【技术实现步骤摘要】
一种网络攻击的实时过滤方法及装置
[0001]本申请涉及计算机安全
,特别涉及一种网络攻击的实时过滤方法及装置。
技术介绍
[0002]随着云计算、大数据等新一代IT技术在各行业的深入应用,政企机构IT规模和复杂程度不断提高,网络流量、日志等各类数据规模大幅提升。与此同时,网络攻防日益激烈,网络攻击的技术方法也演变了多种多样,例如:跨站脚本攻击(XSS)、跨站点请求伪造(CRSF)、注入攻击、文件上传漏洞、Web框架漏洞等。通常此类网络攻击会隐匿在正常使用需求过程中开展,即网络攻击产生的行为日志会分散在不同类型的主机上,并且隐藏于其他正常行为日志中。为了对网络进行更好地防护,需要对网络攻击进行及时检测。
[0003]现有的网络安全防护主要采用防火墙、WAF(Web Application Firewall,网站应用级入侵防御系统)、IPS(Intrusion Prevention System,入侵防御系统)等传统意义的安全防护软硬件设备,并利用安全领域防护特征、签名的检测技术来检测网络攻击。但是这种检测方式只...
【技术保护点】
【技术特征摘要】
1.一种网络攻击的实时过滤方法,其特征在于,所述方法包括:获取全网各个资产实时生成的行为日志;将所述行为日志泛化为结构化的待处理行为日志;将所述待处理行为日志输入预先构建的过滤分析检测模型中进行日志过滤分析检测,得到所述待处理行为日志的检测结果;所述过滤分析检测模型用于执行日志过滤条件所对应的日志过滤流程,所述日志过滤条件是根据预先构建的待检测网络攻击事件的关键步骤确定的。2.根据权利要求1所述的方法,其特征在于,所述待检测网络攻击事件的关键步骤通过以下方式预先构建:根据安全领域防护特征、特征结构的量化和待检测网络攻击事件所引发的各个行为日志的数据特征,使用逆向工程的方法确定待检测网络攻击事件的入侵场景;根据所述待检测网络攻击事件的入侵场景,提取待检测网络攻击事件的关键步骤。3.根据权利要求2所述的方法,其特征在于,所述过滤分析检测模型通过以下方式建立:根据所述待检测网络攻击事件的关键步骤和预设检测规则,生成DSL模式的日志过滤条件;从所述DSL模式的日志过滤条件中获取EPL过滤语句;使用分词器算法将所述EPL过滤语句中的关键条件拆分为多个关键字符;根据多个关键字符,生成所述关键条件所对应的抽象语法树;根据所述抽象语法树生成所述日志过滤条件所对应的日志过滤流程;根据所述日志过滤流程得到过滤分析检测模型。4.根据权利要求3所述的方法,其特征在于,所述将所述待处理行为日志输入预先构建的过滤分析检测模型中进行日志过滤分析检测,得到所述待处理行为日志的检测结果,包括:将所述待处理行为日志转换为KEY
‑
VALUE数据结构,得到转换后的数据;从所述转换后的数据中获取待处理条件;使用所述分词器算法将所述待处理条件拆分为多个待处理字符;对多个待处理字符执行所述日志过滤流程,生成所述待处理行为日志的检测结果。5.根据权利要求4所述的方法,其特征在于,所述对多个待处理字符执行所述日志过滤流程,生成所述待处理行为日志的检测结果,包括:依次将各个待...
【专利技术属性】
技术研发人员:张洋,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。