[发明专利]会话违规访问检测方法及装置

权利要求书

1.一种会话违规访问检测方法，其特征在于，包括：

基于自定义方式生成违规策略集合和/或基于用户资产和时间范围生成所述违规策略集合，其中，所述违规策略集合中包括多个违规策略，并将所述违规策略集合发送至探针检测引擎；

探针检测引擎对所述违规策略集合进行重复定义筛选，在重复定义筛选通过后，对所述违规策略集合中的违规策略进行编译，生成检测信息结构，根据编译结果为每个违规策略设置时间范围；

探针检测引擎获取当前网络流量中的会话，对所述会话进行分析和重组；

获取会话的五元组信息，所述五元组信息包括源地址、目的地址、源端口、目的端口、会话时间；

基于所述会话的源地址、目的地址、源端口、目的端口和预设的违规策略集合进行匹配；

在匹配到目标违规策略时，获取所述目标违规策略的时间范围；

当所述会话的会话时间在所述时间范围内时，确定匹配记录是否大于所述目标违规策略的阈值；

在匹配记录大于所述目标违规策略的阈值时，生成违规访问日志。

2.如权利要求1所述的方法，其特征在于，设置根据编译结果为每个违规策略设置时间范围之后，还包括：

探针检测引擎根据所述时间范围将所述违规策略集合中的违规策略进行分组；

基于策略调度线程对分组之后的违规策略进行编译。

3.如权利要求1所述的方法，其特征在于，检测引擎获取当前网络流量中的会话，包括：

探针检测引擎通过镜像口获取当前网络流量中的会话。

4.如权利要求1所述的方法，其特征在于，获取会话的五元组信息，包括：

探针检测引擎对获取到的镜像流量进行重组会话流处理以获取所述会话的五元组信息。

5.如权利要求1所述的方法，其特征在于，还包括：

在匹配记录小于所述目标违规策略的阈值时，在哈希表中确定所述会话对应的违规记录，并将所述记录增加1。

6.如权利要求5所述的方法，其特征在于，在匹配记录大于所述目标违规策略的阈值时，生成违规访问日志，包括：

将所述违规访问日志发送至预定平台，并在哈希表中清除所述会话对应的违规记录。

7.一种会话违规访问检测装置，其特征在于，包括：

策略集合模块，用于基于自定义方式生成违规策略集合和/或基于用户资产和时间范围生成所述违规策略集合，其中所述违规策略集合中包括多个违规策略并被发送至探针检测引擎，所述探针检测引擎对所述违规策略集合进行重复定义筛选，以及在重复定义筛选通过后，对所述违规策略集合中的违规策略进行编译，生成检测信息结构，根据编译结果为每个违规策略设置时间范围，所述探针检测引擎获取当前网络流量中的会话，对所述会话进行分析和重组；

信息模块，用于获取会话的五元组信息，所述五元组信息包括源地址、目的地址、源端口、目的端口、会话时间；

匹配模块，用于基于所述会话的源地址、目的地址、源端口、目的端口和预设的违规策略集合进行匹配；

时间模块，用于在匹配到目标违规策略时，获取所述目标违规策略的时间范围；

阈值模块，用于当所述会话的会话时间在所述时间范围内时，确定匹配记录是否大于所述目标违规策略的阈值；

日志模块，用于在匹配记录大于所述目标违规策略的阈值时，生成违规访问日志。