本申请各实施例属于网络安全,具体涉及一种网络流量检测方法以及装置。
背景技术:
1、入侵检测系统采集网络流量数据,分析流量中是否存在的入侵攻击行为。在分析流量中是否存在某个特定类型的入侵攻击行为时,往往采用专门针对此特定类型的入侵攻击行为的多个算子,对网络流量进行检测,根据各个算子检测结果,确定是否存在此特定类型的入侵攻击行为。
2、然而,对于不同类型的入侵攻击行为在检测时所采用的算子是存在部分重复,可能多个类型的入侵攻击行为在检测时都会用到某个算子。当前入侵检测方法中,在对于每个类型的入侵攻击行为在进行检测时仅仅是机械式地对该检测场景下的所有算子进行依次运行。即使是被重复用到的算子,在每个检测场景中都会被运行一次,造成计算资源的浪费,降低了网络流量检测的效率。
技术实现思路
1、为了解决现有技术存在的造成计算资源的浪费,降低网络流量检测的效率的技术问题,本发明提供了一种网络流量检测方法及装置。
2、第一方面,本发明提供了一种网络流量检测方法,包括:
3、获取网络流量和检测场景,所述检测场景包括第一检测场景和第二检测场景;
4、将所述网络流量按照检测场景进行分组,得到第一组网络流量和第二组网络流量,其中,所述第一组网络流量对应所述第一检测场景,所述第二组网络流量对应所述第二检测场景;
5、确定所述第一检测场景下的第一算子集合和所述第二检测场景下的第二算子集合;
6、在所述第一检测场景中,通过逐个运行所述第一算子集合中的算子,对所述第一组网络流量进行检测,得到第一告警检测信息;
7、在所述第二检测场景中,获取第二算子集合中与所述第一算子集合重复的算子的检测结果,并逐个运行所述第二算子集合中剩余的算子,对第二组网络流量进行检测,得到第二告警检测信息;
8、对所述第一告警检测信息和所述第二告警检测信息进行汇总分析;
9、根据汇总分析结果,执行相应的安全防护策略。
10、第二方面,本发明提供了一种网络流量检测装置,包括:
11、获取模块,用于获取网络流量和检测场景,所述检测场景包括第一检测场景和第二检测场景;
12、分组模块,用于将所述网络流量按照检测场景进行分组,得到第一组网络流量和第二组网络流量,其中,所述第一组网络流量对应所述第一检测场景,所述第二组网络流量对应所述第二检测场景;
13、第一确定模块,用于确定所述第一检测场景下的第一算子集合和所述第二检测场景下的第二算子集合;
14、第一检测模块,用于在所述第一检测场景中,通过逐个运行所述第一算子集合中的算子,对所述第一组网络流量进行检测,得到第一告警检测信息;
15、第二检测模块,用于在所述第二检测场景中,获取第二算子集合中与所述第一算子集合重复的算子的检测结果,并逐个运行所述第二算子集合中剩余的算子,对第二组网络流量进行检测,得到第二告警检测信息;
16、汇总模块,用于对所述第一告警检测信息和所述第二告警检测信息进行汇总分析;
17、执行模块,用于根据汇总分析结果,执行相应的安全防护策略。
18、与现有技术相比,本发明至少具有以下有益效果:
19、在本发明中,在后续的检测场景中,可以先获取与先前检测场景重复的算子的检测结果,之后在运行剩余的算子,无需对重复的算子进行重新计算,节省计算资源,提升网络流量检测的效率。
1.一种网络流量检测方法,其特征在于,包括:
2.根据权利要求1所述的网络流量检测方法,其特征在于,所述对所述网络流量按照检测场景进行分组,具体包括:
3.根据权利要求1所述的网络流量检测方法,其特征在于,在所述对各个检测场景下的检测信息进行汇总分析之前,还包括:
4.根据权利要求1所述的网络流量检测方法,其特征在于,所述对所述第一告警检测信息和所述第二告警检测信息进行汇总分析,具体包括:
5.根据权利要求4所述的网络流量检测方法,其特征在于,所述对所述第一检测场景和第一检测场景下的同一来源且攻击方式相同的所述第一告警检测信息和所述第二告警检测信息进行合并计数,具体包括:
6.根据权利要求4所述的网络流量检测方法,其特征在于,所述对所述第一检测场景和第一检测场景下的同一来源且攻击方式相同的所述第一告警检测信息和所述第二告警检测信息进行合并计数之后,还包括:
7.根据权利要求4所述的网络流量检测方法,其特征在于,所述根据汇总分析结果,执行相应的安全防护策略,具体为:
8.根据权利要求4所述的网络流量检测方法,其特征在于,所述对所述第一告警检测信息和所述第二告警检测信息进行汇总分析,具体还包括:
9.根据权利要求1所述的网络流量检测方法,其特征在于,所述执行相应的安全防护策略,具体包括:
10.一种网络流量检测装置,其特征在于,包括: