本發(fā)明公開了一種基于字典樹的網(wǎng)絡(luò)威脅檢測(cè)方法，該方法包括以下步驟：對(duì)采集到的目標(biāo)網(wǎng)絡(luò)訪問流量進(jìn)行解析，得到目標(biāo)網(wǎng)絡(luò)標(biāo)識(shí)；遍歷根據(jù)威脅情報(bào)庫(kù)預(yù)建立的威脅情報(bào)字典樹是否存在目標(biāo)網(wǎng)絡(luò)標(biāo)識(shí)；若是，則從威脅情報(bào)字典樹中查找目標(biāo)網(wǎng)絡(luò)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)威脅情報(bào)結(jié)點(diǎn)；從目標(biāo)威脅情報(bào)結(jié)點(diǎn)中獲取目標(biāo)網(wǎng)絡(luò)訪問流量對(duì)應(yīng)的網(wǎng)絡(luò)威脅檢測(cè)結(jié)果。應(yīng)用本發(fā)明所提供的基于字典樹的網(wǎng)絡(luò)威脅檢測(cè)方法，避免了服務(wù)器自身性能對(duì)網(wǎng)絡(luò)威脅情報(bào)檢測(cè)的影響，提高了網(wǎng)絡(luò)威脅檢測(cè)效率，能夠及時(shí)阻止攻擊。本發(fā)明還公開了一種基于字典樹的網(wǎng)絡(luò)威脅檢測(cè)裝置、設(shè)備及存儲(chǔ)介質(zhì)，具有相應(yīng)技術(shù)效果。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種基于字典樹的網(wǎng)絡(luò)威脅檢測(cè)方法、裝置、設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

伴隨著互聯(lián)網(wǎng)的普及和以APT為典型代表的高級(jí)威脅和攻擊的逐漸增長(zhǎng)，企業(yè)和系統(tǒng)組織在抵御外部的攻擊過程中越發(fā)需要依靠充分、有效的安全威脅情報(bào)作為支撐，以幫助其更好的應(yīng)對(duì)這些新型威脅。

網(wǎng)絡(luò)威脅情報(bào)檢測(cè)過濾需求日益增長(zhǎng)，在面對(duì)高流量和突發(fā)峰值流量越來越多的情況時(shí)，服務(wù)器設(shè)備在正常運(yùn)行環(huán)境中存在性能不足的問題。同時(shí)警報(bào)數(shù)量巨大，導(dǎo)致威脅檢測(cè)效率低，存在較高的誤警率、漏警率。會(huì)影響公司或組織正常的安全威脅情報(bào)業(yè)務(wù)。該問題不解決，企業(yè)和組織會(huì)面臨業(yè)務(wù)高峰或者被人DDOS攻擊的危險(xiǎn)。從而可能忽略真正具有威脅性的攻擊，錯(cuò)失了阻止攻擊的最佳時(shí)機(jī)。

綜上所述，如何有效地解決現(xiàn)有的網(wǎng)絡(luò)威脅檢測(cè)方式效率低，存在較高的誤警率、漏警率，易忽略真正具有威脅性的攻擊等問題，是目前本領(lǐng)域技術(shù)人員急需解決的問題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于字典樹的網(wǎng)絡(luò)威脅檢測(cè)方法，該方法避免了服務(wù)器自身性能對(duì)網(wǎng)絡(luò)威脅情報(bào)檢測(cè)的影響，提高了網(wǎng)絡(luò)威脅檢測(cè)效率，能夠及時(shí)阻止攻擊；本發(fā)明的另一目的是提供一種基于字典樹的網(wǎng)絡(luò)威脅檢測(cè)裝置、設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

為解決上述技術(shù)問題，本發(fā)明提供如下技術(shù)方案：

一種基于字典樹的網(wǎng)絡(luò)威脅檢測(cè)方法，包括：

對(duì)采集到的目標(biāo)網(wǎng)絡(luò)訪問流量進(jìn)行解析，得到目標(biāo)網(wǎng)絡(luò)標(biāo)識(shí)；

遍歷根據(jù)威脅情報(bào)庫(kù)預(yù)建立的威脅情報(bào)字典樹是否存在所述目標(biāo)網(wǎng)絡(luò)標(biāo)識(shí)；

若是，則從所述威脅情報(bào)字典樹中查找所述目標(biāo)網(wǎng)絡(luò)標(biāo)識(shí)對(duì)應(yīng)的目標(biāo)威脅情報(bào)結(jié)點(diǎn)；

從所述目標(biāo)威脅情報(bào)結(jié)點(diǎn)中獲取所述目標(biāo)網(wǎng)絡(luò)訪問流量對(duì)應(yīng)的網(wǎng)絡(luò)威脅檢測(cè)結(jié)果。

在本發(fā)明的一種具體實(shí)施方式中，還包括：

當(dāng)檢測(cè)到所述威脅情報(bào)庫(kù)更新時(shí)，獲取所述威脅情報(bào)庫(kù)的威脅情報(bào)更新信息；

根據(jù)所述威脅情報(bào)更新信息對(duì)所述威脅情報(bào)字典樹進(jìn)行更新操作。

在本發(fā)明的一種具體實(shí)施方式中，從所述目標(biāo)威脅情報(bào)結(jié)點(diǎn)中獲取所述目標(biāo)網(wǎng)絡(luò)訪問流量對(duì)應(yīng)的網(wǎng)絡(luò)威脅檢測(cè)結(jié)果，包括：

從所述目標(biāo)威脅情報(bào)結(jié)點(diǎn)中獲取所述目標(biāo)網(wǎng)絡(luò)訪問流量對(duì)應(yīng)的目標(biāo)威脅等級(jí)和目標(biāo)處置策略。

在本發(fā)明的一種具體實(shí)施方式中，在從所述目標(biāo)威脅情報(bào)結(jié)點(diǎn)中獲取所述目標(biāo)網(wǎng)絡(luò)訪問流量對(duì)應(yīng)目標(biāo)威脅等級(jí)和目標(biāo)處置策略之后，還包括：

根據(jù)所述目標(biāo)威脅等級(jí)和所述目標(biāo)處置策略進(jìn)行防護(hù)處理。

一種基于字典樹的網(wǎng)絡(luò)威脅檢測(cè)裝置，包括：

網(wǎng)絡(luò)標(biāo)識(shí)獲得模塊，用于對(duì)采集到的目標(biāo)網(wǎng)絡(luò)訪問流量進(jìn)行解析，得到目標(biāo)網(wǎng)絡(luò)標(biāo)識(shí)；

字典樹遍歷模塊，用于遍歷根據(jù)威脅情報(bào)庫(kù)預(yù)建立的威脅情報(bào)字典樹是否存在所述目標(biāo)網(wǎng)絡(luò)標(biāo)識(shí)；