网络威胁检测方法、装置及存储介质
文献发布时间:2024-04-18 19:53:33
技术领域
本申请涉及通信技术领域,尤其涉及一种网络威胁检测方法、装置及存储介质。
背景技术
随着互联网通信技术的发展,企业信息安全也变得尤为重要。目前的网络威胁攻击逐步呈现多元化、隐秘化、组织化的态势。随着企业规模的不断扩大,系统所产生的网络威胁数据也日益增多。
目前的网络威胁检测方法难以检测未知的网络威胁,仍需要人工处理分析,难以应对每天大量的网络威胁数据,检测效率低下。
发明内容
本申请提供一种网络威胁检测方法、装置及存储介质,能够解决现有技术中检测效率低下的问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种网络威胁检测方法,该方法包括:获取用户访问行为数据以及历史运维数据;用户访问行为数据用于表征通信网络中的业务访问特征;历史运维数据用于表征业务数据的字段信息;对用户访问行为数据进行行为特征检测,确定网络威胁的行为信息;根据历史运维数据识别网络威胁特征字段,确定网络威胁的类型信息;根据网络威胁的行为信息以及类型信息确定网络威胁的威胁等级。
基于上述技术方案,本申请实施例提供的网络威胁检测装置获取用户访问行为数据以及历史运维数据。其中,用户访问行为数据用于表征通信网络中的业务访问特征,历史运维数据用于表征业务数据的字段信息。如此一来,网络威胁检测装置便可以对用户访问行为数据进行行为特征检测,从而确定网络威胁的行为信息,并根据历史运维数据识别网络威胁特征字段,从而确定网络威胁的类型信息。之后,网络威胁检测装置便可以根据网络威胁的行为信息以及类型信息确定该网络威胁的威胁等级。因此,本申请通过对行为数据以及特征数据两方面进行网络威胁检测,从而分析出网络威胁的威胁等级,提高了网络威胁检测效率。
结合上述第一方面,在一种可能的实现方式中,该方法包括:将用户访问行为数据输入行为检测模型中,确定网络威胁的行为信息。
结合上述第一方面,在一种可能的实现方式中,行为检测模型包括多个访问特征以及每个访问特征对应的攻击行为;该方法包括:从用户访问行为数据中确定存在的目标访问特征;目标访问特征为多个访问特征中的任一个或多个访问特征;在目标访问特征满足预设条件的情况下,确定网络威胁的行为信息为目标访问特征对应的攻击行为。
结合上述第一方面,在一种可能的实现方式中,该方法包括:将历史运维数据输入类型检测模型中,确定网络威胁的类型信息。
结合上述第一方面,在一种可能的实现方式中,类型检测模型包括多个网络威胁特征字段以及每个网络威胁特征字段对应的攻击类型;该方法包括:在历史运维数据中包括目标网络威胁特征字段的情况下,确定网络威胁的类型信息为目标网络威胁特征字段对应的攻击类型;目标网络威胁特征字段为多个网络威胁特征字段中的任一个或多个网络威胁特征字段。
结合上述第一方面,在一种可能的实现方式中,该方法还包括:在网络威胁的威胁等级为目标等级的情况下,触发网络威胁工单派发操作;网络威胁工单用于指示处理网络威胁。
第二方面,本申请提供一种网络威胁检测装置,该装置包括:通信单元和处理单元;通信单元,用于获取用户访问行为数据以及历史运维数据;用户访问行为数据用于表征通信网络中的业务访问特征;历史运维数据用于表征业务数据的字段信息;处理单元,用于对用户访问行为数据进行行为特征检测,确定网络威胁的行为信息;处理单元,还用于根据历史运维数据识别网络威胁特征字段,确定网络威胁的类型信息;处理单元,还用于根据网络威胁的行为信息以及类型信息确定网络威胁的威胁等级。
结合上述第二方面,在一种可能的实现方式中,处理单元用于:将用户访问行为数据输入行为检测模型中,确定网络威胁的行为信息。
结合上述第二方面,在一种可能的实现方式中,行为检测模型包括多个访问特征以及每个访问特征对应的攻击行为;处理单元用于:从用户访问行为数据中确定存在的目标访问特征;目标访问特征为多个访问特征中的任一个或多个访问特征;在目标访问特征满足预设条件的情况下,确定网络威胁的行为信息为目标访问特征对应的攻击行为。
结合上述第二方面,在一种可能的实现方式中,处理单元用于:将历史运维数据输入类型检测模型中,确定网络威胁的类型信息。
结合上述第二方面,在一种可能的实现方式中,类型检测模型包括多个网络威胁特征字段以及每个网络威胁特征字段对应的攻击类型;处理单元用于:在历史运维数据中包括目标网络威胁特征字段的情况下,确定网络威胁的类型信息为目标网络威胁特征字段对应的攻击类型;目标网络威胁特征字段为多个网络威胁特征字段中的任一个或多个网络威胁特征字段。
结合上述第二方面,在一种可能的实现方式中,处理单元用于:在网络威胁的威胁等级为目标等级的情况下,触发网络威胁工单派发操作;网络威胁工单用于指示处理网络威胁。
第三方面,本申请提供了一种网络威胁检测装置,该装置包括:处理器和通信接口;通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现如第一方面和第一方面的任一种可能的实现方式中所描述的网络威胁检测方法。
第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令在终端上运行时,使得终端执行如第一方面和第一方面的任一种可能的实现方式中描述的网络威胁检测方法。
第五方面,本申请提供一种包含指令的计算机程序产品,当计算机程序产品在网络威胁检测装置上运行时,使得网络威胁检测装置执行如第一方面和第一方面的任一种可能的实现方式中所描述的网络威胁检测方法。
第六方面,本申请提供一种芯片,芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现如第一方面和第一方面的任一种可能的实现方式中所描述的网络威胁检测方法。
具体的,本申请中提供的芯片还包括存储器,用于存储计算机程序或指令。
需要说明的是,上述计算机指令可以全部或者部分存储在计算机可读存储介质上。其中,计算机可读存储介质可以与装置的处理器封装在一起的,也可以与装置的处理器单独封装,本申请对此不作限定。
第七方面,本申请提供一种网络威胁检测系统,包括:网络威胁检测装置和数据服务器,其中网络威胁检测装置用于执行如第一方面和第一方面的任一种可能的实现方式中所描述的网络威胁检测方法。
本申请中第二方面至第七方面的描述,可以参考第一方面的详细描述;并且,第二方面至第七方面的描述的有益效果,可以参考第一方面的有益效果分析,此处不再赘述。
在本申请中,上述网络威胁检测装置的名字对设备或功能模块本身不构成限定,在实际实现中,这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本申请类似,属于本申请权利要求及其等同技术的范围之内。
本申请的这些方面或其他方面在以下的描述中会更加简明易懂。
附图说明
图1为本申请实施例提供的一种网络威胁检测系统的架构示意图;
图2为本申请实施例提供的一种数据接口的连接示意图;
图3为本申请实施例提供的一种网络威胁检测方法的流程图;
图4为本申请实施例提供的另一种网络威胁检测方法的流程图;
图5为本申请实施例提供的另一种网络威胁检测方法的流程图;
图6为本申请实施例提供的一种网络威胁检测装置的结构示意图;
图7为本申请实施例提供的另一种网络威胁检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象,或者用于区别对同一对象的不同处理,而不是用于描述对象的特定顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
随着互联网通信技术的发展,企业信息安全也变得尤为重要。目前的网络威胁攻击逐步呈现多元化、隐秘化、组织化的态势。网络威胁链的形成,导致单一手段的信息安全检测、防护无法满足当下的信息安全威胁形势。
虽然大多数企业都建立了身份认证体系、信息安全防御体系以及安全风险监测体系,基本保障了网络中信息数据和应用服务的安全运行。但是,上述系统每天会产生大量的安全威胁数据,使得相关技术人员难以有效处理。
目前,相关技术主要存在以下问题:
1、相关技术通常只能发现已知的网络威胁,难以检测未知的网络威胁。
2、相关技术通常通过大数据分析和机器学习技术建立威胁检测模型,由于缺乏电信业务相关的安全运维数据支撑,因此训练出的威胁检测模型难以适应业务系统特征数据。
3、相关技术需要部署专用的硬件设备以实现网络威胁检测,例如传感器等。
综上,目前的网络威胁检测方法难以检测未知的网络威胁,仍需要人工处理分析,难以应对每天大量的网络威胁数据,检测效率低下。
鉴于此,本申请提供了一种网络威胁检测方法、装置及存储介质,网络威胁检测装置获取用户访问行为数据以及历史运维数据。其中,用户访问行为数据用于表征通信网络中的业务访问特征,历史运维数据用于表征业务数据的字段信息。如此一来,网络威胁检测装置便可以对用户访问行为数据进行行为特征检测,从而确定网络威胁的行为信息,并根据历史运维数据识别网络威胁特征字段,从而确定网络威胁的类型信息。之后,网络威胁检测装置便可以根据网络威胁的行为信息以及类型信息确定该网络威胁的威胁等级。因此,本申请通过对行为数据以及特征数据两方面进行网络威胁检测,从而分析出网络威胁的威胁等级,提高了网络威胁检测效率。
图1为本申请实施例提供的一种网络威胁检测系统10的架构图。如图1所示,该网络威胁检测系统10包括:网络威胁检测装置11和数据服务器12。
其中,网络威胁检测装置11和数据服务器12通过通信链路连接,该通信链路可以为有线通信链路,也可以为无线通信链路,本申请对此不作限定。
一种可能的实现方式中,本申请实施例提供的网络威胁检测系统10中各个装置模块之间可以通过数据接口进行数据通信。
示例性的,如图2所示,图2为本申请实施例提供的一种数据接口的连接示意图。
其中,接口A为数据服务器12与日志接收模块1101之间的数据接口。集群探针1201、Web探针1202、网关1203、流量探针1204、杀毒中心1205以及DNS1207可以通过SYSLOG协议向日志接收模块1101发送日志。
接口B为数据服务器12与扫描调度模块1107之间的数据接口。扫描调度模块1107通过调用资产探针1106/漏扫探针1208提供的RESTful接口,对探针进行扫描任务的管理、执行等操作。
接口C为日志传输模块接口。日志接收模块1101将接收到的日志通过接口C发送到日志传输模块1102,日志传输模块1102将接收到的日志进行队列缓存,并通过队列发送至相应的日志解析模块1103/检测服务模块(例如统计检测模块1104和特征检测模块1105)。
接口D为日志数据库接口。通过日志数据库1108提供的RESTful接口,日志解析模块1103、检测服务模块可以进行日志数据的存储。统计模块1106、WEB应用可以通过接口D读取相关数据。
接口E为业务数据库接口。通过业务数据库1109提供的数据库接口,统计模块1106、扫描调度模块1107可以读取相关的配置管理信息,并对统计数据进行存储。WEB应用可以通过接口E读取相关系统管理数据。
接口F为漏洞数据库接口。扫描调度模块1107通过调用接口F对扫描结果进行存储,WEB应用通过接口F读取扫描结果。
需要说明的是,本申请实施例提供的网络威胁检测方法可以应用于上述网络威胁检测装置11中,该网络威胁检测装置11可以为独立的通信装置,例如接入网设备、核心网设备等通信装置。网络威胁检测装置11也可以为耦合在接入网设备中的功能模块。网络威胁检测装置11也可以为用于执行网络威胁检测方法的计算机程序(application,APP)。网络威胁检测装置11还可以为与接入网设备相连接的服务器。
当网络威胁检测装置11为接入网设备时,网络威胁检测装置11为位于通信系统的接入网侧,且具有无线收发功能的设备或可设置于该设备的芯片或芯片系统。接入网设备包括但不限于:WiFi系统中的接入点(access point,AP),如家庭网关、路由器、服务器、交换机、网桥等,演进型节点B(evolved NodeB,eNB)、无线网络控制器(radio networkcontroller,RNC)、节点B(NodeB,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolved NodeB,或homeNodeB,HNB)、基带单元(base band unit,BBU)、无线中继节点、无线回传节点、传输点(transmission and reception point,TRP或者transmission point,TP)等,还可以为5G基站,如,新空口(new radio,NR)系统中的gNB,或,传输点(TRP或TP),5G系统中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如基带单元,或,分布式单元(distributed unit,DU)、具有基站功能的路边单元(road sideunit,RSU)、或者5G接入网(NG radio access network,NG-Ran)设备等。接入网设备还包括不同组网模式下的基站,如,主基站(master evolved NodeB,MeNB)、辅基站(secondaryeNB,SeNB,或者,secondary gNB,SgNB)。接入网设备还包括不同类型,例如地面基站、空中基站以及卫星基站等。
当网络威胁检测装置11为核心网设备时,该核心网设备位于通信系统的核心网侧,核心网设备可以是实体设备,还可以是虚拟装置。4G网络的核心网设备包括但不限于:移动管理实体(mobility management entity,MME)、服务网关(serving gateway,SGW)、公共数据网关(public data network gateway,PGW)。5G网络的核心网设备包括但不限于:接入和移动性管理功能网元(access and mobility management function,AMF)、会话管理功能网元(session management function,SMF)、用户面功能网元(user plane function,UPF)。
当网络威胁检测装置11为服务器时,该服务器包括:
处理器,处理器可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
收发器,收发器可以是使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless localarea networks,WLAN)等。
存储器,存储器可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路与处理器相连接。存储器也可以和处理器集成在一起。
数据服务器12用于采集网络数据。
网络威胁检测装置11用于获取用户访问行为数据以及历史运维数据。
其中,用户访问行为数据用于表征通信网络中的业务访问特征。历史运维数据用于表征业务数据的字段信息。
示例性的,网络威胁检测装置11可以从数据服务器12中获取用户访问行为数据以及历史运维数据。
网络威胁检测装置11还用于对用户访问行为数据进行行为特征检测,确定网络威胁的行为信息。
网络威胁检测装置11还用于根据历史运维数据识别网络威胁特征字段,确定网络威胁的类型信息。
网络威胁检测装置11还用于根据网络威胁的行为信息以及类型信息确定网络威胁的威胁等级。
作为一种可能的实施例,如图1所示,网络威胁检测装置11中包括:日志接收模块1101、日志传输模块1102、日志解析模块1103、统计检测模块1104、特征检测模块1105、统计模块1106、扫描调度模块1107、日志数据库1108、业务数据库1109以及漏洞数据库1110。数据服务器12中包括:集群探针1201、网页Web探针1202、网关1203、流量探针1204、杀毒中心1205、资产探针1206、域名系统(domain name system,DNS)1207以及漏扫探针1208。
其中,日志接收模块1101用于采集日志数据。
例如,日志接收模块1101可以从集群探针1201处获取集群日志,从Web探针1202处获取Web访问日志,从网关1203处获取防病毒日志,从杀毒中心1205处获取终端杀毒中心日志,从DNS1207处获取DNS日志。
示例性的,日志接收模块1101可以为RSyslog服务功能模块。
集群探针1201用于向网络威胁检测装置11发送集群日志。
示例性的,集群探针1201可以为蜜罐集群探针。
Web探针1202可以为Apache、Tomcat、Weblogic等Wbe服务中间件,用于向网络威胁检测装置11发送Web访问日志。
网关1203用于向网络威胁检测装置11发送网络防病毒日志。
示例性的,网关1203可以为天融信防病毒网关设备。
流量探针1204用于向网络威胁检测装置11发送流量检测告警日志。
示例性的,流量探针1204可以为网络流量分析检测设备。
杀毒中心1205用于收集终端设备上的病毒日志,并向网络威胁检测装置11发送病毒日志。
示例性的,杀毒中心1205可以为赛门铁克终端病毒管理中心。
资产探针1206以及漏扫探针1208用于向网络威胁检测装置11发送资产、漏洞扫描结果。
示例性的,资产探针1206可以为Nmap资产探针,漏扫探针1208可以为Nessus、AWVS漏扫探针。
DNS1207可以为DNS服务器,用于向网络威胁检测装置11发送DNS请求日志。
日志传输模块1102用于传输获取到的日志数据。
示例性的,日志传输模块可以为系统数据总线,例如Kafka。
日志解析模块1103用于对日志数据进行切分、处理以及转换。
示例性的,日志解析模块1103可以为Logstash服务功能模块。
统计检测模块1104、特征检测模块1105以及统计模块1106用于对海量、异构、多种类的数据的关联分析、取证分析、规则审计。
例如针对病毒安全风险管控平台、DNS分析、Web访问日志检测分析、日常流量分析、漏洞扫描管理、资产扫描系统的数据分析以及可视化呈现。
其中,统计检测模块1104以及特征检测模块1105基于业务访问特征,通过机器学习的方法,从业务安全运维的历史数据中训练得到预设模型,从而通过训练出的预设模型检测网络威胁。
统计检测模块1104以及特征检测模块1105还用于将检测结果存储至日志数据库1108中。
日志数据库1108用于存储各类日志解析、处理后的数据信息。
示例性的,日志数据库1108可以为Elasticsearch数据库。
统计模块1106用于从日志数据库1108中获取日志数据,并从中提取业务数据,存储至业务数据库1109中。
业务数据库1109用于存储业务统计数据、业务系统配置管理数据。
示例性的,业务数据库1109可以为Postgresql数据库。
扫描调度模块1107用于基于前台应用的配置,自动生成扫描任务,并按照预设时间进行任务的调度、执行以及扫描结果的获取、解析。
漏洞数据库1110用于存储漏洞扫描结果。
示例性的,漏洞数据库1110可以为MongoDB数据库。
Web应用为Web应用管理程序,用于通过软件展示网络威胁检测装置11的各项功能。
一种可能的实现方式中,网络威胁检测装置11中还包括配置管理库和工单系统。
其中,配置管理库用于管理电信业务系统的资产配置,工单系统用于触发工单的自动派发。
示例性的,配置管理库可以为CMDB数据库。
需要指出的是,本申请各实施例之间可以相互借鉴或参考,例如,相同或相似的步骤,方法实施例、系统实施例和装置实施例之间,均可以相互参考,不予限制。
图3为本申请实施例提供的一种网络威胁检测方法的流程图。如图3所示,该方法包括以下步骤:
步骤301、网络威胁检测装置获取用户访问行为数据以及历史运维数据。
其中,用户访问行为数据用于表征通信网络中的业务访问特征。历史运维数据用于表征业务数据的字段信息。
一种可能的实现方式中,网络威胁检测装置可以从数据服务器中获取采集到的网络日志信息,并从网络日志信息中提取用户访问行为数据以及历史运维数据。
示例性的,网络威胁检测装置可以对网络日志信息进行数据预处理操作。该数据预处理操作可以包括缺失数据填充、标准化处理、异常数据清除等操作。
之后,网络威胁检测装置对预处理后的网络日志信息进行数据切分、数据转换等操作,从而得到用户访问行为数据以及历史运维数据。
步骤302、网络威胁检测装置对用户访问行为数据进行行为特征检测,确定网络威胁的行为信息。
其中,网络威胁的行为信息用于表征该网络威胁的攻击行为。
示例性的,网络威胁的攻击行为可以包括恶意扫描、目录遍历、网络爬虫(webcrawler)、管理地址猜测、结构化查询语言(structured query language,SQL)注入(injection)、密码爆破、Webshell、数据泄露等攻击行为。
网络爬虫是指一种按照一定的规则,自动抓取网络信息的程序或者脚本,然而频繁的网络爬虫行为会影响网站的正常运行,给用户带来网络威胁。
SQL注入是指通过将SQL命令插入Web表单递交或输入域名或页眉请求的查询字符串中,从而实现欺骗服务器执行恶意的SQL命令的攻击行为。SQL注入会导致用户的数据库安全受到威胁。
Webshell是指通过服务器开放的端口获取服务器的某些权限的攻击行为。Webshell也称为脚本木马。
步骤303、网络威胁检测装置根据历史运维数据识别网络威胁特征字段,确定网络威胁的类型信息。
其中,网络威胁的类型信息用于表征该网络威胁的攻击类型。
示例性的,网络威胁的攻击类型可以包括数据库攻击(例如SQL注入以及MSSQL注入)、破壳漏洞攻击(shellshock)、网页渗透、错误码扩展、跨站脚本攻击(cross sitescripting,XSS)、网页攻击等。
其中,破壳漏洞攻击是使用bash来处理某些命令,从而使得攻击者在bash版本上执行任意代码的攻击类型。
网页渗透是指针对性地对某个目标网络进行攻击,以获取该网络内部的资料数据,进行网络破坏等操作的攻击类型。
跨站脚本攻击是一种代码注入攻击,攻击者通过在目标网站上注入恶意脚本,使得用户在浏览目标网站时触发执行恶意脚本,从而威胁用户的网络安全。
步骤304、网络威胁检测装置根据网络威胁的行为信息以及类型信息确定网络威胁的威胁等级。
其中,网络威胁的威胁等级用于表征该网络威胁的严重程度。网络威胁的威胁等级越高,说明该网络威胁的严重程度越高。反之,网络威胁的威胁等级越低,说明该网络威胁的严重程度越低。网络威胁的威胁等级可以通过预设范围内的数值表示,也可以通过不同标签表示,本申请对此不作限定。
需要说明的是,由上述可知,网络威胁的行为信息用于表征该网络威胁的攻击行为,网络威胁的类型信息用于表征该网络威胁的攻击类型。因此,本申请中网络威胁检测装置可以基于网络威胁的攻击行为以及攻击等级分析该网络威胁的威胁等级。
一种可能的实现方式中,在步骤304之后,该方法还包括:在网络威胁的威胁等级为目标等级的情况下,网络威胁检测装置触发网络威胁工单派发操作。
其中,网络威胁工单用于指示处理网络威胁。
示例性的,网络威胁的威胁等级可以分为低威胁等级、中威胁等级以及高威胁等级。目标等级为中威胁等级和高威胁等级。
此时,在网络威胁的威胁等级为中威胁等级或者高威胁等级的情况下,网络威胁检测装置触发网络威胁工单派发操作。
基于上述技术方案,本申请实施例提供的网络威胁检测装置获取用户访问行为数据以及历史运维数据。其中,用户访问行为数据用于表征通信网络中的业务访问特征,历史运维数据用于表征业务数据的字段信息。如此一来,网络威胁检测装置便可以对用户访问行为数据进行行为特征检测,从而确定网络威胁的行为信息,并根据历史运维数据识别网络威胁特征字段,从而确定网络威胁的类型信息。之后,网络威胁检测装置便可以根据网络威胁的行为信息以及类型信息确定该网络威胁的威胁等级。因此,本申请通过对行为数据以及特征数据两方面进行网络威胁检测,从而分析出网络威胁的威胁等级,提高了网络威胁检测效率。
以下,对网络威胁检测装置确定网络威胁的行为信息的过程进行介绍。
作为本申请的一种可能的实施例,结合图3,如图4所示,上述步骤302还可以通过以下步骤401实现。
步骤401、网络威胁检测装置将用户访问行为数据输入行为检测模型中,确定网络威胁的行为信息。
其中,行为检测模型包括多个访问特征以及每个访问特征对应的攻击行为。
一种可能的实现方式中,网络威胁检测装置可以从用户访问行为数据中确定存在的目标访问特征,并在目标访问特征满足预设条件的情况下,确定网络威胁的行为信息为目标访问特征对应的攻击行为。
其中,目标访问特征为多个访问特征中的任一个或多个访问特征。
示例性的,访问特征与攻击行为的对应关系可以通过以下表1表示:
表1访问特征与攻击行为的对应关系表
其中,单IP访问次数是指来自某个IP的访问数量。当单IP访问次数超过第一次数时,网络威胁检测装置确定网络威胁的行为信息为恶意扫描和目录遍历。
单IP访问深度是指某个IP在一次访问中访问的目标网站中不同页面的数量。当单IP访问深度超过预设深度时,网络威胁检测装置确定网络威胁的行为信息为网络爬虫和目录遍历。
单IP访问宽度是指某个IP在一次访问中访问的目标网站的数量。当单IP访问宽度超过预设宽度时,网络威胁检测装置确定网络威胁的行为信息为网络爬虫、目录遍历以及管理地址猜测。
非2xx响应请求占比是指状态码为非2xx的响应请求的占比,由于状态码2xx为响应正常状态码,因此,非2xx响应请求占比可以表征非正常响应请求的占比。当非2xx响应请求占比超过第一比值时,网络威胁检测装置确定网络威胁的行为信息为目录遍历和管理地址猜测。
相同统一资源定位系统(uniform resource locator,URL)不同参数是指通过不同的参数访问同一个URL地址。当存在相同URL不同参数时,网络威胁检测装置确定网络威胁的行为信息为SQL注入和密码爆破。
不同域名相同URL次数是指通过相同的URL访问不同的域名的次数。当不同域名相同URL次数超过第二次数时,网络威胁检测装置确定网络威胁的行为信息为SQL注入和密码爆破。
上传/下载流量用于表征访问用户的资源访问情况。当上传/下载流量偏差值大于第一流量时,网络威胁检测装置确定网络威胁的行为信息为Webshell和数据泄漏。
无Referer POST请求次数是指没有Referer标头字段的POST请求的次数。Referer标头字段通常用于标识访问来源,没有Referer标头字段的POST请求由于无法识别访问来源,因此为网络威胁的可能性较高。当无Referer POST请求次数超过第三次数时,网络威胁检测装置确定网络威胁的行为信息为SQL注入、密码爆破以及数据泄露。
单IP流量异常是指某个IP的访问流量出现异常。当单IP流量大于第二流量时,网络威胁检测装置确定网络威胁的行为信息为数据泄露。
基于上述技术方案,本申请中的网络威胁检测装置可以将用户访问行为数据输入行为检测模型中,从而确定网络威胁的行为信息。由于该行为检测模型包括多个访问特征以及每个访问特征对应的攻击行为。因此,本申请可以从用户访问行为数据中确定出当前存在的目标访问特征,从而确定网络威胁的行为信息为该目标访问特征对应的攻击行为。综上,本申请实施例中的网络威胁检测装置基于访问特征与攻击行为的对应关系进行攻击行为识别,提高了对网络威胁的行为信息的识别效果。
以下,对网络威胁检测装置确定网络威胁的类型信息的过程进行介绍。
作为本申请的一种可能的实施例,结合图3,如图5所示,上述步骤303还可以通过以下步骤501实现。
步骤501、网络威胁检测装置将历史运维数据输入类型检测模型中,确定网络威胁的类型信息。
其中,类型检测模型包括多个网络威胁特征字段以及每个网络威胁特征字段对应的攻击类型。
一种可能的实现方式中,网络威胁检测装置可以在历史运维数据中包括目标网络威胁特征字段的情况下,确定网络威胁的类型信息为目标网络威胁特征字段对应的攻击类型。
其中,目标网络威胁特征字段为多个网络威胁特征字段中的任一个或多个网络威胁特征字段。
示例性的,网络威胁特征字段与攻击类型的对应关系可以通过以下表2表示:
表2网络威胁特征字段与攻击类型的对应关系表
其中,不同的攻击类型与历史运维数据中的网络威胁特征字段相对应,因此,网络威胁检测装置可以从历史运维数据中匹配存在的网络威胁特征字段,从而确定网络威胁的攻击类型。
基于上述技术方案,本申请中的网络威胁检测装置可以将历史运维数据输入类型检测模型中,从而确定网络威胁的类型信息。由于该类型检测模型包括多个网络威胁特征字段以及每个网络威胁特征字段对应的攻击类型。因此,本申请可以从历史运维数据中匹配出当前存在的目标网络威胁特征字段,从而确定网络威胁的类型信息为该目标网络威胁特征字段对应的攻击类型。综上,本申请实施例中的网络威胁检测装置基于网络威胁特征字段与攻击类型的对应关系进行攻击类型识别,提高了对网络威胁的类型信息的识别效果。
本申请实施例可以根据上述方法示例对网络威胁检测装置进行功能模块或者功能单元的划分,例如,可以对应各个功能划分各个功能模块或者功能单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块或者功能单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
如图6所示,为本申请实施例提供的一种网络威胁检测装置60的结构示意图,该网络威胁检测装置60包括:
通信单元602,用于获取用户访问行为数据以及历史运维数据;用户访问行为数据用于表征通信网络中的业务访问特征;历史运维数据用于表征业务数据的字段信息。
处理单元601,用于对用户访问行为数据进行行为特征检测,确定网络威胁的行为信息。
处理单元601,还用于根据历史运维数据识别网络威胁特征字段,确定网络威胁的类型信息。
处理单元601,还用于根据网络威胁的行为信息以及类型信息确定网络威胁的威胁等级。
在一种可能的实现方式中,处理单元601用于:将用户访问行为数据输入行为检测模型中,确定网络威胁的行为信息。
在一种可能的实现方式中,行为检测模型包括多个访问特征以及每个访问特征对应的攻击行为;处理单元601用于:从用户访问行为数据中确定存在的目标访问特征;目标访问特征为多个访问特征中的任一个或多个访问特征;在目标访问特征满足预设条件的情况下,确定网络威胁的行为信息为目标访问特征对应的攻击行为。
在一种可能的实现方式中,处理单元601用于:将历史运维数据输入类型检测模型中,确定网络威胁的类型信息。
在一种可能的实现方式中,类型检测模型包括多个网络威胁特征字段以及每个网络威胁特征字段对应的攻击类型;处理单元601用于:在历史运维数据中包括目标网络威胁特征字段的情况下,确定网络威胁的类型信息为目标网络威胁特征字段对应的攻击类型;目标网络威胁特征字段为多个网络威胁特征字段中的任一个或多个网络威胁特征字段。
在一种可能的实现方式中,处理单元601用于:在网络威胁的威胁等级为目标等级的情况下,触发网络威胁工单派发操作;网络威胁工单用于指示处理网络威胁。
在通过硬件实现时,本申请实施例中的通信单元602可以集成在通信接口上,处理单元601可以集成在处理器上。具体实现方式如图7所示。
图7示出了上述实施例中所涉及的网络威胁检测装置的又一种可能的结构示意图。该网络威胁检测装置70包括:处理器702和通信接口703。处理器702用于对网络威胁检测装置70的动作进行控制管理,例如,执行上述处理单元601执行的步骤,和/或用于执行本文所描述的技术的其它过程。通信接口703用于支持网络威胁检测装置70与其他网络实体的通信,例如,执行上述通信单元602执行的步骤。网络威胁检测装置70还可以包括存储器701和总线704,存储器701用于存储网络威胁检测装置70的程序代码和数据。
其中,存储器701可以是网络威胁检测装置70中的存储器等,该存储器可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
上述处理器702可以是实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线704可以是扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线704可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图7中的网络威胁检测装置70还可以为芯片。该芯片包括一个或两个以上(包括两个)处理器702和通信接口703。
在一些实施例中,该芯片还包括存储器701,存储器701可以包括只读存储器和随机存取存储器,并向处理器702提供操作指令和数据。存储器701的一部分还可以包括非易失性随机存取存储器(non-volatile random access memory,NVRAM)。
在一些实施方式中,存储器701存储了如下的元素,执行模块或者数据结构,或者他们的子集,或者他们的扩展集。
在本申请实施例中,通过调用存储器701存储的操作指令(该操作指令可存储在操作系统中),执行相应的操作。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得该计算机执行上述方法实施例中的网络威胁检测方法。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得该计算机执行上述方法实施例所示的方法流程中的网络威胁检测方法。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
由于本申请的实施例中的网络威胁检测装置、计算机可读存储介质、计算机程序产品可以应用于上述方法,因此,其所能获得的技术效果也可参考上述方法实施例,本申请实施例在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。