[发明专利]一种网络安全防御中的异常检测方法、装置及设备

说明书

本申请公开了一种网络安全防御中的异常检测方法，包括：在客户端与服务端之间建立会话连接之后，获取会话连接所产生的流量数据包；调用预设的风险应用规则库，对流量数据包进行规则匹配；风险应用规则库中存储有与各个风险应用对应的流量数据包的模式规则；若匹配成功，则判定会话连接是通过风险应用建立的，并将流量数据包所记录的通信活动推送给管理员，以便管理员判断会话连接是否异常。本申请基于对流量数据的监管和对风险应用的识别，可有效检测出风险应用所建立的网络会话的异常情况，进而保护主机免受黑客入侵，保障网络安全。本申请还公开了一种网络安全防御中的异常检测装置、设备及计算机可读存储介质，同样具有上述有益效果。

技术领域

本申请涉及网络安全防御技术领域，特别涉及一种网络安全防御中的异常检测方法、装置、设备及计算机可读存储介质。

背景技术

近些年来，随着网络通信技术的发展，网络安全事故也层出不穷。

风险应用，即风险软件，是一些本身绝对不含有主动传播行为、但可被不法分子利用、以实现网络非法入侵目的的应用。例如，黑客们经常使用一些恶意软件如TeamSpy等在其所侵入的受控主机中植入风险软件如teamview等的文件，从而利用风险软件teamview打开远控方式，掩盖其C&C通信，通过远程在受控主机上进行任意操作。由于风险应用本身就已经存在于普通用户的主机上，无需黑客自己进行开发，因而越来越多的黑客将风险应用作为其实施非法入侵活动的利用工具。而又由于现有的网络安全防御技术中缺乏对这类风险应用的有效管控，使得风险应用成为了黑客入侵行为的掩盖场所，令黑客屡屡得逞。

可见，采用何种异常检测方法，以便有效检测出黑客们利用风险应用所实施的入侵活动，进而有效保障网络安全，是本领域技术人员所亟待解决的技术问题。

发明内容

本申请的目的在于提供一种网络安全防御中的异常检测方法、装置、设备及计算机可读存储介质，以便有效检测出风险应用所建立的网络会话的异常情况，进而保护主机免受黑客入侵，保障网络安全。

为解决上述技术问题，本申请提供一种网络安全防御中的异常检测方法，包括：

在客户端与服务端之间建立会话连接之后，获取所述会话连接所产生的流量数据包；

调用预设的风险应用规则库，对所述流量数据包进行规则匹配；所述风险应用规则库中存储有与各个风险应用对应的流量数据包的模式规则；

若匹配成功，则判定所述会话连接是通过风险应用建立的，并将所述流量数据包所记录的通信活动推送给管理员，以便所述管理员判断所述会话连接是否异常。

可选地，在所述判定所述会话连接是通过风险应用建立的之后，还包括：

将所述会话连接在会话持续过程中的通信特征信息的统计结果推送给所述管理员，以便进一步便于所述管理员判断所述会话连接是否异常。

可选地，所述通信特征信息包括以下任意一种或者任意组合：

五元组、会话连接持续时长、会话连接建立时间、请求流量大小、响应流量大小、风险应用名称、风险应用使用时长。

可选地，在所述判定所述会话连接是通过风险应用建立的之后，还包括：

将所述会话连接标识为已监听会话连接，并将所述已监听会话连接后续产生的流量数据包所记录的通信活动推送给所述管理员，以便所述管理员判断所述会话连接是否异常。

可选地，所述将所述会话连接标识为已监听会话连接包括：

将所述会话连接的五元组作为标识信息进行存储，以便生成已监听会话连接列表。

可选地，所述获取所述会话连接所产生的流量数据包包括：