本发明专利技术的实施例提供了一种窃密检测方法装置、电子设备及存储介质,涉及网络数据安全技术领域。所述方法包括:从监控流日志数据库中获取预设时间段内的监控流日志,所述监控流日志包括多个网络地址,所述网络地址包括源地址。分别对源地址相同的所述监控流日志进行聚合,得到多个聚合日志。根据目标聚合日志确定策略,从多个所述聚合日志中确定出至少一个第一目标聚合日志。判断所述第一目标聚合日志在所述预设时间段内的流量大小是否大于预设流量阈值。若是,则判定发生第一类型窃密行为。本发明专利技术可以快速并方便地检测出目标网络中是否发生窃密行为,进而提高了用户网络的安全性。进而提高了用户网络的安全性。进而提高了用户网络的安全性。
【技术实现步骤摘要】
一种窃密检测方法装置、电子设备及存储介质
[0001]本专利技术涉及网络数据安全
,具体而言,涉及一种窃密检测方法装置、电子设备及存储介质。
技术介绍
[0002]随着大数据时代的到来,网络流量变得越来越庞大和复杂,与此同时,网络安全的重要性也越来越高。许多网络攻击均会对计算机等设备的重要信息进行窃取,因此,需要采取有效措施来保护这些重要信息的安全,例如对网络流量进行异常检测。
[0003]然而,传统的网络流量异常检测往往需要消耗大量的时间和计算机资源。
技术实现思路
[0004]本专利技术的目的包括,例如,提供了一种窃密检测方法装置、电子设备及存储介质,其能够至少部分解决上述技术问题。
[0005]本专利技术的实施例可以这样实现:
[0006]第一方面,本专利技术实施例提供了一种窃密检测方法,所述方法包括:
[0007]从监控流日志数据库中获取预设时间段内的监控流日志,所述监控流日志包括多个网络地址,所述网络地址包括源地址;
[0008]分别对源地址相同的所述监控流日志进行聚合,得到多个聚合日志;
[0009]根据目标聚合日志确定策略,从多个所述聚合日志中确定出至少一个第一目标聚合日志;
[0010]判断所述第一目标聚合日志在所述预设时间段内的流量大小是否大于预设流量阈值;若是,则判定发生第一类型窃密行为。
[0011]可选地,所述网络地址还包括目的地址,所述源地址包括端口服务类型,所述根据目标聚合日志确定策略,从多个所述聚合日志中确定出至少一个第一目标聚合日志,包括:
[0012]从所述聚合日志中确定出源地址的归属地为境内、且目的地址的归属地为境外的监控流日志,得到可疑监控流日志;
[0013]基于主动探测,从所述可疑监控流日志中确定出端口服务类型为目标端口服务类型的可疑监控流日志,作为所述第一目标聚合日志。
[0014]可选地,所述源地址还包括端口号,所述方法还包括:
[0015]调用目标端口号集合,所述目标端口号集合包括多个目标端口号;
[0016]基于所述目标端口号集合,判断所述第一目标聚合日志中是否存在端口号为所述目标端口号的第二目标聚合日志;
[0017]若是,则判定发生第二类型窃密行为。
[0018]可选地,所述方法还包括:
[0019]接收目标端口号更新指令;
[0020]基于所述目标端口号更新指令,对所述目标端口号集合更新。
[0021]可选地,所述方法还包括:
[0022]若仅发生第一类型窃密行为,则生成第一类报警日志;
[0023]若发生第二类窃密行为,则同时生成所述第一类报警日志以及第二类报警日志;
[0024]发送所述第一类报警日志和/或所述第二类报警日志至用户端。
[0025]可选地,所述目标端口服务类型包括邮箱类型、FTP服务器类型以及数据库服务器类型。
[0026]可选地,在所述从监控流日志数据库中获取预设时间段内的监控流日志之前,所述方法还包括:
[0027]基于采集器实时采集目标网络中的监控流日志;
[0028]将采集到的所述监控流日志存入所述监控流日志数据库。
[0029]第二方面,本专利技术实施例提供了一种窃密检测装置,所述窃密检测装置包括:
[0030]监控流日志获取单元,用于从监控流日志数据库中获取预设时间段内的监控流日志,所述监控流日志包括多个网络地址,所述网络地址包括源地址;
[0031]监控流日志聚合单元,用于分别对源地址相同的所述监控流日志进行聚合,得到多个聚合日志;
[0032]第一目标聚合日志确定单元,用于根据目标聚合日志确定策略,从多个所述聚合日志中确定出至少一个第一目标聚合日志;
[0033]判断单元,用于判断所述第一目标聚合日志在所述预设时间段内的流量大小是否大于预设流量阈值;若是,则判定发生第一类型窃密行为。
[0034]第三方面,本专利技术实施例提供了一种电子设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一项所述方法的步骤。
[0035]第四方面,本专利技术实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在服务器实现上述任一项所述方法的步骤。
[0036]本专利技术实施例的有益效果包括,例如:
[0037]通过获取预设时间段内监控流日志数据库中所采集的监控流日志,对该预设时间段内源地址相同的监控流日志进行聚合,再从聚合日志中确定出第一目标聚合日志。当第一目标聚合日志在预设时间段内的流量大小大于预设流量阈值时,判定发生第一类型窃密行为。使得本专利技术能够快速、准确地发现窃密行为,进而提高了用户网络的安全性。
附图说明
[0038]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0039]图1为本专利技术实施例提供的一种电子设备的架构图;
[0040]图2为本专利技术实施例提供的一种窃密检测方法的步骤流程图;
[0041]图3为本专利技术实施例提供的一种窃密检测的方案流程图;
[0042]图4为本专利技术实施例提供的一种窃密检测装置的架构图。
[0043]图标:100
‑
电子设备;110
‑
存储器;120
‑
处理器;130
‑
通信模块;300
‑
窃密检测装置;301
‑
监控流日志获取单元;302
‑
监控流日志聚合单元;303
‑
第一目标聚合日志确定单元;304
‑
判断单元。
具体实施方式
[0044]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。
[0045]因此,以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0046]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0047]此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种窃密检测方法,其特征在于,所述方法包括:从监控流日志数据库中获取预设时间段内的监控流日志,所述监控流日志包括多个网络地址,所述网络地址包括源地址;分别对源地址相同的所述监控流日志进行聚合,得到多个聚合日志;根据目标聚合日志确定策略,从多个所述聚合日志中确定出至少一个第一目标聚合日志;判断所述第一目标聚合日志在所述预设时间段内的流量大小是否大于预设流量阈值;若是,则判定发生第一类型窃密行为。2.如权利要求1所述的窃密检测方法,其特征在于,所述网络地址还包括目的地址,所述源地址包括端口服务类型,所述根据目标聚合日志确定策略,从多个所述聚合日志中确定出至少一个第一目标聚合日志,包括:从所述聚合日志中确定出源地址的归属地为境内、且目的地址的归属地为境外的监控流日志,得到可疑监控流日志;基于主动探测,从所述可疑监控流日志中确定出端口服务类型为目标端口服务类型的可疑监控流日志,作为所述第一目标聚合日志。3.如权利要求2所述的窃密检测方法,其特征在于,所述源地址还包括端口号,所述方法还包括:调用目标端口号集合,所述目标端口号集合包括多个目标端口号;基于所述目标端口号集合,判断所述第一目标聚合日志中是否存在端口号为所述目标端口号的第二目标聚合日志;若是,则判定发生第二类型窃密行为。4.如权利要求3所述的窃密检测方法,其特征在于,所述方法还包括:接收目标端口号更新指令;基于所述目标端口号更新指令,对所述目标端口号集合更新。5.如权利要求3所述的窃密检测方法,其特征在于,所述方法还包括:若仅发生第一类型窃密行为,则生成第一类报警日志;...
【专利技术属性】
技术研发人员:王开心,代晧,
申请(专利权)人:北京知道创宇信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。