【技术实现步骤摘要】
基于网络空间靶场的流量监测方法、装置、设备和介质
[0001]本公开涉及网络安全领域,特别是涉及基于网络空间靶场的流量监测方法、装置、设备和介质。
技术介绍
[0002]流量数据是用于分析发生在网络空间靶场中的网络安全事件的重要组成部分。为了保证流量可以正确且完整的被采集到,需要对流量进行监测,以保证流量采集与存储设备状态正常。
[0003]现有技术中,一般是通过对网络空间靶场的流量采集设备与流量镜像设备的流量采集配置状态的监控,来监测网络流量数据。但是,由于网络空间靶场的节点数量庞大、拓扑关联复杂,即使某些采集节点失效或者部分上下行网络受阻,流量采集设备依旧可以通过未失效的节点与未受阻的网络连接采集到流量数据。所以利用这种方式监测到的流量数据可能不是完整的,因此也无法代表整个网络空间靶场中的流量采集与存储设备状态正常。因此,现有技术中的流量监测方法无法准确地反映网络空间靶场中流量采集与存储设备是否存在异常。
技术实现思路
[0004]本公开实施例提供了基于网络空间靶场的流量监测方法、装置、设备和介质...
【技术保护点】
【技术特征摘要】
1.一种基于网络空间靶场的流量监测方法,其特征在于,包括:从所述网络空间靶场的安全事件数据库中获取网络安全事件;获取所述网络安全事件的特征数据;基于所述特征数据,在所述网络空间靶场的流量数据库中查询所述网络安全事件对应的流量数据,其中,所述流量数据库存储了所述网络安全事件在所述网络空间靶场中发生的全流量镜像数据。2.根据权利要求1所述的流量监测方法,其特征在于,所述从所述网络空间靶场的安全事件数据库中获取网络安全事件,包括:确定监测周期与监测时长;按照所述监测周期,根据所述监测时长确定监测时间区间;从所述网络空间靶场的所述安全事件数据库中,随机抽取预定数目个在所述监测时间区间发生的所述网络安全事件。3.根据权利要求1所述的流量监测方法,其特征在于,所述特征数据包含所述网络安全事件发生的源地址、源端口、目标地址、目标端口、虚拟局域网标识、与时间戳。4.根据权利要求3所述的流量监测方法,其特征在于,所述流量数据库中包含多个流量接口,每个所述流量接口对应于一个所述网络安全事件;每一个所述流量接口中包含流量开始时间、流量结束时间、流量参数组,所述流量参数组中包含流量虚拟局域网标识、流量源地址、流量源端口、流量目标地址、流量目标端口;所述基于所述特征数据,在所述网络空间靶场的流量数据库中查询所述网络安全事件对应的流量数据,包括:基于所述流量开始时间、流量结束时间、与所述时间戳,在所述流量数据库中确定候选流量端口;基于所述源地址与所述流量源地址的匹配关系、所述源端口与所述流量源端口的匹配关系、所述目标地址与所述流量目标地址的匹配关系、所述目标端口与所述流量目标端口的匹配关系、所述虚拟局域网标识与所述流量虚拟局域网标识的匹配关系,在所述候选流量端口中确定所述网络安全事件对应的目标流量端口;由所述目标流量接口返回所述网络安全事件的所述流量数据。5.根据权利要求3所述的流量监测方法,其特征在于,所述网络安全事件包含事件标识;所述特征数据包含正向特征数据、与逆向特征数据;所述获取所述网络安全事件的特征数据,包括:根据所述事件标识在所述安全事件数据库中调取所述网络安全事件的所述源地址、所述源端口、所述目标地址、所述目标端口、所述虚拟局域网标识、与所述时间戳;将所述源地址、所述源端口、所述目标地址、所述目标端口、所述虚拟局域网标识、与所述时间戳组合成为所述正向特征数据;将所述目标地址作为逆向源地址,将所述目标端口作为逆向源端口,将所述源地址作为逆向目标地址,将所述源端口作为逆向目标端口;将所述逆向源地址、所述逆向源端口、所述逆向目标地址、与所述逆向目标端口、所述虚拟局域网标识、与所述时间戳组合成为所述逆向特征数据。
6.根据权利要求5所述的流量监测方法,其特征在...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。