CN115913683A - 风险访问记录生成方法、装置、设备及存储介质 - Google Patents
风险访问记录生成方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115913683A CN115913683A CN202211382539.9A CN202211382539A CN115913683A CN 115913683 A CN115913683 A CN 115913683A CN 202211382539 A CN202211382539 A CN 202211382539A CN 115913683 A CN115913683 A CN 115913683A
- Authority
- CN
- China
- Prior art keywords
- log information
- internet protocol
- processed
- risk
- protocol address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000012545 processing Methods 0.000 claims abstract description 8
- 238000012423 maintenance Methods 0.000 abstract description 7
- 238000004590 computer program Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 239000000523 sample Substances 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种风险访问记录生成方法、装置、设备及存储介质。属于数据处理技术领域。该方法包括:接收用户通过客户端发送的受保护互联网协议地址;读取预采集的网络流netflow日志,其中所述网络流日志中包括至少一条日志信息,每条日志信息包括对应的源互联网协议地址及目的互联网协议地址;读取预存储的黑名单互联网协议地址;将所有源互联网协议地址为所述受保护互联网协议地址的日志信息确定为目标日志信息;若任一目标日志信息的目的互联网协议地址与所述黑名单互联网协议地址相同,则将所述任一目标日志信息确定为待处理日志信息;根据所述待处理日志信息,生成风险访问记录。本申请的方法,解决了运维人员工作量较大的问题。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及一种风险访问记录生成方法、装置、设备及存储介质。
背景技术
随着互联网技术的不断发展,越来越多的行为可以在互联网实现,与此同时,网络安全也成为了逐渐被关注的内容。
目前,现有技术中,为了防止自身数据资产受损,通常采用部署网络探针的方式发现风险点。
但是,发明人发现现有技术至少存在如下技术问题:部署网络探针所需的运维人员工作量较大。
发明内容
本申请提供一种风险访问记录生成方法、装置、设备及存储介质,用以解决部署网络探针所需的运维人员工作量较大的问题。
第一方面,本申请提供一种风险访问记录生成方法,包括:接收用户通过客户端发送的受保护互联网协议地址;读取预采集的网络流netflow日志,其中网络流日志中包括至少一条日志信息,每条日志信息包括对应的源互联网协议地址及目的互联网协议地址;读取预存储的黑名单互联网协议地址;将所有源互联网协议地址为受保护互联网协议地址的日志信息确定为目标日志信息;若任一目标日志信息的目的互联网协议地址与黑名单互联网协议地址相同,则将任一目标日志信息确定为待处理日志信息;根据待处理日志信息,生成风险访问记录。
在一种可能的实现方式中,日志信息中还包括:时间信息、目的端口、源端口;相应地,根据待处理日志信息,生成风险访问记录,包括:读取各黑名单互联网协议地址对应的风险值;若N条待处理日志信息中源互联网协议地址相同,且源端口不同、目的互联网协议地址对应的黑名单互联网协议地址相同、目的端口相同,则将N条待处理日志信息中目的互联网协议地址对应的风险值确定为第一风险值;根据N条待处理日志信息及第一风险值生成对应的记录信息,其中N为大于预设值的正整数;若在预设时间内,任一待处理日志信息中的源互联网协议地址与其他待处理日志信息中的源互联网协议地址不同,则将任一待处理日志信息中目的互联网协议地址对应的风险值确定为第二风险值;根据任一待处理日志信息及第二风险值生成对应的记录信息;将各记录信息写入风险访问记录。
在一种可能的实现方式中,根据N条待处理日志信息及第一风险值生成对应的记录信息,包括:根据第一风险值、N条待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址、目的端口及N生成对应的记录信息。
在一种可能的实现方式中,时间信息包括开始时间和结束时间;相应地,根据第一风险值、N条待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址、目的端口及N生成对应的记录信息,包括:将N确定为发生次数;采用N条待处理日志信息中,最后的待处理日志信息的结束时间减去最早的待处理日志信息的开始时间,得到持续时间;将N条待处理日志信息中,最早的待处理日志信息的开始时间确定为起始时间;根据持续时间、发生次数及第一风险值,确定风险等级;将N条待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、发生次数、持续时间、起始时间及风险等级共同确定为与N条待处理日志信息对应的一条记录信息。
在一种可能的实现方式中,根据持续时间、发生次数及第一风险值,确定风险等级,包括:根据持续时间的数值大小,确定持续时间所在的目标时间区间;查找预设的时间区间与时间系数的对应关系,得到目标时间区间对应的目标时间系数;根据发生次数的数值大小,确定发生次数所在的目标次数区间;查找预设的次数区间与次数系数的对应关系,得到目标次数区间对应的目标次数系数;将第一风险值、目标时间系数及目标次数系数相乘,得到目标风险值;根据目标风险值的大小,确定目标风险值所在的目标风险区间;查找预设的风险区间与风险等级的对应关系,得到目标风险区间对应的风险等级。
在一种可能的实现方式中,根据任一待处理日志信息及第二风险值生成对应的记录信息,包括:根据第二风险值、任一待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址及目的端口生成对应的记录信息。
在一种可能的实现方式中,时间信息包括开始时间和结束时间;相应地,根据第二风险值、任一待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址及目的端口生成对应的记录信息,包括:将任一待处理日志信息的开始时间确定为起始时间;采用任一待处理日志信息的结束时间减去开始时间,得到持续时间;将一确定为发生次数;根据持续时间、发生次数及第二风险值,确定风险等级;将任一待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、起始时间、持续时间及风险等级共同确定为与任一待处理日志信息对应的一条记录信息。
在一种可能的实现方式中,读取预存储的黑名单互联网协议地址之前,还包括:接收终端发送的黑名单域名及各黑名单域名对应的风险值;采集黑名单域名对应的域名系统DNS日志;解析DNS日志得到对应的黑名单互联网协议地址;并将黑名单互联网协议地址与对应的风险值关联储存。
在一种可能的实现方式中,根据待处理日志信息,生成风险访问记录之后,还包括:将风险访问记录发送至客户端。
第二方面,本申请提供一种风险访问记录生成装置,包括:
地址接收模块,用于接收用户通过客户端发送的受保护互联网协议地址;日志读取模块,用于读取预采集的网络流netflow日志,其中网络流日志中包括至少一条日志信息,每条日志信息包括对应的源互联网协议地址及目的互联网协议地址;地址读取模块,用于读取预存储的黑名单互联网协议地址;第一确定模块,用于将所有源互联网协议地址为受保护互联网协议地址的日志信息确定为目标日志信息;第二确定模块,用于若任一目标日志信息的目的互联网协议地址与黑名单互联网协议地址相同,则将任一目标日志信息确定为待处理日志信息;记录生成模块,用于根据待处理日志信息,生成风险访问记录。
第三方面,本申请提供一种电子设备,包括:处理器,以及与处理器通信连接的存储器;存储器存储计算机执行指令;处理器执行存储器存储的计算机执行指令,以实现如第一方面描述的风险访问记录生成方法。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如第一方面描述的风险访问记录生成方法。
本申请提供的风险访问记录生成方法、装置、设备及存储介质,通过接收用户发送的受保护互联网协议地址,读取预采集的网络流日志,将网络流日志中所有日志信息中源互联网协议地址为受保护互联网协议地址的日志信息确定为目标日志信息,将目标日志信息中所有目的互联网协议地址与黑名单互联网协议地址相同的目标日志信息确定为待处理日志信息,并根据待处理日志信息生成风险访问记录,无需部署网络探针即可得到风险访问记录,得到风险点,减少了运维人员的工作量。本申请实施例还避免了由于网络探针部署不全面导致的风险点遗漏、配置变化导致需要重新部署的问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的风险访问记录生成方法的应用场景示意图;
图2为本申请实施例提供的风险访问记录生成方法的流程示意图;
图3为本申请实施例提供的风险访问记录生成装置的结构示意图;
图4为本申请实施例提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
随着互联网技术的不断发展,越来越多的信息在互联网传输,更多的行为实现能够在互联网中实现。
与此同时,网络安全成为了人们日益关注的内容,为防止自身数字资产受到损失,通常采用部署网络探针的方式发现风险点。但部署网络探针需要的运维人员的工作量较大。
针对上述技术问题,发明人提出如下技术构思:通过获取网络流(netflow)日志,并将网络流日志中源互联网协议地址为受保护互联网协议地址、目的互联网协议地址为黑名单互联网协议地址的日志信息作为待处理日志信息,由待处理日志信息生成风险访问记录。
本申请应用于对风险访问记录生成的场景中。本申请的技术方案中,所涉及的用户个人信息、网络流日志、黑名单互联网协议、域名系统(DNS,Domain Name System)日志的获取,存储和应用等,均符合相关法律法规的规定,且不违背公序良俗
图1为本申请实施例提供的风险访问记录生成方法的应用场景示意图。如图1,该场景中,包括:客户端101、服务器102。
在具体实现过程中,客户端101可以是电脑、笔记本电脑、平板电脑、手机等,服务器102可以利用具有更强大处理能力和更高安全性的一个服务器或多个服务器组成的集群来实现,在可能的情况下,还可以使用计算能力较强的计算机、笔记本电脑等进行替代。
客户端101与服务器102之间的连接方式可以是通信连接的。
客户端101用于向服务器102发送受保护互联网协议(Internet Protocol,互联网协议)地址。服务器102用于读取预采集的网络流日志,并将网络流日志中源互联网协议地址为受保护互联网协议地址的日志信息确定为目标日志信息,将目标日志信息中目的互联网协议地址与黑名单互联网协议地址相同的日志信息确定为待处理日志信息,并由待处理日志信息生成风险访问记录。
可以理解的是,本申请实施例示意的结构并不构成对风险访问记录生成方法的具体限定。在本申请另一些可行的实施方式中,上述架构可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置,具体可根据实际应用场景确定,在此不做限制。图1所示的部件可以以硬件,软件,或软件与硬件的组合实现。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的风险访问记录生成方法的流程示意图。本申请实施例的执行主体可以是图1中的服务器102,也可以是电脑和/或手机等,本实施例对此不作出特别限制。如图2所示,该方法包括:
S201:接收用户通过客户端发送的受保护互联网协议地址。
在本步骤中,受保护互联网协议地址可以是以表格的形式传输的,也可以是每条受保护互联网协议地址单独传输的,还可以是以文件形式传输的。
S202:读取预采集的网络流netflow日志,其中网络流日志中包括至少一条日志信息,每条日志信息包括对应的源互联网协议地址及目的互联网协议地址。
在本步骤中,网络流日志可以是从骨干网采集得到的,也可以是从其他预先设定的网络采集得到的。源互联网协议地址可以是发起访问的互联网协议地址,也可以是发送数据包的互联网协议地址,目的互联网协议地址可以是接受访问的互联网协议地址,也可以是接收数据包的互联网协议地址。
S203:读取预存储的黑名单互联网协议地址。
在本步骤中,黑名单互联网协议地址可以是至少一个互联网协议地址,可以是预先设定的,存储在存储单元中或数据库中的。
S204:将所有源互联网协议地址为受保护互联网协议地址的日志信息确定为目标日志信息。
在本步骤中,可以是将网络流日志中每条日志信息的源互联网协议地址与受保护互联网协议地址对比,将源互联网协议地址与受保护互联网协议地址相同的日志信息确定为目标日志信息。其中,目标日志信息至少有一条。
例如,当前受保护互联网协议地址为10.10.10010.10,A日志信息中的源互联网协议地址为20.20.10010.10,B日志信息中的源互联网协议地址为10.10.10010.10,则将B日志信息确定为目标日志信息。
S205:若任一目标日志信息的目的互联网协议地址与黑名单互联网协议地址相同,则将任一目标日志信息确定为待处理日志信息。
在本步骤中,本步骤与上述步骤S204类似,是在目标日志信息中将目的互联网协议地址与黑名单互联网协议地址比对,将目的互联网协议地址与黑名单互联网协议地址相同的作为待处理日志信息。
S206:根据待处理日志信息,生成风险访问记录。
在本步骤中,可以是将所有待处理日志信息共同作为风险访问记录,具体地,可以是将所有待处理日志信息写入同一个文件,并将这个文件或文件的内容作为风险访问记录。也可以是根据待处理日志信息中的时间信息、目的端口、源端口、源互联网协议地址、目的互联网协议地址,对各待处理日志信息进行区分,将源互联网协议地址相同、源端口不同、目的端口相同、目的互联网协议地址相同的待处理日志信息合并,并将合并后的所有待处理日志信息总体确定为风险访问记录。
从上述实施例的描述可知,本申请实施例通过接收用户发送的受保护互联网协议地址,读取预采集的网络流日志,将网络流日志中所有日志信息中源互联网协议地址为受保护互联网协议地址的日志信息确定为目标日志信息,将目标日志信息中所有目的互联网协议地址与黑名单互联网协议地址相同的目标日志信息确定为待处理日志信息,并根据待处理日志信息生成风险访问记录,无需部署网络探针即可得到风险访问记录,得到风险点,减少了运维人员的工作量。本申请实施例还避免了由于网络探针部署不全面导致的风险点遗漏、配置变化导致需要重新部署的问题。
在一种可能的实现方式中,日志信息中还包括:时间信息、目的端口、源端口。
其中,时间信息可以包括请求或访问的开始时间、结束时间和/或持续时长。目的端口为请求、访问或数据包的接收端口,源端口为请求、访问或数据包的发送端口。
相应地,上述步骤S206中根据待处理日志信息,生成风险访问记录,包括:
S2061:读取各黑名单互联网协议地址对应的风险值。
在本步骤中,黑名单互联网协议地址对应的风险值可以是与黑名单互联网协议地址在同一位置存储的,黑名单互联网协议地址均有对应的风险值。
例如,黑名单互联网协议地址A:10.10.111.111.10,风险值50;黑名单互联网协议地址B:11.10.100.111.10,风险值30;黑名单互联网协议地址C:20.10.222.111.10,风险值80。则黑名单互联网协议地址A对应的风险值为50,黑名单互联网协议地址B对应的风险值为30,黑名单互联网协议地址C对应的风险值为80。
S2062:若N条待处理日志信息中源互联网协议地址相同,且源端口不同、目的互联网协议地址对应的黑名单互联网协议地址相同、目的端口相同,则将N条待处理日志信息中目的互联网协议地址对应的风险值确定为第一风险值;根据N条待处理日志信息及第一风险值生成对应的记录信息,其中N为大于预设值的正整数。
在本步骤中,由于这N条待处理日志信息的目的互联网协议地址相同,所以N条待处理日志信息中目的互联网协议对应的第一风险值是相同的,都是对应的黑名单互联网协议地址的风险值。预设值为预先设定的数值,例如2、3、5等。源端口不同可以是部分源端口不同,也可以是所有源端口不同。
例如,当前有5条待处理日志信息的目的互联网协议地址均为152.1444.357.21,源端口分别为20、22、34、245、265,目的端口均为30,152.1444.357.21对应的风险值为50,则将152.1444.357.21对应的风险值50确定为第一风险值。又例如,当前有3条待处理日志信息的目的互联网协议地址均为122.1111.357.21,源端口分别为20、20、33,目的端口均为40,122.1111.357.21对应的风险值为70,则将122.1111.357.21对应的风险值70确定为第一风险值。
S2063:若在预设时间内,任一待处理日志信息中的源互联网协议地址与其他待处理日志信息中的源互联网协议地址不同,则将任一待处理日志信息中目的互联网协议地址对应的风险值确定为第二风险值;根据任一待处理日志信息及第二风险值生成对应的记录信息。
在本步骤中,预设时间内,可以是从当前时间至当前时间的预设个小时之前的时间段,当前时间可以通过获取时间戳得到,由于待处理日志信息中含有时间信息,可以判断哪些待处理日志信息在预设时间内。其他待处理日志信息为除这一任一待处理日志信息以外的、预设时间内的所有待处理日志信息。目的互联网协议地址对应的风险值,可以是与目的互联网协议地址相同的黑名单互联网协议地址的风险值。
例如,当前时间为9点,预设时间为3小时内,则本步骤筛选的待处理日志信息为6点至9点的待处理日志信息。又例如,当前时间为12点,预设时间为6小时内,则本步骤筛选的待处理日志信息为6点至12点的待处理日志信息。还例如,当前时间为下午1点,预设时间为6小时内,则本步骤筛选的待处理日志信息为7点至13点的待处理日志信息。
其中,本步骤中的“第二”及上述步骤S2062中的“第一”仅用于区分风险值的不同,不表示先后顺序。
S2064:将各记录信息写入风险访问记录。
在本步骤中,风险访问记录可以是以文件的形式存在的,也可以是以表格的形式存在的。若当前没有风险访问记录对应的文件或表格,则创建风险访问记录对应的文件或表格并写入记录信息,若当前有风险访问记录对应的文件或表格,则继续写入记录信息。
从上述实施例的描述可知,本申请实施例通过对N条待处理日志信息中源互联网协议地址相同,且源端口不同、目的互联网协议地址对应的黑名单互联网协议地址相同、目的端口相同的待处理日志信息,以及预设时间内,任一待处理日志信息中的源互联网协议地址与其他待处理日志信息中的源互联网协议地址不同的待处理日志信息,分别生成对应的记录信息,并将各记录信息写入风险访问记录,使对黑名单互联网协议访问多次以及只访问一次的待处理日志信息体现在风险访问记录中,能够较好的反应风险点。
在一种可能的实现方式中,上述步骤S2062中,根据N条待处理日志信息及第一风险值生成对应的记录信息,具体包括:
S2062A:根据第一风险值、N条待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址、目的端口及N生成对应的记录信息。
在本步骤中,可以是将第一风险值、N条待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址、目的端口及N作为一条数据,并将这条数据作为对应的记录信息。也可以是根据第一风险值、N条待处理日志信息中的时间信息及数字N计算总风险值,并将总风险值及N条待处理日志信息中最早一条日志信息的时间信息、源互联网协议地址、目的互联网协议地址、目的端口及数字N作为一条数据,并将这条数据作为对应的记录信息,其中总风险值可以根据数值大小替换为风险等级。
从上述实施例的描述可知,本申请实施例通过由第一风险值、时间信息、源互联网协议地址、目的互联网协议地址、目的端口及N生成上述N条待处理日志信息对应的记录信息,实现减少记录的数据量,增加得到的记录的可读性的效果,使风险点更加直观。
在一种可能的实现方式中,在上述步骤S2062A中,时间信息包括开始时间和结束时间。
其中,开始时间可以是访问开始的时间,或数据包开始发送的时间。结束时间可以是访问结束的时间,也可以是数据包停止发送的时间。
相应地,根据第一风险值、N条待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址、目的端口及N生成对应的记录信息,包括:
S2062A1:将N确定为发生次数。
在本步骤中,例如N为4,则发生次数为4。又例如N为10,则发生次数为10。还例如,发生次数为2,则发生次数为2。
S2062A2:采用N条待处理日志信息中,最后的待处理日志信息的结束时间减去最早的待处理日志信息的开始时间,得到持续时间。
在本步骤中,最后的待处理日志信息,可以是N条待处理日志信息中,开始时间最晚的待处理日志信息。最早的待处理日志信息,可以是N条待处理日志信息中,开始时间最早的待处理日志信息。
例如,待处理日志信息A的开始时间为11点10分10秒,待处理日志信息B的开始时间为11点20分20秒,待处理日志信息C的开始时间为11点50分40秒,待处理日志信息C的结束时间为14点10分10秒,则最后的待处理日志信息为待处理日志信息C,最早的待处理日志信息为待处理日志信息A,持续时间为14点10分10秒减去11点10分10秒,为3小时。其中持续时间可以转换为固定单位,例如转换为小时、分钟、秒中的任一种。
S2062A3:将N条待处理日志信息中,最早的待处理日志信息的开始时间确定为起始时间。
在本步骤中,最早的待处理日志信息如上述步骤S2062A2描述。
例如,将上述步骤S2062A2中待处理日志信息A的开始时间确定为起始时间。
S2062A4:根据持续时间、发生次数及第一风险值,确定风险等级。
在本步骤中,可以是将持续时间、发生次数及第一风险值输入预设公式,得到总风险值,再根据总风险值所在的预设区间,其中预设区间与风险等级对应。
其中,预设公式例如:
z=ax+by+cN+d
式中,a、b、c、d表示常数,x表示持续时间,y表示第一风险值,N表示发生次数,z表示风险等级。
S2062A5:将N条待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、发生次数、持续时间、起始时间及风险等级共同确定为与N条待处理日志信息对应的一条记录信息。
在本步骤中,可以是将这N条待处理日志信息的源互联网协议地址、目的互联网协议地址、目的端口、发生次数、持续时间、起始时间及风险等级作为一条信息,称为这N条待处理日志信息对应的记录信息。记录信息可以是以字符串的格式储存的,也可以是以表格的格式储存的。
从上述实施例的描述可知,本申请实施例通过将N确定为发生次数,N条待处理日志信息中,最后的结束时间减去最早的开始时间,得到持续时间,并将最早的开始时间确定为起始时间,从而由持续时间、发生次数以及第一风险值得到风险等级,将N条待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、发生次数、持续时间、起始时间及风险等级共同确定为与N条待处理日志信息对应的一条记录信息,可以清楚的展示风险访问的源互联网协议地址、目的端口、风险等级、发生次数等信息,便于运维人员查看。
在一种可能的实现方式中,上述步骤S2062A4中,根据持续时间、发生次数及第一风险值,确定风险等级,具体包括:
S2062A41:根据持续时间的数值大小,确定持续时间所在的目标时间区间。
在本步骤中,可以是有多个时间区间,通过对比持续时间与时间区间的端点值的大小关系,可以得到持续时间所属的目标时间区间。
例如,当前有时间区间1秒至5秒、5秒至10秒、10秒至15秒。持续时间为6秒,则属于时间区间5秒至10秒。
S2062A42:查找预设的时间区间与时间系数的对应关系,得到目标时间区间对应的目标时间系数。
在本步骤中,时间区间与时间系数的对应关系可以是预先设定的,可以是以表格或字典等格式存储的。
其中,目标时间系数例如1.0、1.5、2.0等。时间区间与时间系数的对应关系例如:小于5s的时间系数为1.5、大于5s小于1800s的时间系数为1.0、大于1800s的时间系数为1.3。
S2062A43:根据发生次数的数值大小,确定发生次数所在的目标次数区间。
本步骤与上述步骤S2062A41类似,只是将持续时间替换为了发生次数,将目标时间区间替换为了目标次数区间,在这里不在赘述。
S2062A44:查找预设的次数区间与次数系数的对应关系,得到目标次数区间对应的目标次数系数。
本步骤与上述步骤S2062A42类似。其中次数区间与次数系数的对应关系例如:小于5次的次数系数为1.2、大于5次小于1000次的次数系数1.0、大于1000次小于10万次的次数系数1.3,大于10万次的次数系数0.0。次数区间与次数系数之间的对应关系可以是非线性的。
S2062A45:将第一风险值、目标时间系数及目标次数系数相乘,得到目标风险值。
在本步骤中,可以是直接相乘的得到目标风险值,也可以是相乘后再与预设系数相乘或相加得到目标风险值。
S2062A46:根据目标风险值的大小,确定目标风险值所在的目标风险区间。
本步骤与上述步骤S2062A41、S2062A43类似,在这里不再赘述。
S2062A47:查找预设的风险区间与风险等级的对应关系,得到目标风险区间对应的风险等级。
在本步骤中,风险区间与风险等级的对应关系例如:10分以下对应无风险,大于20且小于或等于40对应低危,大于40且小于或等于70对应中危,大于70且小于或等于100对应高危。
对于无风险的待处理日志,可以不进行记录信息的生成步骤,即不进行上述步骤S2062A5。
从上述实施例的描述可知,本申请实施例通过由持续时间找到对应的目标时间区间,由目标时间区间找到对应的目标时间系数,有发生次数找到对应的目标次数区间,再找到目标次数区间对应的目标次数系数,将第一风险值、目标时间系数及目标次数系数相乘,得到目标风险值,再由目标风险值对应的风险区间得到风险等级,实现了得到记录信息中的风险等级,从而使记录信息更简明、可读性更高。同时由于较小的时间区间和较大的时间区间分配较大的时间系数,可以让持续时间较大或较小的情况最终得到的风险值更加突出。次数区间与次数系数之间非线性的对应关系可以突出特定次数区间的风险值。
在一种可能的实现方式中,上述步骤S2063中,根据任一待处理日志信息及第二风险值生成对应的记录信息,具体包括:
S20631:根据第二风险值、任一待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址及目的端口生成对应的记录信息。
本步骤与上述步骤S2062A类似,在这里不在赘述。
在一种可能的实现方式中,上述步骤S20631中的时间信息包括开始时间和结束时间。
相应地,上述步骤S20631中,根据第二风险值、任一待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址及目的端口生成对应的记录信息,具体包括:
S206311:将任一待处理日志信息的开始时间确定为起始时间。
本步骤与上述步骤S2062A3类似,由于在这种情况下是一条待处理日志,所以将这一条待处理日志的开始时间确定为起始时间。
S206312:采用任一待处理日志信息的结束时间减去开始时间,得到持续时间。
本步骤与上述步骤S2062A2类似,变更为同一条待处理日志信息的结束时间减去开始时间,在这里不在赘述。
S206313:将一确定为发生次数。
在本步骤中,由于本条待处理日志的源互联网协议地址与其他待处理日志的源互联网协议地址不同,因此发生次数为1次。
S206314:根据持续时间、发生次数及第二风险值,确定风险等级。
本步骤及其具体实现方式与上述步骤S2062A4类似,在这里不再赘述。
S206315:将任一待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、起始时间、持续时间及风险等级共同确定为与任一待处理日志信息对应的一条记录信息。
本步骤及其具体实现方式与上述步骤S2062A5类似,在这里不再赘述。
从上述实施例的描述可知,本申请实施例通过将上述任一待处理日志信息的开始时间确定为起始时间,并采用结束时间减去开始时间,得到了持续时间,将发生次数设置为一,根据持续时间、发生次数及第二风险值,确定了风险等级,将任一待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、起始时间、持续时间及风险等级共同确定为与任一待处理日志信息对应的一条记录信息,实现了由单独一次访问黑名单互联网协议地址的情况生成记录信息,储存更多风险情况的效果。
在一种可能的实现方式中,在上述步骤S203读取预存储的黑名单互联网协议地址之前,还包括:
S202A:接收终端发送的黑名单域名及各黑名单域名对应的风险值。
在本步骤中,终端可以是终端设备,可以是手机、电脑、笔记本电脑、服务器等中的任一种。黑名单域名可以是上述终端预先采集的,黑名单域名对应的风险值可以是预先标定并储存在终端中的。
S202B:采集黑名单域名对应的域名系统DNS日志。
在本步骤中,采集DNS日志可以是周期性的采集,可以是采集当前时间之前一段时间内的DNS日志。可以是查找DNS日志中黑名单域名对应的DNS日志并储存。
例如,当前时间为9点,采集6小时内的DNS日志,可以是采集3点至9点的DNS日志。
S202C:解析DNS日志得到对应的黑名单互联网协议地址。
在本步骤中,解析DNS日志可以是通过预设脚本或程序进行解析。
S202D:并将黑名单互联网协议地址与对应的风险值关联储存。
在本步骤中,由于黑名单互联网协议地址与黑名单域名是对应的,所以有对应的风险值,可以是将黑名单互联网协议地址与对应的风险值以键值的格式存储、以字典的格式储存或以表格的形式储存。
从上述实施例的描述可知,本申请实施例通过接收终端发送的黑名单域名及各黑名单域名对应的风险值,并采集黑名单域名对应的DNS日志,由DNS日志得到黑名单互联网协议地址,并将黑名单互联网协议地址与对应的风险值关联储存,实现生成黑名单互联网协议地址及对应的风险值,便于后续得到目标日志信息以及生成风险访问记录。
在一种可能的实现方式中,根据待处理日志信息,生成风险访问记录之后,还包括:
将风险访问记录发送至客户端。
在本步骤中,发送可以是通过互联网发送也可以是以其他方式发送,本申请对此不作限制。
从上述实施例的描述可知,本申请实施例通过将风险访问记录发送至客户端,实现使风险访问记录可阅读。
在一种可能的实现方式中,接收到受保护互联网协议地址为123.123.125.10、123.123.125.11、123.123.125.12,得到的网络流日志如表1所示。
表1网络流日志(示意)
123.123.125.10和123.123.125.11符合N条待处理日志信息中源互联网协议地址相同,且源端口不同、目的互联网协议地址对应的黑名单互联网协议地址相同、目的端口相同的情况。其中省略号表示省略多次。123.123.125.12符合源互联网协议地址与其他待处理日志信息中的源互联网协议地址不同。若123.123.125.11访问1.1.1.20的次数为10000次,则得到的记录信息如表2所示。
表2记录信息表(示意)
若目的互联网协议地址1.1.1.10对应的风险值为80,1.1.1.20对应的风险值为50,1.1.1.30对应的风险值为20,时间区间与时间系数的对应关系例如:小于5s的时间系数为1.5、大于5s小于2000s的时间系数为1.0、大于2000s的时间系数为1.3。次数区间与次数系数的对应关系例如:小于5次的次数系数为1.2、大于5次且小于或等于1000次的次数系数1.0、大于1000次且小于或等于10万次的次数系数1.3,大于10万次的次数系数0.0。则123.123.125.10对应的目标风险值为:
80×1.2(目标次数系数)×1.0(目标时间系数)=96
123.123.125.11对应的目标风险值为:
50×1.3(目标次数系数)×1.3(目标时间系数)=84.5
123.123.125.12对应的目标风险值为:
20×1.2(目标次数系数)×1.5(目标时间系数)=36
若风险等级的对应关系例如:10分以下对应无风险,大于20且小于或等于40对应低危,大于40且小于或等于70对应中危,大于70且小于或等于100对应高危,则123.123.125.10、123.123.125.11对应的风险等级为:高危。123.123.125.12对应的风险等级为低危。
风险访问记录例如表3所示。
表3风险访问记录表(示意)
在一种可能的实现方式中,在接收终端发送的黑名单域名时,还接收终端发送的黑名单域名对应的域名类型标记,对应地,在生成风险访问记录时,还会将各源互联网协议地址对应的域名类型标记添加进发呢管先访问记录中。
在一种可能的实现方式中,接收的域名与对应的域名类型标记例如表4所示。
表4域名与域名类型标记(示意)
| 域名 | 域名类型标记 |
| aaa.aaa.pw | AAA |
| bbb.bbb.pw | BBB |
| ccc.ccc.pw | CCC |
解析接收域名得到的黑名单互联网协议地址如表5所示。
表5黑名单互联网协议地址表(示意)
图3为本申请实施例提供的风险访问记录生成装置的结构示意图。如图3所示,风险访问记录生成装置300,包括:地址接收模块301、日志读取模块302、地址读取模块303、第一确定模块304、第二确定模块305及记录生成模块306。
地址接收模块301,用于接收用户通过客户端发送的受保护互联网协议地址。
日志读取模块302,用于读取预采集的网络流netflow日志,其中网络流日志中包括至少一条日志信息,每条日志信息包括对应的源互联网协议地址及目的互联网协议地址。
地址读取模块303,用于读取预存储的黑名单互联网协议地址。
第一确定模块304,用于将所有源互联网协议地址为受保护互联网协议地址的日志信息确定为目标日志信息。
第二确定模块305,用于若任一目标日志信息的目的互联网协议地址与黑名单互联网协议地址相同,则将任一目标日志信息确定为待处理日志信息。
记录生成模块306,用于根据待处理日志信息,生成风险访问记录。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
在一种可能的实现方式中,日志信息中还包括:时间信息、目的端口、源端口。
记录生成模块306,具体用于:读取各黑名单互联网协议地址对应的风险值。若N条待处理日志信息中源互联网协议地址相同,且源端口不同、目的互联网协议地址对应的黑名单互联网协议地址相同、目的端口相同,则将N条待处理日志信息中目的互联网协议地址对应的风险值确定为第一风险值。根据N条待处理日志信息及第一风险值生成对应的记录信息,其中N为大于预设值的正整数。若在预设时间内,任一待处理日志信息中的源互联网协议地址与其他待处理日志信息中的源互联网协议地址不同,则将任一待处理日志信息中目的互联网协议地址对应的风险值确定为第二风险值。根据任一待处理日志信息及第二风险值生成对应的记录信息。将各记录信息写入风险访问记录。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
在一种可能的实现方式中,根据N条待处理日志信息及第一风险值生成对应的记录信息,包括:
根据第一风险值、N条待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址、目的端口及N生成对应的记录信息。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
在一种可能的实现方式中,时间信息包括开始时间和结束时间。
相应地,记录生成模块306,具体用于:将N确定为发生次数。采用N条待处理日志信息中,最后的待处理日志信息的结束时间减去最早的待处理日志信息的开始时间,得到持续时间。将N条待处理日志信息中,最早的待处理日志信息的开始时间确定为起始时间。根据持续时间、发生次数及第一风险值,确定风险等级。将N条待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、发生次数、持续时间、起始时间及风险等级共同确定为与N条待处理日志信息对应的一条记录信息。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
在一种可能的实现方式中,记录生成模块306,具体用于:根据持续时间的数值大小,确定持续时间所在的目标时间区间。查找预设的时间区间与时间系数的对应关系,得到目标时间区间对应的目标时间系数。根据发生次数的数值大小,确定发生次数所在的目标次数区间。查找预设的次数区间与次数系数的对应关系,得到目标次数区间对应的目标次数系数。将第一风险值、目标时间系数及目标次数系数相乘,得到目标风险值。根据目标风险值的大小,确定目标风险值所在的目标风险区间。查找预设的风险区间与风险等级的对应关系,得到目标风险区间对应的风险等级。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
在一种可能的实现方式中,记录生成模块306,具体用于:根据第二风险值、任一待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址及目的端口生成对应的记录信息。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
在一种可能的实现方式中,时间信息包括开始时间和结束时间。
相应地,记录生成模块306,具体用于:将任一待处理日志信息的开始时间确定为起始时间。采用任一待处理日志信息的结束时间减去开始时间,得到持续时间。将一确定为发生次数。根据持续时间、发生次数及第二风险值,确定风险等级。将任一待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、起始时间、持续时间及风险等级共同确定为与任一待处理日志信息对应的一条记录信息。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
在一种可能的实现方式中,风险访问记录生成装置300,还包括:黑名单地址生成模块307。
黑名单地址生成模块307,用于接收终端发送的黑名单域名及各黑名单域名对应的风险值。采集黑名单域名对应的域名系统DNS日志。解析DNS日志得到对应的黑名单互联网协议地址。并将黑名单互联网协议地址与对应的风险值关联储存。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
在一种可能的实现方式中,风险访问记录生成装置300,还包括:记录发送模块308。
记录发送模块308,用于将风险访问记录发送至客户端。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
本申请中所有互联网协议地址均为示意,与真实互联网协议地址无关。
为了实现上述实施例,本申请实施例还提供了一种电子设备。
参考图4,其示出了适于用来实现本申请实施例的电子设备400的结构示意图,该电子设备400可以为终端设备或服务器。其中,终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、个人数字助理(Personal Digital Assistant,简称PDA)、平板电脑(Portable Android Device,简称PAD)、便携式多媒体播放器(Portable MediaPlayer,简称PMP)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图4示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图4所示,电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(Read Only Memory,简称ROM)402中的程序或者从存储装置408加载到随机访问存储器(Random Access Memory,简称RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有电子设备400操作所需的各种程序和数据。处理装置401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
通常,以下装置可以连接至I/O接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(Liquid CrystalDisplay,简称LCD)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从ROM 402被安装。在该计算机程序被处理装置401执行时,执行本申请实施例的方法中限定的上述功能。
需要说明的是,本申请上述的计算机可读存储介质可以是计算机可读信号介质或者计算机存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读存储介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备执行上述实施例所示的方法。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LocalArea Network,简称LAN)或广域网(Wide Area Network,简称WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该模块本身的限定,例如,第一确定模块还可以被描述为“目标日志信息确定模块”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,当处理器执行计算机执行指令时,实现上述任一实施例中的风险访问记录生成方法的技术方案,其实现原理以及有益效果与风险访问记录生成方法的实现原理及有益效果类似,可参见风险访问记录生成方法的实现原理及有益效果,此处不再进行赘述。
在本申请的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
本申请还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,实现上述任一实施例中的风险访问记录生成方法的技术方案,其实现原理以及有益效果与风险访问记录生成方法的实现原理及有益效果类似,可参见风险访问记录生成方法的实现原理及有益效果,此处不再进行赘述。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (12)
1.一种风险访问记录生成方法,其特征在于,包括:
接收用户通过客户端发送的受保护互联网协议地址;
读取预采集的网络流netflow日志,其中所述网络流日志中包括至少一条日志信息,每条日志信息包括对应的源互联网协议地址及目的互联网协议地址;
读取预存储的黑名单互联网协议地址;
将所有源互联网协议地址为所述受保护互联网协议地址的日志信息确定为目标日志信息;
若任一目标日志信息的目的互联网协议地址与所述黑名单互联网协议地址相同,则将所述任一目标日志信息确定为待处理日志信息;
根据所述待处理日志信息,生成风险访问记录。
2.根据权利要求1所述的方法,其特征在于,所述日志信息中还包括:时间信息、目的端口、源端口;
相应地,所述根据所述待处理日志信息,生成风险访问记录,包括:
读取各黑名单互联网协议地址对应的风险值;
若N条待处理日志信息中源互联网协议地址相同,且源端口不同、目的互联网协议地址对应的黑名单互联网协议地址相同、目的端口相同,则将所述N条待处理日志信息中目的互联网协议地址对应的风险值确定为第一风险值;根据所述N条待处理日志信息及所述第一风险值生成对应的记录信息,其中所述N为大于预设值的正整数;
若在预设时间内,任一待处理日志信息中的源互联网协议地址与其他待处理日志信息中的源互联网协议地址不同,则将所述任一待处理日志信息中目的互联网协议地址对应的风险值确定为第二风险值;根据所述任一待处理日志信息及所述第二风险值生成对应的记录信息;
将各记录信息写入风险访问记录。
3.根据权利要求2所述的方法,其特征在于,所述根据所述N条待处理日志信息及所述第一风险值生成对应的记录信息,包括:
根据所述第一风险值、所述N条待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址、目的端口及所述N生成对应的记录信息。
4.根据权利要求3所述的方法,其特征在于,所述时间信息包括开始时间和结束时间;
相应地,所述根据所述第一风险值、所述N条待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址、目的端口及所述N生成对应的记录信息,包括:
将所述N确定为发生次数;
采用所述N条待处理日志信息中,最后的待处理日志信息的结束时间减去最早的待处理日志信息的开始时间,得到持续时间;
将所述N条待处理日志信息中,最早的待处理日志信息的开始时间确定为起始时间;
根据所述持续时间、所述发生次数及所述第一风险值,确定风险等级;
将所述N条待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、所述发生次数、所述持续时间、所述起始时间及所述风险等级共同确定为与所述N条待处理日志信息对应的一条记录信息。
5.根据权利要求4所述的方法,其特征在于,所述根据所述持续时间、所述发生次数及所述第一风险值,确定风险等级,包括:
根据所述持续时间的数值大小,确定所述持续时间所在的目标时间区间;
查找预设的时间区间与时间系数的对应关系,得到所述目标时间区间对应的目标时间系数;
根据所述发生次数的数值大小,确定所述发生次数所在的目标次数区间;
查找预设的次数区间与次数系数的对应关系,得到所述目标次数区间对应的目标次数系数;
将所述第一风险值、所述目标时间系数及所述目标次数系数相乘,得到目标风险值;
根据所述目标风险值的大小,确定所述目标风险值所在的目标风险区间;
查找预设的风险区间与风险等级的对应关系,得到所述目标风险区间对应的风险等级。
6.根据权利要求2所述的方法,其特征在于,所述根据所述任一待处理日志信息及所述第二风险值生成对应的记录信息,包括:
根据所述第二风险值、所述任一待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址及目的端口生成对应的记录信息。
7.根据权利要求6所述的方法,其特征在于,所述时间信息包括开始时间和结束时间;
相应地,所述根据所述第二风险值、所述任一待处理日志信息中的时间信息、源互联网协议地址、目的互联网协议地址及目的端口生成对应的记录信息,包括:
将所述任一待处理日志信息的开始时间确定为起始时间;
采用所述任一待处理日志信息的结束时间减去开始时间,得到持续时间;
将一确定为发生次数;
根据所述持续时间、所述发生次数及所述第二风险值,确定风险等级;
将所述任一待处理日志信息中的源互联网协议地址、目的互联网协议地址、目的端口、所述起始时间、所述持续时间及所述风险等级共同确定为与所述任一待处理日志信息对应的一条记录信息。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述读取预存储的黑名单互联网协议地址之前,还包括:
接收终端发送的黑名单域名及各黑名单域名对应的风险值;
采集所述黑名单域名对应的域名系统DNS日志;
解析所述DNS日志得到对应的所述黑名单互联网协议地址;
并将所述黑名单互联网协议地址与对应的风险值关联储存。
9.根据权利要求1至7任一项所述的方法,其特征在于,所述根据所述待处理日志信息,生成风险访问记录之后,还包括:
将所述风险访问记录发送至所述客户端。
10.一种风险访问记录生成装置,其特征在于,包括:
地址接收模块,用于接收用户通过客户端发送的受保护互联网协议地址;
日志读取模块,用于读取预采集的网络流netflow日志,其中所述网络流日志中包括至少一条日志信息,每条日志信息包括对应的源互联网协议地址及目的互联网协议地址;
地址读取模块,用于读取预存储的黑名单互联网协议地址;
第一确定模块,用于将所有源互联网协议地址为所述受保护互联网协议地址的日志信息确定为目标日志信息;
第二确定模块,用于若任一目标日志信息的目的互联网协议地址与所述黑名单互联网协议地址相同,则将所述任一目标日志信息确定为待处理日志信息;
记录生成模块,用于根据所述待处理日志信息,生成风险访问记录。
11.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至9中任一项所述的风险访问记录生成方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至9中任一项所述的风险访问记录生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211382539.9A CN115913683B (zh) | 2022-11-07 | 2022-11-07 | 风险访问记录生成方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211382539.9A CN115913683B (zh) | 2022-11-07 | 2022-11-07 | 风险访问记录生成方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115913683A true CN115913683A (zh) | 2023-04-04 |
| CN115913683B CN115913683B (zh) | 2024-04-30 |
Family
ID=86473612
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211382539.9A Active CN115913683B (zh) | 2022-11-07 | 2022-11-07 | 风险访问记录生成方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115913683B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140380468A1 (en) * | 2013-06-23 | 2014-12-25 | Gideon Gerzon | Systems and methods for procedure return address verification |
| US20160285909A1 (en) * | 2013-11-01 | 2016-09-29 | Beijing Qihoo Technology Company Limited | Cloud checking and killing method, device and system for combating anti-antivirus test |
| CN109309579A (zh) * | 2018-01-30 | 2019-02-05 | 深圳壹账通智能科技有限公司 | 日志记录处理方法、装置、计算机设备和存储介质 |
| CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
| CN110149350A (zh) * | 2019-06-24 | 2019-08-20 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
| CN110944007A (zh) * | 2019-12-10 | 2020-03-31 | 北京北龙云海网络数据科技有限责任公司 | 一种网络访问管理方法、系统、装置及存储介质 |
| CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
| CN112118249A (zh) * | 2020-09-11 | 2020-12-22 | 江苏云柜网络技术有限公司 | 基于日志和防火墙的安全防护方法及装置 |
| CN112272179A (zh) * | 2020-10-23 | 2021-01-26 | 新华三信息安全技术有限公司 | 一种网络安全处理方法、装置、设备及机器可读存储介质 |
| CN112995152A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 一种风险端口检测方法、装置、设备和介质 |
| CN113064932A (zh) * | 2021-03-18 | 2021-07-02 | 中国石油大学(华东) | 一种基于数据挖掘的网络态势评估方法 |
| CN113301012A (zh) * | 2021-04-13 | 2021-08-24 | 新浪网技术(中国)有限公司 | 一种网络威胁的检测方法、装置、电子设备及存储介质 |
| CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
-
2022
- 2022-11-07 CN CN202211382539.9A patent/CN115913683B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140380468A1 (en) * | 2013-06-23 | 2014-12-25 | Gideon Gerzon | Systems and methods for procedure return address verification |
| US20160285909A1 (en) * | 2013-11-01 | 2016-09-29 | Beijing Qihoo Technology Company Limited | Cloud checking and killing method, device and system for combating anti-antivirus test |
| CN109309579A (zh) * | 2018-01-30 | 2019-02-05 | 深圳壹账通智能科技有限公司 | 日志记录处理方法、装置、计算机设备和存储介质 |
| CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
| CN110149350A (zh) * | 2019-06-24 | 2019-08-20 | 国网安徽省电力有限公司信息通信分公司 | 一种告警日志关联的网络攻击事件分析方法及装置 |
| CN110944007A (zh) * | 2019-12-10 | 2020-03-31 | 北京北龙云海网络数据科技有限责任公司 | 一种网络访问管理方法、系统、装置及存储介质 |
| CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
| CN112118249A (zh) * | 2020-09-11 | 2020-12-22 | 江苏云柜网络技术有限公司 | 基于日志和防火墙的安全防护方法及装置 |
| CN112272179A (zh) * | 2020-10-23 | 2021-01-26 | 新华三信息安全技术有限公司 | 一种网络安全处理方法、装置、设备及机器可读存储介质 |
| CN112995152A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 一种风险端口检测方法、装置、设备和介质 |
| CN113064932A (zh) * | 2021-03-18 | 2021-07-02 | 中国石油大学(华东) | 一种基于数据挖掘的网络态势评估方法 |
| CN113301012A (zh) * | 2021-04-13 | 2021-08-24 | 新浪网技术(中国)有限公司 | 一种网络威胁的检测方法、装置、电子设备及存储介质 |
| CN114598525A (zh) * | 2022-03-09 | 2022-06-07 | 中国医学科学院阜外医院 | 一种针对网络攻击的ip自动封禁的方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| ""tdoc_list_meeting_ct1#125-e"", 3GPP TSG_CT\\WG1_MM-CC-SM_EX-CN1, 13 August 2020 (2020-08-13) * |
| ERICSSON (RAPPORTEUR): "R2-082144 "Various corrections due to editorial problems detected during CR implementation after RAN-39"", 3GPP TSG_RAN\\WG2_RL2, no. 2, 25 April 2008 (2008-04-25) * |
| 贺云龙: "Web应用渗透技术研究及安全防御方案设计分析", 科技创新与应用, 18 October 2022 (2022-10-18) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115913683B (zh) | 2024-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112636957B (zh) | 基于日志的预警方法、装置、服务器及存储介质 | |
| CN111198859B (zh) | 数据处理方法、装置、电子设备及计算机可读存储介质 | |
| CN110515968B (zh) | 用于输出信息的方法和装置 | |
| CN112953791B (zh) | 网络探测方法、装置、电子设备及计算机可读存储介质 | |
| CN112069425A (zh) | 日志管理方法、装置、电子设备及可读存储介质 | |
| CN111708680A (zh) | 报错信息解析方法、装置、电子设备及存储介质 | |
| CN109902726B (zh) | 简历信息处理方法及装置 | |
| CN111597107A (zh) | 信息输出方法、装置和电子设备 | |
| CN112291121B (zh) | 一种数据处理方法及相关设备 | |
| CN115913683B (zh) | 风险访问记录生成方法、装置、设备及存储介质 | |
| CN113839948B (zh) | 一种dns隧道流量检测方法、装置、电子设备和存储介质 | |
| CN115022201B (zh) | 一种数据处理功能测试方法、装置、设备及存储介质 | |
| RU2731122C1 (ru) | Способ, система и устройство для отображения текста | |
| CN114338846B (zh) | 一种报文测试的方法及装置 | |
| CN114547040A (zh) | 数据处理方法、装置、设备及介质 | |
| CN111198853A (zh) | 数据处理方法、装置、电子设备及计算机可读存储介质 | |
| CN112866005B (zh) | 一种用户访问日志的处理方法、装置、设备及存储介质 | |
| CN115941432A (zh) | 域名报警信息发送方法、装置、电子设备及计算机可读存储介质 | |
| CN114840634A (zh) | 信息存储方法、装置、电子设备和计算机可读介质 | |
| CN112256700A (zh) | 数据存储方法、装置、电子设备及计算机可读存储介质 | |
| CN112379967A (zh) | 模拟器检测方法、装置、设备及介质 | |
| CN118041804B (zh) | 通信设备联网数据检测方法、装置、电子设备与可读介质 | |
| CN117708068B (zh) | 振动监测保护装置的触发文件格式存储方法及装置 | |
| CN110138991B (zh) | 回音消除方法和装置 | |
| CN115348197B (zh) | 一种网络资产的探测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |