网络攻击流量检测方法、装置、设备及计算机可读存储介质

技术领域

本发明涉及网络安全技术领域，特别地涉及一种网络攻击流量检测方法、装置、设备及计算机可读存储介质。

背景技术

实际网络环境中，安全防御设备多种多样。不同厂商设备告警方式差异很大（SYSLOG、API、EMAIL），并且攻击流量的特征定义也不尽相同，从而导致不同厂商之间的安全设备无法联合防御。例如，安全设备A检测到流量攻击发出告警，安全设备B无法识别A的告警信息，并且威胁流量无法进入到安全设备B进行拦截；目前只有人为手动去进行流量引导，从而存在局限性。

因此，如何实现对安全设备进行网络攻击流量检测，正确进行攻击流量引导，仍是待解决的技术问题。

发明内容

有鉴于此，本发明提出一种网络攻击流量检测方法、装置、设备及计算机可读存储介质，实现安全设备网络攻击流量检测，能够正确对安全设备进行攻击流量引导。

本发明第一方面提供的一种网络攻击流量检测方法，包括：解析多个不同待检测设备的网络信息；获取多个不同待检测设备发出的告警信息，并进行统一化处理；获取用户配置的安全信息，根据用户配置的安全信息，对待检测设备进行攻击流量检测；对统一化后的告警信息进行解析，生成日志信息，根据日志信息和攻击流量的检测结果，对待检测设备进行流量引导。

进一步的，所述待检测设备的网络信息包括但不限于IP地址、TCP/UDP端口信息。

进一步的，所述获取多个不同待检测设备发出的告警信息，并进行统一化处理的步骤包括：

获取多个不同待检测设备发出的告警信息，并根据不同待检测设备发出的告警信息之间的逻辑关系，对多个不同待检测设备发出的告警信息进行统一化处理，得到统一化后的告警信息。

进一步的，所述用户配置的安全信息包括但不限于网络攻击类型、网络攻击网段、是否需要自动处理网络攻击流量及自动引导处理网络攻击流量有效时间。

进一步的，所述流量引导的方法为：

对统一化后的多个不同待检测设备输出的告警信息进行解析，生成日志信息；

根据得到的日志信息和检测到的待检测设备的攻击流量，下发相应的流量引导指令至待检测设备。

本发明第二方面提供的一种网络攻击流量检测装置，包括：网络信息解析模块，用于解析多个不同待检测设备的网络信息；告警信息获取模块，用于获取多个不同待检测设备发出的告警信息，并进行统一化处理；流量检测模块，用于获取用户配置的安全信息，根据用户配置的安全信息，对待检测设备进行攻击流量检测；流量引导模块，用于对统一化后的告警信息进行解析，生成日志信息，根据日志信息和攻击流量的检测结果，对待检测设备进行流量引导。

进一步的，所述告警信息获取模块的具体实现过程为：

获取多个不同待检测设备发出的告警信息，并根据不同待检测设备发出的告警信息之间的逻辑关系，对多个不同待检测设备发出的告警信息进行统一化处理，得到统一化后的告警信息。

进一步的，所述流量引导模块的具体实现过程为：

对统一化后的多个不同待检测设备输出的告警信息进行解析，生成日志信息；

根据得到的日志信息和检测到的待检测设备的攻击流量，下发相应的流量引导指令至待检测设备。

本发明第三方面提供的一种网络攻击流量检测设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如上所述的网络攻击流量检测方法的步骤。

本发明第四方面提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述网络攻击流量检测方法的步骤。

本申请提出的网络攻击流量检测方法及装置，实现不同设备自动适配对接告警信息，自动流量引导，集群高可用，不同角色用户、不同网段流量对不同厂商、类型的安全设备或者监控设备的流量引导。

附图说明

为了说明而非限制的目的，现在将根据本发明的优选实施例、特别是参考附图来描述本发明，其中：

图1是本发明实施例中网络攻击流量检测方法的流程图；

图2是本发明实施例中网络攻击流量检测装置的结构框图；

图3是本发明实施例中网络攻击流量检测设备的结构框图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施例对本发明进行详细描述。需要说明的是，在不冲突的情况下，本发明的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

实施例一

图1是本实施例一提出的网络攻击流量检测方法的流程图。

在本实施例中，所述网络攻击流量检测方法可以应用于计算机装置中，对于需要进行网络攻击流量检测的计算机装置，可以直接在计算机装置上集成本发明的方法所提供的用于网络攻击流量检测的功能，或者以软件开发工具包(Software Development Kit，SDK)的形式运行在计算机装置上。

如图1所示，所述网络攻击流量检测方法具体包括以下步骤，根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

本实施例中，所述计算机装置可以为个人电脑、服务器、智能电视、便携式电子设备如手机、平板电脑等设备。

下面以待检测设备为安全设备为例，对本申请提出的网络攻击流量检测方法进行详细说明。

步骤S101、所述计算机装置解析多个不同厂商的安全设备的IP地址、TCP/UDP端口等网络信息。

在本实施例中，安全设备包括攻击检测安全设备和攻击处理安全设备。

所述计算机装置通过分析多个不同厂商的安全设备不同对接方式输出的告警信息和联动信息，筛选解析出安全设备的IP地址、TCP/UDP端口等网络信息。

其中，安全设备的对接方式包括SYSLOG、HTTP、API等方式。

步骤S102、所述计算机装置获取多个不同厂商的安全设备发出的告警信息并进行统一化处理。

所述计算机装置获取多个不同厂商的安全设备发出的告警信息，并根据不同安全设备发出的告警信息之间的逻辑关系，对多个不同厂商的安全设备发出的告警信息进行统一化处理。其中，安全设备发出的告警信息包括SYSLOG日志系统、HTTP、API等告警信息。

所述计算机装置针对不同厂商的安全设备发出的告警信息（SYSLOG日志系统、HTTP、API等告警信息）进行分析处理，使各安全设备发出的告警信息统一化。

步骤S103、所述计算机装置获取用户配置的安全信息，根据用户配置的安全信息，对安全设备进行针对性的威胁攻击流量检测。

所述用户配置的安全信息包括网络攻击类型、网络攻击网段和是否需要自动处理网络攻击流量及自动引导处理网络攻击流量有效时间等安全信息。

所述计算机装置联动攻击检测设备和攻击处理设备之间的通信，根据用户配置的安全信息（网络攻击类型、网络攻击网段和是否需要自动处理网络攻击流量及自动引导处理网络攻击流量有效时间），对联动攻击检测设备和攻击处理设备进行针对性的检测，检测安全设备的攻击流量，包括威胁流量。

现有的威胁流量检测方法一般都是全面的检测，无法做到针对性的检测，存在局限性，且存在浪费资源的问题，而本申请能够根据用户配置的安全信息，对安全设备进行针对性的检测，广泛应用，节约资源。

步骤S104、所述计算机装置对多个不同厂商的安全设备发出的告警信息进行解析，生成日志信息，根据得到的日志信息，下发相应的流量引导指令至安全设备，使检测到的威胁流量引导至攻击处理安全设备进行拦截处理。

现有的安全设备之间无法通信，不存在流量引导功能，一般都是人为手动的去做流量引导，从而存在局限性；本申请根据安全设备发出的告警信息自动实现流量引导，无需人为手动去引导，这样做大大节省了人力及时间，也保证了实时的流量引导，对恶意流量的攻击拦截更具有实效性。

在本申请中待检测的设备也可为监控设备，其具体实现过程参照上述方法实施例，本申请在此不做赘述。

本申请提出的网络攻击流量检测方法，实现不同设备自动适配对接告警信息，自动流量引导，集群高可用，不同角色用户、不同网段流量对不同厂商、类型的安全设备或者监控设备的流量引导。

实施例二

图2是本发明实施例二提供的网络攻击流量检测装置20的结构框图。

在本实施例中，所述网络攻击流量检测装置20可以应用于计算机装置中，所述网络攻击流量检测装置20可以包括多个由程序代码段所组成的功能模块。所述网络攻击流量检测装置20中的各个程序段的程序代码可以存储于计算机装置的存储器中，并由所述计算机装置的至少一个处理器所执行，以实现(详见图1描述)网络攻击流量检测功能。

本实施例中，所述网络攻击流量检测装置20根据其所执行的功能，可以被划分为多个功能模块。所述功能模块可以包括：网络信息解析模块201、告警信息获取模块202、流量检测模块203以及流量引导模块204。本发明所称的模块是指一种能够被至少一个处理器所执行并且能够完成固定功能的一系列计算机程序段，其存储在存储器中。在本实施例中，关于各模块的功能将在后续的实施例中详述。

所述网络信息解析模块，用于解析多个不同厂商的安全设备的IP地址、TCP/UDP端口等网络信息。

在本实施例中，安全设备包括攻击检测安全设备和攻击处理安全设备。

所述网络信息解析模块通过分析多个不同厂商的安全设备不同对接方式输出的告警信息和联动信息，筛选解析出安全设备的IP地址、TCP/UDP端口等网络信息。

其中，安全设备的对接方式包括SYSLOG、HTTP、API等方式。

所述告警信息获取模块，用于获取多个不同厂商的安全设备发出的告警信息并进行统一化处理。

所述告警信息获取获取多个不同厂商的安全设备发出的告警信息，并根据不同安全设备发出的告警信息之间的逻辑关系，对多个不同厂商的安全设备发出的告警信息进行统一化处理。其中，安全设备发出的告警信息包括SYSLOG日志系统、HTTP、API等告警信息。

所述告警信息获取模块针对不同厂商的安全设备发出的告警信息（SYSLOG日志系统、HTTP、API等告警信息）进行分析处理，使各安全设备发出的告警信息统一化。

所述流量检测模块，用于获取用户配置的安全信息，根据用户配置的安全信息，对安全设备进行针对性的检测。

所述用户配置的安全信息包括网络攻击类型、网络攻击网段和是否需要自动处理网络攻击流量及自动引导处理网络攻击流量有效时间等安全信息。

所述流量检测模块联动攻击检测设备和攻击处理设备之间的通信，根据用户配置的安全信息（网络攻击类型、网络攻击网段和是否需要自动处理网络攻击流量及自动引导处理网络攻击流量有效时间），对联动攻击检测设备和攻击处理设备进行针对性的检测，检测威胁安全设备的流量。

现有的威胁流量检测方法一般都是全面的检测，无法做到针对性的检测，存在局限性，且存在浪费资源的问题，而本申请能够根据用户配置的安全信息，对安全设备进行针对性的检测，广泛应用，节约资源。

所述流量引导模块，用于对多个不同厂商的安全设备发出的告警信息进行解析，生成日志信息，根据得到的日志信息，下发相应的流量引导指令至安全设备，使检测到的威胁流量引导至攻击处理安全设备进行拦截处理。

现有的安全设备之间无法通信，不存在流量引导功能，一般都是人为手动的去做流量引导，从而存在局限性；本申请根据安全设备发出的告警信息自动实现流量引导，无需人为手动去引导，这样做大大节省了人力及时间，也保证了实时的流量引导，对恶意流量的攻击拦截更具有实效性。

在本申请中待检测的设备也可为监控设备，其具体实现过程参照上述方法实施例，本申请在此不做赘述。

本申请提出的网络攻击流量检测装置，实现不同设备自动适配对接告警信息，自动流量引导，集群高可用，不同角色用户、不同网段流量对不同厂商、类型的安全设备或者监控设备的流量引导。

相应于上面的方法实施例，参见图3，图3为本发明所提供的网络攻击流量检测设备的示意图，该设备30可以包括：

存储器31，用于存储计算机程序；

处理器32，用于执行上述存储器11存储的计算机程序时可实现如下步骤：

解析多个不同待检测设备的网络信息；获取多个不同待检测设备发出的告警信息，并进行统一化处理；获取用户配置的安全信息，根据用户配置的安全信息，对待检测设备进行攻击流量检测；对统一化后的告警信息进行解析，生成日志信息，根据日志信息和攻击流量的检测结果，对待检测设备进行流量引导。

对于本发明提供的设备的介绍请参照上述方法实施例，本发明在此不做赘述。

相应于上面的方法实施例，本发明还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时可实现如下步骤：

解析多个不同待检测设备的网络信息；获取多个不同待检测设备发出的告警信息，并进行统一化处理；获取用户配置的安全信息，根据用户配置的安全信息，对待检测设备进行攻击流量检测；对统一化后的告警信息进行解析，生成日志信息，根据日志信息和攻击流量的检测结果，对待检测设备进行流量引导。

该计算机可读存储介质可以包括：U盘、移动硬盘、只读存储器 (Read-OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例，本发明在此不做赘述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。