[发明专利]异常外联统计告警方法、装置、计算机设备和存储介质

说明书

本申请涉及一种异常外联统计告警方法、装置、计算机设备和存储介质。所述方法包括：获取内网网络通信数据，根据内网网络通信数据，确定出待识别的通信地址信息；根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息；加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息；若目标通信地址信息为异常通信地址信息，则根据目标通信地址信息生成异常外联告警信号，并将异常外联告警信号发送至对应的服务器；服务器用于根据异常外联告警信号，生成并返回相应的应急操作指令；根据应急操作指令，断开针对目标通信地址信息的访问链接。采用本方法，能够提高异常外联统计告警的准确率。

技术领域

本申请涉及网络安全技术领域，特别是涉及一种异常外联统计告警方法、装置、计算机设备和存储介质。

背景技术

在网络安全防护或者流量分析时，存在大量未知IP(Internet Protocol，网际互连协议)地址或域名，无法确定其是否属于恶意，容易造成误判。

目前，往往利用沙箱对恶意样本进行分析，对其通信IP地址及域名进行标注，再结合威胁情报，构建威胁情报库；利用威胁情报库中的IP地址及域名，在防火墙上做封堵配置，保障网络安全。但是，威胁情报库中的IP地址的可靠性较差，很容易被网络黑客绕过，导致异常外联统计告警的准确率较低。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高异常外联统计告警的准确率的异常外联统计告警方法、装置、计算机设备和存储介质。

一种异常外联统计告警方法，所述方法包括：

获取内网网络通信数据，根据所述内网网络通信数据，确定出待识别的通信地址信息；

根据加密后的通信地址信息集合，从所述待识别的通信地址信息中筛选出目标通信地址信息；所述加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息；

若所述目标通信地址信息为异常通信地址信息，则根据所述目标通信地址信息生成异常外联告警信号，并将所述异常外联告警信号发送至对应的服务器；所述服务器用于根据所述异常外联告警信号，生成并返回相应的应急操作指令；

根据所述应急操作指令，断开针对所述目标通信地址信息的访问链接。

在其中一个实施例中，在根据加密后的通信地址信息集合，从所述待识别的通信地址信息中筛选出目标通信地址信息之前，还包括：

根据预设的用户网络环境，确定对应的通信地址信息；

获取所述通信地址信息中的正常通信地址信息，对所述正常通信地址信息进行加密处理，得到加密后的正常通信地址信息；

根据所述加密后的正常通信地址信息，得到所述加密后的通信地址信息集合。

在其中一个实施例中，所述获取所述通信地址信息中的正常通信地址信息，对所述正常通信地址信息进行加密处理，得到加密后的正常通信地址信息，包括：

对所述通信地址信息中的异常通信地址信息进行多次过滤处理，直到处理后的通信地址信息中不包含异常通信地址信息，则将所述处理后的通信地址信息作为正常通信地址信息；

根据预设秘钥对所述正常通信地址信息进行加密处理，得到密文，作为所述加密后的正常通信地址信息。

在其中一个实施例中，所述根据加密后的通信地址信息集合，从所述待识别的通信地址信息中筛选出目标通信地址信息，包括：

对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到所述正常通信地址信息；

从所述待识别的通信地址信息中，筛选出与所述正常通信地址信息不匹配的通信地址信息，作为所述目标通信地址信息。