本申请涉及安全防御,特别涉及一种流量监测方法及电子设备、计算机可读存储介质、计算机程序产品。
背景技术:
1、对于访问企业网站、应用服务的流量,一般可以通过snort、suricata等入侵检测系统(intrusion detection system,ids)进行监控,从而在出现攻击流量时发起告警,触发企业应急响应流程。
2、相关方案中,需要部署性能、存储能力更高的计算设备来执行流量监测功能,且需要专人维护流量镜像措施,人力成本和硬件实现成本较高。此外,相关方案无法提供全面的上下文管理分析,在多层次、多方面分析和响应复杂攻击能力上存在不足。
3、有鉴于此,亟需一种实现成本较低且分析能力更全面的流量监测方案。
技术实现思路
1、本申请实施例的目的在于提供一种流量监测方法及装置、电子设备、计算机可读存储介质、计算机程序产品,用于在实现成本较低的情况下提供能够进行全面上下文管理分析的流量监测功能。
2、一方面,本申请提供了一种流量监测方法,包括:
3、通过ingress组件将访问请求投放至云日志服务,使得所述云日志服务从接收到的多个访问请求中提取出http请求以及对应于每一http请求的关键信息;
4、通过所述云日志服务以所述关键信息确定各个http请求是否属于异常流量;
5、通过所述云日志服务以预设威胁判断规则对异常流量进行分析,确定所述异常流量是否为攻击流量;
6、对于检测出的攻击流量,通过所述云日志服务执行与所述攻击流量匹配的处置措施。
7、在一实施例中,所述关键信息包括源ip地址;
8、所述通过所述云日志服务以所述关键信息确定各个http请求是否属于异常流量,包括:
9、针对各个http请求中的源ip地址,通过所述云日志服务判断指定时长内所述源ip地址对应的非正常响应次数是否达到预设第一次数阈值;
10、若任一源ip地址对应的非正常响应次数达到所述第一次数阈值,通过所述云日志服务确定所述源ip地址对应的http请求属于异常流量。
11、在一实施例中,所述关键信息包括账户信息;
12、所述通过所述云日志服务以所述关键信息确定各个http请求是否属于异常流量,包括:
13、针对各个http请求中的账户信息,通过所述云日志服务判断所述账户信息在为其分配的身份令牌下越权访问次数是否达到预设第二次数阈值;
14、若任一账户信息对应的越权访问次数达到所述第二次数阈值,通过所述云日志服务确定所述账户信息对应的http请求属于异常流量。
15、在一实施例中,所述通过所述云日志服务以预设威胁判断规则对异常流量进行分析,确定所述异常流量是否为攻击流量,包括:
16、通过所述云日志服务从所述异常流量中解析出访问域名,并判断出所述异常流量的请求数据中是否包括指定威胁指令;
17、如果所述异常流量中存在所述指定威胁指令,通过所述云日志服务确定所述异常流量为针对所述访问域名的攻击流量。
18、在一实施例中,所述通过所述云日志服务以预设威胁判断规则对异常流量进行分析,确定所述异常流量是否为攻击流量,包括:
19、通过所述云日志服务判断所述异常流量是否请求目标类型资源;其中,所述目标类型资源为所述异常流量访问的应用服务不提供的资源;
20、若是,通过所述云日志服务确定所述异常流量为攻击流量。
21、在一实施例中,所述对于检测出的攻击流量,通过所述云日志服务执行与所述攻击流量匹配的处置措施,包括:
22、若任一攻击流量来自未授权账户,通过所述云日志服务将该攻击流量的源ip地址加入至黑名单;
23、若任一攻击流量来自授权账户,通过所述云日志服务将该攻击流量的源ip加入至黑名单,并判断所述授权账户是否发生账户异常,如果是,对所述授权账户进行冻结处理。
24、在一实施例中,所述方法还包括:
25、针对每一攻击流量,通过所述云日志服务根据外部威胁情报判断该攻击流量的源ip地址是否存在已知的攻击行为;
26、通过所述云日志服务根据判断结果,为该攻击流量的源ip设置相应的威胁等级。
27、另一方面,本申请提供了一种电子设备,所述电子设备包括:
28、处理器;
29、用于存储处理器可执行指令的存储器;
30、其中,所述处理器被配置为执行上述流量监测方法。
31、进一步的,本申请提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成上述流量监测方法。
32、此外,本申请提供了一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现上述流量监测方法。
33、本申请方案,直接借助云计算中心的ingress组件和云日志服务即可实现流量监测,无需部署性能、存储能力高的计算设备,也无需专人维护流量镜像措施,极大地降低了人力成本和硬件实现成本。此外,本方案在对http请求先进行异常流量分析,进而对分析出的异常流量进行威胁判断,可以对流量进行全面的上下文管理分析,从而可以更准确地检测出攻击流量,提高了相应复杂攻击的能力。
1.一种流量监测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述关键信息包括源ip地址;
3.根据权利要求1所述的方法,其特征在于,所述关键信息包括账户信息;
4.根据权利要求2或3所述的方法,其特征在于,所述通过所述云日志服务以预设威胁判断规则对异常流量进行分析,确定所述异常流量是否为攻击流量,包括:
5.根据权利要求2或3所述的方法,其特征在于,所述通过所述云日志服务以预设威胁判断规则对异常流量进行分析,确定所述异常流量是否为攻击流量,包括:
6.根据权利要求1所述的方法,其特征在于,所述对于检测出的攻击流量,通过所述云日志服务执行与所述攻击流量匹配的处置措施,包括:
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.一种电子设备,其特征在于,所述电子设备包括:
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序可由处理器执行以完成权利要求1-7任意一项所述的流量监测方法。
10.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1-7任意一项所述的流量监测方法。
