1.一种网络威胁处理方法,包括:
侦听网络设备的网络访问行为,并通过零拷贝技术获取网络数据报文;
对获取到的网络数据报文进行全流量存储得到全流量的网络数据报文;
对存储的网络数据报文进行还原处理,对还原的网络数据报文进行攻击检测从而确定是否具有恶意行为。
2.根据权利要求1所述的方法,其中,所述通过零拷贝技术获取网络数据报文包括:
将数据报文缓存至先进先出队列中,其中根据系统的CPU数量配置所述先进先出队列;
基于直接内存访问技术,将先进先出队列中的数据报文传输至预配置的循环缓存区,并获取所述循环缓存区中的数据报文。
3.根据权利要求1所述的方法,其中,还包括:
基于深度包检测技术对应用层协议的网络数据报文进行检测,以消除误报;
其中,所述应用层协议至少包括:HTTP协议、SMTP协议、PoP3协议。
4.根据权利要求1所述的方法,其中,所述对存储的网络数据报文进行还原处理,包括:
通过多线程下载所述网络数据报文的多个数据块,分别存储所述数据块的数据内容和块信息;
读取所述数据内容和块信息并拼接为所述网络数据报文。
5.根据权利要求1所述的方法,其中,还包括:
对存储的网络数据报文进行分类,对于文件类数据报文,将其还原为文件,并对还原的文件选择相应的策略进行攻击检测,基于网络异常行为检测原理,检测出攻击行为;
所述基于网络异常行为检测原理,检测出攻击行为,包括:提取所述网络数据报文的网络行为信息;对所述网络行为信息进行多维度网络行为统计;依据统计结果,利用决策树分类规则建立网络异常行为模型;使用所述网络异常行为模型确定出攻击行为。
6.一种网络威胁处理装置,包括:
侦听模块,配置为侦听网络设备的网络访问行为,并通过零拷贝技术获取网络数据报文;
全流量存储模块,配置为对获取到的网络数据报文进行全流量存储得到全流量的网络数据报文;
还原处理模块,配置为对存储的网络数据报文进行还原处理;
检测模块,配置为对还原的网络数据报文进行攻击检测从而确定是否具有恶意行为。
7.根据权利要求6所述的装置,其中,
所述侦听模块还配置为,将数据报文缓存至先进先出队列中,其中根据系统的CPU数量配置所述先进先出队列;基于直接内存访问技术,将先进先出队列中的数据报文传输至预配置的循环缓存区,并获取所述循环缓存区中的数据报文。
8.根据权利要求6所述的装置,其中,
所述检测模块还配置为:基于深度包检测技术对应用层协议的网络数据报文进行检测,以消除误报;其中,所述应用层协议至少包括:HTTP协议、SMTP协议、PoP3协议。
9.根据权利要求6所述的装置,其中,
所述还原处理模块还配置为,通过多线程下载所述网络数据报文的多个数据块,分别存储所述数据块的数据内容和块信息;读取所述数据内容和块信息并拼接为所述网络数据报文。
10.根据权利要求6所述的装置,其中,还包括:
分类模块,配置为对存储的网络数据报文进行分类;
所述检测模块还配置为,对于文件类数据报文,将其还原为文件,并对还原的文件选择相应的策略进行攻击检测,基于网络异常行为检测原理,检测出攻击行为;
所述检测模块还配置为,提取所述网络数据报文的网络行为信息;对所述网络行为信息进行多维度网络行为统计;依据统计结果,利用决策树分类规则建立网络异常行为模型;使用所述网络异常行为模型确定出攻击行为。