本申请提供一种网络攻击的实时过滤方法及装置。所述方法包括:根据预先构建的待检测网络攻击事件的关键步骤预先确定日志过滤条件,再根据日志过滤条件所对应的日志过滤流程预先构建过滤分析检测模型,然后利用过滤分析检测模型实时对结构化的各个待处理行为日志进行过滤分析检测,得到待处理行为日志的检测结果。整个过程主要依靠待检测网络攻击事件的关键步骤来进行网络攻击检测,不仅使得网络攻击检测不受威胁事件是否提前已知的限制,能够有效检测威胁事件变种或异常流量等攻击,而且可以实时发现第一台被攻击的资产主机产生的异常行为日志,防止此类网络攻击通过局域网在多个资产设备间继续扩散,从而可以极大地减小网络攻击所引起的损失。网络攻击所引起的损失。网络攻击所引起的损失。
【技术实现步骤摘要】
一种网络攻击的实时过滤方法及装置
[0001]本申请涉及计算机安全
,特别涉及一种网络攻击的实时过滤方法及装置。
技术介绍
[0002]随着云计算、大数据等新一代IT技术在各行业的深入应用,政企机构IT规模和复杂程度不断提高,网络流量、日志等各类数据规模大幅提升。与此同时,网络攻防日益激烈,网络攻击的技术方法也演变了多种多样,例如:跨站脚本攻击(XSS)、跨站点请求伪造(CRSF)、注入攻击、文件上传漏洞、Web框架漏洞等。通常此类网络攻击会隐匿在正常使用需求过程中开展,即网络攻击产生的行为日志会分散在不同类型的主机上,并且隐藏于其他正常行为日志中。为了对网络进行更好地防护,需要对网络攻击进行及时检测。
[0003]现有的网络安全防护主要采用防火墙、WAF(Web Application Firewall,网站应用级入侵防御系统)、IPS(Intrusion Prevention System,入侵防御系统)等传统意义的安全防护软硬件设备,并利用安全领域防护特征、签名的检测技术来检测网络攻击。但是这种检测方式只能检测已知威胁事件,针对威胁事件变种或者异常流量等攻击就会束手无策,从而造成此类网络攻击会通过局域网在多个资产设备间迅速扩散,引起较大的损失。
技术实现思路
[0004]本申请提供了一种网络攻击的实时过滤方法及装置,可用于解决现有检测方式只能检测已知威胁事件,针对威胁事件变种或者异常流量等攻击就会束手无策的技术问题。
[0005]第一方面,本申请实施例提供一种网络攻击的实时过滤方法,所述方法包括:
[0006]获取全网各个资产实时生成的行为日志;
[0007]将所述行为日志泛化为结构化的待处理行为日志;
[0008]将所述待处理行为日志输入预先构建的过滤分析检测模型中进行日志过滤分析检测,得到所述待处理行为日志的检测结果;所述过滤分析检测模型用于执行日志过滤条件所对应的日志过滤流程,所述日志过滤条件是根据预先构建的待检测网络攻击事件的关键步骤确定的。
[0009]结合第一方面,在第一方面的一种可实现方式中,所述待检测网络攻击事件的关键步骤通过以下方式预先构建:
[0010]根据安全领域防护特征、特征结构的量化和待检测网络攻击事件所引发的各个行为日志的数据特征,使用逆向工程的方法确定待检测网络攻击事件的入侵场景;
[0011]根据所述待检测网络攻击事件的入侵场景,提取待检测网络攻击事件的关键步骤。
[0012]结合第一方面,在第一方面的一种可实现方式中,所述过滤分析检测模型通过以下方式建立:
[0013]根据所述待检测网络攻击事件的关键步骤和预设检测规则,生成DSL模式的日志
过滤条件;
[0014]从所述DSL模式的日志过滤条件中获取EPL过滤语句;
[0015]使用分词器算法将所述EPL过滤语句中的关键条件拆分为多个关键字符;
[0016]根据多个关键字符,生成所述关键条件所对应的抽象语法树;
[0017]根据所述抽象语法树生成所述日志过滤条件所对应的日志过滤流程;
[0018]根据所述日志过滤流程得到过滤分析检测模型。
[0019]结合第一方面,在第一方面的一种可实现方式中,所述将所述待处理行为日志输入预先构建的过滤分析检测模型中进行日志过滤分析检测,得到所述待处理行为日志的检测结果,包括:
[0020]将所述待处理行为日志转换为KEY
‑
VALUE数据结构,得到转换后的数据;
[0021]从所述转换后的数据中获取待处理条件;
[0022]使用所述分词器算法将所述待处理条件拆分为多个待处理字符;
[0023]对多个待处理字符执行所述日志过滤流程,生成所述待处理行为日志的检测结果。
[0024]结合第一方面,在第一方面的一种可实现方式中,所述对多个待处理字符执行所述日志过滤流程,生成所述待处理行为日志的检测结果,包括:
[0025]依次将各个待处理字符与各个关键字符进行比较;
[0026]如果所有待处理字符与所有关键字符完全一致,则生成所述待处理行为日志为所述待检测网络攻击事件所引发的异常日志的结果。
[0027]结合第一方面,在第一方面的一种可实现方式中,还包括:
[0028]如果所有待处理字符与所有关键字符不完全一致,则生成所述待处理行为日志为正常日志的结果;
[0029]丢弃各个检测结果为正常日志的待处理行为日志。
[0030]结合第一方面,在第一方面的一种可实现方式中,所述获取全网各个资产实时生成的行为日志,包括:
[0031]利用监听网卡获取全网各个资产实时生成的行为日志。
[0032]第二方面,本申请实施例提供一种网络攻击的实时过滤装置,所述装置包括:
[0033]行为日志实时获取模块,用于获取全网各个资产实时生成的行为日志;
[0034]结构化处理模块,用于将所述行为日志泛化为结构化的待处理行为日志;
[0035]过滤分析检测模块,用于将所述待处理行为日志输入预先构建的过滤分析检测模型中进行日志过滤分析检测,得到所述待处理行为日志的检测结果;所述过滤分析检测模型用于执行日志过滤条件所对应的日志过滤流程,所述日志过滤条件是根据预先构建的待检测网络攻击事件的关键步骤确定的。
[0036]结合第二方面,在第二方面的一种可实现方式中,所述待检测网络攻击事件的关键步骤通过以下方式预先构建:
[0037]根据安全领域防护特征、特征结构的量化和待检测网络攻击事件所引发的各个行为日志的数据特征,使用逆向工程的方法确定待检测网络攻击事件的入侵场景;
[0038]根据所述待检测网络攻击事件的入侵场景,提取待检测网络攻击事件的关键步骤。
[0039]结合第二方面,在第二方面的一种可实现方式中,所述过滤分析检测模型通过以下方式建立:
[0040]根据所述待检测网络攻击事件的关键步骤和预设检测规则,生成DSL模式的日志过滤条件;
[0041]从所述DSL模式的日志过滤条件中获取EPL过滤语句;
[0042]使用分词器算法将所述EPL过滤语句中的关键条件拆分为多个关键字符;
[0043]根据多个关键字符,生成所述关键条件所对应的抽象语法树;
[0044]根据所述抽象语法树生成所述日志过滤条件所对应的日志过滤流程;
[0045]根据所述日志过滤流程得到过滤分析检测模型。
[0046]结合第二方面,在第二方面的一种可实现方式中,所述过滤分析检测模块包括:
[0047]转换子模块,用于将所述待处理行为日志转换为KEY
‑
VALUE数据结构,得到转换后的数据;
[0048]条件获取子模块,用于从所述转换后的数据中获取待处理条件;
[0049]分词子模块,用于使用所述分词器算法将所述待处理条件拆分为多个待处理字符;
[0050]日本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击的实时过滤方法,其特征在于,所述方法包括:获取全网各个资产实时生成的行为日志;将所述行为日志泛化为结构化的待处理行为日志;将所述待处理行为日志输入预先构建的过滤分析检测模型中进行日志过滤分析检测,得到所述待处理行为日志的检测结果;所述过滤分析检测模型用于执行日志过滤条件所对应的日志过滤流程,所述日志过滤条件是根据预先构建的待检测网络攻击事件的关键步骤确定的。2.根据权利要求1所述的方法,其特征在于,所述待检测网络攻击事件的关键步骤通过以下方式预先构建:根据安全领域防护特征、特征结构的量化和待检测网络攻击事件所引发的各个行为日志的数据特征,使用逆向工程的方法确定待检测网络攻击事件的入侵场景;根据所述待检测网络攻击事件的入侵场景,提取待检测网络攻击事件的关键步骤。3.根据权利要求2所述的方法,其特征在于,所述过滤分析检测模型通过以下方式建立:根据所述待检测网络攻击事件的关键步骤和预设检测规则,生成DSL模式的日志过滤条件;从所述DSL模式的日志过滤条件中获取EPL过滤语句;使用分词器算法将所述EPL过滤语句中的关键条件拆分为多个关键字符;根据多个关键字符,生成所述关键条件所对应的抽象语法树;根据所述抽象语法树生成所述日志过滤条件所对应的日志过滤流程;根据所述日志过滤流程得到过滤分析检测模型。4.根据权利要求3所述的方法,其特征在于,所述将所述待处理行为日志输入预先构建的过滤分析检测模型中进行日志过滤分析检测,得到所述待处理行为日志的检测结果,包括:将所述待处理行为日志转换为KEY
‑
VALUE数据结构,得到转换后的数据;从所述转换后的数据中获取待处理条件;使用所述分词器算法将所述待处理条件拆分为多个待处理字符;对多个待处理字符执行所述日志过滤流程,生成所述待处理行为日志的检测结果。5.根据权利要求4所述的方法,其特征在于,所述对多个待处理字符执行所述日志过滤流程,生成所述待处理行为日志的检测结果,包括:依次将各个待...
【专利技术属性】
技术研发人员:张洋,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。