一种网络行为检测方法技术

本申请提供一种网络行为检测方法

【技术实现步骤摘要】
一种网络行为检测方法、系统及电子设备


[0001]本申请涉及计算机安全
，特别涉及一种网络行为检测方法
、
系统及电子设备
。

技术介绍

[0002]在网络安全的相关技术中，网络行为分析能够反映出通信终端的通信行为
。
因此，执行网络行为分析可以检测通信终端的通信行为是否违反网络管理员预设的安全规则，并对违反规则的通信行为进行预警和阻断
。
[0003]在进行网络行为检测时，可以提取用于传输网络流量数据的报文的报文特征，并将提取的报文特征与报文漏洞特征集进行匹配，以识别存在安全威胁的报文
。
在报文特征与报文漏洞特征集匹配成功时，则表示报文特征所属的报文关联的通信行为为危险行为，可以立即执行预警和阻断以保护网络安全
。
[0004]但网络行为具有多样化的特征，即与报文关联的传输协议
、
报文传输的网络流量内容也具有多样化的特征
。
在网络行为关联的数据量较大时，通过提取报文特征与报文漏洞特征集匹配的方式检测网络行为效率低
。

技术实现思路

[0005]本申请提供一种网络行为检测方法
、
系统及电子设备，以解决因报文数据量较大时，通过提取报文特征与报文漏洞特征集匹配的方式检测网络行为的效率低的问题
。
[0006]第一方面，本申请提供一种网络行为检测方法，包括：
[0007]接收用于传输网络流量数据的报文；
[0008]解析报文以获取所述报文的五元组信息；
[0009]基于所述五元组信息，将基于所述报文传输的网络流量数据存储至网络对象的数据结构中；所述网络对象归属于至少一个报文传输协议；
[0010]根据网络行为特征规则，检测存储在所述网络对象的数据结构中的网络流量数据，所述网络行为特征规则由至少一个网络对象的特征信息构建；所述网络行为特征规则用于检测所述网络流量数据中的异常流量数据；
[0011]若检测到异常流量数据，则基于所述异常流量数据执行网络防护策略
。
[0012]在一些可行的实施例中，所述基于所述五元组，将基于所述报文传输的网络流量数据存储至网络对象的数据结构中，包括：
[0013]根据所述五元组信息，对基于所述报文传输的第一网络流量数据执行流量分类，得到至少一条第一数据流；
[0014]根据协议特征库中存储的协议特征识别所述第一数据流的第一传输协议；所述协议特征包括协议字段；
[0015]根据所述第一网络流量数据中的字段信息以及所述第一传输协议的协议字段，将所述第一网络流量数据存储至归属于所述第一传输协议的网络对象的数据结构中
。
[0016]在一些可行的实施例中，包括：
[0017]基于所述报文的五元组，识别所述报文传输的第二网络流量数据归属的第二数据流；
[0018]若识别到第二数据流，且已识别所述第二数据流的第二传输协议，则根据所述第二网络流量数据中的字段信息以及所述第二传输协议的协议字段，将所述第二网络数据存储至归属于所述第二传输协议的网络对象的数据结构中
。
[0019]在一些可行的实施例中，包括：
[0020]若未识别到所述第二网络流量数据归属的数据流，则基于第二网络流量数据创建第三数据流；
[0021]根据协议特征库中存储的协议特征识别所述第三数据流的第三传输协议；
[0022]根据所述第二网络流量数据中的字段信息以及所述第三传输协议的协议字段，将所述第二网络数据存储至归属于所述第三传输协议的网络对象的数据结构中
。
[0023]在一些可行的实施例中，还包括：
[0024]设置被查询过的第一网络流量数据的清理周期；
[0025]按照所述清理周期，清理所述被查询过的第一网络流量数据
。
[0026]在一些可行的实施例中，所述检测存储在所述网络对象的数据结构中的网络流量数据，包括：
[0027]设置检测线程；
[0028]控制所述检测线程基于网络行为特征规则，遍历所述网络对象的数据结构下挂的网络流量数据
。
[0029]在一些可行的实施例中，所述网络对象的特征信息包括所述网络对象的字段信息和流量时间戳；还包括：
[0030]若所述网络行为特征规则中包括第一网络对象的第一字段和第二网络对象的第二字段，则遍历所述第一网络对象下挂的网络流量数据以及所述第二网络对象下挂的网络流量数据；
[0031]若所述第一网络对象下挂的网络流量数据与所述第二网络对象下挂的网络流量数据的流量时间戳的差值小于时间阈值，则标记与所述网络行为特征规则关联的异常网络流量
。
[0032]在一些可行的实施例中，还包括：
[0033]若检测到异常流量数据，生成与所述异常流量数据关联的网络行为特征日志；
[0034]存储所述网络行为特征日志，以及生成日志文件，所述日志文件中包括至少一条网络行为特征日志
。
[0035]第二方面，本申请提供一种网络行为检测系统，包括：解析模块
、
存储模块
、
检测模块；
[0036]所述解析模块用于在接收报文时，解析报文以获取所述报文的五元组，所述报文用于传输网络流量数据；
[0037]所述存储模块用于基于所述五元组，将基于所述报文传输的网络流量数据存储至网络对象的数据结构中；所述网络对象归属于至少一个报文传输协议；
[0038]所述检测模块用于根据网络行为特征规则，检测存储在所述网络对象的数据结构
中的网络流量数据，所述网络行为特征规则由至少一个网络对象的特征信息构建；所述网络行为特征规则用于检测所述网络流量数据中的异常流量数据；
[0039]所述检测模块还用于在检测到异常流量数据时，基于所述异常流量数据执行网络防护策略
。
[0040]第三方面，本申请提供一种电子设备，包括：
[0041]处理器；以及与所述处理器通信连接的存储器；
[0042]其中，所述存储器存储有可被所述处理器执行的指令，所述处理器被配置为执行第一方面中所述的方法
。
[0043]由上述
技术实现思路
可知，本申请提供一种网络行为检测方法
、
系统及电子设备
。
所述方法从接收的报文中解析得到五元组信息，并基于五元组信息将基于报文传输的网络流量数据存储至网络对象的数据结构中
。
其中，网络对象根据传输协议进行分类，基于网络对象可以构建网络行为特征规则
。
根据网络行为特征规则可以检测存储在网络对象的数据结构中的网络流量数据，以识别网络流量数据中的异常流量数据
。
并在检测到异常流量数据时，执行网络防护策略
。
所述方法基于五元组和传输协议构建网络对象和网络行为特征，并基于网络行为特征检本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种网络行为检测方法，其特征在于，包括：接收用于传输网络流量数据的报文；解析报文以获取所述报文的五元组信息；基于所述五元组信息，将基于所述报文传输的网络流量数据存储至网络对象的数据结构中；所述网络对象归属于至少一个报文传输协议；根据网络行为特征规则，检测存储在所述网络对象的数据结构中的网络流量数据，所述网络行为特征规则由至少一个网络对象的特征信息构建；所述网络行为特征规则用于检测所述网络流量数据中的异常流量数据；若检测到异常流量数据，则基于所述异常流量数据执行网络防护策略
。2.
根据权利要求1所述的方法，其特征在于，所述基于所述五元组，将基于所述报文传输的网络流量数据存储至网络对象的数据结构中，包括：根据所述五元组信息，对基于所述报文传输的第一网络流量数据执行流量分类，得到至少一条第一数据流；根据协议特征库中存储的协议特征识别所述第一数据流的第一传输协议；所述协议特征包括协议字段；根据所述第一网络流量数据中的字段信息以及所述第一传输协议的协议字段，将所述第一网络流量数据存储至归属于所述第一传输协议的网络对象的数据结构中
。3.
根据权利要求2所述的方法，其特征在于，包括：基于所述报文的五元组，识别所述报文传输的第二网络流量数据归属的第二数据流；若识别到第二数据流，且已识别所述第二数据流的第二传输协议，则根据所述第二网络流量数据中的字段信息以及所述第二传输协议的协议字段，将所述第二网络数据存储至归属于所述第二传输协议的网络对象的数据结构中
。4.
根据权利要求3所述的方法，其特征在于，包括：若未识别到所述第二网络流量数据归属的数据流，则基于第二网络流量数据创建第三数据流；根据协议特征库中存储的协议特征识别所述第三数据流的第三传输协议；根据所述第二网络流量数据中的字段信息以及所述第三传输协议的协议字段，将所述第二网络数据存储至归属于所述第三传输协议的网络对象的数据结构中
。5.
根据权利要求2所述的方法，其特征在于，还包括：设置被查询过的第一网络流量数据的清理周期；按照所述清理周期，清理所述被查询过的第...

【专利技术属性】
技术研发人员：张凯，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：