[發明專利]一種網絡流量檢測裝置、方法及電子設備和存儲介質有效
| 申請號: | 202011195091.0 | 申請日: | 2020-10-30 |
| 公開(公告)號: | CN112272186B | 公開(公告)日: | 2023-07-18 |
| 發明(設計)人: | 楊玉華 | 申請(專利權)人: | 深信服科技股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L41/0631 |
| 代理公司: | 深圳市深佳知識產權代理事務所(普通合伙) 44285 | 代理人: | 陳彥如 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 網絡流量 檢測 裝置 方法 電子設備 存儲 介質 | ||
1.一種網絡流量檢測裝置,其特征在于,包括:
日志讀取模塊,用于獲取應用層的網絡審計日志;其中,所述網絡審計日志包括多條按時間順序排列的網絡流日志;
檢測模塊,用于在所述網絡審計日志中確定與目標攻擊場景相關的目標網絡流日志;
分析模塊,用于利用所述目標攻擊場景對應的規則分析所述目標網絡流日志是否存在攻擊事件;
其中,所述檢測模塊包括多個檢測插件,每個所述檢測插件用于利用對應的檢測規則在所述網絡審計日志中確定與目標攻擊場景相關的目標網絡流日志;
對于不同的攻擊場景采用不同的檢測插件進行檢測,檢測插件在網絡審計日志中確定與對應的攻擊場景相關的網絡流日志,不同的檢測插件需要輸入的網絡流日志的類型不同。
2.根據權利要求1所述網絡流量檢測裝置,其特征在于,所述日志讀取模塊包括至少一種日志類型對應的日志讀取插件,每種所述日志讀取插件用于獲取對應的日志類型的網絡審計日志;其中,所述日志類型包括HTTP類型、SMB類型、FTP類型和SMTP類型中的任一項或任幾項的組合。
3.根據權利要求1所述網絡流量檢測裝置,其特征在于,還包括:
結構化處理模塊,用于對所述網絡審計日志中的網絡流日志進行結構化處理,并為結構化處理后的網絡流日志添加網絡資產字段。
4.根據權利要求3所述網絡流量檢測裝置,其特征在于,還包括:
過濾模塊,用于對所述網絡審計日志中網絡資產字段為目標網絡資產的網絡流日志進行過濾;其中,所述目標網絡資產為網絡資產白名單中的網絡資產。
5.根據權利要求1所述網絡流量檢測裝置,其特征在于,還包括:
告警模塊,用于生成告警信息,并基于所述告警信息進行告警。
6.根據權利要求5所述網絡流量檢測裝置,其特征在于,所述告警模塊包括:
生成單元,用于生成告警信息;
結構化處理單元,用于基于所述目標攻擊場景對應的告警事件格式字段對所述告警信息進行結構化處理,得到目標告警信息;
一個或多個告警插件,用于利用對應的告警方式基于所述目標告警信息進行告警。
7.根據權利要求6所述網絡流量檢測裝置,其特征在于,所述告警插件包括:用于將所述目標告警信息存儲至數據庫的第一告警插件,和/或,用于將所述目標告警信息組裝為目標郵件并分發至運維郵箱的第二告警插件,和/或,用于將所述目標告警信息推送至目標賬戶的第三告警插件。
8.根據權利要求1至7中任一項所述網絡流量檢測裝置,其特征在于,?所述分析模塊具體用于通過判斷多個所述目標網絡流日志之間是否符合所述目標攻擊場景對應的關聯規則,分析是否存在所述目標攻擊場景對應的攻擊事件。
9.根據權利要求8所述網絡流量檢測裝置,其特征在于,所述檢測模塊還包括:
加載單元,用于當接收到目標檢測插件的注冊請求時,在所述檢測模塊中加載所述目標檢測插件。
10.根據權利要求8所述網絡流量檢測裝置,其特征在于,還包括:
接收模塊,用于接收自定義的目標關聯規則,并將所述目標關聯規則確定為所述目標攻擊場景對應的關聯規則。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司,未經深信服科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011195091.0/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種版權交易系統
- 下一篇:一種文件部署方法、系統、設備及計算機可讀存儲介質
