【技术实现步骤摘要】
会话违规访问检测方法及装置
本公开涉及计算机信息处理领域,具体而言,涉及一种会话违规访问检测方法、装置、电子设备及计算机可读介质。
技术介绍
随着网络安全重要性的凸显,态势感知开始在网络安全领域展露头角。面对传统安全防御体系失效的风险,态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施。现阶段针对网络态势感知自定义异常行为的流量检测中,使用类似ACL的方法实现流量识别,进行数据报文过滤。需要用户手动定义访问控制规则rules,手动定义步长来确保新增规则的正常使用,设置规则需要手动书写命令行指令,无法支持针对特殊资产或者资产组进行有效的内联访问监测。其中,ACL是一种针对现网流量数据按照策略进行过滤报文信息的访问控制方法。支持ip、端口等多个过滤策略检测,ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制...
【技术保护点】
1.一种会话违规访问检测方法,其特征在于,包括:/n获取会话的五元组信息,所述五元组信息包括源地址、目的地址、源端口、目的端口、会话时间;/n基于所述会话的源地址、目的地址、源端口、目的端口和预设的违规策略集合进行匹配;/n在匹配到目标违规策略时,获取所述目标违规策略的时间范围;/n当所述会话的会话时间在所述时间范围内时,确定匹配记录是否大于所述目标违规策略的阈值;/n在匹配记录大于所述目标违规策略的阈值时,生成违规访问日志。/n
【技术特征摘要】
1.一种会话违规访问检测方法,其特征在于,包括:
获取会话的五元组信息,所述五元组信息包括源地址、目的地址、源端口、目的端口、会话时间;
基于所述会话的源地址、目的地址、源端口、目的端口和预设的违规策略集合进行匹配;
在匹配到目标违规策略时,获取所述目标违规策略的时间范围;
当所述会话的会话时间在所述时间范围内时,确定匹配记录是否大于所述目标违规策略的阈值;
在匹配记录大于所述目标违规策略的阈值时,生成违规访问日志。
2.如权利要求1所述的方法,其特征在于,还包括:
基于自定义方式生成所述违规策略集合;和/或
基于用户资产和时间范围生成所述违规策略集合;
其中,所述违规策略集合中包括多个违规策略。
3.如权利要求2所述的方法,其特征在于,还包括:
将所述违规策略集合发送至探针检测引擎。
4.如权利要求3所述的方法,其特征在于,将所述违规策略集合发送至探针检测引擎之后,还包括:
探针检测引擎对所述违规策略集合进行重复定义筛选;
在重复定义筛选通过后,对所述违规策略集合中的违规策略进行编译,生成检测信息结构;
根据编译结果为每个违规策略设置时间范围。
5.如权利要求4所述的方法,其特征在于,设置根据编译结果为每个违规策略设置时间范围之后,还包括:
探针检测引擎根据所述时间范围将所述违规策略集合中的违规策略进行分组;
基于策略调度线程对分组之后的违规策略进行编译。
6.如权利要求3所述的方法,其特征在于,获取会话的五元组信息之前,还包括:
探针检测引擎获取当前网络流量中的会话;
对所述会话进行...
【专利技术属性】
技术研发人员:任尔涛,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。