流量检测分析方法、装置、存储介质和电子设备与流程

本发明涉及网络安全领域，特别涉及一种流量检测分析方法、装置、存储介质和电子设备。

背景技术：

1、在网络安全领域，采用硬件安全设备对网络流量进行检测，这些硬件被划分为web应用防火墙、入侵防御系统、入侵检测系统等当。这些硬件设备被部署到数据中心的机房中，通过网络流量镜像以及流量捕获的方式，将网络流量引入安全设备当中。这种方式下，存在多读依赖复杂的硬件设备，导致运维难度大、维护成本高的问题。

技术实现思路

1、鉴于上述问题，本发明提供一种克服上述问题或者至少部分地解决上述问题的一种流量检测分析方法、装置、存储介质和电子设备。

2、第一方面，一种流量检测分析方法，包括：

3、去除网络流量中互联网协议的4层以下信息，得到有效数据；

4、将所述有效数据缓存至数据队列；

5、通过预先建立的网络流量检测引擎，从所述数据队列中读取所述有效数据；

6、通过所述网络流量检测引擎加载预先建立的检测插件，并基于所述检测插件对所述有效数据进行检测；

7、若检测发现网络中存在安全威胁，则生成相应的告警信息。

8、可选的，在某些可选的实施方式中，在所述去除网络流量中互联网协议的4层以下信息，得到有效数据之前，所述方法还包括：

9、对目标交换机的指定端口进行采集，以获得所述目标交换机的网络流量。

10、可选的，在某些可选的实施方式中，所述去除网络流量中互联网协议的4层以下信息，得到有效数据，包括：

11、将所述网络流量中涉及的所述互联网协议的物理层、数据链路层、网络层和传输层的信息均去除，得到的剩余信息作为所述有效数据。

12、可选的，在某些可选的实施方式中，所述将所述有效数据缓存至数据队列，包括：

13、将所述有效数据以指定格式缓存至所述数据队列。

14、可选的，在某些可选的实施方式中，所述通过所述网络流量检测引擎加载预先建立的检测插件，并基于所述检测插件对所述有效数据进行检测，包括：

15、通过所述网络流量检测引擎加载预先建立的所述检测插件；

16、基于所述检测插件中所封装的检测核心，对所述有效数据进行相应的检测，其中，一个所述检测插件中封装至少一个所述检测核心。

17、可选的，在某些可选的实施方式中，所述若检测发现网络中存在安全威胁，则生成相应的告警信息，包括：

18、若检测发现网络中存在安全威胁，则根据相应有效数据中涉及的端口号、ip地址和域名，确定对应的应用信息；

19、根据所述应用信息，生成相应的告警信息，其中，所述告警信息中携带所述应用信息。

20、可选的，在某些可选的实施方式中，在所述若检测发现网络中存在安全威胁，则生成相应的告警信息之后，所述方法还包括：

21、将所述告警信息发送至安全运营中心。

22、第二方面，一种流量检测分析装置，包括：信息处理单元、数据缓存单元、数据读取单元、数据检测单元和告警生成单元；

23、所述信息处理单元，用于去除网络流量中互联网协议的4层以下信息，得到有效数据；

24、所述数据缓存单元，用于将所述有效数据缓存至数据队列；

25、所述数据读取单元，用于通过预先建立的网络流量检测引擎，从所述数据队列中读取所述有效数据；

26、所述数据检测单元，用于通过所述网络流量检测引擎加载预先建立的检测插件，并基于所述检测插件对所述有效数据进行检测；

27、所述告警生成单元，用于若检测发现网络中存在安全威胁，则生成相应的告警信息。

28、第三方面，一种计算机可读存储介质，其上存储有程序，所述程序被处理器执行时实现上述任一项所述的流量检测分析方法。

29、第四方面，一种电子设备，所述电子设备包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行上述任一项所述的流量检测分析方法。

30、借由上述技术方案，本发明提供的一种流量检测分析方法、装置、存储介质和电子设备，可以去除网络流量中互联网协议的4层以下信息，得到有效数据；将所述有效数据缓存至数据队列；通过预先建立的网络流量检测引擎，从所述数据队列中读取所述有效数据；通过所述网络流量检测引擎加载预先建立的检测插件，并基于所述检测插件对所述有效数据进行检测；若检测发现网络中存在安全威胁，则生成相应的告警信息。由此可以看出，本发明可以通过软件集成的方式，对各网络流量进行检测，并在发现安全威胁时发出告警，不再依赖各种厂商的硬件设备，极大降低了运维难度，减少维护成本。

31、上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

技术特征：

1.一种流量检测分析方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，在所述去除网络流量中互联网协议的4层以下信息，得到有效数据之前，所述方法还包括：

3.根据权利要求1所述的方法，其特征在于，所述去除网络流量中互联网协议的4层以下信息，得到有效数据，包括：

4.根据权利要求1所述的方法，其特征在于，所述将所述有效数据缓存至数据队列，包括：

5.根据权利要求1所述的方法，其特征在于，所述通过所述网络流量检测引擎加载预先建立的检测插件，并基于所述检测插件对所述有效数据进行检测，包括：

6.根据权利要求1所述的方法，其特征在于，所述若检测发现网络中存在安全威胁，则生成相应的告警信息，包括：

7.根据权利要求1所述的方法，其特征在于，在所述若检测发现网络中存在安全威胁，则生成相应的告警信息之后，所述方法还包括：

8.一种流量检测分析装置，其特征在于，包括：信息处理单元、数据缓存单元、数据读取单元、数据检测单元和告警生成单元；

9.一种计算机可读存储介质，其上存储有程序，其特征在于，所述程序被处理器执行时实现如权利要求1至7中任一项所述的流量检测分析方法。

10.一种电子设备，其特征在于，所述电子设备包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行如权利要求1至7中任一项所述的流量检测分析方法。

技术总结
本发明公开了一种流量检测分析方法、装置、存储介质和电子设备，可以去除网络流量中互联网协议的4层以下信息，得到有效数据；将所述有效数据缓存至数据队列；通过预先建立的网络流量检测引擎，从所述数据队列中读取所述有效数据；通过所述网络流量检测引擎加载预先建立的检测插件，并基于所述检测插件对所述有效数据进行检测；若检测发现网络中存在安全威胁，则生成相应的告警信息。由此可以看出，本发明可以通过软件集成的方式，对各网络流量进行检测，并在发现安全威胁时发出告警，不再依赖各种厂商的硬件设备，极大降低了运维难度，减少维护成本。

技术研发人员：周杰,左燕,佟梅
受保护的技术使用者：中国农业银行股份有限公司
技术研发日：
技术公布日：2024/3/5