本申请公开了一种网络流量检测框架、方法及一种电子设备和计算机可读存储介质,该框架包括:日志读取模块,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;检测模块,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;分析模块,用于利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。由此可见,本申请提供的网络流量检测框架,提高了对内网网络流量的检测能力。能力。能力。
【技术实现步骤摘要】
一种网络流量检测框架、方法及电子设备和存储介质
[0001]本申请涉及通信
,更具体地说,涉及一种网络流量检测框架、方法及一种电子设备和一种计算机可读存储介质。
技术介绍
[0002]当前网络攻击活动日益活跃,在相关技术中,可以在网络边界部署防火墙、病毒网关、沙箱等设备监控外来流量并进行查杀。该方案主要关注外来流量,且由于串联部署,往往无法对内网流量进行检测。另外,在相关技术中,还可以在终端机器上安装杀毒软件进行全盘监控查杀。该方案多偏向于磁盘监控杀毒,对内网网络流量检测能力同样较差。
[0003]因此,如何提高对内网网络流量的检测能力是本领域技术人员需要解决的技术问题。
[0004]申请内容
[0005]本申请的目的在于提供一种网络流量检测框架、方法及一种电子设备和一种计算机可读存储介质,提高了对内网网络流量的检测能力。
[0006]为实现上述目的,本申请提供了一种网络流量检测框架,包括:
[0007]日志读取模块,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;
[0008]检测模块,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
[0009]分析模块,用于利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。
[0010]其中,所述日志读取模块包括至少一种日志类型对应的日志读取插件,每种所述日志读取插件用于获取对应的日志类型的网络审计日志;其中,所述日志类型包括HTTP类型、SMB类型、FTP类型和SMTP类型中的任一项或任几项的组合。
[0011]其中,还包括:
[0012]结构化处理模块,用于对所述网络审计日志中的网络流日志进行结构化处理,并为结构化处理后的网络流日志添加网络资产字段。
[0013]其中,还包括:
[0014]过滤模块,用于对所述网络审计日志中网络资产字段为目标网络资产的网络流日志进行过滤;其中,所述目标网络资产为网络资产白名单中的网络资产。
[0015]其中,还包括:
[0016]告警模块,用于生成告警信息,并基于所述告警信息进行告警。
[0017]其中,所述告警模块包括:
[0018]生成单元,用于生成告警信息;
[0019]结构化处理单元,用于基于所述目标攻击场景对应的告警事件格式字段对所述告警信息进行结构化处理,得到目标告警信息;
[0020]一个或多个告警插件,用于利用对应的告警方式基于所述目标告警信息进行告警。
[0021]其中,所述告警插件包括:用于将所述目标告警信息存储至数据库的第一告警插件,和/或,用于将所述目标告警信息组装为目标邮件并分发至运维邮箱的第二告警插件,和/或,用于将所述目标告警信息推送至目标账户的第三告警插件。
[0022]其中,所述检测模块包括多个检测插件,每个所述检测插件用于利用对应的检测规则在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
[0023]所述分析模块具体用于通过判断多个所述目标网络流日志之间是否符合所述目标攻击场景对应的关联规则,分析是否存在所述目标攻击场景对应的攻击事件。
[0024]其中,所述检测模块还包括:
[0025]加载单元,用于当接收到目标检测插件的注册请求时,在所述检测模块中加载所述目标检测插件。
[0026]其中,还包括:
[0027]接收模块,用于接收自定义的目标关联规则,并将所述目标关联规则确定为所述目标场景对应的关联规则。
[0028]为实现上述目的,本申请提供了一种网络流量检测方法,包括:
[0029]获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;
[0030]在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;
[0031]利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。
[0032]为实现上述目的,本申请提供了一种电子设备,包括:
[0033]存储器,用于存储计算机程序;
[0034]处理器,用于执行所述计算机程序时实现如上述网络流量检测方法的步骤。
[0035]为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述网络流量检测方法的步骤。
[0036]通过以上方案可知,本申请提供的一种网络流量检测框架,包括:日志读取模块,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;检测模块,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;分析模块,用于利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。
[0037]相关技术中网络流量的检测对象一般为传输层的流量日志,对内网流量的检测能力较差。因此,在本申请中,检测对象为网络层的网络审计日志,网络层的网络审计日志既包含外网的网络流日志也包含内网的网络流日志。对于需要检测的每种攻击场景,利用检测模块在网络审计日志中确定与对应的攻击场景相关的网络流日志,并基于该攻击场景对应的规则分析是否存在攻击事件。由此可见,本申请提供的网络流量检测框架,提高了对内网网络流量的检测能力。本申请还公开了一种网络流量检测方法及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。
[0038]应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本
申请。
附图说明
[0039]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
[0040]图1为根据一示例性实施例示出的一种网络流量检测框架的结构图;
[0041]图2为根据一示例性实施例示出的另一种网络流量检测框架的结构图;
[0042]图3为根据一示例性实施例示出的一种网络流量检测方法的流程图;
[0043]图4为根据一示例性实施例示出的一种电子设备的结构图。
具体实施方式
[0044]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。另外,在本申请实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络流量检测框架,其特征在于,包括:日志读取模块,用于获取应用层的网络审计日志;其中,所述网络审计日志包括多条按时间顺序排列的网络流日志;检测模块,用于在所述网络审计日志中确定与目标攻击场景相关的目标网络流日志;分析模块,用于利用所述目标攻击场景对应的规则分析所述目标网络流日志是否存在攻击事件。2.根据权利要求1所述网络流量检测框架,其特征在于,所述日志读取模块包括至少一种日志类型对应的日志读取插件,每种所述日志读取插件用于获取对应的日志类型的网络审计日志;其中,所述日志类型包括HTTP类型、SMB类型、FTP类型和SMTP类型中的任一项或任几项的组合。3.根据权利要求1所述网络流量检测框架,其特征在于,还包括:结构化处理模块,用于对所述网络审计日志中的网络流日志进行结构化处理,并为结构化处理后的网络流日志添加网络资产字段。4.根据权利要求3所述网络流量检测框架,其特征在于,还包括:过滤模块,用于对所述网络审计日志中网络资产字段为目标网络资产的网络流日志进行过滤;其中,所述目标网络资产为网络资产白名单中的网络资产。5.根据权利要求1所述网络流量检测框架,其特征在于,还包括:告警模块,用于生成告警信息,并基于所述告警信息进行告警。6.根据权利要求5所述网络流量检测框架,其特征在于,所述告警模块包括:生成单元,用于生成告警信息;结构化处理单元,用于基于所述目标攻击场景对应的告警事件格式字段对所述告警信息进行结构化处理,得到目标告警信息;一个或多个告警插件,用于利用对应的告警方式基于所述目标告警信息进行告警。7.根据权利要求6所述网络流量检测框架,其特征在于,所述告警插件包括:用于将所...
【专利技术属性】
技术研发人员:杨玉华,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。