【技术实现步骤摘要】
报文检测方法及装置、建立云端威胁情报库的方法及装置
本专利技术涉及通信领域的网络管理技术,特别是涉及报文检测方法及装置、建立云端威胁情报库的方法及装置。
技术介绍
随着互联网技术的快速发展,基于特征或者正则表达式的传统防御解决方案已经难以应对日益更新的网络病毒和网络攻击事件,为此,威胁情报技术应运而生。威胁情报技术是指通过查询威胁情报库来获取现存或者是即将出现的威胁或危险,以及提供针对威胁或危险的解决方案。由于威胁情报库包括海量数据,通常情况下会将威胁情报库保存在云端存储器中。在实际应用中,由于本地的防御设备在每次执行检测报文流量的处理时,都需要在威胁情报库中针对待检测的报文流量进行信息查找和匹配,因此,防御设备需要频繁连接互联网以访问处于云端的威胁情报库。这样,频繁连接互联网会占用大量的带宽资源且耗费时间,影响防御设备的工作效率。
技术实现思路
本专利技术实施方式的目的在于提供报文检测方法及装置、建立云端威胁情报库的方法及装置,能够实现使用本地威胁情报库对报文流量进行检测,无需频繁连接互联网,以节省带宽资源,提高防御设备的工作效率。具体技术方案如下:本专利技术的一种实施方式提供了一种报文检测方法,应用于防御设备,所述方法包括:接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;其中,所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的;若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。本专利技术的一种实 ...
【技术保护点】
一种报文检测方法,其特征在于,应用于防御设备,所述方法包括:接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;其中,所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的;若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。
【技术特征摘要】
1.一种报文检测方法,其特征在于,应用于防御设备,所述方法包括:接收待检测的报文流量,根据所述报文流量的特征,在本地威胁情报库中确定是否存在与所述特征相匹配的目标情报信息;其中,所述本地威胁情报库是通过云端服务器根据所述防御设备的第一应用场景标识发送的情报信息建立的;若确定所述本地威胁情报库中存在与所述特征相匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:向云端服务器发送获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识,以使所述云端服务器根据所述第一应用场景标识和云端威胁情报库中情报信息的第二应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;所述情报信息中包括:所述第二应用场景标识、以及与所述第二应用场景标识关联的情报特征信息;接收所述云端服务器发送的、与所述第一应用场景标识相匹配的情报信息,根据所述情报信息建立或更新所述本地威胁情报库。3.根据权利要求1所述的方法,其特征在于,若确定本地威胁情报库中不存在与所述特征匹配的目标情报信息,则向所述云端服务器发送检测请求;其中,所述检测请求中包括所述待检测的报文流量的特征,以使所述云端服务器根据所述特征信息确定是否存在与所述特征相匹配的目标情报信息。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:向所述云端服务器发送防御设备的第一应用场景标识,以使得所述云端服务器在根据所述特征信息确定存在与所述特征匹配的目标情报信息后,按照所述第一应用场景标识,更新所述目标情报信息的应用场景标识。5.一种建立云端威胁情报库的方法,其特征在于,应用于云端服务器,所述方法包括:获取情报信息,存储至所述云端服务器的云端威胁情报库中;当确定情报信息对应的应用场景信息时,根据所述应用场景信息,为所述情报信息增加第二应用场景标识;其中,所述第二应用场景标识用于区分情报信息的应用场景,以根据所述第二应用场景标识向与所述应用场景关联的防御设备发送情报信息。6.根据权利要求5所述的方法,其特征在于,所述方法包括:接收所述防御设备发送的获取情报信息请求;其中,所述获取情报信息请求中包括所述防御设备的第一应用场景标识;根据所述第一应用场景标识,确定与所述第一应用场景标识相匹配的情报信息;其中,所述情报信息中包括:第一应用场景标识和与所述第一应用场景标识关联的情报特征信息;向所述防御设备发送与所述第一应用场景标识相匹配的情报信息,以使所述防御设备根据所述情报信息建立所述本地威胁情报库。7.根据权利要求6所述的方法,其特征在于,所述方法还包括:接收所述防御设备发送的检测请求;其中,所述检测请求中包括所述待检测的报文流量的特征信息,根据所述特征信息确定是否存在与所述特征匹配的目标情报信息;若确定存在于所述特征匹配的目标情报信息,则根据所述目标情报信息,确定所述待检测报文的检测结果。8.根据权利要求7所述的方法,其特征在于,还包括:当确定存在与所述特征匹配的目标情报信息时,获取防御设备的应用场景标识,根据所述防御设备的应用场景标识,更新所述目标情报信息的应用场景标识。9.一种报文检测装置,其特征在于,应用于防御设备,所述装置包括:第一确定单元,用于接收待检测的报文流量,根据所述报文流量的特征,在本地威胁...
【专利技术属性】
技术研发人员:梁力文,张惊申,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。