【技术实现步骤摘要】
数据检测方法、装置及电子设备
本申请涉及数据处理
,尤其涉及一种数据检测方法、装置及电子设备。
技术介绍
随着网络科技的飞速发展,人们正踏入一个万物互联的时代,但是如网络病毒、数据泄露等网络安全事件层出不穷,网络安全事件的规模也越来越大,涉及了金融、教育、科技等各个领域,恶意程序及安全漏洞数量持续走高,安全态势日益严重。并且根据互联网一些安全调查报告,在疫情肆虐全球的上半年,网络钓鱼攻击增加了600%,勒索软件攻击增加了148%,FBI报告的网络犯罪暴增了300%,而企业的检测与响应能力和速度却并没有相应地增加。基于这些安全威胁,各种网络威胁检测及响应解决方案成为当下企业的安全投资热点,NDR解决方案应当支持多种形式的安全操作和行动,检测事件必须区分为不同的优先级类别。但是现有技术中已存在的DPI安全检测设备,有基于协议的定制化检测,却没有基于流量进行合理的抽样检测,并未定制出较为合理的抽样方式,无法针对性且高效地完成对网络数据的安全检测。
技术实现思路
有鉴于此,本申请的目的之一在于提供一种数据检测方法、装置及电子设备,能够实现对流量进行合理的抽样及检测,有针对性且高效地完成对网络流量的安全检测。第一方面,本申请实施例提供了一种数据检测方法,包括:获取待检测数据包的集合;根据由数据包的协议类型、发送时间、所属会话、加密类型及发送终端的位置中一项和/或多项的组合确定的第一抽样方式,对所述待检测数据包的集合进行抽样处理,获得由抽样出的待检测数据包组成的第一样本集 ...
【技术保护点】
1.一种数据检测方法,其特征在于,应用于电子设备,所述方法包括:/n获取待检测数据包的集合;/n根据由数据包的协议类型、发送时间、所属会话、加密类型及发送终端的位置中一项和/或多项的组合确定的第一抽样方式,对所述待检测数据包的集合进行抽样处理,获得由抽样出的待检测数据包组成的第一样本集;/n根据预设的第一检测规则对所述第一样本集中的待检测数据包进行检测,获得所述第一样本集中各待检测数据包的威胁等级;/n根据所述第一样本集中的待检测数据包的威胁等级确定第二抽样方式,对所述第一样本进行抽样,获得由抽样出的待检测数据包组成的第二样本集;/n根据预设的第二检测规则对所述第二样本集中的待检测数据包进行检测,获得检测结果。/n
【技术特征摘要】
1.一种数据检测方法,其特征在于,应用于电子设备,所述方法包括:
获取待检测数据包的集合;
根据由数据包的协议类型、发送时间、所属会话、加密类型及发送终端的位置中一项和/或多项的组合确定的第一抽样方式,对所述待检测数据包的集合进行抽样处理,获得由抽样出的待检测数据包组成的第一样本集;
根据预设的第一检测规则对所述第一样本集中的待检测数据包进行检测,获得所述第一样本集中各待检测数据包的威胁等级;
根据所述第一样本集中的待检测数据包的威胁等级确定第二抽样方式,对所述第一样本进行抽样,获得由抽样出的待检测数据包组成的第二样本集;
根据预设的第二检测规则对所述第二样本集中的待检测数据包进行检测,获得检测结果。
2.根据权利要求1所述的方法,其特征在于,所述电子设备预存一威胁等级表,所述等级表中记录有数据包不同的通信特征信息对应威胁等级;所述根据预设的第一检测规则对所述第一样本集中的待检测数据包进行检测,获得所述第一样本集中各待检测数据包的威胁等级的步骤,包括:
获取所述第一样本集中各待检测数据包的通信特征信息,所述通信特征信息包括协议类型、源IP地址、端口号、报文长度、报文内容及会话信息;
根据所述威胁等级表及所述第一样本集中各待检测数据包的通信特征信息,查找确定所述第一样本集中各待检测数据包对应的威胁等级。
3.根据权利要求1所述的方法,其特征在于,所述获取待检测数据包的集合的步骤,包括:
根据数据包的通信特征信息,获取属于同一数据流的数据包组成所述待检测数据包的集合;所述通信特征信息包括协议类型、源IP地址、端口号、报文长度、报文内容及会话信息中的一项或多项。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一样本集中的待检测数据包的威胁等级,对所述第一样本进行抽样,获得由抽样出的待检测数据包组成的第二样本集的步骤之后,所述方法还包括:
根据所述第二样本集中各待检测数据包的数据包类型、发送时间及通信特征中的一项或多项,采用相似度检测模型从所述第一样本集中获取与所述第二样本集中各待检测数据包类型相同的相似数据包加入所述第二样本。
5.根据权利要求1所述的方法,其...
【专利技术属性】
技术研发人员:田清武,
申请(专利权)人:北京知道创宇信息技术股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。