[发明专利]一种异常设备检测方法、装置、电子设备及可读存储介质

说明书

本申请公开了一种异常设备检测方法、装置、电子设备及计算机可读存储介质，该方法包括：获取异常流量，并提取异常流量对应的发送方标识；利用发送方标识筛选流量设备信息，得到目标流量转发设备信息，并根据所目标流量转发设备信息确定目标流量转发设备；获取目标流量转发设备对应的流量转发日志，并从流量转发日志中得到异常设备信息；该方法不需要异常流量具有有效的Forwarded‑For字段，利用目标流量转发设备的日志即可确定异常设备信息；同时，无论异常流量是否采用HTTP协议，均可以对其进行检测，因此提高了异常设备检测的能力，改善了异常设备检测的效果。

技术领域

本申请涉及网络安全技术领域，特别涉及一种异常设备检测方法、异常设备检测装置、电子设备及计算机可读存储介质。

背景技术

网络安全设备在进行安全检测或者失陷主机检测时，需要获取异常设备信息，以便检出异常设备。由于网络环境比较复杂，内网中会存在各种网关设备、代理设备、DNS(Domain Name System，域名系统)服务器等，这些设备会将收到的流量转发，这就导致在异常设备检测时只能定位到流量转发设备，不能找到真正有问题的主机。为了解决上述问题，相关技术通常检测流量中是否存在Forwaarded-For字段，然而，现实使用中，大部分设备均没有设置Forwarded-For字段，因此其转发后的流量中不存在有效的 Forwarded-For字段，因此无法得到失陷主机或者攻击主机的IP地址。因此相关技术的异常设备检测能力较弱，效果较差。

发明内容

有鉴于此，本申请的目的在于提供一种异常设备检测方法、异常设备检测装置、电子设备及计算机可读存储介质，不需要异常流量具有有效的 Forwarded-For字段，同时无论异常流量是否采用HTTP协议，均可以对其进行检测，提高了异常设备检测的能力，改善了异常设备检测的效果。

为解决上述技术问题，本申请提供了一种异常设备检测方法，具体包括：

获取异常流量，并提取所述异常流量对应的发送方标识；

利用所述发送方标识筛选所述流量设备信息，得到目标流量转发设备信息，并根据所目标流量转发设备信息确定目标流量转发设备；

获取所述目标流量转发设备对应的流量转发日志，并从所述流量转发日志中得到异常设备信息。

可选地，所述发送方标识为待测网络地址；所述利用所述发送方标识筛选所述流量设备信息，得到目标流量转发设备信息，包括：

确定所述待测网络地址所属的网络地址段；

根据所述网络地址段对所述流量设备信息进行过滤，得到初选流量设备信息；

利用所述待测网络地址筛选所述初选流量设备信息，得到所述目标流量转发设备信息。

可选地，所述利用所述待测网络地址筛选所述初选流量设备信息，得到所述目标流量转发设备信息，包括：

根据所述待测网络地址在所述网络地址段中的位置，确定检测方向；

根据所述检测方向对所述初选流量设备信息进行匹配检测，判断所述初选流量设备信息中是否存在所述待测网络地址；

若存在，则将所述待测网络地址对应的流量设备转发信息确定为所述目标流量转发设备信息。

若不存在，则从所述异常流量中提取五元组信息，并利用所述五元组信息得到所述异常设备信息。

可选地，所述发送方标识为发送设备编号；所述流量设备信息的生成过程，包括：

获取并解析信息生成指令，得到流量转发设备编号和流量转发设备信息之间的对应关系；

利用所述对应关系生成所述流量设备信息。

可选地，所述流量设备信息的生成过程，包括：