【技术实现步骤摘要】
基于内网流量的入侵检测与防御方法、装置、设备及介质
[0001]本专利技术涉及计算机技术
,特别涉及基于内网流量的入侵检测与防御方法、装置、设备及介质。
技术介绍
[0002]当前,互联网飞速发展,网络安全成为一个热门话题,在攻防的博弈上各展拳脚。入侵检测和防御作为一种事后攻击防御手段,弥补了例如防火墙、WAF(Web Application Firewall,Web应用防护系统)等事前防御产品的不足之处,提供了多种进程监控、资源使用等方法及时告警入侵事件,但是已有的依赖Agent实现进程状态、资源使用等指标监控做到入侵检测的方法,对设备入侵性较高。
[0003]现有方法中,有的通过提取流量指纹信息,然后根据预设的恶意指纹库和指纹信息判断是否存在失陷。包含流量获取单元、指纹提取单元、判断单元、确定单元、标记单元。该方法的技术要点在于指纹库,但没有公布指纹库的内容细节,而且只能做到判断失陷主机是哪个。
[0004]综上所述,如何降低进行入侵检测和防御过程中的设备入侵性并提高精确度是当前亟待解决的问题。
【技术保护点】
【技术特征摘要】
1.一种基于内网流量的入侵检测与防御方法,其特征在于,包括:获取若干主机对应的若干流量报文文件,并对所述流量报文文件进行解析得到不同维度的特征信息;获取为所述主机设置的预设风险判断规则和风险处置规则,并在预设学习周期内调整所述预设风险判断规则,直至所述预设学习周期结束得到目标风险判断规则;基于所述目标风险判断规则,并根据所述特征信息判断相应的所述主机对应的目标风险等级;基于所述风险处置规则,并根据所述目标风险等级确定相应的所述主机对应的目标处置方式,然后基于所处目标处置方式对相应的所述主机进行处置。2.根据权利要求1所述的基于内网流量的入侵检测与防御方法,其特征在于,所述在预设学习周期内调整所述预设风险判断规则,直至所述预设学习周期结束得到目标风险判断规则,包括:基于所述预设风险判断规则,并根据所述特征信息判断所述主机的参考风险等级;基于目标信息构建参考告警信息;所述目标信息包括表示所述主机的所述主机标识、所述参考风险等级和将所述主机判断为所述参考风险等级的所述预设风险判断规则中的参考规则;获取客户端对所述告警信息是否误报的判断结果,根据所述判断结果对所述参考规则做出调整得到新的所述预设风险判断规则,然后跳转至所述基于所述预设风险判断规则的步骤,直至所述预设学习周期结束得到目标风险判断规则。3.根据权利要求2所述的基于内网流量的入侵检测与防御方法,其特征在于,所述预设风险判断规则包括若干所述参考规则;所述参考规则为规定同一所述主机对应的不同维度的所述特征信息的一种特征组合的目标情况满足预设条件时对应的风险。4.根据权利要求3所述的基于内网流量的入侵检测与防御方法,其特征在于,所述根据所述判断结果对所述参考规则做出调整得到新的所述预设风险判断规则,包括:确定所述判断结果中所述误报的目标占比;若所述目标占比与预设占比不同,则调整所述参考规则对应的所述特征组合的所述预设阈值,以得到新的所述预设风险判断规则。5.根据权利要求1所述的基于内网流量的入侵检测与防御方法,其特征在于,所述特征信息包括所述流量报文文件对应的源MAC、源IP、报文类型、报文大小和报文时间...
【专利技术属性】
技术研发人员:刘旭,范如,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。