本发明专利技术公开了网络攻击检测方法及装置,属于信息安全技术领域。本发明专利技术能够在内部网络中获取多个终端设备的待检测信息(包括系统数据和web日志数据);通过逐个对每一个待检测信息进行威胁检测,进而获取相应的异常数据;采用聚合分析的方式对全部异常数据的进行深度挖掘分析,进而溯源内部网络中的终端设备受到攻击的路径(异常路径信息),以便于根据该攻击路径对攻击者进行追踪,提升网络安全防御能力。
【技术实现步骤摘要】
网络攻击检测方法及装置
本专利技术涉及信息安全
,尤其涉及一种网络攻击检测方法及装置。
技术介绍
网络攻击是黑客或者病毒木马等对电子设备(如:终端设备)发起的攻击,通过窃取文件等给用户带来了巨大损失。攻击者利用恶意程序对网络及信息系统进行入侵控制,达到窃取敏感数据和破坏系统和网络环境的目的,亟待提高对大型应用场景(如:企业内部网络)中对网络攻击的分析及防御能力。目前,在进行终端设备的系统安全防护时,通常将单一的终端设备的系统攻击事件或web攻击事件进行相关事件的罗列,无法针对同一网络(如:银行内部专用网络,医院内部专用网络等)中所有终端设备的web攻击事件进行统计分析,不能有效的溯源攻击者的攻击路径。针对现有的系统安全防护因缺少对系统攻击事件及web攻击事件的关联分析能力,无法溯源攻击者的攻击路径,导致无法有效进行系统防护的缺陷。因此,提出一种新的网络攻击检测方式已成为安全
亟待解决的技术问题。
技术实现思路
有鉴于此,本专利技术提供一种网络攻击检测方法及装置,主要目的在于能够在内部网络中对多个终端设备的系统攻击事件及web攻击事件进行联合分析,从而获取溯源攻击路径,提升检测网络攻击的能力。本专利技术提供了一种网络攻击检测方法,应用于内部网络,包括:获取所述内部网络中至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;对全部所述异常数据进行聚合分析,生成异常路径信息。优选的,所述分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据,包括:识别每一个所述待检测信息中各个待检测数据的数据类型;根据每一个所述待检测数据的数据类型进行相应的威胁检测,获取所述异常数据。优选的,所述数据类型包括:系统数据类和web数据类;所述系统数据类对应的威胁检测为系统威胁检测,所述web数据类对应的威胁检测为web威胁检测;根据每一个所述待检测数据的数据类型进行相应的威胁检测,获取所述异常数据,包括:对所述系统数据进行系统威胁检测,获取所述异常数据;对所述web日志数据进行web威胁检测,获取所述异常数据。优选的,对所述web日志数据进行web威胁检测,获取所述异常数据,包括:采用第一预设模型检测所述web日志数据是否包括异常数据;当所述web日志数据包括异常数据时,基于所述异常数据生成异常数据的攻击路径信息。优选的,所述对全部所述异常数据进行聚合分析,生成异常路径信息,包括:获取每一个所述异常数据中的访问节点数据及相应的时间数据;根据全部所述时间数据生成时间轴;依据所述时间轴中的所述时间数据,将相应的访问节点数据关联,生成所述异常路径信息。优选的,还包括:识别每一个所述异常数据的威胁级别;基于所述威胁级别标记所述异常路径信息中相应的终端设备的异常数据。优选的,还包括:根据所述异常路径信息生成标识访问节点数据及访问方向的关联分析图像。本专利技术还提供了一种网络攻击检测装置,应用于内部网络,包括:获取单元,用于获取所述内部网络中至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;检测单元,用于分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;分析单元,用于对全部所述异常数据进行聚合分析,生成异常路径信息。本专利技术还提供了一种计算机设备,所述计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。本专利技术还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。本专利技术提供一种网络攻击检测方法及装置,能够获取内部网络中多个终端设备的待检测信息(包括系统数据和web日志数据);通过逐个对每一个待检测信息进行威胁检测,进而获取相应的异常数据;采用聚合分析的方式对全部异常数据的进行深度挖掘分析,进而溯源内部网络中的终端设备受到攻击的路径(异常路径信息),以便于根据该攻击路径对攻击者进行追踪,提升网络安全防御能力。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术网络攻击检测装置的一种实施例的架构图;图2示出了本专利技术实施例一所述的网络攻击检测方法的流程图;图3示出了本专利技术获取异常数据的一种实施例的流程图;图4示出了本专利技术根据每一个待检测数据的数据类型进行相应的威胁检测的一种实施例的流程图;图5示出了本专利技术生成异常路径信息的一种实施例的流程图;图6示出了本专利技术实施例二所述的网络攻击检测方法的流程图;图7示出了本专利技术实施例三所述的网络攻击检测方法的流程图;图8示出了本专利技术所述的网络攻击检测装置的一种实施例的模块图;图9示出了本专利技术检测单元内部的一种实施例的模块图;图10示出了本专利技术分析单元内部的一种实施例的模块图;图11示出了本专利技术计算机设备的一个实施例的硬件架构图。具体实施方式以下结合附图与具体实施例进一步阐述本专利技术的优点。这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本公开可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。在本专利技术的描述中,需要理解的是,步骤前的数字标号并不标识执行步骤的前后顺序,仅用于方便描述本专利技术及区别每一步骤,因此不能理解为对本专利技术的本文档来自技高网...
【技术保护点】
1.一种网络攻击检测方法,其特征在于,应用于内部网络,包括:/n获取所述内部网络中至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;/n分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;/n对全部所述异常数据进行聚合分析,生成异常路径信息。/n
【技术特征摘要】
1.一种网络攻击检测方法,其特征在于,应用于内部网络,包括:
获取所述内部网络中至少一个终端设备的待检测信息,所述待检测信息包括系统数据和web日志数据;
分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据;
对全部所述异常数据进行聚合分析,生成异常路径信息。
2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述分别对每一个所述待检测信息进行威胁检测,获取相应的异常数据,包括:
识别每一个所述待检测信息中各个待检测数据的数据类型;
根据每一个所述待检测数据的数据类型进行相应的威胁检测,获取所述异常数据。
3.根据权利要求2所述的网络攻击检测方法,其特征在于,所述数据类型包括:系统数据类和web数据类;所述系统数据类对应的威胁检测为系统威胁检测,所述web数据类对应的威胁检测为web威胁检测;
根据每一个所述待检测数据的数据类型进行相应的威胁检测,获取所述异常数据,包括:
对所述系统数据进行系统威胁检测,获取所述异常数据;
对所述web日志数据进行web威胁检测,获取所述异常数据。
4.根据权利要3所述的网络攻击检测方法,其特征在于,对所述web日志数据进行web威胁检测,获取所述异常数据,包括:
采用第一预设模型检测所述web日志数据是否包括异常数据;
当所述web日志数据包括异常数据时,基于所述异常数据生成异常数据的攻击路径信息。
5.根据权利要求1所述的网络...
【专利技术属性】
技术研发人员:龚玉山,黎健欣,张鑫,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。