【技术实现步骤摘要】
本专利技术涉及流量检测,具体涉及一种适用于异常流量的分析检测方法及系统。
技术介绍
1、在网络大数据时代,对流经设备的流量进行识别检测对保障网络安全、维护用户权益具有重要的现实意义。
2、目前,进行流量检测的通用方式为:将流经目标设备的流量引入检测设备以实现相应流量的分析检测。对应的所述检测设备主要分为三类:入侵防御设备、态势感知设备及全流量分析存储设备。但专利技术人发现,当前这三种检测设备在进行流量检测时都存在不同的技术缺陷。
3、具体的,对于入侵防御设备,其利用内置的入侵防御/检测特征库、病毒库等进行深度分析检测,并生成相应的告警日志。但所述入侵防御设备本身并不支持基于告警信息的深入下钻分析,进而在快速响应安全事件、及时制定应对策略过程中存在显著障碍。对于态势感知设备,其通过探针收集预设区域内的流量数据,并对所述流量数据进行深入分析。其虽然解决了入侵防御设备无法进行下钻分析的缺陷,但基于探针进行的数据实时收集分析的方式却无法进行与实时异常相关的关联分析及回溯分析。因此削弱了态势感知设备在应对安全威胁时的有效性。对于全流量分析存储设备,其专注于收集预设区域内预设时间段内的所有流量数据包。解决了态势感知设备在关联分析及回溯分析方面的缺陷,但与入侵防御设备类似,即缺乏对异常流量的深入分析能力,进而无法有效识别、处置潜在的安全威胁。
4、综上可见,仍缺少一种功能更为全面的设备系统,其在进行异常流量分析检测过程中,可同时满足异常深入分析,以及关联分析、回溯分析的技术需求,进而快速、有效的识别、处置潜
技术实现思路
1、本专利技术目的在于提供一种适用于异常流量的分析检测方法及系统,以改善当前的检测设备在进行异常流量分析检测过程中,无法同时实现异常深入分析,以及关联分析、回溯分析的技术问题。
2、为达成上述目的,本专利技术提出如下技术方案:
3、第一方面,本技术方案提供了一种适用于异常流量的分析检测方法。包括:
4、基于镜像流接入方式实时获取待检测设备中若干预设区域的全流量数据并存储;
5、通过第一异常流特征库对所述全流量数据进行对比匹配以筛选、截取所述全流量数据中存在的异常流量数据;
6、将所述异常流量数据输入预训练的流量分析模型以获取相应的异常分析结果;其中,所述异常分析结果包括:攻击战术、攻击技术及攻击流程阶段;所述流量分析模型为一神经网络模型;
7、将所述异常分析结果输入att&ck矩阵攻击模型以分别基于攻击者视角、资产视角及防守者视角对它们分类后进行告警展示,并获取所述异常流量数据对应的攻击目标;
8、其中,所述攻击者视角用于模拟攻击者的思维和行为模式以展示攻击者的攻击策略和行动路径;所述资产视角用于聚焦所述异常流量数据中对应的关键资产以展示所述关键资产遭受攻击时的状态;所述防守者视角基于用户可识别的信息格式对攻击者视角下的告警内容及资产视角下的告警内容进行格式处理后同时展示;
9、提取前溯预设第一时段内与所述攻击目标对应的攻击区域的第一历史全流量数据,并将所述第一历史全流量数据输入所述流量分析模型以进行异常流回溯分析;提取与所述攻击区域相邻的邻近区域的相邻全流量数据,并将所述相邻全流量数据输入所述流量分析模型以进行异常流关联分析;
10、其中,所述邻近区域为与所述攻击目标在功能上一致的潜在目标对应的预设区域。
11、进一步的,所述通过第一异常流特征库对所述全流量数据进行对比匹配以筛选、截取所述全流量数据中存在的异常流量数据;还包括:
12、将所述全流量数据同时输入第二异常流特征库以筛选、截取所述全流量数据中的异常流量数据;
13、其中,所述第二异常流特征库通过如下方式获取:
14、判断到达预设的自更新周期时,获取前溯预设第二时段内的第二历史全流量数据;
15、将所述第二历史全流量数据输入预训练的异常提取模型以获取相应的异常流特征;
16、基于所述异常流特征对所述第二异常流特征库进行更新。
17、进一步的,所述通过第一异常流特征库对所述全流量数据进行对比匹配以筛选、截取所述全流量数据中存在的异常流量数据;还包括:
18、基于用户需求自定义流量截取规则;
19、其中,所述流量截取规则为:截取各预设区域内用户关注的固定段流量,和/或历史异常频率高于预设频率的目标段流量;
20、基于所述流量截取规则对所述全流量数据进行筛选、截取以获取异常流量数据。
21、进一步的,所述提取前溯预设第一时段内与所述攻击目标对应的攻击区域的第一历史全流量数据,并将所述第一历史全流量数据输入所述流量分析模型以进行异常流回溯分析;提取与所述攻击区域相邻的邻近区域的相邻全流量数据,并将所述相邻全流量数据输入所述流量分析模型以进行异常流关联分析;还包括:
22、判断所述异常分析结果对应的告警等级大于预设等级阈值时,发送回溯检索请求和/或关联检索请求至日志存储库;
23、其中,所述日志存储库内存储有与各历史异常分析结果相应的告警日志;
24、自所述日志存储库内定位、提取相应的回溯告警日志和/或关联告警日志,进而进行异常流回溯分析和/或异常流关联分析。
25、进一步的,所述提取前溯预设第一时段内与所述攻击目标对应的攻击区域的第一历史全流量数据,并将所述第一历史全流量数据输入所述流量分析模型以进行异常流回溯分析;提取与所述攻击区域相邻的邻近区域的相邻全流量数据,并将所述相邻全流量数据输入所述流量分析模型以进行异常流关联分析之后;还包括:
26、基于异常分析结果、回溯分析结果及关联分析结果触发预设的响应规则;
27、按照所述响应规则与相关设备建立通信,并下发异常处置指令;其中,所述相关设备包括常规设备及安全设备。
28、第二方面,本技术方案提供了一种适用于异常流量的分析检测系统。包括:
29、获取模块,用于基于镜像流接入方式实时获取待检测设备中若干预设区域的全流量数据并存储;
30、截取模块,用于通过第一异常流特征库对所述全流量数据进行对比匹配以筛选、截取所述全流量数据中存在的异常流量数据;
31、第一分析模块,用于将所述异常流量数据输入预训练的流量分析模型以获取相应的异常分析结果;其中,所述异常分析结果包括:攻击战术、攻击技术及攻击流程阶段;所述流量分析模型为一神经网络模型;
32、展示模块,用于将所述异常分析结果输入att&ck矩阵攻击模型以分别基于攻击者视角、资产视角及防守者视角对它们分类后进行告警展示,并获取所述异常流量数据对应的攻击目标;
33、其中,所述攻击者视角用于模拟攻击者的思维和行为模式以展示攻击者的攻击策略和行动路径;所述资产视角用于聚焦所述异常流量数据中对应的关键资产以展示所述关键资产遭受攻击时的状本文档来自技高网...
【技术保护点】
1.一种适用于异常流量的分析检测方法,其特征在于,包括:
2.根据权利要求1所述的适用于异常流量的分析检测方法,其特征在于,所述通过第一异常流特征库对所述全流量数据进行对比匹配以筛选、截取所述全流量数据中存在的异常流量数据;还包括:
3.根据权利要求1所述的适用于异常流量的分析检测方法,其特征在于,所述通过第一异常流特征库对所述全流量数据进行对比匹配以筛选、截取所述全流量数据中存在的异常流量数据;还包括:
4.根据权利要求1所述的适用于异常流量的分析检测方法,其特征在于,所述提取前溯预设第一时段内与所述攻击目标对应的攻击区域的第一历史全流量数据,并将所述第一历史全流量数据输入所述流量分析模型以进行异常流回溯分析;提取与所述攻击区域相邻的邻近区域的相邻全流量数据,并将所述相邻全流量数据输入所述流量分析模型以进行异常流关联分析;还包括:
5.根据权利要求1所述的适用于异常流量的分析检测方法,其特征在于,所述提取前溯预设第一时段内与所述攻击目标对应的攻击区域的第一历史全流量数据,并将所述第一历史全流量数据输入所述流量分析模型以进行异常流回
6.一种适用于异常流量的分析检测系统,其特征在于,包括:
7.根据权利要求6所述的适用于异常流量的分析检测系统,其特征在于,所述截取模块还包括:
8.根据权利要求6所述的适用于异常流量的分析检测系统,其特征在于,所述截取模块还包括:
9.一种电子设备,其特征在于,包括至少一个处理器,所述处理器与存储器耦合,所述存储器内存储有计算机程序,所述计算机程序被配置为被所述处理器运行时执行权利要求1-5中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序用于执行权利要求1-5任一项所述的方法。
...【技术特征摘要】
1.一种适用于异常流量的分析检测方法,其特征在于,包括:
2.根据权利要求1所述的适用于异常流量的分析检测方法,其特征在于,所述通过第一异常流特征库对所述全流量数据进行对比匹配以筛选、截取所述全流量数据中存在的异常流量数据;还包括:
3.根据权利要求1所述的适用于异常流量的分析检测方法,其特征在于,所述通过第一异常流特征库对所述全流量数据进行对比匹配以筛选、截取所述全流量数据中存在的异常流量数据;还包括:
4.根据权利要求1所述的适用于异常流量的分析检测方法,其特征在于,所述提取前溯预设第一时段内与所述攻击目标对应的攻击区域的第一历史全流量数据,并将所述第一历史全流量数据输入所述流量分析模型以进行异常流回溯分析;提取与所述攻击区域相邻的邻近区域的相邻全流量数据,并将所述相邻全流量数据输入所述流量分析模型以进行异常流关联分析;还包括:
5.根据权利要求1所述的适用于异常流量的分析检测方法,其特征在于,所述提...
【专利技术属性】
技术研发人员:王大为,张登虎,张晓娇,李旭,王子豪,
申请(专利权)人:金盾检测技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。