本申请公开了一种异常设备检测方法、装置、电子设备及计算机可读存储介质,该方法包括:获取异常流量,并提取异常流量对应的发送方标识;利用发送方标识筛选流量设备信息,得到目标流量转发设备信息,并根据所目标流量转发设备信息确定目标流量转发设备;获取目标流量转发设备对应的流量转发日志,并从流量转发日志中得到异常设备信息;该方法不需要异常流量具有有效的Forwarded‑For字段,利用目标流量转发设备的日志即可确定异常设备信息;同时,无论异常流量是否采用HTTP协议,均可以对其进行检测,因此提高了异常设备检测的能力,改善了异常设备检测的效果。
【技术实现步骤摘要】
一种异常设备检测方法、装置、电子设备及可读存储介质
本申请涉及网络安全
,特别涉及一种异常设备检测方法、异常设备检测装置、电子设备及计算机可读存储介质。
技术介绍
网络安全设备在进行安全检测或者失陷主机检测时,需要获取异常设备信息,以便检出异常设备。由于网络环境比较复杂,内网中会存在各种网关设备、代理设备、DNS(DomainNameSystem,域名系统)服务器等,这些设备会将收到的流量转发,这就导致在异常设备检测时只能定位到流量转发设备,不能找到真正有问题的主机。为了解决上述问题,相关技术通常检测流量中是否存在Forwaarded-For字段,然而,现实使用中,大部分设备均没有设置Forwarded-For字段,因此其转发后的流量中不存在有效的Forwarded-For字段,因此无法得到失陷主机或者攻击主机的IP地址。因此相关技术的异常设备检测能力较弱,效果较差。
技术实现思路
有鉴于此,本申请的目的在于提供一种异常设备检测方法、异常设备检测装置、电子设备及计算机可读存储介质,不需要异常流量具有有效的Forwarded-For字段,同时无论异常流量是否采用HTTP协议,均可以对其进行检测,提高了异常设备检测的能力,改善了异常设备检测的效果。为解决上述技术问题,本申请提供了一种异常设备检测方法,具体包括:获取异常流量,并提取所述异常流量对应的发送方标识;利用所述发送方标识筛选所述流量设备信息,得到目标流量转发设备信息,并根据所目标流量转发设备信息确定目标流量转发设备;获取所述目标流量转发设备对应的流量转发日志,并从所述流量转发日志中得到异常设备信息。可选地,所述发送方标识为待测网络地址;所述利用所述发送方标识筛选所述流量设备信息,得到目标流量转发设备信息,包括:确定所述待测网络地址所属的网络地址段;根据所述网络地址段对所述流量设备信息进行过滤,得到初选流量设备信息;利用所述待测网络地址筛选所述初选流量设备信息,得到所述目标流量转发设备信息。可选地,所述利用所述待测网络地址筛选所述初选流量设备信息,得到所述目标流量转发设备信息,包括:根据所述待测网络地址在所述网络地址段中的位置,确定检测方向;根据所述检测方向对所述初选流量设备信息进行匹配检测,判断所述初选流量设备信息中是否存在所述待测网络地址;若存在,则将所述待测网络地址对应的流量设备转发信息确定为所述目标流量转发设备信息。若不存在,则从所述异常流量中提取五元组信息,并利用所述五元组信息得到所述异常设备信息。可选地,所述发送方标识为发送设备编号;所述流量设备信息的生成过程,包括:获取并解析信息生成指令,得到流量转发设备编号和流量转发设备信息之间的对应关系;利用所述对应关系生成所述流量设备信息。可选地,所述流量设备信息的生成过程,包括:获取各个候选设备对应的设备流量,并将所述设备流量输入分类模型,得到分类结果;将分类结果为流量转发设备的设备流量对应的所述候选设备确定为所述流量转发设备;获取所述流量转发设备对应的设备标识,并利用所述设备标识和流量转发设备信息生成所述流量设备信息。可选地,在得到分类结果之后,还包括:输出所述分类结果,并获取响应于所述分类结果的修正信息;利用所述修正信息调整所述分类结果,得到最终分类结果;相应的,所述将分类结果为流量转发设备的设备流量对应的所述候选设备确定为所述流量转发设备,包括:将最终分类结果为流量转发设备的设备流量对应的所述候选设备确定为所述流量转发设备。可选地,所述从所述流量转发日志中得到异常设备信息,包括:从所述异常流量中提取五元组信息;利用所述五元组信息对所述流量转发日志进行筛选,得到所述异常设备信息。本申请还提供了一种异常设备检测装置,包括:网络地址提取模块,用于获取异常流量,并提取所述异常流量对应的发送方标识;目标设备确定模块,用于利用所述发送方标识筛选所述流量设备信息,得到目标流量转发设备信息,并根据所目标流量转发设备信息确定目标流量转发设备;攻击信息获取模块,用于获取所述目标流量转发设备对应的流量转发日志,并从所述流量转发日志中得到异常设备信息。本申请还提供了一种电子设备,包括存储器和处理器,其中:所述存储器,用于保存计算机程序;所述处理器,用于执行所述计算机程序,以实现上述的异常设备检测方法。本申请还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的异常设备检测方法。本申请提供的异常设备检测方法,获取异常流量,并提取异常流量对应的发送方标识;利用发送方标识筛选流量设备信息,得到目标流量转发设备信息,并根据所目标流量转发设备信息确定目标流量转发设备;获取目标流量转发设备对应的流量转发日志,并从流量转发日志中得到异常设备信息。可见,该方法在获取到异常流量后,提取其对应的发送方标识。若异常流量经过流量转发设备的转发,则其内的发送方标识则为流量转发设被的网络地址。在得到发送方标识后,利用其筛选流量设备信息,流量设备信息中记录了网络中各个流量转发设备的网络地址,通过筛选,可以确定用于转发异常流量的目标流量转发设备。由于目标流量转发设备的工作时会生成相应的日志,其可以记录每一个流量的转发情况,其中包括该流量对应的流量发送方的信息。因此通过获取目标流量转发设备对应的流量转发日志,可以从中提取到异常流量对应的发送方信息,即异常设备信息。该方法不需要异常流量具有有效的Forwarded-For字段,同时无论异常流量是否采用HTTP协议,均可以对其进行检测,因此提高了异常设备检测的能力,改善了异常设备检测的效果,解决了相关技术存在的异常设备检测能力较弱,效果较差的问题。此外,本申请还提供了一种异常设备检测装置、电子设备及计算机可读存储介质,同样具有上述有益效果。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本申请实施例提供的一种异常设备检测方法流程图;图2为本申请实施例提供的一种网络拓扑的结构图;图3为本申请实施例提供的一种异常设备检测装置的结构示意图;图4为本申请实施例提供的一种异常设备检测方法所适用的一种硬件组成框架示意图;图5为本申请实施例提供的另一种异常设备检测方法所适用的一种硬件组成框架示意图。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是本文档来自技高网...
【技术保护点】
1.一种异常设备检测方法,其特征在于,包括:/n获取异常流量,并提取所述异常流量对应的发送方标识;/n利用所述发送方标识筛选所述流量设备信息,得到目标流量转发设备信息,并根据所目标流量转发设备信息确定目标流量转发设备;/n获取所述目标流量转发设备对应的流量转发日志,并从所述流量转发日志中得到异常设备信息。/n
【技术特征摘要】
1.一种异常设备检测方法,其特征在于,包括:
获取异常流量,并提取所述异常流量对应的发送方标识;
利用所述发送方标识筛选所述流量设备信息,得到目标流量转发设备信息,并根据所目标流量转发设备信息确定目标流量转发设备;
获取所述目标流量转发设备对应的流量转发日志,并从所述流量转发日志中得到异常设备信息。
2.根据权利要求1所述的异常设备检测方法,其特征在于,所述发送方标识为待测网络地址;所述利用所述发送方标识筛选所述流量设备信息,得到目标流量转发设备信息,包括:
确定所述待测网络地址所属的网络地址段;
根据所述网络地址段对所述流量设备信息进行过滤,得到初选流量设备信息;
利用所述待测网络地址筛选所述初选流量设备信息,得到所述目标流量转发设备信息。
3.根据权利要求2所述的攻击溯源方法,其特征在于,所述利用所述待测网络地址筛选所述初选流量设备信息,得到所述目标流量转发设备信息,包括:
根据所述待测网络地址在所述网络地址段中的位置,确定检测方向;
根据所述检测方向对所述初选流量设备信息进行匹配检测,判断所述初选流量设备信息中是否存在所述待测网络地址;
若存在,则将所述待测网络地址对应的流量设备转发信息确定为所述目标流量转发设备信息;
若不存在,则从所述异常流量中提取五元组信息,并利用所述五元组信息得到所述异常设备信息。
4.根据权利要求1所述的异常设备检测方法,其特征在于,所述发送方标识为发送设备编号;所述流量设备信息的生成过程,包括:
获取并解析信息生成指令,得到流量转发设备编号和流量转发设备信息之间的对应关系;
利用所述对应关系生成所述流量设备信息。
5.根据权利要求1所述的异常设备检测方法,其特征在于,所述流量设备信息的生成过程,包括:
获取各个候选设备对应的设备流量,并将所述设备流量输...
【专利技术属性】
技术研发人员:张斌,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。