本发明专利技术涉及一种攻击检测方法、装置、电子设备及介质,其方法包括:采集网络中通过防火墙的流量数据,提取流量数据中会话的发起方的IP,发起方ip与攻击IP库匹配则基于攻击者流量处理模型对发起方ip进行攻击检测,发起方ip与攻击IP库不匹配,则将发起方ip与可疑IP库进行匹配,匹配则基于可疑者流量处理模型对发起方ip进行攻击检测,不匹配则将发起方ip与正常IP库进行匹配,匹配则基于正常流量处理模型对发起方ip进行攻击检测,不匹配则基于未知流量处理模型对发起方ip进行攻击检测。本发明专利技术通过分级将流量数据一层层的处理,从而使得威胁检测资源集中在可能存在威胁的流量上,提高了检测效率。效率。效率。
【技术实现步骤摘要】
一种攻击检测方法、装置、电子设备及介质
[0001]本专利技术涉及信息安全
,尤其涉及一种攻击检测方法、装置、电子设备及介质。
技术介绍
[0002]在网络安全领域,需要对网络流量进行实时威胁检测,及时发现网络中的威胁行为,为了更准确的发现网络流量中的威胁,会对所有用户的所有流量进行威胁检测。
[0003]现有技术中,威胁流量占所有网络流量的比例小于万分之一,却对所有用户的所有流量进行相同的威胁检测方法,在大流量的场景下,要保障威胁检测的准确性,需要耗费更多的威胁检测时间或者威胁检测设备。
技术实现思路
[0004]有鉴于此,有必要提供一种攻击检测方法、装置、电子设备及介质,用以解决对所有流量进行相同的威胁检测的方法,导致威胁检测效率低的问题。
[0005]为了解决上述问题,本专利技术提供一种攻击检测方法,包括:
[0006]采集网络中通过防火墙的流量数据;
[0007]提取所述流量数据中会话的发起方的IP;
[0008]获取攻击IP库、可疑IP库和正常IP库;
[0009]在所述发起方ip与所述攻击IP库匹配的情况下,基于攻击者流量处理模型对所述发起方ip进行攻击检测;
[0010]在所述发起方ip与所述攻击IP库不匹配的情况下,判断所述发起方ip与所述可疑IP库是否匹配,匹配则基于可疑者流量处理模型对所述发起方ip进行攻击检测;
[0011]在所述发起方ip与所述攻击IP库不匹配且所述发起方ip与所述可疑IP库不匹配的情况下,判断所述发起方ip与所述正常IP库是否匹配,匹配则基于正常流量处理模型对所述发起方ip进行攻击检测;
[0012]在所述发起方ip与所述攻击IP库、所述可疑IP库和所述正常IP库均不匹配的情况下,基于未知流量处理模型对所述发起方ip进行攻击检测。
[0013]在一些可能的实现方式中,所述基于攻击者流量处理模型对所述发起方ip进行攻击检测,包括:
[0014]所述攻击者流量处理模型将命中可疑规则的流量数据归入所述可疑IP库,所述攻击者流量处理模型将命中攻击规则的流量数据归入所述攻击IP库;
[0015]所述攻击者流量处理模型将没有命中规则的流量数据输入到训练完备的威胁模型中判断所述没有命中规则的流量数据是否存在攻击流量,存在攻击流量,则将所述没有命中规则的流量数据归入所述攻击IP库。
[0016]在一些可能的实现方式中,所述基于可疑者流量处理模型对所述发起方ip进行攻击检测,包括:
[0017]所述可疑者流量处理模型将命中可疑规则的流量数据归入所述可疑IP库,所述可疑者流量处理模型将命中攻击规则的流量数据归入所述攻击IP库;
[0018]所述可疑者流量处理模型将没有命中规则的流量数据输入到训练完备的威胁模型中判断所述没有命中规则的流量数据是否存在攻击流量,存在攻击流量,则将所述没有命中规则的流量数据归入所述攻击IP库。
[0019]在一些可能的实现方式中,所述基于正常流量处理模型对所述发起方ip进行攻击检测,包括:
[0020]所述正常流量处理模型对所述流量数据进行抽样检测获得抽中后的流量数据;
[0021]所述正常流量处理模型将命中可疑规则的所述抽中后的流量数据归入所述可疑IP库,所述正常流量处理模型将命中攻击规则的所述抽中后的流量数据归入所述攻击IP库;
[0022]在一些可能的实现方式中,所述基于未知流量处理模型对所述发起方ip进行攻击检测,包括:
[0023]所述未知流量处理模型将命中可疑规则的所述流量数据归入所述可疑IP库,所述未知流量处理模型将命中攻击规则的流量数据归入所述攻击IP库。
[0024]在一些可能的实现方式中,对所述攻击IP库、所述可疑IP库和所述正常IP库进行老化处理,将老化的IP从所述攻击IP库、所述可疑IP库和所述正常IP库中删除。
[0025]在一些可能的实现方式中,判断所述无威胁IP库中的IP在预设时间内的会话数量是否超过预设数量,若超过则将所述IP的会话数量重置为零,并添加所述IP到所述正常IP库中。
[0026]另一方面,本专利技术还提供了一种攻击检测装置,包括:
[0027]流量数据采集单元,用于采集网络中通过防火墙的流量数据;
[0028]流量数据提取单元,用于提取所述流量数据中会话的发起方的IP;
[0029]IP库获取单元,用于获取攻击IP库、可疑IP库和正常IP库;
[0030]攻击者流量处理模型检测单元,用于在所述发起方ip与所述攻击IP库匹配的情况下,基于攻击者流量处理模型对所述发起方ip进行攻击检测;
[0031]可疑者流量处理模型检测单元,用于在所述发起方ip与所述攻击IP库不匹配的情况下,判断所述发起方ip与所述可疑IP库是否匹配,匹配则基于可疑者流量处理模型对所述发起方ip进行攻击检测;
[0032]正常流量处理模型检测单元,用于在所述发起方ip与所述攻击IP库不匹配且所述发起方ip与所述可疑IP库不匹配的情况下,判断所述发起方ip与所述正常IP库是否匹配,匹配则基于正常流量处理模型对所述发起方ip进行攻击检测;
[0033]未知流量处理模型检测单元,用于在所述发起方ip与所述攻击IP库、所述可疑IP库和所述正常IP库均不匹配的情况下,基于未知流量处理模型对所述发起方ip进行攻击检测。
[0034]另一方面,本专利技术还提供了一种电子设备,包括存储器和处理器,其中,
[0035]所述存储器,用于存储程序;
[0036]所述处理器,与所述存储器耦合,用于执行所述存储器中存储的所述程序,以实现上述任意一种实现方式中所述的一种攻击检测方法中的步骤。
[0037]另一方面,本专利技术还提供了一种计算机可读存储介质,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时能够实现上述任意一种实现方式中所述的一种攻击检测方法中的步骤。
[0038]采用上述实施例的有益效果是:本专利技术提供的一种攻击检测方法,首先采集网络中通过防火墙的流量数据,提取流量数据中会话的发起方的IP,发起方ip与攻击IP库匹配则基于攻击者流量处理模型对发起方ip进行攻击检测,发起方ip与攻击IP库不匹配,则将发起方ip与可疑IP库进行匹配,匹配则基于可疑者流量处理模型对发起方ip进行攻击检测,不匹配则将发起方ip与正常IP库进行匹配,匹配则基于正常流量处理模型对发起方ip进行攻击检测,不匹配则基于未知流量处理模型对发起方ip进行攻击检测。本专利技术通过分级将流量数据一层层的处理,从而将威胁检测资源集中在可能存在威胁的流量上,提高了检测效率。
附图说明
[0039]图1为本专利技术提供的一种攻击检测方法一实施例的方法流程图;
[0040]图2为本专利技术提供的一种攻击检测装置的一个实施例结构示意图;
[0041]图3为本专利技术提供的电子设备的一个实施例结构示意图。
具体实施方式
[0042]本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击检测方法,其特征在于,包括:采集网络中通过防火墙的流量数据;提取所述流量数据中会话的发起方的IP;获取攻击IP库、可疑IP库和正常IP库;在所述发起方ip与所述攻击IP库匹配的情况下,基于攻击者流量处理模型对所述发起方ip进行攻击检测;在所述发起方ip与所述攻击IP库不匹配的情况下,判断所述发起方ip与所述可疑IP库是否匹配,匹配则基于可疑者流量处理模型对所述发起方ip进行攻击检测;在所述发起方ip与所述攻击IP库不匹配且所述发起方ip与所述可疑IP库不匹配的情况下,判断所述发起方ip与所述正常IP库是否匹配,匹配则基于正常流量处理模型对所述发起方ip进行攻击检测;在所述发起方ip与所述攻击IP库、所述可疑IP库和所述正常IP库均不匹配的情况下,基于未知流量处理模型对所述发起方ip进行攻击检测。2.根据权利要求1所述的一种攻击检测方法,其特征在于,所述基于攻击者流量处理模型对所述发起方ip进行攻击检测,包括:所述攻击者流量处理模型将命中可疑规则的流量数据归入所述可疑IP库,所述攻击者流量处理模型将命中攻击规则的流量数据归入所述攻击IP库;所述攻击者流量处理模型将没有命中规则的流量数据输入到训练完备的威胁模型中判断所述没有命中规则的流量数据是否存在攻击流量,若存在攻击流量,则将所述没有命中规则的流量数据归入所述攻击IP库。3.根据权利要求1所述的一种攻击检测方法,其特征在于,所述基于可疑者流量处理模型对所述发起方ip进行攻击检测,包括:所述可疑者流量处理模型将命中可疑规则的流量数据归入所述可疑IP库,所述可疑者流量处理模型将命中攻击规则的流量数据归入所述攻击IP库;所述可疑者流量处理模型将没有命中规则的流量数据输入到训练完备的威胁模型中判断所述没有命中规则的流量数据是否存在攻击流量,存在攻击流量,则将所述没有命中规则的流量数据归入所述攻击IP库。4.根据权利要求1所述的一种攻击检测方法,其特征在于,所述基于正常流量处理模型对所述发起方ip进行攻击检测,包括:所述正常流量处理模型对所述流量数据进行抽样检测获得抽中后的流量数据;所述正常流量处理模型将命中可疑规则的所述抽中后的流量数据归入所述可疑IP库,所述正常流量处理模型将命中攻击规则的所述抽中后的流量数据归入所述攻击IP库。5.根据权利要求1所...
【专利技术属性】
技术研发人员:陈志华,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。