技術領域

本發明實施例涉及網絡技術領域，尤其涉及一種網絡異常行為檢測方法及裝置。

背景技術

隨著網絡的使用范圍在日常生活中的日益廣泛，網絡信息安全的問題也愈發的重要。應用場景的多樣性，使得現有的主要網絡安全檢測技術，如網絡防火墻、入侵檢測系統和網管軟件等已經不能滿足網絡安全保障的要求。

針對上述問題，網絡異常行為檢測的概念被提出來了，旨在監測專有網絡(如企業內部網絡)的不尋常事件或趨勢，如果檢測到一個不尋常事件或趨勢，就生成顯示威脅存在的警報。

但是目前，現有技術中還沒有一套系統、完整的網絡異常行為檢測方法，能夠比較全面地檢測出專有網絡中各種異常行為。

發明內容

本發明實施例提供一種網絡異常行為檢測方法及裝置，用以比較全面地檢測出專有網絡中各種異常行為。

一方面，本發明實施例提供了一種網絡異常行為檢測方法，包括：

獲取網絡設備的歷史日志數據；

解析所述歷史日志數據，生成歷史網絡行為數據；

根據所述歷史網絡行為數據和規則模板，生成白名單、黑名單和基調規則；

獲取所述網絡設備的當前日志數據；

解析所述當前日志數據，生成當前網絡行為數據；

根據所述白名單對所述當前網絡行為數據進行過濾，得到可疑行為數據；

根據所述黑名單對所述可疑行為數據進行過濾，得到異常行為數據和未知行為數據；

將所述未知行為數據與所述未知行為數據中行為人身份對應的基調規則比較，將超出所述基調規則的未知行為數據標識為異常行為數據；

輸出包括所述異常行為數據的告警信息。

另一方面，本發明實施例提供了一種網絡異常行為檢測裝置，包括：

第一獲取模塊，用于獲取網絡設備的歷史日志數據；

第一解析模塊，用于解析所述歷史日志數據，生成歷史網絡行為數據；

生成模塊，用于根據所述歷史網絡行為數據，生成白名單、黑名單和基調規則；

第二獲取模塊，用于獲取所述網絡設備的當前日志數據；

第二解析模塊，用于解析所述當前日志數據，生成當前網絡行為數據；

第一過濾模塊，用于根據所述白名單對所述當前網絡行為數據進行過濾，得到可疑行為數據；

第二過濾模塊，用于根據所述黑名單對所述可疑行為數據進行過濾，得到異常行為數據和未知行為數據；

基調比較模塊，用于將所述未知行為數據與所述未知行為數據中行為人身份對應的基調規則比較，將超出所述基調規則的未知行為數據標識為異常行為數據；

告警模塊，用于輸出包括所述異常行為數據的告警信息。

以上多個技術方案中至少一個技術方案具有如下優點或有益效果：

本發明實施例采用解析歷史日志數據生成歷史網絡行為數據，根據歷史網絡行為數據和規則模板生成白名單、黑名單和基調規則，解析當前日志數據，生成當前網絡行為數據，根據白名單、黑名單和基調規則依次對當前網絡行為數據進行過濾、比較，確定異常行為數據的技術手段，可以比較全面地檢測出專有網絡中各種異常行為。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為本發明實施例一提供的一種網絡異常行為檢測方法的流程示意圖；

圖2為本發明實施例二提供的一種網絡異常行為檢測裝置的結構示意圖。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例?；诒景l明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

圖1為本發明實施例一提供的一種網絡異常行為檢測方法的流程示意圖。如圖1所示，該方法包括：

步驟101、獲取網絡設備的歷史日志數據。