本發(fā)明提供了一種基于主機的流量畫像生成方法、系統(tǒng)和計算機可讀介質(zhì)，應(yīng)用于數(shù)據(jù)中心，其中方法包括：獲取對目標資產(chǎn)流量進行畫像的規(guī)則；其中，目標資產(chǎn)流量為從目標資產(chǎn)主機到其他資產(chǎn)主機之間進行通信的流量，規(guī)則包括：流量的類型和獲取流量的時間段；根據(jù)規(guī)則獲取目標資產(chǎn)流量的流量信息；其中，流量信息包括：目標資產(chǎn)流量的傳播路徑，目標資產(chǎn)流量的產(chǎn)生時間；基于流量信息生成目標資產(chǎn)流量的畫像。本發(fā)明緩解了現(xiàn)有技術(shù)中存在的，不能采集內(nèi)網(wǎng)的主機之間傳播的流量的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)信息技術(shù)領(lǐng)域，尤其是涉及一種基于主機的流量畫像生成方法、系統(tǒng)和計算機可讀介質(zhì)。

背景技術(shù)

隨著勒索病毒、挖礦木馬等惡意軟件的快速流行，各種網(wǎng)絡(luò)安全案例層出不窮。對于一個網(wǎng)絡(luò)來說，發(fā)現(xiàn)可疑流量并快速處理是十分重要的。越來越多的機構(gòu)開始采用專門的殺毒軟件或者防御工具對抗勒索病毒，但是基于流量的事先發(fā)現(xiàn)技術(shù)也變得日益緊迫。

然而，由于傳統(tǒng)的流量采集和分析發(fā)現(xiàn)技術(shù)大多是基于防火墻的，對于不經(jīng)過防火墻的內(nèi)網(wǎng)流量，目前沒有針對性的采集和分析方法，這會導(dǎo)致對于內(nèi)網(wǎng)流量的分析無法進行，進而也無法識別和阻斷在內(nèi)網(wǎng)的主機之間傳播的惡意流量。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供基于主機的流量畫像生成方法、系統(tǒng)和計算機可讀介質(zhì)，以緩解了現(xiàn)有技術(shù)中存在的，不能采集內(nèi)網(wǎng)的主機之間傳播的流量的技術(shù)問題。

第一方面，本發(fā)明實施例提供了一種基于主機的流量畫像生成方法，應(yīng)用于數(shù)據(jù)中心，包括：獲取對目標資產(chǎn)流量進行畫像的規(guī)則；其中，所述目標資產(chǎn)流量為從目標資產(chǎn)主機到其他資產(chǎn)主機之間進行通信的流量，所述規(guī)則包括：流量的類型和獲取流量的時間段；根據(jù)所述規(guī)則獲取所述目標資產(chǎn)流量的流量信息；其中，所述流量信息包括：所述目標資產(chǎn)流量的傳播路徑，所述目標資產(chǎn)流量的產(chǎn)生時間；基于所述流量信息生成所述目標資產(chǎn)流量的畫像。

進一步地，在獲取對目標資產(chǎn)流量進行畫像的規(guī)則之前，所述方法還包括：獲取對目標資產(chǎn)流量進行畫像的指令。

進一步地，根據(jù)所述規(guī)則獲取所述目標資產(chǎn)流量的流量信息包括：在所述目標資產(chǎn)主機的協(xié)議棧上注入基于所述規(guī)則的流量采集函數(shù)；利用所述流量采集函數(shù)獲取所述目標資產(chǎn)流量的流量信息。

進一步地，利用所述流量采集函數(shù)獲取所述目標資產(chǎn)流量的流量信息，包括：利用所述流量采集函數(shù)獲取滿足所述規(guī)則的目標資產(chǎn)流量的流量信息。

進一步地，在基于所述流量信息生成所述目標資產(chǎn)流量的畫像之后，所述方法還包括：將所述資產(chǎn)流量信息存儲在所述數(shù)據(jù)中心。

第二方面，本發(fā)明實施例還提供了一種基于主機的流量畫像生成系統(tǒng)，應(yīng)用于數(shù)據(jù)中心，包括：畫像配置模塊，流量收集模塊和畫像生成模塊；其中，所述畫像配置模塊，用于獲取對目標資產(chǎn)流量進行畫像的規(guī)則；其中，所述目標資產(chǎn)流量為從目標資產(chǎn)主機到其他資產(chǎn)主機之間進行通信的流量，所述規(guī)則包括：流量的類型和獲取流量的時間段；所述流量收集模塊，用于根據(jù)所述規(guī)則獲取所述目標資產(chǎn)流量的流量信息；其中，所述流量信息包括：所述目標資產(chǎn)流量的傳播路徑，所述目標資產(chǎn)流量的產(chǎn)生時間；所述畫像生成模塊，用于基于所述流量信息生成所述目標資產(chǎn)流量的畫像。

進一步地，所述畫像配置模塊，還用于：獲取對目標資產(chǎn)流量進行畫像的指令。

進一步地，所述流量收集模塊，還用于：在所述目標資產(chǎn)主機的協(xié)議棧上注入基于所述規(guī)則的流量采集函數(shù)；利用所述流量采集函數(shù)獲取所述目標資產(chǎn)流量的流量信息。

進一步地，所述系統(tǒng)還包括：流量存儲模塊，用于存儲所述資產(chǎn)流量信息。

第三方面，本發(fā)明實施例還提供了一種具有處理器可執(zhí)行的非易失的程序代碼的計算機可讀介質(zhì)，所述程序代碼使所述處理器執(zhí)行上述第一方面所述的方法。