根据权利要求6所述方法,其特征在于,所述方法还包括:
将所述发起攻击的对象的访问IP加入黑名单,阻断所述发起攻击的对象再次对所述目标终端发起攻击;或
启动所述目标终端中的登录验证函数,对所述发起攻击的对象的访问行为进行验证。
8.一种网络流量数据监测分析装置,其特征在于,所述装置包括:
网络流量日志获取模块,用于获取目标终端的网络流量日志;
异常确定模块,用于基于所述网络流量日志确定是否存在异常网络流量数据;
攻击确定模块,用于若存在所述异常网络流量数据,则根据所述异常网络流量数据进行行为分析,确定所述目标终端是否被攻击;
对象确定模块,用于若所述目标终端被攻击,则基于所述异常网络流量数据确定发起攻击的对象。
9.一种电子设备,其特征在于,包括:处理器,所述处理器分别与存储器耦合;
所述处理器,用于执行所述存储器中存储的计算机程序,以使得所述电子设备执行如权利要求1-7中任一项所述的网络流量数据监测分析方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机程序或指令,当所述计算机程序或指令在计算机上运行时,使得如权利要求1-7中任一项所述的网络流量数据监测分析方法被执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211496141.8A CN115883170A (zh) | 2022-11-25 | 2022-11-25 | 网络流量数据监测分析方法、装置及电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211496141.8A CN115883170A (zh) | 2022-11-25 | 2022-11-25 | 网络流量数据监测分析方法、装置及电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115883170A true CN115883170A (zh) | 2023-03-31 |
Family
ID=85764156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211496141.8A Pending CN115883170A (zh) | 2022-11-25 | 2022-11-25 | 网络流量数据监测分析方法、装置及电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115883170A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116861419A (zh) * | 2023-09-05 | 2023-10-10 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
| CN118487868A (zh) * | 2024-07-11 | 2024-08-13 | 云御科技(珠海)有限公司 | 流量安全分析方法、装置、平台及存储介质 |
-
2022
- 2022-11-25 CN CN202211496141.8A patent/CN115883170A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116861419A (zh) * | 2023-09-05 | 2023-10-10 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
| CN116861419B (zh) * | 2023-09-05 | 2023-12-08 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
| CN118487868A (zh) * | 2024-07-11 | 2024-08-13 | 云御科技(珠海)有限公司 | 流量安全分析方法、装置、平台及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11025655B1 (en) | Network traffic inspection | |
| US9680849B2 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| CN112926056B (zh) | 基于速度事件检测对于云应用的未授权访问的方法和系统 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US20130305340A1 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
| CN115883170A (zh) | 网络流量数据监测分析方法、装置及电子设备及存储介质 | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| US20100095366A1 (en) | Enabling Network Communication From Role Based Authentication | |
| CN116708210A (zh) | 一种运维处理方法和终端设备 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN114143071B (zh) | 一种暴力破解检测方法、装置、电子设备及存储介质 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| US11356478B2 (en) | Phishing protection using cloning detection | |
| Visoottiviseth et al. | PITI: Protecting Internet of Things via Intrusion Detection System on Raspberry Pi | |
| US20160149933A1 (en) | Collaborative network security | |
| CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
| KR101153115B1 (ko) | 해킹 툴을 탐지하는 방법, 서버 및 단말기 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| KR20100067383A (ko) | 서버 보안 시스템 및 서버 보안 방법 | |
| CN111988333B (zh) | 一种代理软件工作异常检测方法、装置及介质 | |
| CN106790142A (zh) | 一种发现IoT设备遭受入侵的方法及系统 | |
| TWI711937B (zh) | 網路防護系統和網路防護方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |