报文检测方法及装置、建立云端威胁情报库的方法及装置制造方法及图纸

本发明专利技术实施方式提供了报文检测方法及装置、建立云端威胁情报库的方法及装置，所述报文检测方法应用于防御设备，所述报文检测方法包括：接收待检测的报文流量，根据所述报文流量的特征，在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息；其中，所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的；若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息，则根据所述目标情报信息，确定所述待检测报文的检测结果。应用本发明专利技术实施方式能够实现使用本地威胁情报库对报文流量进行检测，无需频繁连接互联网，以节省带宽资源，提高防御设备的工作效率。

【技术实现步骤摘要】
报文检测方法及装置、建立云端威胁情报库的方法及装置
本专利技术涉及通信领域的网络管理技术，特别是涉及报文检测方法及装置、建立云端威胁情报库的方法及装置。
技术介绍
随着互联网技术的快速发展，基于特征或者正则表达式的传统防御解决方案已经难以应对日益更新的网络病毒和网络攻击事件，为此，威胁情报技术应运而生。威胁情报技术是指通过查询威胁情报库来获取现存或者是即将出现的威胁或危险，以及提供针对威胁或危险的解决方案。由于威胁情报库包括海量数据，通常情况下会将威胁情报库保存在云端存储器中。在实际应用中，由于本地的防御设备在每次执行检测报文流量的处理时，都需要在威胁情报库中针对待检测的报文流量进行信息查找和匹配，因此，防御设备需要频繁连接互联网以访问处于云端的威胁情报库。这样，频繁连接互联网会占用大量的带宽资源且耗费时间，影响防御设备的工作效率。
技术实现思路
本专利技术实施方式的目的在于提供报文检测方法及装置、建立云端威胁情报库的方法及装置，能够实现使用本地威胁情报库对报文流量进行检测，无需频繁连接互联网，以节省带宽资源，提高防御设备的工作效率。具体技术方案如下：本专利技术的一种实施方式提供了一种报文检测方法，应用于防御设备，所述方法包括：接收待检测的报文流量，根据所述报文流量的特征，在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息；其中，所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的；若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息，则根据所述目标情报信息，确定所述待检测报文的检测结果。本专利技术的一种实施方式还提供了一种云端威胁情报库的建立方法，应用于云端服务器，所述方法包括：获取情报信息，存储至所述云端服务器的云端威胁情报库中；当确定情报信息对应的应用场景信息时，根据所述应用场景信息，为所述情报信息增加第二应用场景标识；其中，所述第二应用场景标识用于区分情报信息的应用场景，以根据所述第二应用场景标识向与所述应用场景关联的防御设备发送情报信息。本专利技术的一种实施方式又提供了一种报文检测装置，应用于防御设备，所述装置包括：第一确定单元，用于接收待检测的报文流量，根据所述报文流量的特征，在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息；其中，所述本地威胁情报数据库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的；第二确定单元，用于若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息，则根据所述目标情报信息，确定所述待检测报文的检测结果。本专利技术的一种实施方式另提供了一种建立云端威胁情报库的装置，应用于云端服务器，所述装置包括：获取单元，用于获取情报信息，存储至所述云端服务器的云端威胁情报库中；增加单元，用于当确定情报信息对应的应用场景信息时，根据所述应用场景信息，为所述情报信息增加第二应用场景标识；其中，所述第二应用场景标识用于区分情报信息的应用场景，以根据所述第二应用场景标识向与所述应用场景关联的防御设备发送情报信息。本专利技术实施方式提供的报文检测方法及装置、建立云端威胁情报库的方法及装置，能够根据待检测报文流量的特征，确定本地威胁情报库中是否存在与特征相匹配的目标情报信息；若存在，则根据目标情报信息，确定待检测报文流量的检测结果。这样，本专利技术实施方式通过使用本地威胁情报库检测报文流量，使得防御设备在检测报文流量的过程中无需频繁的连接互联网，不仅实现了节省了防御设备连接互联网的带宽资源，而且简化了检测报文流量的处理流程，提高了防御设备的工作效率。附图说明为了更清楚地说明本专利技术实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施方式的报文检测方法的一种流程图；图2为本专利技术实施方式的建立云端威胁情报库的方法的一种流程图；图3为本专利技术实施方式的报文检测装置的一种结构图；图4为本专利技术实施方式的建立云端威胁情报库的装置的一种结构图。具体实施方式下面将结合本专利技术实施方式中的附图，对本专利技术实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式仅仅是本专利技术一部分实施方式，而不是全部的实施方式。基于本专利技术中的实施方式，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式，都属于本专利技术保护的范围。本专利技术实施方式公开了一种报文检测方法，应用于防御设备。参见图1，图1为本专利技术实施方式的报文检测方法的一种流程图，包括如下步骤：步骤101，接收待检测的报文流量，根据所述报文流量的特征，在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息；其中，所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的。具体的，云端服务器根据防御设备的第一应用场景向防御设备发送情报信息，防御设备根据接收的情报信息建立本地威胁情报库。目前，为了应对日益增加的网络病毒和网络攻击事件，基于威胁情报的报文检测技术开始逐渐受到人们重视。由于本地防御设备的资源有限，包含海量数据的威胁情报库通常会保存在云端服务器。在威胁情报技术应用于防御设备的情况下，防御设备每次处理报文流量均需要在处于云端服务器的云端的威胁情报库中进行查找匹配，一方面，防御设备频繁联网以访问处于云端的威胁情报库，占用了大量带宽资源；另一方面，处于云端的威胁情报库中包含了海量的情报信息，而每次查询均需要遍历整个威胁情报库，导致查询效率低，占用大量的计算资源。这些问题对威胁情报技术的实施应用带来了较大困难。需要说明的是，在本专利技术实施方式中，防御设备具体可以包括入侵防御系统(IntrusionPreventionSystem，IPS)设备、下一代防火墙(NextGenerationFireWall，NGFW)设备、入侵检测系统(IntrusionDetectionSystems，IDS)设备、无线控制器(AccessController，AC)设备、统一威胁管理(UnitedThreatManagement，UTM)设备等，也就是说，只要能够支持威胁情报技术的防御设备都可以使用本专利技术实施方式所述的方案。在实际应用中，报文流量的特征可以是关键代码、或者IP地址、或者统一资源标识符(UniformResourceIdentifier，URL)中的任意一个或多个。比如，当防御设备接收到报文流量，用户要求检测所述报文流量中是否包括病毒，那么，防御设备就可以根据报文流量中的关键代码，在本地威胁情报信息库中确定是否存在包括所述关键代码的目标情报信息；其中，所述目标情报信息可以是包括关键代码的报文流量，也就是病毒的情报信息。需要说明的是，在本专利技术实施方式中，本地威胁情报库是云端威胁情报信息库根据防御设备的第一应用场景标识发送到防御设备上的情报建立的，在本专利技术的一种优选实施方式中，提供一种建立本地威胁情报库的具体实施方式，所述方法还可以包括：步骤99，向云端服务器发送获取情报信息请求；其中，所述获取情报信息请求中包括所述防御设备的第一应用场景标识，以使所述云端服务器本文档来自技高网...

【技术保护点】
一种报文检测方法，其特征在于，应用于防御设备，所述方法包括：接收待检测的报文流量，根据所述报文流量的特征，在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息；其中，所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的；若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息，则根据所述目标情报信息，确定所述待检测报文的检测结果。

【技术特征摘要】
1.一种报文检测方法，其特征在于，应用于防御设备，所述方法包括：接收待检测的报文流量，根据所述报文流量的特征，在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息；其中，所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的；若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息，则根据所述目标情报信息，确定所述待检测报文的检测结果。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：向云端服务器发送获取情报信息请求；其中，所述获取情报信息请求中包括所述防御设备的第一应用场景标识，以使所述云端服务器根据所述第一应用场景标识和云端威胁情报库中情报信息的第二应用场景标识，确定与所述第一应用场景标识相匹配的情报信息；所述情报信息中包括：所述第二应用场景标识、以及与所述第二应用场景标识关联的情报特征信息；接收所述云端服务器发送的、与所述第一应用场景标识相匹配的情报信息，根据所述情报信息建立或更新所述本地威胁情报库。3.根据权利要求1所述的方法，其特征在于，若确定本地威胁情报库中不存在与所述特征匹配的目标情报信息，则向所述云端服务器发送检测请求；其中，所述检测请求中包括所述待检测的报文流量的特征，以使所述云端服务器根据所述特征信息确定是否存在与所述特征相匹配的目标情报信息。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：向所述云端服务器发送防御设备的第一应用场景标识，以使得所述云端服务器在根据所述特征信息确定存在与所述特征匹配的目标情报信息后，按照所述第一应用场景标识，更新所述目标情报信息的应用场景标识。5.一种建立云端威胁情报库的方法，其特征在于，应用于云端服务器，所述方法包括：获取情报信息，存储至所述云端服务器的云端威胁情报库中；当确定情报信息对应的应用场景信息时，根据所述应用场景信息，为所述情报信息增加第二应用场景标识；其中，所述第二应用场景标识用于区分情报信息的应用场景，以根据所述第二应用场景标识向与所述应用场景关联的防御设备发送情报信息。6.根据权利要求5所述的方法，其特征在于，所述方法包括：接收所述防御设备发送的获取情报信息请求；其中，所述获取情报信息请求中包括所述防御设备的第一应用场景标识；根据所述第一应用场景标识，确定与所述第一应用场景标识相匹配的情报信息；其中，所述情报信息中包括：第一应用场景标识和与所述第一应用场景标识关联的情报特征信息；向所述防御设备发送与所述第一应用场景标识相匹配的情报信息，以使所述防御设备根据所述情报信息建立所述本地威胁情报库。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：接收所述防御设备发送的检测请求；其中，所述检测请求中包括所述待检测的报文流量的特征信息，根据所述特征信息确定是否存在与所述特征匹配的目标情报信息；若确定存在于所述特征匹配的目标情报信息，则根据所述目标情报信息，确定所述待检测报文的检测结果。8.根据权利要求7所述的方法，其特征在于，还包括：当确定存在与所述特征匹配的目标情报信息时，获取防御设备的应用场景标识，根据所述防御设备的应用场景标识，更新所述目标情报信息的应用场景标识。9.一种报文检测装置，其特征在于，应用于防御设备，所述装置包括：第一确定单元，用于接收待检测的报文流量，根据所述报文流量的特征，在本地威胁...

【专利技术属性】
技术研发人员：梁力文，张惊申，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33