流量处理方法及装置、电子设备和计算机可读存储介质制造方法及图纸

本发明专利技术提出了一种流量处理方法及装置、电子设备和计算机可读存储介质，应用于流量检测技术领域，该方法包括：获取针对目标应用中目标会话的流量特征信息；若所述目标会话为异常流量，则基于所述流量特征信息和异常流量处理模型，生成异常流量处理策略。通过本发明专利技术的技术方案，有助于及时、快速地应对异常流量，维护了web应用的安全，提升了网络安全水平。提升了网络安全水平。提升了网络安全水平。

【技术实现步骤摘要】
流量处理方法及装置、电子设备和计算机可读存储介质


[0001]本专利技术涉及流量检测
，尤其涉及一种流量处理方法及装置、电子设备和计算机可读存储介质。

技术介绍

[0002]随着web技术的持续发展，web应用也面临大量的流量攻击，为应对这些攻击，保护网络安全，现有的防护体系内针对特定流量攻击设置防护规则，当检测到特定流量攻击时可采用对应的规则对其进行应对。
[0003]然而，web应用可能遭受的流量攻击多种多样，现有防护体系内的防护规则有限，若采用人工方式增加防护规则，则只能在被流量攻击后进行，不利于网络安全的维护，且人工设置规则的方式费时费力。故现有的防护体系无法及时有效应对复杂多变的网络威胁。
[0004]因此，如何及时有效地应对web应用的异常流量，成为目前亟待解决的技术问题。

技术实现思路

[0005]本专利技术实施例提供了一种流量处理方法及装置、电子设备和计算机可读存储介质，旨在解决相关技术中web应用的现有防护体系无法及时有效应对复杂多变的异常流量攻击的技术问题。
[0006]第一方面，本专利技术实施例提供了一种流量处理方法，包括：获取针对目标应用中目标会话的流量特征信息；若所述目标会话为异常流量，则基于所述流量特征信息和异常流量处理模型，生成异常流量处理策略。
[0007]在本专利技术上述实施例中，可选地，所述流量特征信息包括：本地IP地址、本地端口、外部IP地址、外部端口、传输层协议、请求数据类型、端口请求次数、端口成功访问次数和流量大小中的一项或多项。
[0008]在本专利技术上述实施例中，可选地，生成所述异常流量处理模型，包括：获取样本会话的流量特征信息；确定所述样本会话所属应用，获取所述应用的应用特征信息，确定所述应用特征信息的异常流量处理策略；基于所述样本会话的流量特征信息和所述应用特征信息的异常流量处理策略，生成所述异常流量处理模型。
[0009]在本专利技术上述实施例中，可选地，所述获取所述应用的应用特征信息，确定所述应用特征信息的异常流量处理策略，包括：获取所述应用的应用特征信息，所述应用特征信息包括框架文件的文件名称和访问路径；基于所述框架文件的文件名称和访问路径，获取所述框架文件的哈希值；根据所述哈希值，确定所述框架文件对应的应用框架；在预定规则库中，获取所述应用框架对应的预定漏洞处理规则，作为所述应用特征信息的异常流量处理策略；或者；在预定规则库中，获取所述应用框架发生所述样本会话时的预定漏洞处理规则，作为所述应用特征信息的异常流量处理策略。
[0010]在本专利技术上述实施例中，可选地，还包括：在获取所述目标会话的流量特征信息后，获取针对所述目标应用的外部IP地址所对应的IP信誉度；当所述IP信誉度小于指定阈
值时，确定所述目标会话为异常流量。
[0011]在本专利技术上述实施例中，可选地，还包括：当所述IP信誉度大于或等于指定阈值时，基于所述目标会话所属应用的应用特征信息以及所述目标会话的流量特征信息，确定所述目标会话的行为信息是否与预设的会话安全基线相匹配；若所述目标会话的行为信息与预设的会话安全基线相匹配，执行所述若所述目标会话为异常流量，则基于所述流量特征信息和异常流量处理模型，生成异常流量处理策略的步骤；若所述目标会话的行为信息与预设的会话安全基线不匹配，在所述预设规则库中具有与所述目标会话相匹配的目标规则时，以所述目标规则作为所述目标会话的异常流量处理策略，否则，执行所述若所述目标会话为异常流量，则基于所述流量特征信息和异常流量处理模型，生成异常流量处理策略的步骤。
[0012]在本专利技术上述实施例中，可选地，还包括：在所述预设规则库中不具有与所述目标会话相匹配的目标规则时，为所述目标会话生成异常流量处理策略后，将所述异常流量处理策略设置为所述目标会话对应的新增目标规则。
[0013]第二方面，本专利技术实施例提供了一种流量处理装置，包括：流量特征获取单元，用于获取针对目标应用中目标会话的流量特征信息；处理策略确定单元，用于若所述目标会话为异常流量，则基于所述流量特征信息和异常流量处理模型，生成异常流量处理策略。
[0014]在本专利技术上述实施例中，可选地，所述流量特征信息包括：本地IP地址、本地端口、外部IP地址、外部端口、传输层协议、请求数据类型、端口请求次数、端口成功访问次数和流量大小中的一项或多项。
[0015]在本专利技术上述实施例中，可选地，还包括：模型训练单元，用于获取样本会话的流量特征信息；确定所述样本会话所属应用，获取所述应用的应用特征信息，确定所述应用特征信息的异常流量处理策略；基于所述样本会话的流量特征信息和所述应用特征信息的异常流量处理策略，生成所述异常流量处理模型。
[0016]在本专利技术上述实施例中，可选地，所述模型训练单元用于：获取所述应用的应用特征信息，所述应用特征信息包括框架文件的文件名称和访问路径；基于所述框架文件的文件名称和访问路径，获取所述框架文件的哈希值；根据所述哈希值，确定所述框架文件对应的应用框架；在预定规则库中，获取所述应用框架对应的预定漏洞处理规则，作为所述应用特征信息的异常流量处理策略；或者；在预定规则库中，获取所述应用框架发生所述样本会话时的预定漏洞处理规则，作为所述应用特征信息的异常流量处理策略。
[0017]本专利技术上述实施例中，可选地，还包括：信誉度获取单元，用于在获取所述目标会话的流量特征信息后，获取针对所述目标应用的外部IP地址所对应的IP信誉度；第一执行单元，用于当所述IP信誉度小于指定阈值时，确定所述目标会话为异常流量。
[0018]在本专利技术上述实施例中，可选地，还包括：第二执行单元，用于当所述IP信誉度大于或等于指定阈值时，基于所述目标会话所属应用的应用特征信息以及所述目标会话的流量特征信息，确定所述目标会话的行为信息是否与预设的会话安全基线相匹配；第三执行单元，用于若所述目标会话的行为信息与预设的会话安全基线相匹配，执行所述若所述目标会话为异常流量，则基于所述流量特征信息和异常流量处理模型，生成异常流量处理策略的步骤；第四执行单元，用于若所述目标会话的行为信息与预设的会话安全基线不匹配，在所述预设规则库中具有与所述目标会话相匹配的目标规则时，以所述目标规则作为所述
目标会话的异常流量处理策略，否则，执行所述若所述目标会话为异常流量，则基于所述流量特征信息和异常流量处理模型，生成异常流量处理策略的步骤。
[0019]在本专利技术上述实施例中，可选地，还包括：第五执行单元，用于在所述预设规则库中不具有与所述目标会话相匹配的目标规则时，为所述目标会话生成异常流量处理策略后，将所述异常流量处理策略设置为所述目标会话对应的新增目标规则。
[0020]第三方面，本专利技术实施例提供了一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被设置为用于执行上述第一方面中任一项所述的方法。
[0021]第四方面，本专利技术实本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种流量处理方法，其特征在于，包括：获取针对目标应用中目标会话的流量特征信息；若所述目标会话为异常流量，则基于所述流量特征信息和异常流量处理模型，生成异常流量处理策略。2.根据权利要求1所述的流量处理方法，其特征在于，所述流量特征信息包括：本地IP地址、本地端口、外部IP地址、外部端口、传输层协议、请求数据类型、端口请求次数、端口成功访问次数和流量大小中的一项或多项。3.根据权利要求1所述的流量处理方法，其特征在于，生成所述异常流量处理模型，包括：获取样本会话的流量特征信息；确定所述样本会话所属应用，获取所述应用的应用特征信息，确定所述应用特征信息的异常流量处理策略；基于所述样本会话的流量特征信息和所述应用特征信息的异常流量处理策略，生成所述异常流量处理模型。4.根据权利要求3中任一项所述的流量处理方法，其特征在于，所述获取所述应用的应用特征信息，确定所述应用特征信息的异常流量处理策略，包括：获取所述应用的应用特征信息，所述应用特征信息包括框架文件的文件名称和访问路径；基于所述框架文件的文件名称和访问路径，获取所述框架文件的哈希值；根据所述哈希值，确定所述框架文件对应的应用框架；在预定规则库中，获取所述应用框架对应的预定漏洞处理规则，作为所述应用特征信息的异常流量处理策略；或者；在预定规则库中，获取所述应用框架发生所述样本会话时的预定漏洞处理规则，作为所述应用特征信息的异常流量处理策略。5.根据权利要求2所述的流量处理方法，其特征在于，还包括：在获取所述目标会话的流量特征信息后，获取针对所述目标应用的外部IP地址所对应的IP信誉度；当所述IP信誉度小于指定阈值时，确定所述目标会话为异常流量。6.根据权利要求5...

【专利技术属性】
技术研发人员：李炳嘉，李柏松，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：