【技术实现步骤摘要】
一种网络行为检测方法、系统及电子设备
[0001]本申请涉及计算机安全
,特别涉及一种网络行为检测方法
、
系统及电子设备
。
技术介绍
[0002]在网络安全的相关技术中,网络行为分析能够反映出通信终端的通信行为
。
因此,执行网络行为分析可以检测通信终端的通信行为是否违反网络管理员预设的安全规则,并对违反规则的通信行为进行预警和阻断
。
[0003]在进行网络行为检测时,可以提取用于传输网络流量数据的报文的报文特征,并将提取的报文特征与报文漏洞特征集进行匹配,以识别存在安全威胁的报文
。
在报文特征与报文漏洞特征集匹配成功时,则表示报文特征所属的报文关联的通信行为为危险行为,可以立即执行预警和阻断以保护网络安全
。
[0004]但网络行为具有多样化的特征,即与报文关联的传输协议
、
报文传输的网络流量内容也具有多样化的特征
。
在网络行为关联的数据量较大时,通过提取报文特征与报文漏洞特征集匹配的方式检测网络行为效率低
。
技术实现思路
[0005]本申请提供一种网络行为检测方法
、
系统及电子设备,以解决因报文数据量较大时,通过提取报文特征与报文漏洞特征集匹配的方式检测网络行为的效率低的问题
。
[0006]第一方面,本申请提供一种网络行为检测方法,包括:
[0007]接收用于传输网络流量数据的报文;
[0008]解析 ...
【技术保护点】
【技术特征摘要】
1.
一种网络行为检测方法,其特征在于,包括:接收用于传输网络流量数据的报文;解析报文以获取所述报文的五元组信息;基于所述五元组信息,将基于所述报文传输的网络流量数据存储至网络对象的数据结构中;所述网络对象归属于至少一个报文传输协议;根据网络行为特征规则,检测存储在所述网络对象的数据结构中的网络流量数据,所述网络行为特征规则由至少一个网络对象的特征信息构建;所述网络行为特征规则用于检测所述网络流量数据中的异常流量数据;若检测到异常流量数据,则基于所述异常流量数据执行网络防护策略
。2.
根据权利要求1所述的方法,其特征在于,所述基于所述五元组,将基于所述报文传输的网络流量数据存储至网络对象的数据结构中,包括:根据所述五元组信息,对基于所述报文传输的第一网络流量数据执行流量分类,得到至少一条第一数据流;根据协议特征库中存储的协议特征识别所述第一数据流的第一传输协议;所述协议特征包括协议字段;根据所述第一网络流量数据中的字段信息以及所述第一传输协议的协议字段,将所述第一网络流量数据存储至归属于所述第一传输协议的网络对象的数据结构中
。3.
根据权利要求2所述的方法,其特征在于,包括:基于所述报文的五元组,识别所述报文传输的第二网络流量数据归属的第二数据流;若识别到第二数据流,且已识别所述第二数据流的第二传输协议,则根据所述第二网络流量数据中的字段信息以及所述第二传输协议的协议字段,将所述第二网络数据存储至归属于所述第二传输协议的网络对象的数据结构中
。4.
根据权利要求3所述的方法,其特征在于,包括:若未识别到所述第二网络流量数据归属的数据流,则基于第二网络流量数据创建第三数据流;根据协议特征库中存储的协议特征识别所述第三数据流的第三传输协议;根据所述第二网络流量数据中的字段信息以及所述第三传输协议的协议字段,将所述第二网络数据存储至归属于所述第三传输协议的网络对象的数据结构中
。5.
根据权利要求2所述的方法,其特征在于,还包括:设置被查询过的第一网络流量数据的清理周期;按照所述清理周期,清理所述被查询过的第...
【专利技术属性】
技术研发人员:张凯,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。