一种流量检测方法及装置转让专利
申请号 : CN202111635844.X
文献号 : CN114006771B
文献日 : 2022-03-29
发明人 : 贾明媚 , 赵林林 , 童兆丰 , 薛锋
申请人 : 北京微步在线科技有限公司
摘要 :
本申请实施例提供一种流量检测方法及装置,涉及网络安全技术领域,该流量检测方法包括:先获取待检测流量;并依据预先配置的流量过滤名单对待检测流量进行过滤处理,得到第一处理流量和黑名单流量;然后依据预设的流量规则对第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流量;再依据预设的云端情报数据库对第二处理流量进行碰撞比对,得到产生告警的第三处理流量;最后获取黑名单流量、第三处理流量以及存在攻击的流量的攻击团伙地址信息,并对攻击团伙地址信息对应的流量进行阻断处理。可见,该方法能够在检测到网络攻击时,及时对发现的网络攻击主机及其团伙进行实时阻断,从而维护网络安全。
权利要求 :
1.一种流量检测方法,其特征在于,包括:获取待检测流量;
依据预先配置的流量过滤名单对所述待检测流量进行过滤处理,得到第一处理流量和黑名单流量;
依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流量;
依据预设的云端情报数据库对所述第二处理流量进行碰撞比对,得到产生告警的第三处理流量;
获取所述黑名单流量、所述第三处理流量以及所述存在攻击的流量的攻击团伙地址信息,并对所述攻击团伙地址信息对应的流量进行阻断处理;
所述依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流量,包括:依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到攻击检测结果;
根据所述攻击检测结果确定所述第一处理流量中检测出存在攻击的流量和未检测出存在攻击的第二处理流量,并执行所述的依据预设的云端情报数据库对所述第二处理流量进行碰撞比对,得到产生告警的第三处理流量。
2.根据权利要求1所述的流量检测方法,其特征在于,所述依据预先配置的流量过滤名单对所述待检测流量进行过滤处理,得到第一处理流量和黑名单流量,包括:依据预先配置的流量过滤名单确定所述待检测流量中的黑名单流量和白名单流量;
将所述待检测流量中除去所述黑名单流量和所述白名单流量之外的流量,确定为第一处理流量;
对所述白名单流量进行直接放行处理,并执行所述的依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量。
3.根据权利要求1所述的流量检测方法,其特征在于,所述获取所述黑名单流量、所述第三处理流量以及所述存在攻击的流量的攻击团伙地址信息,包括:提取所述黑名单流量、所述第三处理流量以及所述存在攻击的流量中的攻击地址信息;
根据所述云端情报数据库中查询与所述攻击地址信息相关联的其他攻击地址信息;
汇总所述攻击地址信息和所述其他攻击地址信息得到攻击团伙地址信息。
4.根据权利要求1所述的流量检测方法,其特征在于,对所述攻击团伙地址信息对应的流量进行阻断处理,包括:
获取阻断处理配置信息,所述阻断处理配置信息至少包括阻断方式和阻断时间;
当所述阻断方式为旁路阻断时,获取阻断数据包,并在所述阻断时间内根据所述攻击团伙地址信息持续发送所述阻断数据包至攻击端,以切断与所述攻击端的通信连接;
当所述阻断方式为联动阻断时,将所述攻击团伙地址信息配置到联动的防火墙设备中,以使所述防火墙设备对所述攻击团伙地址信息对应的流量进行阻断处理。
5.一种流量检测装置,其特征在于,所述流量检测装置包括:流量获取单元,用于获取待检测流量;
第一处理单元,用于依据预先配置的流量过滤名单对所述待检测流量进行过滤处理,得到第一处理流量和黑名单流量;
第二处理单元,用于依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流量;
第三处理单元,用于依据预设的云端情报数据库对所述第二处理流量进行碰撞比对,得到产生告警的第三处理流量;
团伙信息获取单元,用于获取所述黑名单流量、所述第三处理流量以及所述存在攻击的流量的攻击团伙地址信息;
阻断单元,用于对所述攻击团伙地址信息对应的流量进行阻断处理;
所述第二处理单元,包括:
攻击检测子单元,用于依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到攻击检测结果;
第三确定子单元,用于根据所述攻击检测结果确定所述第一处理流量中检测出存在攻击的流量和未检测出存在攻击的第二处理流量,并触发第三处理单元执行所述的依据预设的云端情报数据库对所述第二处理流量进行碰撞比对,得到产生告警的第三处理流量。
6.根据权利要求5所述的流量检测装置,其特征在于,所述第一处理单元包括:第一确定子单元,用于依据预先配置的流量过滤名单确定所述待检测流量中的黑名单流量和白名单流量;
第二确定子单元,用于将所述待检测流量中除去所述黑名单流量和所述白名单流量之外的流量,确定为第一处理流量;
放行子单元,用于对所述白名单流量进行直接放行处理,并触发所述第二处理单元执行所述的依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量。
7.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至4中任一项所述的流量检测方法。
8.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至4任一项所述的流量检测方法。
说明书 :
一种流量检测方法及装置
技术领域
[0001] 本申请涉及网络安全技术领域,具体而言,涉及一种流量检测方法及装置。
背景技术
[0002] 随着信息技术的飞速发展,计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径。但是目前的网络环境中,各种网络攻击方式层出不穷,各种网络安全事
件频频爆发也在严重影响着企业与个人的网络信息安全。现有的流量检测方法,通常是在
检测到受到攻击主机的网络攻击时,通过防火墙实现针对该攻击主机的阻断处理。然而,在
实践中发现,现有方法只能对当前实施攻击的单个攻击主机进行攻击阻断处理,无法对其
攻击团伙进行有效阻断,同时,采用防火墙进行攻击阻断,攻击检测和攻击阻断两者之间是
分割开的两个装置,导致不能即时对发现的网络攻击进行实时阻断。可见,现有方法只能对
当前实施攻击的单个攻击主机进行攻击阻断处理,也无法即时对发现的网络攻击进行实时
阻断。
件频频爆发也在严重影响着企业与个人的网络信息安全。现有的流量检测方法,通常是在
检测到受到攻击主机的网络攻击时,通过防火墙实现针对该攻击主机的阻断处理。然而,在
实践中发现,现有方法只能对当前实施攻击的单个攻击主机进行攻击阻断处理,无法对其
攻击团伙进行有效阻断,同时,采用防火墙进行攻击阻断,攻击检测和攻击阻断两者之间是
分割开的两个装置,导致不能即时对发现的网络攻击进行实时阻断。可见,现有方法只能对
当前实施攻击的单个攻击主机进行攻击阻断处理,也无法即时对发现的网络攻击进行实时
阻断。
发明内容
[0003] 本申请实施例的目的在于提供一种流量检测方法及装置,能够在检测到网络攻击时,及时对发现的网络攻击主机及其团伙进行实时阻断,从而维护网络安全。
[0004] 本申请实施例第一方面提供了一种流量检测方法,包括:
[0005] 获取待检测流量;
[0006] 依据预先配置的流量过滤名单对所述待检测流量进行过滤处理,得到第一处理流量和黑名单流量;
[0007] 依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流量;
[0008] 依据预设的云端情报数据库对所述第二处理流量进行碰撞比对,得到产生告警的第三处理流量;
[0009] 获取所述黑名单流量、所述第三处理流量以及所述存在攻击的流量的攻击团伙地址信息,并对所述攻击团伙地址信息对应的流量进行阻断处理。
[0010] 在上述实现过程中,先获取待检测流量;并依据预先配置的流量过滤名单对待检测流量进行过滤处理,得到第一处理流量和黑名单流量;然后依据预设的流量规则对第一
处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流
量;再依据预设的云端情报数据库对第二处理流量进行碰撞比对,得到产生告警的第三处
理流量;最后获取黑名单流量、第三处理流量以及存在攻击的流量的攻击团伙地址信息,并
对攻击团伙地址信息对应的流量进行阻断处理。可见,该方法能够在检测到网络攻击时,及
时对发现的网络攻击主机及其团伙进行实时阻断,从而维护网络安全。
处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流
量;再依据预设的云端情报数据库对第二处理流量进行碰撞比对,得到产生告警的第三处
理流量;最后获取黑名单流量、第三处理流量以及存在攻击的流量的攻击团伙地址信息,并
对攻击团伙地址信息对应的流量进行阻断处理。可见,该方法能够在检测到网络攻击时,及
时对发现的网络攻击主机及其团伙进行实时阻断,从而维护网络安全。
[0011] 进一步地,所述依据预先配置的流量过滤名单对所述待检测流量进行过滤处理,得到第一处理流量和黑名单流量,包括:
[0012] 依据预先配置的流量过滤名单确定所述待检测流量中的黑名单流量和白名单流量;
[0013] 将所述待检测流量中除去所述黑名单流量和所述白名单流量之外的流量,确定为第一处理流量;
[0014] 对所述白名单流量进行直接放行处理,并执行所述的依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量。
[0015] 进一步地,依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流量,包括:
[0016] 依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到攻击检测结果;
[0017] 根据所述攻击检测结果确定所述第一处理流量中检测出存在攻击的流量和未检测出存在攻击的第二处理流量,并执行所述的依据预设的云端情报数据库对所述第二处理
流量进行碰撞比对,得到产生告警的第三处理流量。
流量进行碰撞比对,得到产生告警的第三处理流量。
[0018] 进一步地,获取所述黑名单流量、所述第三处理流量以及所述存在攻击的流量的攻击团伙地址信息,包括:
[0019] 提取所述黑名单流量、所述第三处理流量以及所述存在攻击的流量中的攻击地址信息;
[0020] 根据所述云端情报数据库中查询与所述攻击地址信息相关联的其他攻击地址信息;
[0021] 汇总所述攻击地址信息和所述其他攻击地址信息得到攻击团伙地址信息。
[0022] 进一步地,对所述攻击团伙地址信息对应的流量进行阻断处理,包括:
[0023] 获取阻断处理配置信息,所述阻断处理配置信息至少包括阻断方式和阻断时间;
[0024] 当所述阻断方式为旁路阻断时,获取阻断数据包,并在所述阻断时间内根据所述攻击团伙地址信息持续发送所述阻断数据包至攻击端,以切断与所述攻击端的通信连接;
[0025] 当所述阻断方式为联动阻断时,将所述攻击团伙地址信息配置到联动的防火墙设备中,以使所述防火墙设备对所述攻击团伙地址信息对应的流量进行阻断处理。
[0026] 本申请实施例第二方面提供了一种流量检测装置,所述流量检测装置包括:
[0027] 流量获取单元,用于获取待检测流量;
[0028] 第一处理单元,用于依据预先配置的流量过滤名单对所述待检测流量进行过滤处理,得到第一处理流量和黑名单流量;
[0029] 第二处理单元,用于依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流量;
[0030] 第三处理单元,用于依据预设的云端情报数据库对所述第二处理流量进行碰撞比对,得到产生告警的第三处理流量;
[0031] 团伙信息获取单元,用于获取所述黑名单流量、所述第三处理流量以及所述存在攻击的流量的攻击团伙地址信息;
[0032] 阻断单元,用于对所述攻击团伙地址信息对应的流量进行阻断处理。
[0033] 在上述实现过程中,流量获取单元先获取待检测流量;第一处理单元依据预先配置的流量过滤名单对待检测流量进行过滤处理,得到第一处理流量和黑名单流量;然后第
二处理单元依据预设的流量规则对第一处理流量进行网络攻击检测处理,得到未检测出存
在攻击的第二处理流量和存在攻击的流量;第三处理单元再依据预设的云端情报数据库对
第二处理流量进行碰撞比对,得到产生告警的第三处理流量;最后团伙信息获取单元获取
黑名单流量、第三处理流量以及存在攻击的流量的攻击团伙地址信息,阻断单元对攻击团
伙地址信息对应的流量进行阻断处理。可见,该装置能够在检测到网络攻击时,及时对发现
的网络攻击主机及其团伙进行实时阻断,从而维护网络安全。
二处理单元依据预设的流量规则对第一处理流量进行网络攻击检测处理,得到未检测出存
在攻击的第二处理流量和存在攻击的流量;第三处理单元再依据预设的云端情报数据库对
第二处理流量进行碰撞比对,得到产生告警的第三处理流量;最后团伙信息获取单元获取
黑名单流量、第三处理流量以及存在攻击的流量的攻击团伙地址信息,阻断单元对攻击团
伙地址信息对应的流量进行阻断处理。可见,该装置能够在检测到网络攻击时,及时对发现
的网络攻击主机及其团伙进行实时阻断,从而维护网络安全。
[0034] 进一步地,所述第一处理单元包括:
[0035] 第一确定子单元,用于依据预先配置的流量过滤名单确定所述待检测流量中的黑名单流量和白名单流量;
[0036] 第二确定子单元,用于将所述待检测流量中除去所述黑名单流量和所述白名单流量之外的流量,确定为第一处理流量;
[0037] 放行子单元,用于对所述白名单流量进行直接放行处理,并触发所述第二处理单元执行所述的依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到未检
测出存在攻击的第二处理流量。
测出存在攻击的第二处理流量。
[0038] 进一步地,所述第二处理单元,包括:
[0039] 攻击检测子单元,用于依据预设的流量规则对所述第一处理流量进行网络攻击检测处理,得到攻击检测结果;
[0040] 第三确定子单元,用于根据所述攻击检测结果确定所述第一处理流量中检测出存在攻击的流量和未检测出存在攻击的第二处理流量,并触发第三处理单元执行所述的依据
预设的云端情报数据库对所述第二处理流量进行碰撞比对,得到产生告警的第三处理流
量。
预设的云端情报数据库对所述第二处理流量进行碰撞比对,得到产生告警的第三处理流
量。
[0041] 本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实
施例第一方面中任一项所述的流量检测方法。
施例第一方面中任一项所述的流量检测方法。
[0042] 本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项
所述的流量检测方法。
所述的流量检测方法。
附图说明
[0043] 为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看
作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他相关的附图。
作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他相关的附图。
[0044] 图1为本申请实施例提供的一种流量检测方法的流程示意图;
[0045] 图2为本申请实施例提供的一种流量检测装置的结构示意图;
[0046] 图3是本申请实施例提供的一种流量检测系统的整体结构示意图。
具体实施方式
[0047] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
[0048] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的
描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0049] 实施例1
[0050] 请参看图1,图1为本申请实施例提供了一种流量检测方法的流程示意图。其中,该流量检测方法包括:
[0051] S101、获取待检测流量。
[0052] 本申请实施例中,该方法的执行主体可以为计算机、服务器等计算装置,对此本实施例中不作任何限定。
[0053] 在本申请实施例中,该方法的执行主体还可以为智能手机、平板电脑等智能设备,对此本实施例中不作任何限定。
[0054] 本申请实施例中,可以通过镜像流量的方式获取待检测流量,对此本申请实施例不作限定。
[0055] S102、依据预先配置的流量过滤名单确定待检测流量中的黑名单流量和白名单流量。
[0056] 本申请实施例中,该流量过滤名单包括白名单和黑名单,具体地,名单中包括IP地址等,对此本申请实施例不作限定。
[0057] S103、将待检测流量中除去黑名单流量和白名单流量之外的流量,确定为第一处理流量。
[0058] 本申请实施例中,待检测流量包括黑名单流量、白名单流量以及第一处理流量。
[0059] S104、对白名单流量进行直接放行处理,并执行步骤S105。
[0060] 本申请实施例中,依据预先配置的流量过滤名单进行过滤,属于白名单的白名单流直接放行,属于黑名单的流量为黑名单流量。
[0061] 本申请实施例中,在检测出黑名单流量之后,可以立即获取黑名单流量的攻击团伙地址信息,并对该攻击团伙地址信息对应的流量进行阻断处理。
[0062] 本申请实施例中,实施上述步骤S102 步骤S104,能够依据预先配置的流量过滤名~
单对待检测流量进行过滤处理,得到第一处理流量和黑名单流量。
单对待检测流量进行过滤处理,得到第一处理流量和黑名单流量。
[0063] S105、依据预设的流量规则对第一处理流量进行网络攻击检测处理,得到攻击检测结果。
[0064] S106、根据攻击检测结果确定第一处理流量中检测出存在攻击的流量和未检测出存在攻击的第二处理流量,并执行步骤S107。
[0065] 本申请实施例中,通过规则引擎中预设的流量规则对第一处理流量进行判定,得到检测出存在攻击的流量和未检测出存在攻击的第二处理流量。
[0066] 本申请实施例中,实施上述步骤S105 步骤S106,能够依据预设的流量规则对第一~
处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流
量。
处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流
量。
[0067] 本申请实施例中,在检测出存在攻击的流量之后,可以立即获取存在攻击的流量的攻击团伙地址信息,并对该攻击团伙地址信息对应的流量进行阻断处理。
[0068] S107、依据预设的云端情报数据库对第二处理流量进行碰撞比对,得到产生告警的第三处理流量。
[0069] 本申请实施例中,将第二处理流量与预设的云端情报数据库进行碰撞,将产生告警的流量确定为第三处理流量。
[0070] 本申请实施例中,在检测出第三处理流量之后,可以立即获取第三处理流量的攻击团伙地址信息,并对该攻击团伙地址信息对应的流量进行阻断处理。
[0071] 本申请实施例中,实施上述步骤S102 步骤S107,能够判定待检测流量中是否存在~
攻击行为,对存在攻击行为的流量进行告警并进行阻断。
攻击行为,对存在攻击行为的流量进行告警并进行阻断。
[0072] 在步骤S107之后,还包括以下步骤:
[0073] S108、提取黑名单流量、第三处理流量以及存在攻击的流量中的攻击地址信息。
[0074] 本申请实施例中,攻击地址信息具体为攻击IP信息,为实施上述步骤S102 步骤~
S107之后,检测到的攻击流量对应的攻击IP信息,攻击流量包括述黑名单流量、第三处理流
量以及存在攻击的流量。
S107之后,检测到的攻击流量对应的攻击IP信息,攻击流量包括述黑名单流量、第三处理流
量以及存在攻击的流量。
[0075] S109、根据云端情报数据库中查询与攻击地址信息相关联的其他攻击地址信息。
[0076] 本申请实施例中,该其他攻击地址信息可能是上述攻击流量中没检测到的攻击IP,也可以是上述攻击流量中没有的攻击IP信息等,对此本申请实施例不作限定。
[0077] S110、汇总攻击地址信息和其他攻击地址信息得到攻击团伙地址信息。
[0078] 本申请实施例中,实施上述步骤S108 步骤S110,能够获取黑名单流量、第三处理~
流量以及存在攻击的流量的攻击团伙地址信息。
流量以及存在攻击的流量的攻击团伙地址信息。
[0079] 本申请实施例中,该方法可以应用于流量检测系统,请一并参阅图3,图3是本申请实施例提供的一种流量检测系统的整体结构示意图。如图3所示,该流量检测系统将攻击IP
发现与阻断做到了一体化。首先判定模块对待检测流量通过流量过滤名单、流量规则以及
云端情报数据库进行层层过滤检测,发现攻击流量(即黑名单流量、第三处理流量以及存在
攻击的流量),对该攻击流量进行攻击IP及其团伙IP的流量阻断处理。
发现与阻断做到了一体化。首先判定模块对待检测流量通过流量过滤名单、流量规则以及
云端情报数据库进行层层过滤检测,发现攻击流量(即黑名单流量、第三处理流量以及存在
攻击的流量),对该攻击流量进行攻击IP及其团伙IP的流量阻断处理。
[0080] S111、获取阻断处理配置信息,阻断处理配置信息至少包括阻断方式和阻断时间。
[0081] 本申请实施例中,在进行阻断时,可以预先配置多种类型的防火墙接口,在配置防火墙时,获取用户输入的防火墙配置信息,该防火墙配置信息至少包括防火墙型号、防火墙
信息等,对此本申请实施例不作限定。
信息等,对此本申请实施例不作限定。
[0082] 本申请实施例中,在确定出攻击团伙地址信息之后,可以根据阻断处理配置信息确定不同的阻断方式进行阻断处理,当阻断方式为旁路阻断时,执行步骤S112;当阻断方式
为联动阻断时,执行步骤S113。
为联动阻断时,执行步骤S113。
[0083] S112、当阻断方式为旁路阻断时,获取阻断数据包,并在阻断时间内根据攻击团伙地址信息持续发送阻断数据包至攻击端,以切断与攻击端的通信连接,并结束本流程。
[0084] 本申请实施例中,当阻断方式为旁路阻断时,会通过向攻击端发送阻断数据包,切断与攻击端的通信连接以阻断攻击端的攻击行为。
[0085] 本申请实施例中,在旁路阻断中,用户还可以可添加阻断白名单、切换手动自动模式、对已阻断IP的阻断时间进行设置等进行灵活阻断。
[0086] 本申请实施例中,发送阻断数据包进行旁路阻断,能够实现攻击IP发现与阻断的一体化,将攻击IP的发现与阻断紧紧地连接起来,可以做到发现攻击IP后立刻对攻击IP进
行阻断,将现有方法的时效性缩短到毫秒级的时效性。
行阻断,将现有方法的时效性缩短到毫秒级的时效性。
[0087] S113、当阻断方式为联动阻断时,将攻击团伙地址信息配置到联动的防火墙设备中,以使防火墙设备对攻击团伙地址信息对应的流量进行阻断处理。
[0088] 本申请实施例中,当阻断方式为联动阻断时,会通过将攻击团伙地址信息添加至防火墙等设备中,防止攻击团伙地址信息对应供给端后续的攻击行为。
[0089] 本申请实施例中,联动阻断中用户也可以对是否对本申请实施例中,进行阻断、阻断时间等配置进行灵活阻断。
[0090] 本申请实施例中,该方法集成了多种防火墙接口信息,用户可以预先配置即可连接到已经在使用中的防火墙。后续在更换其它类型的防火墙时,也仅仅只需在节点简单修
改配置即可,解决了现有技术中需要针对防火墙针对性编写调用脚本的缺陷。
改配置即可,解决了现有技术中需要针对防火墙针对性编写调用脚本的缺陷。
[0091] 本申请实施例中,能够保证发现攻击IP时进行阻断,做到发现即阻断的毫秒级时差,即时有效的进行阻断并防止攻击IP的后续攻击行为。进行联动阻断时能够保证用户将
更为方便地将攻击IP及其团伙IP进行阻断,只需要在页面简单填入防火墙信息即可连接到
防火墙对攻击IP进行阻断,不再需要手动进行阻断或者针对性的编写添加阻断脚本。
更为方便地将攻击IP及其团伙IP进行阻断,只需要在页面简单填入防火墙信息即可连接到
防火墙对攻击IP进行阻断,不再需要手动进行阻断或者针对性的编写添加阻断脚本。
[0092] 本申请实施例中,实施上述步骤S112 步骤S113,能够对攻击团伙地址信息对应的~
流量进行阻断处理。
流量进行阻断处理。
[0093] 可见,实施本实施例所描述的流量检测方法,能够在检测到网络攻击时,及时对发现的网络攻击主机及其团伙进行实时阻断,从而维护网络安全。
[0094] 实施例2
[0095] 请参看图2,图2为本申请实施例提供的一种流量检测装置的结构示意图。如图2所示,该流量检测装置包括:
[0096] 流量获取单元210,用于获取待检测流量;
[0097] 第一处理单元220,用于依据预先配置的流量过滤名单对待检测流量进行过滤处理,得到第一处理流量和黑名单流量;
[0098] 第二处理单元230,用于依据预设的流量规则对第一处理流量进行网络攻击检测处理,得到未检测出存在攻击的第二处理流量和存在攻击的流量;
[0099] 第三处理单元240,用于依据预设的云端情报数据库对第二处理流量进行碰撞比对,得到产生告警的第三处理流量;
[0100] 团伙信息获取单元250,用于获取黑名单流量、第三处理流量以及存在攻击的流量的攻击团伙地址信息;
[0101] 阻断单元260,用于对攻击团伙地址信息对应的流量进行阻断处理。
[0102] 作为一种可选的实施方式,第一处理单元220包括:
[0103] 第一确定子单元221,用于依据预先配置的流量过滤名单确定待检测流量中的黑名单流量和白名单流量;
[0104] 第二确定子单元222,用于将待检测流量中除去黑名单流量和白名单流量之外的流量,确定为第一处理流量;
[0105] 放行子单元223,用于对白名单流量进行直接放行处理,并触发第二处理单元230执行的依据预设的流量规则对第一处理流量进行网络攻击检测处理,得到未检测出存在攻
击的第二处理流量。
击的第二处理流量。
[0106] 作为一种可选的实施方式,第二处理单元230包括:
[0107] 攻击检测子单元231,用于依据预设的流量规则对第一处理流量进行网络攻击检测处理,得到攻击检测结果;
[0108] 第三确定子单元232,用于根据攻击检测结果确定第一处理流量中检测出存在攻击的流量和未检测出存在攻击的第二处理流量,并触发第三处理单元执行的依据预设的云
端情报数据库对第二处理流量进行碰撞比对,得到产生告警的第三处理流量。
端情报数据库对第二处理流量进行碰撞比对,得到产生告警的第三处理流量。
[0109] 作为一种可选的实施方式,团伙信息获取单元250包括:
[0110] 提取子单元251,用于提取黑名单流量、第三处理流量以及存在攻击的流量中的攻击地址信息;
[0111] 查询子单元252,用于根据云端情报数据库中查询与攻击地址信息相关联的其他攻击地址信息;
[0112] 汇总子单元253,用于汇总攻击地址信息和其他攻击地址信息得到攻击团伙地址信息。
[0113] 作为一种可选的实施方式,阻断单元260包括:
[0114] 获取子单元261,用于,用于获取阻断处理配置信息,阻断处理配置信息至少包括阻断方式和阻断时间;
[0115] 阻断子单元262,用于当阻断方式为旁路阻断时,获取阻断数据包,并在阻断时间内根据攻击团伙地址信息持续发送阻断数据包至攻击端,以切断与攻击端的通信连接;以
及当阻断方式为联动阻断时,将攻击团伙地址信息配置到联动的防火墙设备中,以使防火
墙设备对攻击团伙地址信息对应的流量进行阻断处理。
及当阻断方式为联动阻断时,将攻击团伙地址信息配置到联动的防火墙设备中,以使防火
墙设备对攻击团伙地址信息对应的流量进行阻断处理。
[0116] 本申请实施例中,将攻击IP的发现与阻断做到了自动化、一体化,能够在发现攻击后立即进行阻断操作。另外通过利用云端情报,可以获得攻击IP所属团伙的一些列IP,并对
这些IP进行阻断。除此之外,还集成多种防火墙接口信息,在界面简单输入防火墙信息后即
可选择对应的防火墙接口进行IP阻断操作,将攻击IP的发现和添加至防火墙阻断做到了一
体化,实现了毫秒级时差,不再依赖定时扫描添加脚本。
这些IP进行阻断。除此之外,还集成多种防火墙接口信息,在界面简单输入防火墙信息后即
可选择对应的防火墙接口进行IP阻断操作,将攻击IP的发现和添加至防火墙阻断做到了一
体化,实现了毫秒级时差,不再依赖定时扫描添加脚本。
[0117] 本申请实施例中,对于流量检测装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
[0118] 可见,实施本实施例所描述的流量检测装置,能够在检测到网络攻击时,及时对发现的网络攻击主机及其团伙进行实时阻断,从而维护网络安全。
[0119] 本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中
的流量检测方法。
的流量检测方法。
[0120] 本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的流量检测方法。
[0121] 在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图
显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、
功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一
部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执
行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于
附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也
可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每
个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基
于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、
功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一
部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执
行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于
附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也
可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每
个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基
于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0122] 另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
[0123] 所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对
现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算
机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人
计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而
前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存储
器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算
机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人
计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而
前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存储
器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0124] 以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的
任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和
字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图
中不需要对其进行进一步定义和解释。
任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和
字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图
中不需要对其进行进一步定义和解释。
[0125] 以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵
盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
[0126] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。