本发明涉及网络安全技术领域,特别是涉及一种基于字典树的网络威胁检测方法、装置、设备及计算机可读存储介质。
背景技术:
伴随着互联网的普及和以apt为典型代表的高级威胁和攻击的逐渐增长,企业和系统组织在抵御外部的攻击过程中越发需要依靠充分、有效的安全威胁情报作为支撑,以帮助其更好的应对这些新型威胁。
网络威胁情报检测过滤需求日益增长,在面对高流量和突发峰值流量越来越多的情况时,服务器设备在正常运行环境中存在性能不足的问题。同时警报数量巨大,导致威胁检测效率低,存在较高的误警率、漏警率。会影响公司或组织正常的安全威胁情报业务。该问题不解决,企业和组织会面临业务高峰或者被人ddos攻击的危险。从而可能忽略真正具有威胁性的攻击,错失了阻止攻击的最佳时机。
综上所述,如何有效地解决现有的网络威胁检测方式效率低,存在较高的误警率、漏警率,易忽略真正具有威胁性的攻击等问题,是目前本领域技术人员急需解决的问题。
技术实现要素:
本发明的目的是提供一种基于字典树的网络威胁检测方法,该方法避免了服务器自身性能对网络威胁情报检测的影响,提高了网络威胁检测效率,能够及时阻止攻击;本发明的另一目的是提供一种基于字典树的网络威胁检测装置、设备及计算机可读存储介质。
为解决上述技术问题,本发明提供如下技术方案:
一种基于字典树的网络威胁检测方法,包括:
对采集到的目标网络访问流量进行解析,得到目标网络标识;
遍历根据威胁情报库预建立的威胁情报字典树是否存在所述目标网络标识;
若是,则从所述威胁情报字典树中查找所述目标网络标识对应的目标威胁情报结点;
从所述目标威胁情报结点中获取所述目标网络访问流量对应的网络威胁检测结果。
在本发明的一种具体实施方式中,还包括:
当检测到所述威胁情报库更新时,获取所述威胁情报库的威胁情报更新信息;
根据所述威胁情报更新信息对所述威胁情报字典树进行更新操作。
在本发明的一种具体实施方式中,从所述目标威胁情报结点中获取所述目标网络访问流量对应的网络威胁检测结果,包括:
从所述目标威胁情报结点中获取所述目标网络访问流量对应的目标威胁等级和目标处置策略。
在本发明的一种具体实施方式中,在从所述目标威胁情报结点中获取所述目标网络访问流量对应目标威胁等级和目标处置策略之后,还包括:
根据所述目标威胁等级和所述目标处置策略进行防护处理。
一种基于字典树的网络威胁检测装置,包括:
网络标识获得模块,用于对采集到的目标网络访问流量进行解析,得到目标网络标识;
字典树遍历模块,用于遍历根据威胁情报库预建立的威胁情报字典树是否存在所述目标网络标识;
结点查找模块,用于当确定威胁情报字典树中存在所述目标网络标识时,从所述威胁情报字典树中查找所述目标网络标识对应的目标威胁情报结点;
检测结果获取模块,用于从所述目标威胁情报结点中获取所述目标网络访问流量对应的网络威胁检测结果。
在本发明的一种具体实施方式中,还包括:
更新信息获取模块,用于当检测到所述威胁情报库更新时,获取所述威胁情报库的威胁情报更新信息;
字典树更新模块,用于根据所述威胁情报更新信息对所述威胁情报字典树进行更新操作。
在本发明的一种具体实施方式中,所述检测结果获取模块具体为从所述目标威胁情报结点中获取所述目标网络访问流量对应的目标威胁等级和目标处置策略的模块。
在本发明的一种具体实施方式中,还包括:
防护处理模块,用于在从所述目标威胁情报结点中获取所述目标网络访问流量对应目标威胁等级和目标处置策略之后,根据所述目标威胁等级和所述目标处置策略进行防护处理。
一种基于字典树的网络威胁检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如前所述基于字典树的网络威胁检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前所述基于字典树的网络威胁检测方法的步骤。
本发明所提供的基于字典树的网络威胁检测方法,对采集到的目标网络访问流量进行解析,得到目标网络标识;遍历根据威胁情报库预建立的威胁情报字典树是否存在目标网络标识;若是,则从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点;从目标威胁情报结点中获取目标网络访问流量对应的网络威胁检测结果。通过预先根据威胁情报库中的威胁情报信息创建威胁情报字典树,在从目标网络访问流量中解析到目标网络标识之后,能够直接从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点,从而获得网络威胁检测结果。避免了服务器自身性能对网络威胁情报检测的影响,提高了网络威胁检测效率,能够及时阻止攻击。
相应的,本发明还提供了与上述基于字典树的网络威胁检测方法相对应的基于字典树的网络威胁检测装置、设备和计算机可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中基于字典树的网络威胁检测方法的一种实施流程图;
图2为本发明实施例中基于字典树的网络威胁检测方法的另一种实施流程图;
图3为本发明实施例中一种威胁情报字典树的结构图;
图4为本发明实施例中另一种威胁情报字典树的结构图;
图5为本发明实施例中一种基于字典树的网络威胁检测装置的结构框图;
图6为本发明实施例中一种基于字典树的网络威胁检测设备的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
参见图1,图1为本发明实施例中基于字典树的网络威胁检测方法的一种实施流程图,该方法可以包括以下步骤:
s101:对采集到的目标网络访问流量进行解析,得到目标网络标识。
当采集到目标网络访问流量时,对采集到的目标网络访问流量进行解析,得到目标网络标识。目标网络标识可以包括待访问网络的域名信息、ip地址信息等。
s102:遍历根据威胁情报库预建立的威胁情报字典树是否存在目标网络标识,若是,则执行步骤s103,若否,则不做处理。
预先建立有威胁情报库,威胁情报库中存储有包含预先收集到的各威胁情报信息,各威胁情报信息中均分别包含相应的网络标识,并根据威胁情报库预先建立威胁情报字典树。在对采集到的目标网络访问流量进行解析,得到目标网络标识之后,遍历根据威胁情报库预建立的威胁情报字典树是否存在目标网络标识,若是,则说明此次访问很可能存在一定的风险,执行步骤s103,若否,则说明此次访问为正常访问,不需要做任何处理。
s103:从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点。
当确定威胁情报字典树中存在目标网络标识时,从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点。目标威胁情报结点中可以包含攻击类型、危险等级、拒绝或告警等处置策略,威胁情报状态信息等。
s104:从目标威胁情报结点中获取目标网络访问流量对应的网络威胁检测结果。
在从威胁情报字典树中查找到目标网络标识对应的目标威胁情报结点之后,从目标威胁情报结点中获取目标网络访问流量对应的网络威胁检测结果,即可以检测到此次访问对应的威胁情报的威胁情报状态信息,即威胁情报是否过期,此次访问面临的攻击类型、危险等级,需要采取的处置策略。通过预先根据威胁情报库中的威胁情报信息创建威胁情报字典树,在从目标网络访问流量中解析到目标网络标识之后,能够直接从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点,从而获得网络威胁检测结果。避免了服务器自身性能对网络威胁情报检测的影响,提高了网络威胁检测效率,能够及时阻止攻击。
本发明所提供的基于字典树的网络威胁检测方法,对采集到的目标网络访问流量进行解析,得到目标网络标识;遍历根据威胁情报库预建立的威胁情报字典树是否存在目标网络标识;若是,则从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点;从目标威胁情报结点中获取目标网络访问流量对应的网络威胁检测结果。通过预先根据威胁情报库中的威胁情报信息创建威胁情报字典树,在从目标网络访问流量中解析到目标网络标识之后,能够直接从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点,从而获得网络威胁检测结果。避免了服务器自身性能对网络威胁情报检测的影响,提高了网络威胁检测效率,能够及时阻止攻击。
需要说明的是,基于上述实施例一,本发明实施例还提供了相应的改进方案。在后续实施例中涉及与上述实施例一中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在下文的改进实施例中不再一一赘述。
实施例二:
参见图2,图2为本发明实施例中基于字典树的网络威胁检测方法的另一种实施流程图,该方法包括以下步骤:
s201:对采集到的目标网络访问流量进行解析,得到目标网络标识。
s202:遍历根据威胁情报库预建立的威胁情报字典树是否存在目标网络标识,若是,则执行步骤s203,若否,则不做处理。
s203:从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点。
参见图3和图4,图3为本发明实施例中一种威胁情报字典树的结构图,图4为本发明实施例中另一种威胁情报字典树的结构图。图3中威胁情报信息的恶意域名是a.c,恶意ip是1.1。第一个威胁情报结点的子节点地址指向结点1,第二个威胁情报结点的子节点地址为空。图4相较于图3增加了另一条威胁情报信息,新增加威胁情报信息的恶意域名是a.org,无恶意ip信息。图4中两条威胁情报信息的相同前缀”a.”共用结点,剩余域名字段不共用结点。
以图4为例,从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点的过程如下:
(1)访问域名为a.c,目的ip地址为1.1
首先使用访问域名a.c与威胁情报字典树进行匹配,匹配到结点c之后,判断c的子结点是威胁情报结点,且c的孙结点(即威胁情报结点的子结点)不为空,继续匹配目的ip地址1.1,匹配到结点1之后,判断1的子结点为空,则返回威胁情报字典树左边一支的第二个威胁情报结点中的信息。
(2)访问域名a.c,目的ip地址2.1
首先使用访问域名a.c与威胁情报字典树进行匹配,匹配到结点c之后,判断c的子结点是威胁情报结点,且c的孙结点不为空,继续匹配目的ip地址2.1,ip地址匹配失败,返回威胁情报字典树左边一支的第一个威胁情报结点中的信息。
(3)访问域名a.org,目的ip地址3.1
首先使用访问域名a.org与威胁情报字典树进行匹配,匹配到结点g之后,判断g的子结点是威胁情报结点,但g的孙结点为空,直接返回威胁情报字典树右边一支的威胁情报结点中的信息。
(4)访问域名a.com,目的ip地址3.1
首先使用访问域名a.org与威胁情报字典树进行匹配,匹配到结点c之后,使用o和威胁情报结点进行匹配,匹配失败,返回空。
s204:从目标威胁情报结点中获取目标网络访问流量对应的目标威胁等级和目标处置策略。
威胁情报字典树的威胁情报结点中包含威胁等级和处置策略。在从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点之后,从目标威胁情报结点中获取目标网络访问流量对应目标威胁等级和目标处置策略。威胁等级可以分为严重威胁、中等威胁、轻度威胁等。处置策略可以包括拒绝访问、告警提示、日志记录等。
s205:根据目标威胁等级和目标处置策略进行防护处理。
在从目标威胁情报结点中获取目标网络访问流量对应的目标威胁等级和目标处置策略之后,根据目标威胁等级和目标处置策略进行防护处理,从而及时阻止攻击。
s206:当检测到威胁情报库更新时,获取威胁情报库的威胁情报更新信息。
当网络中生成新的威胁情报信息时,威胁情报库会对应更新。当检测到威胁情报库更新时,获取威胁情报库的威胁情报更新信息。
s207:根据威胁情报更新信息对威胁情报字典树进行更新操作。
在获取到威胁情报库的威胁情报更新信息之后,根据威胁情报更新信息对威胁情报字典树进行更新操作,从而使得威胁情报字典树中的威胁情报结点得到补充,在后续采集到新的网络访问流量之后,根据更新后的威胁情报字典树进行威胁情报结点查找,提高了威胁情报结点查找的有效性,进一步提高了网络威胁检测效率。通过利用多种类型的数据(如域名、ip地址)混合构造威胁情报字典树,且任一种类型数据匹配成功,均能对应威胁情报信息以及处置动作,通过这种方式可以减少树的构造数量及多棵树之间的跳转,实现单一或组合型威胁情报信息检测。
本实施例区别于独立权利要求1所要求保护的技术方案对应的实施例一,还增加了从属权利要求2至4对应要求保护的技术方案,当然,根据实际情况和要求的不同,可将各从属权利要求对应要求保护的技术方案在不影响方案完整性的基础上进行灵活组合,以更加符合不同使用场景的要求,本实施例只是给出了其中一种包含方案最多、效果最优的方案,因为情况复杂,无法对所有可能存在的方案一一列举,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
相应于上面的方法实施例,本发明还提供了一种基于字典树的网络威胁检测装置,下文描述的基于字典树的网络威胁检测装置与上文描述的基于字典树的网络威胁检测方法可相互对应参照。
参见图5,图5为本发明实施例中一种基于字典树的网络威胁检测装置的结构框图,该装置可以包括:
网络标识获得模块51,用于对采集到的目标网络访问流量进行解析,得到目标网络标识;
字典树遍历模块52,用于遍历根据威胁情报库预建立的威胁情报字典树是否存在目标网络标识;
结点查找模块53,用于当确定威胁情报字典树中存在目标网络标识时,从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点;
检测结果获取模块54,用于从目标威胁情报结点中获取目标网络访问流量对应的网络威胁检测结果。
本发明所提供的基于字典树的网络威胁检测装置,对采集到的目标网络访问流量进行解析,得到目标网络标识;遍历根据威胁情报库预建立的威胁情报字典树是否存在目标网络标识;若是,则从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点;从目标威胁情报结点中获取目标网络访问流量对应的网络威胁检测结果。通过预先根据威胁情报库中的威胁情报信息创建威胁情报字典树,在从目标网络访问流量中解析到目标网络标识之后,能够直接从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点,从而获得网络威胁检测结果。避免了服务器自身性能对网络威胁情报检测的影响,提高了网络威胁检测效率,能够及时阻止攻击。
在本发明的一种具体实施方式中,该装置还可以包括:
更新信息获取模块,用于当检测到威胁情报库更新时,获取威胁情报库的威胁情报更新信息;
字典树更新模块,用于根据威胁情报更新信息对威胁情报字典树进行更新操作。
在本发明的一种具体实施方式中,检测结果获取模块54具体为从目标威胁情报结点中获取目标网络访问流量对应的目标威胁等级和目标处置策略的模块。
在本发明的一种具体实施方式中,该装置还可以包括:
防护处理模块,用于在从目标威胁情报结点中获取目标网络访问流量对应目标威胁等级和目标处置策略之后,根据目标威胁等级和目标处置策略进行防护处理。
相应于上面的方法实施例,参见图6,图6为本发明所提供的基于字典树的网络威胁检测设备的示意图,该设备可以包括:
存储器61,用于存储计算机程序;
处理器62,用于执行上述存储器61存储的计算机程序时可实现如下步骤:
对采集到的目标网络访问流量进行解析,得到目标网络标识;遍历根据威胁情报库预建立的威胁情报字典树是否存在目标网络标识;若是,则从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点;从目标威胁情报结点中获取目标网络访问流量对应的网络威胁检测结果。
对于本发明提供的设备的介绍请参照上述方法实施例,本发明在此不做赘述。
相应于上面的方法实施例,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下步骤:
对采集到的目标网络访问流量进行解析,得到目标网络标识;遍历根据威胁情报库预建立的威胁情报字典树是否存在目标网络标识;若是,则从威胁情报字典树中查找目标网络标识对应的目标威胁情报结点;从目标威胁情报结点中获取目标网络访问流量对应的网络威胁检测结果。
该计算机可读存储介质可以包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不做赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
1.一种基于字典树的网络威胁检测方法,其特征在于,包括:
对采集到的目标网络访问流量进行解析,得到目标网络标识;
遍历根据威胁情报库预建立的威胁情报字典树是否存在所述目标网络标识;
若是,则从所述威胁情报字典树中查找所述目标网络标识对应的目标威胁情报结点;
从所述目标威胁情报结点中获取所述目标网络访问流量对应的网络威胁检测结果。
2.根据权利要求1所述的基于字典树的网络威胁检测方法,其特征在于,还包括:
当检测到所述威胁情报库更新时,获取所述威胁情报库的威胁情报更新信息;
根据所述威胁情报更新信息对所述威胁情报字典树进行更新操作。
3.根据权利要求1或2所述的基于字典树的网络威胁检测方法,其特征在于,从所述目标威胁情报结点中获取所述目标网络访问流量对应的网络威胁检测结果,包括:
从所述目标威胁情报结点中获取所述目标网络访问流量对应的目标威胁等级和目标处置策略。
4.根据权利要求3所述的基于字典树的网络威胁检测方法,其特征在于,在从所述目标威胁情报结点中获取所述目标网络访问流量对应目标威胁等级和目标处置策略之后,还包括:
根据所述目标威胁等级和所述目标处置策略进行防护处理。
5.一种基于字典树的网络威胁检测装置,其特征在于,包括:
网络标识获得模块,用于对采集到的目标网络访问流量进行解析,得到目标网络标识;
字典树遍历模块,用于遍历根据威胁情报库预建立的威胁情报字典树是否存在所述目标网络标识;
结点查找模块,用于当确定威胁情报字典树中存在所述目标网络标识时,从所述威胁情报字典树中查找所述目标网络标识对应的目标威胁情报结点;
检测结果获取模块,用于从所述目标威胁情报结点中获取所述目标网络访问流量对应的网络威胁检测结果。
6.根据权利要求5所述的基于字典树的网络威胁检测装置,其特征在于,还包括:
更新信息获取模块,用于当检测到所述威胁情报库更新时,获取所述威胁情报库的威胁情报更新信息;
字典树更新模块,用于根据所述威胁情报更新信息对所述威胁情报字典树进行更新操作。
7.根据权利要求5或6所述的基于字典树的网络威胁检测装置,其特征在于,所述检测结果获取模块具体为从所述目标威胁情报结点中获取所述目标网络访问流量对应的目标威胁等级和目标处置策略的模块。
8.根据权利要求7所述的基于字典树的网络威胁检测装置,其特征在于,还包括:
防护处理模块,用于在从所述目标威胁情报结点中获取所述目标网络访问流量对应目标威胁等级和目标处置策略之后,根据所述目标威胁等级和所述目标处置策略进行防护处理。
9.一种基于字典树的网络威胁检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述基于字典树的网络威胁检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述基于字典树的网络威胁检测方法的步骤。
技术总结