[发明专利]会话违规访问检测方法及装置

说明书

本公开涉及一种会话违规访问检测方法、装置、电子设备及计算机可读介质。该方法包括：获取会话的五元组信息，所述五元组信息包括源地址、目的地址、源端口、目的端口、会话时间；基于所述会话的源地址、目的地址、源端口、目的端口和预设的违规策略集合进行匹配；在匹配到目标违规策略时，获取所述目标违规策略的时间范围；当所述会话的会话时间在所述时间范围内时，确定匹配记录是否大于所述目标违规策略的阈值；在匹配记录大于所述目标违规策略的阈值时，生成违规访问日志。本公开能够简化用户配置违规访问策略的流程，在现有的基于ip四元组的违规访问的基础上，扩展了对时间范围检测的访问策略。

技术领域

本公开涉及计算机信息处理领域，具体而言，涉及一种会话违规访问检测方法、装置、电子设备及计算机可读介质。

背景技术

随着网络安全重要性的凸显，态势感知开始在网络安全领域展露头角。面对传统安全防御体系失效的风险，态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证，帮助安全人员采取针对性响应处置措施。

现阶段针对网络态势感知自定义异常行为的流量检测中，使用类似ACL 的方法实现流量识别，进行数据报文过滤。需要用户手动定义访问控制规则 rules，手动定义步长来确保新增规则的正常使用，设置规则需要手动书写命令行指令，无法支持针对特殊资产或者资产组进行有效的内联访问监测。其中，ACL是一种针对现网流量数据按照策略进行过滤报文信息的访问控制方法。支持ip、端口等多个过滤策略检测，ACL使用包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。现有技术缺少定制针对访问时间等行为特征检测的策略配置，配置规则麻烦。

因此，需要一种新的会话违规访问检测方法、装置、电子设备及计算机可读介质。

在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本公开提供一种会话违规访问检测方法、装置、电子设备及计算机可读介质，能够简化用户配置违规访问策略的流程，在现有的基于ip 四元组的违规访问的基础上，扩展了对时间范围检测的访问策略。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一方面，提出一种会话违规访问检测方法，该方法包括：获取会话的五元组信息，所述五元组信息包括源地址、目的地址、源端口、目的端口、会话时间；基于所述会话的源地址、目的地址、源端口、目的端口和预设的违规策略集合进行匹配；在匹配到目标违规策略时，获取所述目标违规策略的时间范围；当所述会话的会话时间在所述时间范围内时，确定匹配记录是否大于所述目标违规策略的阈值；在匹配记录大于所述目标违规策略的阈值时，生成违规访问日志。

在本公开的一种示例性实施例中，还包括：基于自定义方式生成所述违规策略集合；和/或基于用户资产和时间范围生成所述违规策略集合；其中，所述违规策略集合中包括多个违规策略。

在本公开的一种示例性实施例中，还包括：将所述违规策略集合发送至探针检测引擎。

在本公开的一种示例性实施例中，将所述违规策略集合发送至探针检测引擎之后，还包括：检测引擎所述违规策略集合进行重复定义筛选；在重复定义筛选通过后，对所述违规策略集合中的违规策略进行编译，生成检测信息结构；设置根据编译结果为每个违规策略设置时间范围。

在本公开的一种示例性实施例中，设置根据编译结果为每个违规策略设置时间范围之后，还包括：检测引擎根据所述时间范围将所述违规策略集合中的违规策略进行分组；基于策略调度线程对分组之后的违规策略进行编译。