攻击流量快速识别系统、方法、计算机可读介质及设备与流程

本发明涉及计算机技术领域，尤其涉及一种攻击流量快速识别系统、方法、计算机可读介质及设备。

背景技术：

近些年，由于互联网技术的快速发展，网络用户数的大规模增长，网络安全问题已经成为广大网民最为关心的问题，甚至在国家层面，政府机构对网络安全问题也越来越重视。据不完全统计，2018年国家某网络安全监管部门处置网络安全事件约10.6万起，其中网页仿冒事件占比最多；其次，安全漏洞、恶意程序攻击、网页篡改、网站后门、ddos攻击等安全事件同样占比较大。根据专家预测，网络安全问题在未来数年甚至数十年间会越来越严峻。

现有的攻击流量识别方法通常通过攻击流量扫描软件对网络流量进行全面扫描，这种攻击流量识别方法耗时较长、效率低下，而且无法对扫描到的攻击流量进行自动分类，更无法对不同攻击种类下的攻击流量进行计数，以便于技术人员对某一段时间内的攻击流量进行汇总分析。

技术实现要素：

本发明的目的在于提供一种攻击流量快速识别系统、方法、计算机可读介质及设备，以解决上述技术问题。

本发明解决其技术问题采取的技术方案是，提供一种攻击流量快速识别系统，用于快速识别网络流量中的攻击流量，该系统包括：

流量监控模块，用于对所述网络流量进行流量监控；

流量特征分析模块，连接所述流量监控模块，用于分析监控到的所述网络流量中是否存在符合攻击流量特征的疑似攻击流量，

若是，则截获所述疑似攻击流量并将所述疑似攻击流量保存到一数据库中；

若否，则继续对所述网络流量进行流量监控；

流量导入模块，连接所述数据库，用于从所述数据库中导入所述疑似攻击流量；

流量分析模块，连接所述流量导入模块，用于对各所述疑似攻击流量进行真实度匹配、分析，并对被匹配为真实的各所述攻击流量进行分类，得到各所述攻击流量对应的攻击种类，并综合形成一攻击流量分类结果并保存；

攻击流量计数模块，连接所述流量分析模块，用于根据所述攻击流量分类结果，对不同种类的所述攻击流量进行单独计数，最终综合各单独计数结果形成一针对所分析的所述攻击流量对应的计数结果并保存。

作为本发明的一种优选方案，所述攻击流量特征包括符合sql注入、命令执行和反序列化漏洞特征中的任意一种或多种。

作为本发明的一种优选方案，截获所述疑似攻击流量的方式包括抓包。

作为本发明的一种优选方案，所述流量分析模块中具体包括：

流量类型匹配单元，用于将各所述疑似攻击流量对应的所述攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配以确认各所述疑似攻击流量是否为真实的所述攻击流量，

攻击流量分类单元，连接所述流量类型匹配单元，用于对确认为真实的各所述攻击流量进行分类，得到各所述攻击流量对应的攻击种类，并综合对各攻击流量的分类结果形成所述攻击流量分类结果并保存。

作为本发明的一种优选方案，所述攻击流量的所述攻击种类包括sql注入、命令执行及反序列化漏洞中的任意一种或多种。

本发明还提供了一种攻击流量快速识别方法，通过应用所述攻击流量快速识别系统实现，该方法包括如下步骤：

步骤s1，所述攻击流量快速识别系统对所述网络流量进行流量监控；

步骤s2，所述攻击流量快速识别系统分析监控到的所述网络流量中是否存在符合攻击流量特征的所述疑似攻击流量，

若是，则截获所述疑似攻击流量并将所述疑似攻击流量保存到所述数据库中；

若否，则返回所述步骤s1，继续对所述网络流量进行流量监控；

步骤s3，所述攻击流量快速识别系统从所述数据库中导入所述疑似攻击流量；

步骤s4，所述攻击流量快速识别系统对各所述疑似攻击流量进行真实度匹配、分析，并对被匹配为真实的各所述攻击流量进行分类，得到各所述攻击流量对应的所述攻击种类，并综合形成所述攻击流量分类结果并保存；

步骤s5，所述攻击流量快速识别系统根据所述攻击流量分类结果，对不同种类的所述攻击流量进行单独计数，最终综合各单独计数结果形成针对所分析的所述攻击流量对应的所述计数结果并保存。

作为本发明的一种优选方案，所述步骤s4中，所述攻击流量快速识别系统对各所述疑似攻击流量进行真实度匹配、分析的过程具体包括如下步骤：

步骤s41，所述攻击流量快速识别系统将各所述疑似攻击流量对应的所述攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配，以确认各所述疑似攻击流量是否为真实的所述攻击流量，

若是，则进入步骤s42；

若否，则过滤掉所述疑似攻击流量；

步骤s42，所述攻击流量快速识别系统对经所述步骤s41确认为真实的各所述攻击流量进行分类，得到各所述攻击流量对应的所述攻击种类，并综合对各攻击流量的分类结果最终形成所述攻击流量分类结果并保存。

作为本发明的一种优选方案，所述步骤s4中的所述攻击种类包括sql注入、命令执行及反序列化漏洞中的任意一种或多种。

本发明还提供了一种计算机可读存储介质，包括执行指令，当电子设备的处理器执行所述执行指令时，所述处理器执行所述方法。

本发明另外还提供了一种电子设备，包括处理器以及存储有执行指令的存储器，当所述处理器执行所述存储器中的所述执行指令时，所述处理器执行所述方法。

本发明实现了对攻击流量的快速识别，本发明无需对网络流量进行全面的攻击流量识别，仅当监测到疑似攻击流量时才进入攻击流量分析过程，并得到对疑似攻击流量的分类结果，大幅提高了攻击流量识别的效率。

另外，本发明将对不同种类的攻击流量进行自动计数，并形成计数结果，以便于将分析结果更加直观的显示给技术人员，便于技术人员进行进一步的数据分析、处理。

附图说明

图1是本发明实施例提供的攻击流量快速识别系统的结构示意图；

图2本发明实施例提供的攻击流量快速识别系统中的流量分析模块的结构示意图；

图3是本发明一实施例提供的攻击流量快速识别方法的方法步骤图；

图4是本发明一实施例提供的攻击流量快速识别方法中的步骤s4的分步骤图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。

本发明实施例提供的一种攻击流量快速识别系统，用于快速识别网络流量中的攻击流量，请参照图1，该攻击流量快速识别系统包括：

流量监控模块1，用于对网络流量进行流量监控；对于网络流量监控的方式为现有技术，比如可以通过现有的流量监控系统对网络流量是否异常进行监控；

流量特征分析模块2，连接流量监控模块1，用于分析监控到的网络流量中是否存在符合攻击流量特征的疑似攻击流量；攻击流量特征包括符合sql注入漏洞特征、命令执行漏洞特征以及反序列化等漏洞特征中的任意一种或多种；

当系统分析到所监控的网络流量中存在符合攻击流量特征的疑似攻击流量后，系统将截取疑似攻击流量并将疑似攻击流量保存到一数据库3中。如果没有发现疑似攻击流量，系统将继续对网络流量进行流量监控。

上述技术方案中，将疑似攻击流量保存到数据库中是为了便于后续对疑似攻击流量再进行分析、处理，或对保存的疑似攻击流量进行统一的分析、处理。

上述技术方案中，系统从网络流量中截获疑似攻击流量的方法为抓包，当然也可以采用现有技术中存在的其他流量获取方式。

请继续参照图1，攻击流量快速识别系统还包括：

流量导入模块4，连接数据库3，用于从数据库3中导入事先保存的疑似攻击流量。导入疑似攻击流量的方法为现有的数据导入方法，具体导入过程在此不作阐述。

流量分析模块5，连接流量导入模块4，用于对各疑似攻击流量进行真实度匹配、分析，并对被匹配为真实的各攻击流量进行流量分类，得到各攻击流量对应的攻击种类，然后综合对各种类的攻击流量的匹配结果，最终形成一攻击流量分类结果并保存。

系统可将攻击流量分类结果保存到专门的数据库中，以便于后续技术人员基于攻击流量分类结果，对网络攻击情况进行进一步的数据分析。

为实现对各攻击流量的分类汇总，优选地，请参照图1，本实施例提供的攻击流量快速识别系统还包括：

攻击流量计数模块6，连接流量分析模块5，用于根据攻击流量分类结果，对不同种类的攻击流量进行单独计数，最终综合各单独计数结果形成一针对所分析的所述攻击流量的计数结果并保存。

系统还具备攻击流量占比计算功能，对于攻击流量占比的计算方法简述如下：

系统截获的各疑似攻击流量中可能存在正常流量，当系统对各疑似攻击流量作真实度判断后，将保存被确定为真实的攻击流量，而过滤掉被确定为不真实的疑似攻击流量(不真实的疑似攻击流量可能为正常流量)。

然后系统对被确定为真实的攻击流量进行计数，以及对截取的各疑似攻击流量的总流量进行计数，最终通过计算被确定为真实的攻击流量和所截获的各疑似攻击流量的总流量的比值，得到攻击流量在截取的疑似攻击流量中的占比。

为了直观分析攻击流量的占比情况，更优选地，系统还将自动计算各攻击种类下的攻击流量在截取的总流量中的占比，比如将计算sql注入漏洞在总流量中的占比，然后通过直方图等表示方式将计算结果显示给用户。

更优选地，本实施例提供的攻击流量快速识别系统还包括一显示界面，显示界面用于向用户显示攻击流量分类结果或计数结果等系统分析结果。

请参照图2，本实施例提供的攻击流量快速识别系统中的流量分析模块5中具体包括：

流量类型匹配单元51，用于根据各疑似攻击流量对应的攻击流量特征，确认各疑似攻击流量是否为真实的攻击流量；比如系统监控到网络流量中可能存在sql注入漏洞，系统将通过抓包等方式将初步符合sql注入漏洞特征的该流量作为疑似攻击流量进行截获并保存到数据库中。后续流量类型匹配单元将各疑似攻击流量对应的流量特征与一攻击特征库中的预设攻击特征进行特征匹配，以确认各疑似攻击流量是否为真实的攻击流量。

系统确认疑似攻击流量是否为真实的攻击流量的方法为：若特征匹配成功，则确认该疑似攻击流量为真实的攻击流量；

若匹配不成功，则过滤掉该疑似攻击流量。

请继续参照图2，流量分析模块中还包括：

攻击流量分类单元52，连接流量类型匹配单元51，用于对确认为真实的各攻击流量进行分类，得到各攻击流量对应的攻击种类，并综合形成一攻击流量分类结果并保存。

上述技术方案中，攻击流量的攻击种类包括但不限于sql注入漏洞、命令执行漏洞和反序列化漏洞。

另外需要说明的是，对于攻击流量的计数还包括对过滤掉的疑似攻击流量的计数。在计算攻击流量占比时，被过滤掉的疑似攻击流量被作为正常流量予以统计。攻击流量占比通过以下计算公式计算而得：

攻击流量占比＝被确认为攻击流量的数量/导入分析的各疑似攻击流量的总数量。

请参照图3，本发明实施例还提供了一种攻击流量快速识别方法，通过应用上述的攻击流量快速识别系统实现，该方法具体包括如下步骤：

步骤s1，攻击流量快速识别系统对网络流量进行流量监控；

步骤s2，攻击流量快速识别系统分析监控到的网络流量中是否存在符合攻击流量特征的疑似攻击流量，

若是，则截获疑似攻击流量并将疑似攻击流量保存到数据库中；

若否，则返回步骤s1，继续对网络流量进行流量监控；

步骤s3，攻击流量快速识别系统从数据库中导入疑似攻击流量；

步骤s4，攻击流量快速是被系统对各疑似攻击流量进行真实度匹配、分析，并对被匹配为真实的各攻击流量进行分类，得到各攻击流量对应的攻击种类，并综合形成攻击流量分类结果并保存；

步骤s5，攻击流量快速识别系统根据攻击流量分类结果，对不同种类的攻击流量进行单独计数，最终综合各单独计数结果形成一针对所分析的攻击流量的计数结果并保存。

请参照图4，步骤s4中，优选地，攻击流量快速识别系统对各疑似攻击流量进行真实度匹配、分析的过程具体包括如下步骤：

步骤s41，攻击流量快速识别系统将各疑似攻击流量对应的攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配，以确认各疑似攻击流量是否为真实的攻击流量，

若是，则进入步骤s42；

若否，则过滤掉疑似攻击流量；

步骤s42，攻击流量快速识别系统对经步骤s41确认为真实的各攻击流量进行分类，得到各攻击流量对应的攻击种类，并综合对各攻击流量的分类结果并形成攻击流量分类结果并保存。

上述步骤s4中所述的攻击种类包括但不限于sql注入、命令执行及反序列化漏洞。

本发明还提供了一种计算机可读存储介质，包括执行指令，当电子设备的处理器执行上述的执行指令时，处理器将执行上述的攻击流量快速识别方法。

本发明还提供了一种电子设备，包括处理器以及存储有执行指令的存储器，当处理器执行存储器中的执行指令时，处理器执行上述的攻击流量快速识别方法。

以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。