【技术实现步骤摘要】
本申请涉及流量异常监测,特别是涉及一种网络流量监测分析方法、装置、电子设备及存储介质。
技术介绍
1、随着互联网从虚拟经济向实体经济快速延伸,网络流量数据已经成为重要的信息媒介,同时由于网络安全事件造成的代价极大,网络流量成为数据安全领域的重要分析与保护对象。
2、网络入侵检测策略可以快速的检测出网络流量中的异常流量或者攻击流量,但是在获取到当前的异常流量或攻击流量后由于其流量数据的单一性和独立性,使得网络分析人员在进行分析时缺少相关入侵或攻击流量的上下文信息来帮助分析人员可以更加快速的分析当前流量攻击的全链路以及场景,从而但是网络流量分析不够全面,从而导致入侵流量分析的准确率较低。
技术实现思路
1、本申请实施例所要解决的技术问题是提供一种网络流量监测分析方法、装置、电子设备及存储介质,以提高入侵流量分析的全面性,提高入侵流量分析的准确率。
2、第一方面,本申请实施例提供了一种网络流量监测分析方法,应用于抓包服务器,所述方法包括:
3、基于抓包解析引擎获取待监测网络流量,并计算得到所述待监测网络流量的流量标识信息;
4、基于所述流量标识信息,将所述待监测网络流量缓存于所述流量标识信息对应的目标内存队列中;
5、基于预先设置的异常流量监测规则对所述待监测网络流量进行异常监测,得到流量监测结果;
6、响应于所述流量监测结果指示所述待监测网络流量为异常网络流量,从所述目标内存队列中获取所述待监测网络流量和所述待监测
7、将所述待监测网络流量、所述流量标识信息、所述上下文流量信息和所述流量路径信息发送至kafka集群,以在用户发起异常网络流量的获取请求时,由用户端从所述kafka集群内获取所述待监测网络流量、所述流量标识信息、所述上下文流量信息和所述流量路径信息。
8、可选地,在所述基于抓包解析引擎获取待监测网络流量之前,还包括:
9、获取基于suricata和dpdk组合生成的所述抓包解析引擎;
10、将所述抓包解析引擎安装于所述抓包服务器上。
11、可选地,所述基于抓包解析引擎获取待监测网络流量,并计算得到所述待监测网络流量的流量标识信息,包括:
12、基于所述抓包解析引擎中的dpdk抓取所述待监测网络流量;
13、调用所述suricata计算得到所述待监测网络流量的流量四元组信息,所述流量四元组信息包括:源ip、目的ip、源端口和目的端口;
14、将所述流量四元组信息作为所述待监测网络流量的流量标识信息。
15、可选地,所述基于预先设置的异常流量监测规则对所述待监测网络流量进行异常监测,得到流量监测结果,包括:
16、调用所述抓包解析引擎内的suricata基于ids规则对所述待监测网络流量进行异常监测,得到第一监测结果;和/或
17、调用所述抓包解析引擎内的suricata基于ips规则对所述待监测网络流量进行异常监测,得到第二监测结果;
18、基于所述第一监测结果和/或所述第二监测结果,确定所述待监测网络流量的所述流量监测结果。
19、可选地,所述将所述待监测网络流量、所述流量标识信息、所述上下文流量信息和所述流量路径信息发送至kafka集群,包括:
20、基于预设编码方式对所述待监测网络流量、所述流量标识信息、所述上下文流量信息和所述流量路径信息进行编码,得到所述待监测网络流量对应的网络流量编码信息;
21、将所述网络流量编码信息发送至所述kafka集群。
22、可选地,所述预设编码方式为base64编码方式。
23、第二方面,本申请实施例提供了一种网络流量监测分析装置,应用于抓包服务器,所述装置包括:
24、网络流量获取模块,用于基于抓包解析引擎获取待监测网络流量,并计算得到所述待监测网络流量的流量标识信息;
25、网络流量缓存模块,用于基于所述流量标识信息,将所述待监测网络流量缓存于所述流量标识信息对应的目标内存队列中;
26、监测结果获取模块,用于基于预先设置的异常流量监测规则对所述待监测网络流量进行异常监测,得到流量监测结果;
27、流量关联信息获取模块,用于响应于所述流量监测结果指示所述待监测网络流量为异常网络流量,从所述目标内存队列中获取所述待监测网络流量和所述待监测网络流量关联的上下文流量信息,并获取所述待监测网络流量的流量路径信息;
28、流量关联信息发送模块,用于将所述待监测网络流量、所述流量标识信息、所述上下文流量信息和所述流量路径信息发送至kafka集群,以在用户发起异常网络流量的获取请求时,由用户端从所述kafka集群内获取所述待监测网络流量、所述流量标识信息、所述上下文流量信息和所述流量路径信息。
29、可选地,所述装置还包括:
30、抓包解析引擎获取模块,用于获取基于suricata和dpdk组合生成的所述抓包解析引擎;
31、抓包解析引擎安装模块,用于将所述抓包解析引擎安装于所述抓包服务器上。
32、可选地,所述网络流量获取模块包括:
33、网络流量抓取单元,用于基于所述抓包解析引擎中的dpdk抓取所述待监测网络流量;
34、流量四元组计算单元,用于调用所述suricata计算得到所述待监测网络流量的流量四元组信息,所述流量四元组信息包括:源ip、目的ip、源端口和目的端口;
35、流量标识获取单元,用于将所述流量四元组信息作为所述待监测网络流量的流量标识信息。
36、可选地,所述监测结果获取模块包括:
37、第一结果获取单元,用于调用所述抓包解析引擎内的suricata基于ids规则对所述待监测网络流量进行异常监测,得到第一监测结果;或
38、第二结果获取单元,用于调用所述抓包解析引擎内的suricata基于ips规则对所述待监测网络流量进行异常监测,得到第二监测结果;
39、监测结果确定单元,用于基于所述第一监测结果和/或所述第二监测结果,确定所述待监测网络流量的所述流量监测结果。
40、可选地,所述流量关联信息发送模块包括:
41、流量编码信息获取单元,用于基于预设编码方式对所述待监测网络流量、所述流量标识信息、所述上下文流量信息和所述流量路径信息进行编码,得到所述待监测网络流量对应的网络流量编码信息;
42、流量编码信息发送单元,用于将所述网络流量编码信息发送至所述kafka集群。
43、可选地,所述预设编码方式为base64编码方式。
44、第三方面,本申请实施例提供了一种电子设备,包括:
45、处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序本文档来自技高网...
【技术保护点】
1.一种网络流量监测分析方法,应用于抓包服务器,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述基于抓包解析引擎获取待监测网络流量之前,还包括:
3.根据权利要求2所述的方法,其特征在于,所述基于抓包解析引擎获取待监测网络流量,并计算得到所述待监测网络流量的流量标识信息,包括:
4.根据权利要求1所述的方法,其特征在于,所述基于预先设置的异常流量监测规则对所述待监测网络流量进行异常监测,得到流量监测结果,包括:
5.根据权利要求1所述的方法,其特征在于,所述将所述待监测网络流量、所述流量标识信息、所述上下文流量信息和所述流量路径信息发送至Kafka集群,包括:
6.根据权利要求5所述的方法,其特征在于,所述预设编码方式为base64编码方式。
7.一种网络流量监测分析装置,应用于抓包服务器,其特征在于,所述装置包括:
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其
...【技术特征摘要】
1.一种网络流量监测分析方法,应用于抓包服务器,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,在所述基于抓包解析引擎获取待监测网络流量之前,还包括:
3.根据权利要求2所述的方法,其特征在于,所述基于抓包解析引擎获取待监测网络流量,并计算得到所述待监测网络流量的流量标识信息,包括:
4.根据权利要求1所述的方法,其特征在于,所述基于预先设置的异常流量监测规则对所述待监测网络流量进行异常监测,得到流量监测结果,包括:
5.根据权利要求1所述的方法,其特征在于,所述将所述待监测网络流量、所...
【专利技术属性】
技术研发人员:付少波,王浩铭,王志海,喻波,安鹏,
申请(专利权)人:北京明朝万达科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。