【技术实现步骤摘要】
本申请涉及网络数据安全,尤其涉及一种基于网关设备的数据报文处理方法、装置及设备。
技术介绍
1、互联网的飞速发展给人们的生活带来便利的同时,也给网络攻击者提供了良好的环境。网络安全问题不仅关乎民生,也关乎到国家安全,因此,网络安全问题已经成为互联网领域最重要的发展研究方向之一。
2、目前的入侵防御系统(intrusion prevention system,ips)主要依赖于被动响应;即出现攻击后由各安全团队提纯后录入网关之中,这样会造成攻击防范依赖于人工介入的问题。
技术实现思路
1、本申请提供一种基于网关设备的数据报文处理方法、装置及设备,能够通过目标行为模型确定待识别数据报文是否存在异常,并基于待识别数据报文进行态势感知,进一步确定待识别数据报文是否存在异常;如此,不依赖于人工介入,且不依赖于行为特征的定义,能够提高防护强度,提高网络安全度。
2、本申请的第一方面,提供了一种基于网关设备的数据报文处理方法,包括:
3、获取待识别数据报文;
4、基于目标行为模型和所述待识别数据报文,得到目标行为特征;
5、基于所述目标行为特征和本地行为库中的行为特征,确定所述目标行为特征是否存在异常;
6、在所述目标行为特征不存在异常的情况下,通过所述目标行为模型基于所述待识别数据报文进行态势感知,得到态势感知结果;
7、基于所述本地行为库中的行为特征和所述态势感知结果,基于入侵防御策略对所述待识别数据报文进行
8、在一些实施例中,所述基于所述目标行为特征和本地行为库中的行为特征,确定所述目标行为特征是否存在异常,包括:
9、将所述目标行为特征与所述本地行为库中的所述行为特征进行对比,得到对比结果;
10、根据所述对比结果确定所述目标行为特征是否存在异常。
11、在一些实施例中,所述态势感知结果包括下一阶段的流量特征;
12、所述基于所述本地行为库中的行为特征和所述态势感知结果,基于入侵防御策略对所述待识别数据报文进行阻断,或者,对所述待识别数据报文进行放行,包括:
13、基于所述本地行为库中的行为特征和所述下一阶段流量的特征,确定下一阶段流量是否为异常流量;
14、在所述下一阶段流量为异常流量的情况下,基于所述入侵防御策略对所述待识别数据报文进行阻断,或者,在所述下一阶段流量为非异常流量的情况下,对所述待识别数据报文进行放行。
15、在一些实施例中,所述方法还包括:
16、在所述下一阶段流量为异常流量的情况下,基于所述待识别数据报文对应的所述目标行为特征对所述本地行为库中的行为特征进行更新,并将所述待识别数据报文对应的所述目标行为特征上传至云端行为库中,以对所述云端行为库中的行为特征进行更新。
17、在一些实施例中,所述方法还包括:
18、在所述目标行为特征存在异常的情况下,基于所述目标行为特征对所述本地行为库中的行为特征进行更新,并将所述目标行为特征上传至云端行为库中,以对所述云端行为库中的行为特征进行更新。
19、在一些实施例中,所述方法还包括:
20、获取所述云端行为库中的行为特征;
21、基于所述云端行为库中的行为特征,对所述本地行为库中的行为特征进行更新。
22、在一些实施例中,所述方法还包括:
23、获取客户端模拟器发送的正常数据报文和攻击模拟器发送的异常数据报文;
24、基于所述正常数据报文和所述异常数据报文对初始行为模型进行训练,得到所述目标行为模型;
25、通过所述目标行为模型基于所述正常数据报文,确定正常行为特征;
26、通过所述目标行为模型基于所述异常数据报文,确定异常行为特征;
27、基于所述正常行为特征和所述异常行为特征,确定至少一个行为特征,并上传至所述云端行为库。
28、本申请实施例的第二方面,提供一种基于网关设备的数据报文处理装置,包括:
29、获取模块,用于获取待识别数据报文;
30、处理模块,用于基于目标行为模型和所述待识别数据报文,得到目标行为特征;基于所述目标行为特征和本地行为库中的行为特征,确定所述目标行为特征是否存在异常;
31、态势感知模块,用于在所述目标行为特征不存在异常的情况下,通过所述目标行为模型基于所述待识别数据报文进行态势感知,得到态势感知结果;基于所述本地行为库中的行为特征和所述态势感知结果,基于入侵防御策略对所述待识别数据报文进行阻断,或者,对所述待识别数据报文进行放行。
32、本申请实施例的第三方面,提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现如上述任一项实施例所述的方法步骤。
33、本申请实施例的第四方面,提供一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,计算机程序被处理器执行时实现如上述任一项实施例所述的方法步骤。
34、本申请实施例提供了一种基于网关设备的数据报文处理方法,包括:获取待识别数据报文;基于目标行为模型和所述待识别数据报文,得到目标行为特征;基于本地行为库中的行为特征,确定所述目标行为特征是否存在异常;在所述目标行为特征不存在异常的情况下,通过所述目标行为模型基于所述待识别数据报文进行态势感知,得到态势感知结果;基于所述本地行为库中的行为特征和所述态势感知结果,基于入侵防御策略对所述待识别数据报文进行阻断,或者,对所述待识别数据报文进行放行;能够通过目标行为模型确定待识别数据报文是否存在异常,并基于待识别数据报文进行态势感知,进一步确定待识别数据报文是否存在异常;如此,不依赖于人工介入,且不依赖于特征的精准定义,能够提高防护强度,提高网络安全度。
本文档来自技高网...【技术保护点】
1.一种基于网关设备的数据报文处理方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述目标行为特征和本地行为库中的行为特征,确定所述目标行为特征是否存在异常,包括:
3.根据权利要求1所述的方法,其特征在于,所述态势感知结果包括下一阶段流量的特征;
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.一种基于网关设备的数据报文处理装置,其特征在于,包括:
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的
...【技术特征摘要】
1.一种基于网关设备的数据报文处理方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述目标行为特征和本地行为库中的行为特征,确定所述目标行为特征是否存在异常,包括:
3.根据权利要求1所述的方法,其特征在于,所述态势感知结果包括下一阶段流量的特征;
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的方法,其...
【专利技术属性】
技术研发人员:臧家璇,
申请(专利权)人:北京安博通科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。