异常行为检测方法、装置、设备及存储介质与流程

本申请涉及计算机及大数据，尤其涉及一种异常行为检测方法、装置、设备及存储介质。

背景技术：

1、随着社会信息化程度的不断提高，网络安全成为了运营商和互联网企业关注的重要领域之一。外部的攻击行为通常是为了获取一些重要的数据。

2、目前，现有技术中为了检测出攻击行为，可以在网络中设置蜜罐，通过访问蜜罐的情况查找攻击者。

3、但是，发明人发现现有技术至少存在如下技术问题：当前的防御机制安全性较低。

技术实现思路

1、本申请提供一种异常行为检测方法、装置、设备及存储介质，用以解决当前的防御机制安全性较低的问题。

2、第一方面，本申请提供一种异常行为检测方法，包括：响应于异常行为检测流程开始，获取实时网络流量数据，其中网络流量数据包括至少一条访问信息，访问信息包括源ip互联网协议地址及目的ip地址。若目标访问信息对应的目标目的ip地址与任一预设的静默ip地址相同，则获取目标访问信息对应的目标源ip地址，其中目标访问信息为任一访问信息。若目标源ip地址与各预设的ip地址不同，则将目标目的ip地址变更为蜜罐地址，以使目标源ip地址与蜜罐进行交互。获取目标源ip地址与蜜罐的交互行为信息。若交互行为信息包括异常行为信息，则输出对应的告警信息。

3、在一种可能的实现方式中，将目标目的ip地址变更为蜜罐地址，包括：获取目标目的ip地址对应的目标属性。将目标属性对应的蜜罐确定为目标蜜罐。获取目标蜜罐对应的蜜罐地址。将目标目的ip地址变更为目标蜜罐对应的蜜罐地址。

4、在一种可能的实现方式中，在获取目标访问信息对应的目标源ip地址之后，还包括：若目标源ip地址与任一预设的ip地址相同，则获取目标源ip地址对应的历史访问信息。根据历史访问信息，确定目标源ip地址是否存在异常。若目标源ip地址存在异常，则输出对应的告警信息。

5、在一种可能的实现方式中，历史访问信息包括历史目的ip地址。相应地，根据历史访问信息，确定目标源ip地址是否存在异常，包括：获取各历史目的ip地址对应的地址属性。查找各地址属性对应的风险值。将各地址属性对应的风险值相加，得到风险值总和。将风险值总和除以历史目的ip地址的数量，得到平均风险值。若平均风险值大于预设的风险值阈值，则确定目标源ip地址存在异常，否则确定目标源ip地址不存在异常。

6、在一种可能的实现方式中，在获取实时网络流量数据之后，还包括：若目标源ip地址与任一预设的静默ip地址相同，则生成对应的状态变更告警信息。将状态变更告警信息发送至监测终端，以使监测终端输出状态变更告警信息。

7、在一种可能的实现方式中，在将状态变更告警信息发送至监测终端之后，还包括：若接收到监测终端发送的激活确认信息，则删除对应的静默ip地址，其中激活确认信息是工作人员根据状态变更告警信息输入监测终端的。若接收到监测终端发送的拒绝激活信息，则获取目标源ip地址对应的历史访问信息。根据历史访问信息，确定目标源ip地址是否存在异常。

8、第二方面，本申请提供一种异常行为检测装置，包括：

9、数据获取模块，用于响应于异常行为检测流程开始，获取实时网络流量数据，其中网络流量数据包括至少一条访问信息，访问信息包括源ip互联网协议地址及目的ip地址。地址获取模块，用于若目标访问信息对应的目标目的ip地址与任一预设的静默ip地址相同，则获取目标访问信息对应的目标源ip地址，其中目标访问信息为任一访问信息。地址变更模块，用于若目标源ip地址与各预设的ip地址不同，则将目标目的ip地址变更为蜜罐地址，以使目标源ip地址与蜜罐进行交互。信息获取模块，用于获取目标源ip地址与蜜罐的交互行为信息。信息输出模块，用于若交互行为信息包含异常行为信息，则输出对应的告警信息。

10、在一种可能的实现方式中，地址变更模块，用于获取目标目的ip地址对应的目标属性。将目标属性对应的蜜罐确定为目标蜜罐。获取目标蜜罐对应的蜜罐地址。将目标目的ip地址变更为目标蜜罐对应的蜜罐地址。

11、第三方面，本申请提供一种电子设备，包括：处理器，以及与处理器通信连接的存储器。存储器存储计算机执行指令。处理器执行存储器存储的计算机执行指令，使得处理器执行如第一方面描述的异常行为检测方法。

12、第四方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现如第一方面描述的异常行为检测方法。

13、本申请提供的异常行为检测方法、装置、设备及存储介质，通过获取网络流量数据，柑橘网络流量数据中的访问信息，得到访问信息中的目标目的ip地址，并比对目标目的ip地址是否有相同的静默ip地址，在有相同的静默ip地址的情况下将对应的目标目的ip地址主动变更为蜜罐地址，从而使目标源ip地址与蜜罐交互，获得交互行为信息，根据交互行为信息确定是否存在异常行为，并在存在异常行为的情况下输出告警信息，增加防御机制的安全性，增加异常的检出准确率。

技术特征：

1.一种异常行为检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述将所述目标目的ip地址变更为蜜罐地址，包括：

3.根据权利要求1所述的方法，其特征在于，在所述获取所述目标访问信息对应的目标源ip地址之后，还包括：

4.根据权利要求3所述的方法，其特征在于，所述历史访问信息包括历史目的ip地址；

5.根据权利要求1所述的方法，其特征在于，在所述获取实时网络流量数据之后，还包括：

6.根据权利要求5所述的方法，其特征在于，在所述将所述状态变更告警信息发送至监测终端之后，还包括：

7.一种异常行为检测装置，其特征在于，包括：

8.根据权利要求7所述的装置，其特征在于，所述地址变更模块，用于获取所述目标目的ip地址对应的目标属性；将所述目标属性对应的蜜罐确定为目标蜜罐；获取所述目标蜜罐对应的蜜罐地址；将所述目标目的ip地址变更为所述目标蜜罐对应的蜜罐地址。

9.一种电子设备，其特征在于，包括：处理器，以及与所述处理器通信连接的存储器；

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1至6中任一项所述的异常行为检测方法。

技术总结
本申请提供一种异常行为检测方法、装置、设备及存储介质，属于计算机及大数据技术领域。包括：响应于异常行为检测流程开始，获取实时网络流量数据，其中网络流量数据包括至少一条访问信息，访问信息包括源IP互联网协议地址及目的IP地址；若目标访问信息对应的目标目的IP地址与任一预设的静默IP地址相同，则获取目标访问信息对应的目标源IP地址，其中目标访问信息为任一访问信息；若目标源IP地址与各预设的IP地址不同，则将目标目的IP地址变更为蜜罐地址，以使目标源IP地址与蜜罐进行交互；获取目标源IP地址与蜜罐的交互行为信息；若交互行为信息包括异常行为信息，则输出对应的告警信息。本申请的方法，解决了当前的防御机制安全性较低的问题。

技术研发人员：李发财,余思阳,王欢,刘珊珊,雷鹏飞
受保护的技术使用者：中国联合网络通信集团有限公司
技术研发日：
技术公布日：2024/1/15