局域网扫描行为检测方法、装置、电子设备、存储介质制造方法及图纸

本发明专利技术提供一种局域网扫描行为检测方法、装置、电子设备、存储介质，所述方法包括：制作镜像，并在所述镜像内模拟标准应用服务；将所述镜像下发至局域网内的多个宿主机；基于所述镜像于各所述宿主机中生成蜜罐容器；各所述蜜罐容器监听访问蜜罐容器各自的ip地址的服务请求；当所述蜜罐容器中的标准应用服务被调用时，实时生成检测日志；利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段，根据所述预定字段对多条所述检测日志进行聚合生成告警事件；根据所述告警事件进行告警。本发明专利技术提供的方法及装置减少局域网检测成本并提升检测效果。

【技术实现步骤摘要】
局域网扫描行为检测方法、装置、电子设备、存储介质
本专利技术涉及计算机应用
，尤其涉及一种局域网扫描行为检测方法、装置、电子设备、存储介质。
技术介绍
随着互联网行业的不断发展，IT运维场景范围不断扩大，对于大型互联网公司，庞大的局域网服务器与网络流量给局域网入侵的检测带来很多问题。尤其对于局域网流量检测，对于大量流量的抓包、协议解析、规则检测需要强大的硬件资源以及人力技术资源投入，且效果往往不理想。对于一些现有的实时IDS(IntrusionDetectionSystems，入侵检测系统)，其入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这样的方式计算量大，且对硬件需求较高。因此，如何实现低成本高效率的局域网扫描检测是亟待解决的问题。
技术实现思路
本专利技术为了克服上述现有技术存在的缺陷，提供一种局域网扫描行为检测方法、装置、电子设备、存储介质，以减少局域网检测成本并提升检测效果。根据本专利技术的一个方面，提供一种局域网扫描行为检测本文档来自技高网...

【技术保护点】
一种局域网扫描行为检测方法，其特征在于，包括：制作镜像，并在所述镜像内模拟标准应用服务；将所述镜像下发至局域网内的多个宿主机；基于所述镜像于各所述宿主机中生成蜜罐容器；各所述蜜罐容器监听访问蜜罐容器各自的ip地址的服务请求；当所述蜜罐容器中的标准应用服务被调用时，实时生成检测日志；利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段，根据所述预定字段对多条所述检测日志进行聚合生成告警事件；根据所述告警事件进行告警。

【技术特征摘要】
1.一种局域网扫描行为检测方法，其特征在于，包括：制作镜像，并在所述镜像内模拟标准应用服务；将所述镜像下发至局域网内的多个宿主机；基于所述镜像于各所述宿主机中生成蜜罐容器；各所述蜜罐容器监听访问蜜罐容器各自的ip地址的服务请求；当所述蜜罐容器中的标准应用服务被调用时，实时生成检测日志；利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段，根据所述预定字段对多条所述检测日志进行聚合生成告警事件；根据所述告警事件进行告警。2.根据如权利要求1所述的局域网扫描行为检测方法，其特征在于，所述当所述蜜罐容器中的标准应用服务被调用时，实时生成检测日志之后，所述利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段，根据所述预定字段对多条所述检测日志进行聚合生成告警事件之前包括：将所述蜜罐容器实时生成的检测日志经由一中间件进行日志分片，所述蜜罐容器每生成一检测日志，实时发送至所述中间件。3.根据如权利要求1所述的局域网扫描行为检测方法，其特征在于，所述根据所述告警事件进行告警包括：根据一白名单筛选告警事件，根据筛选后的告警事件进行告警。4.根据如权利要求1所述的局域网扫描行为检测方法，其特征在于，所述分布式搜索引擎追溯的所述检测日志来自一个或多个蜜罐容器。5.根据如权利要求1所述的局域网扫描行为检测方法，其特征在于，所述检测日志包括蜜罐容器的ip地址、该标准应用服务、蜜罐容器的端口、调用该标准应用服务的服务请求的源ip地址、调用该标准应用服务的服务请求的源端口、调用该标准应用服务的行为数据中的多项，所述行为数据包括行为时间、行为类型及行为参数中的一项或多项。6.根据如权利要求5所述的局域网扫描行为检测方法，其特征在于，所述标准应用服务包括：SSH协议、HTTP协议、SMB协议、DNS协议中的一项或多项。7.根据如权利要求6所述的局域网扫描行为检测方法，其特征在...

【专利技术属性】
技术研发人员：江榕，余本华，徐楷，雷兵，凌云，
申请(专利权)人：携程旅游网络技术上海有限公司，
类型：发明
国别省市：上海,31