本发明涉及网络威胁检测,特别涉及一种网络威胁检测方法、装置、电子设备及存储介质。
背景技术:
1、在当前日益扩张的网络版图中,工业互联网作为国家关键基础设施的核心支撑,其重要性与日俱增。伴随这一领域的迅猛发展,网络安全领域面临着前所未有的挑战,其中包括各种复杂且多变的威胁,例如病毒入侵、木马植入、拒绝服务攻击(dos/ddos)以及难以捉摸的高级持续性威胁(apt)等。传统安全防线,诸如防火墙与反病毒软件,逐渐显得力不从心,难以全面抵御这些新式且隐秘的攻击策略,迫切需要智能化、高适应性的入侵检测来强化或替代现有措施。
2、相关技术在进行网络威胁检测时,通常直接在网络接口上进行数据包的捕获与解析。然而,由于工业控制系统网络架构复杂且存在通讯约束,因此,采用上述直接监听网络接口的方式会导致检测能力较低等问题。
3、因此,目前亟需一种网络威胁检测方法、装置、电子设备及存储介质来解决上述技术问题。
技术实现思路
1、本发明实施例提供了一种网络威胁检测方法、装置、电子设备及存储介质,可以实时检测网络中的威胁,检测准确率高且响应速度快。
2、第一方面,本发明实施例提供了一种网络威胁检测方法,包括:
3、对网络设备的镜像端口的镜像流量进行实时抓包,得到pcap文件流;
4、基于预设的策略,对所述pcap文件流中的pcap包进行挎包重组,得到重组后的数据;
5、探测重组后的数据的应用协议,并基于探测出的协议对重组后的数据进行dpi解析;
6、将规则库中的规则动态加载至内存中,并对dpi解析后的数据进行规则匹配,以基于匹配结果确定威胁告警数据。
7、第二方面,本发明实施例还提供了一种网络威胁检测装置,包括:
8、抓包单元,用于对网络设备的镜像端口的镜像流量进行实时抓包,得到pcap文件流;
9、重组单元,用于基于预设的策略,对所述pcap文件流中的pcap包进行挎包重组,得到重组后的数据;
10、解析单元,用于探测重组后的数据的应用协议,并基于探测出的协议对重组后的数据进行dpi解析;
11、匹配单元,用于将规则库中的规则动态加载至内存中,并对dpi解析后的数据进行规则匹配,以基于匹配结果确定威胁告警数据。
12、第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
13、第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
14、第五方面,本发明实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述所述的网络威胁检测方法的步骤。
15、本发明实施例提供了一种网络威胁检测方法。首先,在进行网络威胁检测时,不仅仅对当前的pcap包进行会话重组,而是对多个pcap包进行挎包重组,从而,确保从整体上理解网络活动的上下文,提高对隐蔽攻击行为的检测能力。其次,通过将规则库中的规则动态加载至内存中,可以对规则进行保密及动态升级,从而防止规则泄密以及检测不及时等问题。由此可见,本申请可以实时检测网络中的威胁,检测准确率高且响应速度快。
1.一种网络威胁检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述对网络设备的镜像端口的镜像流量进行实时抓包,得到pcap文件流,包括:
3.根据权利要求1所述的方法,其特征在于,所述基于预设的策略,对所述pcap文件流中的pcap包进行挎包重组,得到重组后的数据,包括:
4.根据权利要求3所述的方法,其特征在于,所述过期时间不小于会话流的持续时间。
5.根据权利要求3所述的方法,其特征在于,所述对解析后的pcap数据进行伪空数据包校验,包括:校验和检验加密算法、数据长度、特定字段、封装格式和数据完成性。
6.根据权利要求1所述的方法,其特征在于,所述将规则库中的规则动态加载至内存中,包括:
7.根据权利要求1所述的方法,其特征在于,还包括:
8.一种网络威胁检测装置,其特征在于,包括:
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种存储介质,其上存储有计算机程序,其特征在于,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
