2. 专利
    3. 虚拟资源获取行为的检测方法、装置、设备及介质与流程

    虚拟资源获取行为的检测方法、装置、设备及介质与流程

    专利查询2022-08-26  88


    1.本发明涉及网络信息安全技术领域,尤其涉及虚拟资源获取行为的检测方法、装置、设备及介质。


    背景技术:

    2.随着网络技术的快速发展,虚拟资源已持续火爆,逐渐出现对虚拟资源进行获取的行为。
    3.现有技术中为了保护网络信息安全,主要采用基于黑名单的检测技术、基于虚拟资源获取行为的检测技术以及基于机器学习的检测技术,对虚拟资源的获取行为进行检测。
    4.然而,由于现有技术中基于黑名单的检测技术存在较高的漏检率;基于虚拟资源获取行为的检测技术缺乏泛化性;基于机器学习的检测技术存在较高的误报率和漏报率,降低了虚拟资源获取行为检测的准确率。因此,如何准确的检测出虚拟资源获取行为是目前亟待解决的问题。


    技术实现要素:

    5.本发明提供了一种虚拟资源获取行为的检测方法、装置、设备及介质,可以解决现有技术中虚拟资源获取行为检测的准确率较低的问题。
    6.根据本发明的一方面,提供了一种虚拟资源获取行为的检测方法,包括:
    7.获取预先设定的虚拟资源获取规则库;其中,所述虚拟资源获取规则库包括虚拟资源获取协议规则集以及虚拟资源获取事件规则集;
    8.依据所述虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件;
    9.依据所述虚拟资源获取事件规则集对所述话单文件进行关键字段匹配,获取命中所述虚拟资源获取事件规则集的第二流量包;
    10.根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为。
    11.根据本发明的另一方面,提供了一种虚拟资源获取行为的检测装置,该装置包括:
    12.规则获取模块,用于获取预先设定的虚拟资源获取规则库;其中,所述虚拟资源获取规则库包括虚拟资源获取协议规则集以及虚拟资源获取事件规则集;
    13.第一匹配模块,用于依据所述虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件;
    14.第二匹配模块,用于依据所述虚拟资源获取事件规则集对所述话单文件进行关键字段匹配,获取命中所述虚拟资源获取事件规则集的第二流量包;
    15.行为识别模块,用于根据第二流量包所命中的目标虚拟资源获取事件规则,识别
    第二流量包的虚拟资源获取行为。
    16.根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
    17.至少一个处理器;以及
    18.与所述至少一个处理器通信连接的存储器;其中,
    19.所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的虚拟资源获取行为的检测方法。
    20.根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的虚拟资源获取行为的检测方法。
    21.本发明实施例的技术方案,通过预先设定的虚拟资源获取规则库中的虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取匹配成功的第一流量包中的话单文件;再通过预先设定的虚拟资源获取规则库中的虚拟资源获取事件规则集对话单文件进行关键字段匹配,获取匹配成功的第二流量包;最后,识别出与目标虚拟资源获取事件规则匹配的第二流量包的虚拟资源获取行为,解决了解决现有技术中虚拟资源获取行为检测的准确率较低的问题,提高了虚拟资源获取行为检测的准确率。
    22.应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
    附图说明
    23.为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
    24.图1是根据本发明实施例一提供的一种虚拟资源获取行为的检测方法的流程图;
    25.图2a是根据本发明实施例二提供的一种虚拟资源获取行为的检测方法的流程图;
    26.图2b是根据本发明实施例二提供的存储空间构建流程的结构示意图;
    27.图2c是根据本发明实施例二提供的数据挖掘算法模型工作流程的结构示意图;
    28.图2d是根据本发明实施例二提供的一种优选的虚拟资源获取行为的检测方法的流程图;
    29.图3a是根据本发明实施例三提供的一种虚拟资源获取行为的检测装置的结构示意图;
    30.图3b是根据本发明实施例三提供的一种优选的虚拟资源获取行为的检测装置的逻辑示意图;
    31.图4是实现本发明实施例的虚拟资源获取行为的检测方法的电子设备的结构示意图。
    具体实施方式
    32.为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的
    附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
    33.需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
    34.随着网络技术的快速发展,对虚拟资源进行获取的行为已逐渐对网络信息的安全造成影响。
    35.现有技术中为了保护网络信息安全,主要采用采用以下三种方法对虚拟资源的获取行为进行检测:(1)基于黑名单的检测技术:黑名单是包括恶意网页统一资源定位符(universal resource locator,url)和域名等信息的一份清单,一般由权威机构发布并维护。在用户访问网页前,将要访问的信息与黑名单中的信息进行比对,若比对成功,则将该网页识别为恶意网页并阻止用户访问。(2)基于虚拟资源获取行为的检测技术:通过分析获取虚拟资源的网页运行时的代码、运行行为以及通信机制,提取出可以区分获取虚拟资源的网页和正常网页的相关特征,例如获取虚拟资源的脚本、中央处理器(central processing unit,cpu)值、内存和流量数据包等信息,进而识别网页内是否存在虚拟资源获取行为。(3)基于机器学习的检测技术:尝试将机器学习算法应用于虚拟资源获取行为的识别中,应用机器学习算法识别虚拟资源获取行为,通过提取获取虚拟资源的网页特有的静态或动态特征实现自动化检测。
    36.然而,现有的网络安全检测技术针对虚拟资源获取行为的监测存在如下技术缺陷:(1)基于黑名单的检测方式只能检测出曾经被识别为获取虚拟资源的网站的url或域名,对于新增的获取虚拟资源的网页却没有丝毫的识别能力。其次大部分黑名单的更新周期慢于获取虚拟资源的域名的更新,故这种检测方式存在很高的漏检率。(2)基于虚拟资源获取行为的检测技术其检测特征太过单一,多数评估标准都是由研究人员经过观测和分析后主观定义,缺乏泛化性。(3)基于机器学习的检测技术需要大量的数据集,而数据集的获取是研究的一大难点。此外,大多数方案仅使用单一的静态特征或动态特征来识别挖矿行为,从而导致较高的误报率和漏报率。因此,为准确的检测出虚拟资源获取行为,提高虚拟资源获取行为检测的准确率,本发明实施例提出了一种虚拟资源获取行为的检测方法。
    37.实施例一
    38.图1为本发明实施例一提供了一种虚拟资源获取行为的检测方法的流程图,本实施例可适用于对虚拟资源获取行为进行检测的情况,该方法可以由虚拟资源获取行为的检测装置来执行,该虚拟资源获取行为的检测装置可以采用硬件和/或软件的形式实现,该虚拟资源获取行为的检测装置可配置于电子设备中,例如,深度包检测(deep packet inspection,dpi)设备中。如图1所示,该方法包括:
    39.s110、获取预先设定的虚拟资源获取规则库;其中,所述虚拟资源获取规则库包括虚拟资源获取协议规则集以及虚拟资源获取事件规则集。
    40.其中,虚拟资源获取规则库可以指在进行虚拟资源获取时需要满足的各项规则,包含虚拟资源获取协议规则集以及虚拟资源获取事件规则集;虚拟资源获取协议规则集可以指由虚拟资源获取时需要满足的协议规则组成的集合;虚拟资源获取事件规则集可以指由虚拟资源获取时需要满足的获取事件规则组成的集合。
    41.可选的,所述虚拟资源获取事件规则中包括下述规则参数:虚拟资源池域名、虚拟资源池互联网协议、虚拟资源池端口、虚拟资源种类、虚拟资源场出口互联网协议以及虚拟资源获取设备互联网协议。
    42.s120、依据所述虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件。
    43.其中,第一流量包可以指与虚拟资源获取协议规则集中的虚拟资源获取协议规则匹配的流量包;话单文件可以指包含第一流量包中字段信息,如,虚拟资源池域名、虚拟资源获取设备互联网协议(internet protocol,ip)或登录信息的表格文件,通常一个完整的流量交互过程对应一个话单文件。
    44.具体的,利用虚拟资源获取协议规则集对待监测网络的全流量进行规则匹配,筛选出满足虚拟资源获取协议规则的流量包作为第一流量包,并将第一流量包中的字段进行提取生成话单文件,便于后续操作的进行。
    45.s130、依据所述虚拟资源获取事件规则集对所述话单文件进行关键字段匹配,获取命中所述虚拟资源获取事件规则集的第二流量包。
    46.其中,关键字段匹配可以指利用关键字段,如虚拟资源池域名、虚拟资源获取设备ip、虚拟资源池端口、虚拟资源种类、虚拟资源场出口ip及虚拟资源获取设备ip,对话单文件中的字段进行匹配;第二流量包可以指与虚拟资源获取事件规则集中的虚拟资源获取事件规则匹配的流量包。
    47.具体的,在通过第一流量包获取话单文件之后,利用虚拟资源获取事件规则中设定的关键字段与话单文件中的字段进行匹配,将与虚拟资源获取事件规则中关键字段匹配的话单文件所对应的流量包作为第二流量包,便于后续步骤的实施。
    48.s140、根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为。
    49.其中,目标虚拟资源获取事件规则可以指经虚拟资源获取事件规则集匹配后,第二流量包所匹配的虚拟资源获取事件规则,即可以通过目标虚拟资源获取事件规则获知最终进行检测的虚拟资源获取行为的基本内容信息。具体的,依据目标虚拟资源获取事件规则对第二流量包进行筛选,从第二流量包中获得满足目标虚拟资源获取事件规则的流量包,并将该流量包中包含的关键字段信息作为虚拟资源获取行为。
    50.本发明实施例的技术方案,通过预先设定的虚拟资源获取规则库中的虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取匹配成功的第一流量包中的话单文件;再通过预先设定的虚拟资源获取规则库中的虚拟资源获取事件规则集对话单文件进行关键字段匹配,获取匹配成功的第二流量包;最后,识别出与目标虚拟资源获取事件规则
    匹配的第二流量包的虚拟资源获取行为,解决了解决现有技术中虚拟资源获取行为检测的准确率较低的问题,提高了虚拟资源获取行为检测的准确率。
    51.实施例二
    52.图2a为本发明实施例二提供的一种虚拟资源获取行为的检测方法的流程图,本实施例以上述实施例为基础进行细化,在本实施例中具体是对依据所述虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件进行细化,具体可以包括:对比全流量报文头部负载部分的特殊标识字符,提取关键字信息;将所述关键字信息与所述虚拟资源获取协议规则集进行比较,得到满足所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件。如图2a所示,该方法包括:
    53.s210、获取预先设定的虚拟资源获取规则库;其中,所述虚拟资源获取规则库包括虚拟资源获取协议规则集以及虚拟资源获取事件规则集。
    54.在一个可选的实施方式中,在所述获取预先设定的虚拟资源获取规则库之前,还包括:通过计算机设备获取包含虚拟资源获取设备互联网协议以及虚拟资源池地址的样本数据;通过计算机设备根据各样本数据中包括的至少一项样本参数,形成数据样本库,所述样本参数包括:虚拟资源池、虚拟资源获取设备、虚拟资源场、虚拟资源种类、虚拟资源获取协议以及算力间的关联关系;将各所述样本参数分别作为归类因子,对所述数据样本库中的样本数据进行归类处理,得到多个类型的样本数据组;对每个样本数据组进行虚拟资源获取行为的监测,基于监测到的计算机域名协议以及传输控制协议,生成包含虚拟资源获取协议规则以及虚拟资源获取事件规则的虚拟资源获取规则库。其中,数据样本库根据数据样本的样本参数扩充得到的样本库,示例性的,可以根据各样本参数之间的对应关系对数据样本库进行扩充。
    55.具体的,选定一批虚拟资源获取设备互联网协议以及虚拟资源池地址作为样本数据,梳理虚拟资源池、虚拟资源获取设备、虚拟资源场、虚拟资源种类、虚拟资源获取协议以及算力间的关联关系,并将各样本参数进行归类整理,之后,对一定数量的各类样本数据依据虚拟资源获取设备连接虚拟资源池、获取虚拟资源挖掘任务、虚拟资源获取、提交工作量以及难度调节的虚拟资源获取流程进行跟踪监测,实现特征分析、stratum协议解析、计算机域名(domain name system,dns)协议解析,再基于dns协议提取虚拟资源池域名规则,基于stratum协议提取虚拟资源场出口互联网协议规则、虚拟资源获取设备互联网协议规则、虚拟资源池互联网协议规则以及虚拟资源种类规则,将虚拟资源场出口互联网协议规则、虚拟资源获取设备互联网协议规则、虚拟资源池互联网协议规则作为虚拟资源获取协议规则集,将虚拟资源池域名规则以及虚拟资源种类规则作为虚拟资源获取事件规则集,进而完成虚拟资源获取规则库的创建,为后续虚拟资源获取行为的检测提供了基础。
    56.s220、对比全流量报文头部负载部分的特殊标识字符,提取关键字信息。
    57.其中,特殊标识字符可以指包含协议标识符的标识符,例如协议指纹或者协议关键字;关键字信息可以指特殊标识字符对应的具体信息。
    58.s230、将所述关键字信息与所述虚拟资源获取协议规则集进行比较,得到满足所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件。
    59.具体的,利用虚拟资源获取协议规则集对关键字信息进行匹配,将匹配成功的关
    键字信息所对应的流量包作为第一流量包,并将该流量包中的话单文件进行提取,便于后续操作的进行。
    60.s240、按照虚拟资源获取事件规则集中各虚拟资源获取事件规则的顺序构建存储空间,并依据存储空间中的全量规则对话单文件中的字段进行关键字段匹配,直至所述全量规则对所述话单文件的字段完成遍历,得到命中所述虚拟资源获取事件规则集的第二流量包。
    61.其中,各虚拟资源获取事件规则的顺序可以为根据虚拟资源获取事件的重要程度设定的虚拟资源获取事件规则的排列顺序,也可以为实际情况中自主设定的虚拟资源获取事件规则的排列顺序,示例性的,虚拟资源获取事件规则的排列顺序可以为获取虚拟资源的域名规则、获取虚拟资源的协议规则、获取虚拟资源的软件规则、获取虚拟资源的种类规则以及获取虚拟资源的流量的规则。存储空间的构建流程可如图2b所示,具体的,首先,根据虚拟资源获取事件规则集中各虚拟资源获取事件规则的顺序建立索引,再遍历资源获取事件规则集中的各个资源获取事件规则,获取各个资源获取事件规则满足的具体条件。进而,使用全量规则对话单文件的字段完成遍历,得到符合虚拟资源获取事件规则集的。
    62.s250、根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为。
    63.在一个可选的实施方式中,在识别第二流量包的虚拟资源获取行为之后,还包括:基于频繁项集和包含关联规则的数据挖掘算法模型对所述话单文件中的各个字段进行关联分析,得到目标虚拟资源获取事件规则;通过计算机设备将所述目标虚拟资源获取事件规则添加至虚拟资源获取规则库中,对所述虚拟资源获取规则库进行优化。其中,频繁项集可以指满足最小支持度阈值的事件,若事件a中包含k个元素,且事件a为满足最小支持度阈值的事件,则称为频繁k项集。关联分析可以指对话单中各字段之间的关联关系进行分析。数据挖掘算法模型的工作流程可如图2c所示,具体的,获取第一流量包对应的话单文件,作为原始话单;再从原始话单中提取各个字段,作为训练样本;之后,通过扫描训练样本,累积每个匹配出的虚拟资源获取设备ip项的计数,并收集满足最小支持度(即发生概率)的项,找出频繁1项集的集合l1;然后,使用l1找出频繁2项集的集合l2,使用l2找出l3,如此下去,直到不能再找到频繁k项集。其中,每找出一个lk进行一次训练样本的完整扫描。最后,得出频繁项后进行归并处理,识别所有虚拟资源获取行为,输出虚拟资源获取设备ip、虚拟资源池域名、虚拟资源场出口ip、虚拟资源池所在的虚拟资源获取设备列表,由此得到目标虚拟资源获取事件规则。之后,将目标虚拟资源获取事件规则添加至虚拟资源获取规则库中,完成对虚拟资源获取规则库进行优化。相应的,获取预先设定的虚拟资源获取规则库,包括:获取优化后的虚拟资源获取规则库。由此,可以使下一次对待监测网络的流量进行匹配时可以使用优化后的虚拟资源获取规则库,提高了虚拟资源获取行为检测的准确率。
    64.在另一个可选的实施方式中,在识别第二流量包的虚拟资源获取行为之后,还包括:依据所述虚拟资源获取行为,获取虚拟资源获取行为的主体信息;依据所述主体信息对待监测网络的流量覆盖范围内的全量虚拟资源池、虚拟资源场以及虚拟资源获取设备对应的目标主体信息;对所述主体信息以及目标主体信息进行汇总,以及可视化展示。其中,主体信息可以指域名的头部信息,示例性的,域名为abc.com,则abc则为该域名的头部信息。目标主体信息可以指待监测网络的流量覆盖范围内的域名的头部信息。
    65.本发明实施例的技术方案,通过对比全流量报文头部负载部分的特殊标识字符,提取关键字信息;之后,将关键字信息与虚拟资源获取协议规则集进行比较,得到满足虚拟资源获取协议规则集的第一流量包,并提取第一流量包中的话单文件;进一步的,按照虚拟资源获取事件规则集中各虚拟资源获取事件规则的顺序构建存储空间,并依据存储空间中的全量规则对话单文件中的字段进行关键字段匹配,直至全量规则对话单文件的字段完成遍历,得到命中虚拟资源获取事件规则集的第二流量包;最终,根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为,解决了解决现有技术中虚拟资源获取行为检测的准确率较低的问题,提高了虚拟资源获取行为检测的准确率。
    66.如图2d所示为本发明实施例提供的一种优选的虚拟资源获取行为的检测方法的流程图。具体的,通过计算机设备选定一批虚拟资源获取设备互联网协议以及虚拟资源池地址作为样本数据,之后,监测虚拟资源获取流程并基于dns协议提取虚拟资源池域名规则,基于stratum协议提取虚拟资源场出口互联网协议规则、虚拟资源获取设备互联网协议规则、虚拟资源池互联网协议规则以及虚拟资源种类规则,完成虚拟资源获取规则库的创建;进一步的,dpi设备获取虚拟资源获取规则库中的虚拟资源获取协议规则集以及虚拟资源获取事件规则集,并根据虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中虚拟资源获取协议规则集的第一流量包,并提取第一流量包中的话单文件;根据虚拟资源获取事件规则集对话单文件进行关键字段匹配,获取命中虚拟资源获取事件规则集的第二流量包,进而根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为;进一步的,基于频繁项集和包含关联规则的数据挖掘算法模型对话单文件中的各个字段进行关联分析,得出频繁项后进行归并处理,识别所有虚拟资源获取事件,输出虚拟资源获取设备ip、虚拟资源池域名、虚拟资源场出口ip、虚拟资源池所在的虚拟资源获取设备列表,由此得到目标虚拟资源获取事件规则;通过计算机设备将目标虚拟资源获取事件规则添加至虚拟资源获取规则库中,对虚拟资源获取规则库进行优化;进而,依据虚拟资源获取行为,获取虚拟资源获取行为的主体信息;并依据主体信息对待监测网络的流量覆盖范围内的全量虚拟资源池、虚拟资源场以及虚拟资源获取设备对应的目标主体信息;最终,对主体信息以及目标主体信息进行汇总,以及可视化展示。
    67.实施例三
    68.图3a为本发明实施例三提供的一种虚拟资源获取行为的检测装置的结构示意图。如图3a所示,该装置包括:规则获取模块310、第一匹配模块320、第二匹配模块330以及行为识别模块340;
    69.其中,规则获取模块310,用于获取预先设定的虚拟资源获取规则库;其中,所述虚拟资源获取规则库包括虚拟资源获取协议规则集以及虚拟资源获取事件规则集;
    70.第一匹配模块320,用于依据所述虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件;
    71.第二匹配模块330,用于依据所述虚拟资源获取事件规则集对所述话单文件进行关键字段匹配,获取命中所述虚拟资源获取事件规则集的第二流量包;
    72.行为识别模块340,用于根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为。
    73.本发明实施例的技术方案,通过预先设定的虚拟资源获取规则库中的虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取匹配成功的第一流量包中的话单文件;再通过预先设定的虚拟资源获取规则库中的虚拟资源获取事件规则集对话单文件进行关键字段匹配,获取匹配成功的第二流量包;最后,识别出与目标虚拟资源获取事件规则匹配的第二流量包的虚拟资源获取行为,解决了解决现有技术中虚拟资源获取行为检测的准确率较低的问题,提高了虚拟资源获取行为检测的准确率。
    74.可选的,虚拟资源获取行为的检测装置还可以包括规则建立模块,用于在所述获取预先设定的虚拟资源获取规则库之前,通过计算机设备获取包含虚拟资源获取设备互联网协议以及虚拟资源池地址的样本数据;通过计算机设备根据各样本数据中包括的至少一项样本参数,形成数据样本库,所述样本参数包括:虚拟资源池、虚拟资源获取设备、虚拟资源场、虚拟资源种类、虚拟资源获取协议以及算力间的关联关系;将各所述样本参数分别作为归类因子,对所述数据样本库中的样本数据进行归类处理,得到多个类型的样本数据组;对每个样本数据组进行虚拟资源获取行为的监测,基于监测到的计算机域名协议以及传输控制协议,生成包含虚拟资源获取协议规则以及虚拟资源获取事件规则的虚拟资源获取规则库。
    75.可选的,第一匹配模块320具体可以用于对比全流量报文头部负载部分的特殊标识字符,提取关键字信息;将所述关键字信息与所述虚拟资源获取协议规则集进行比较,得到满足所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件。
    76.可选的,第二匹配模块330具体可以用于按照虚拟资源获取事件规则集中各虚拟资源获取事件规则的顺序构建存储空间,并依据存储空间中的全量规则对话单文件中的字段进行关键字段匹配,直至所述全量规则对所述话单文件的字段完成遍历,得到命中所述虚拟资源获取事件规则集的第二流量包。
    77.可选的,虚拟资源获取行为的检测装置还可以包括规则优化模块,用于在识别第二流量包的虚拟资源获取行为之后,基于频繁项集和包含关联规则的数据挖掘算法模型对所述话单文件中的各个字段进行关联分析,得到目标虚拟资源获取事件规则;通过计算机设备将所述目标虚拟资源获取事件规则添加至虚拟资源获取规则库中,对所述虚拟资源获取规则库进行优化;
    78.相应的,规则获取模块310具体可以用于,获取优化后的虚拟资源获取规则库。
    79.可选的,虚拟资源获取行为的检测装置还可以包括结果可视化模块,用于在识别第二流量包的虚拟资源获取行为之后,依据所述虚拟资源获取行为,获取虚拟资源获取行为的主体信息;依据所述主体信息对待监测网络的流量覆盖范围内的全量虚拟资源池、虚拟资源场以及虚拟资源获取设备对应的目标主体信息;对所述主体信息以及目标主体信息进行汇总,以及可视化展示。
    80.可选的,所述虚拟资源获取事件规则中包括下述规则参数:虚拟资源池域名、虚拟资源池互联网协议、虚拟资源池端口、虚拟资源种类、虚拟资源场出口互联网协议以及虚拟资源获取设备互联网协议。
    81.本发明实施例所提供的虚拟资源获取行为的检测装置可执行本发明任意实施例所提供的虚拟资源获取行为的检测方法,具备执行方法相应的功能模块和有益效果。
    82.图3b为本发明实施例提供的一种优选的虚拟资源获取行为的检测装置的逻辑示意图,具体的,该流程图包括规则提取模块(相当于规则建立模块)、规则匹配模块(相当于规则获取模块、第一匹配模块、第二匹配模块及行为识别模块)、数据清洗模块(相当于规则优化模块)以及信息同步查询模块(相当于结果可视化模块);其中,规则提取模块用于从虚拟资源获取流程方面对虚拟资源获取设备互联网协议以及虚拟资源池地址的样本数据进行检测获得虚拟资源获取规则库;规则匹配模块用于获取预先设定的虚拟资源获取规则库,并依据获取虚拟资源获取规则库中的规则集输出话单文件及虚拟资源获取行为;数据清洗模块用于基于频繁项集和包含关联规则的数据挖掘算法模型对所述话单文件中的各个字段进行关联分析,得到目标虚拟资源获取事件规则,并输出有效的虚拟资源获取行为;信息同步查询模块用于依据虚拟资源获取行为获取虚拟资源获取行为的主体信息并依据主体信息对待监测网络的流量覆盖范围内的全量虚拟资源池、虚拟资源场以及虚拟资源获取设备对应的目标主体信息,之后,对主体信息以及目标主体信息进行汇总,以及可视化展示。
    83.实施例四
    84.图4示出了可以用来实施本发明的实施例的电子设备410的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
    85.如图4所示,电子设备410包括至少一个处理器420,以及与至少一个处理器420通信连接的存储器,如只读存储器(rom)430、随机访问存储器(ram)440等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器420可以根据存储在只读存储器(rom)430中的计算机程序或者从存储单元490加载到随机访问存储器(ram)440中的计算机程序,来执行各种适当的动作和处理。在ram 440中,还可存储电子设备410操作所需的各种程序和数据。处理器420、rom 430以及ram440通过总线450彼此相连。输入/输出(i/o)接口460也连接至总线450。
    86.电子设备410中的多个部件连接至i/o接口460,包括:输入单元470,例如键盘、鼠标等;输出单元480,例如各种类型的显示器、扬声器等;存储单元490,例如磁盘、光盘等;以及通信单元4100,例如网卡、调制解调器、无线通信收发机等。通信单元4100允许电子设备410通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
    87.处理器420可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器420的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。处理器420执行上文所描述的各个方法和处理,例如虚拟资源获取行为的检测方法。
    88.该方法包括:
    89.获取预先设定的虚拟资源获取规则库;其中,所述虚拟资源获取规则库包括虚拟资源获取协议规则集以及虚拟资源获取事件规则集;
    90.依据所述虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件;
    91.依据所述虚拟资源获取事件规则集对所述话单文件进行关键字段匹配,获取命中所述虚拟资源获取事件规则集的第二流量包;
    92.根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为。
    93.在一些实施例中,虚拟资源获取行为的检测方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元490。在一些实施例中,计算机程序的部分或者全部可以经由rom 430和/或通信单元4100而被载入和/或安装到电子设备410上。当计算机程序加载到ram 440并由处理器420执行时,可以执行上文描述的虚拟资源获取行为的检测方法的一个或多个步骤。备选地,在其他实施例中,处理器420可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行虚拟资源获取行为的检测方法。
    94.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
    95.用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
    96.在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
    97.为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,crt(阴极射线管)或者lcd(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
    98.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(lan)、广域网(wan)、区块链网络和互联网。
    99.计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与vps服务中,存在的管理难度大,业务扩展性弱的缺陷。
    100.应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
    101.上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

    技术特征:
    1.一种虚拟资源获取行为的检测方法,其特征在于,包括:获取预先设定的虚拟资源获取规则库;其中,所述虚拟资源获取规则库包括虚拟资源获取协议规则集以及虚拟资源获取事件规则集;依据所述虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件;依据所述虚拟资源获取事件规则集对所述话单文件进行关键字段匹配,获取命中所述虚拟资源获取事件规则集的第二流量包;根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为。2.根据权利要求1所述的方法,其特征在于,在所述获取预先设定的虚拟资源获取规则库之前,还包括:通过计算机设备获取包含虚拟资源获取设备互联网协议以及虚拟资源池地址的样本数据;通过计算机设备根据各样本数据中包括的至少一项样本参数,形成数据样本库,所述样本参数包括:虚拟资源池、虚拟资源获取设备、虚拟资源场、虚拟资源种类、虚拟资源获取协议以及算力间的关联关系;将各所述样本参数分别作为归类因子,对所述数据样本库中的样本数据进行归类处理,得到多个类型的样本数据组;对每个样本数据组进行虚拟资源获取行为的监测,基于监测到的计算机域名协议以及传输控制协议,生成包含虚拟资源获取协议规则以及虚拟资源获取事件规则的虚拟资源获取规则库。3.根据权利要求1所述的方法,其特征在于,所述依据所述虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件,包括:对比全流量报文头部负载部分的特殊标识字符,提取关键字信息;将所述关键字信息与所述虚拟资源获取协议规则集进行比较,得到满足所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件。4.根据权利要求1所述的方法,其特征在于,所述依据所述虚拟资源获取事件规则集对所述话单文件进行关键字段匹配,获取命中所述虚拟资源获取事件规则集的第二流量包,包括:按照虚拟资源获取事件规则集中各虚拟资源获取事件规则的顺序构建存储空间,并依据存储空间中的全量规则对话单文件中的字段进行关键字段匹配,直至所述全量规则对所述话单文件的字段完成遍历,得到命中所述虚拟资源获取事件规则集的第二流量包。5.根据权利要求1所述的方法,其特征在于,在识别第二流量包的虚拟资源获取行为之后,还包括:基于频繁项集和包含关联规则的数据挖掘算法模型对所述话单文件中的各个字段进行关联分析,得到目标虚拟资源获取事件规则;通过计算机设备将所述目标虚拟资源获取事件规则添加至虚拟资源获取规则库中,对所述虚拟资源获取规则库进行优化;
    相应的,获取预先设定的虚拟资源获取规则库,包括:获取优化后的虚拟资源获取规则库。6.根据权利要求1所述的方法,其特征在于,在识别第二流量包的虚拟资源获取行为之后,还包括:依据所述虚拟资源获取行为,获取虚拟资源获取行为的主体信息;依据所述主体信息对待监测网络的流量覆盖范围内的全量虚拟资源池、虚拟资源场以及虚拟资源获取设备对应的目标主体信息;对所述主体信息以及目标主体信息进行汇总,以及可视化展示。7.根据权利要求1所述的方法,其特征在于,所述虚拟资源获取事件规则中包括下述规则参数:虚拟资源池域名、虚拟资源池互联网协议、虚拟资源池端口、虚拟资源种类、虚拟资源场出口互联网协议以及虚拟资源获取设备互联网协议。8.一种虚拟资源获取行为的检测装置,其特征在于,包括:规则获取模块,用于获取预先设定的虚拟资源获取规则库;其中,所述虚拟资源获取规则库包括虚拟资源获取协议规则集以及虚拟资源获取事件规则集;第一匹配模块,用于依据所述虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中所述虚拟资源获取协议规则集的第一流量包,并提取所述第一流量包中的话单文件;第二匹配模块,用于依据所述虚拟资源获取事件规则集对所述话单文件进行关键字段匹配,获取命中所述虚拟资源获取事件规则集的第二流量包;行为识别模块,用于根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为。9.一种电子设备,其特征在于,所述电子设备包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的虚拟资源获取行为的检测方法。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的虚拟资源获取行为的检测方法。

    技术总结
    本发明公开了虚拟资源获取行为的检测方法、装置、设备及介质。该方法包括:获取预先设定的虚拟资源获取规则库;其中,虚拟资源获取规则库包括虚拟资源获取协议规则集以及虚拟资源获取事件规则集;依据虚拟资源获取协议规则集对待监测网络的流量进行全流量匹配,获取命中虚拟资源获取协议规则集的第一流量包,并提取第一流量包中的话单文件;依据虚拟资源获取事件规则集对话单文件进行关键字段匹配,获取命中虚拟资源获取事件规则集的第二流量包;根据第二流量包所命中的目标虚拟资源获取事件规则,识别第二流量包的虚拟资源获取行为。通过本发明的技术方案,能够实现准确地识别出虚拟资源获取行为,提高了虚拟资源获取行为检测的准确率。测的准确率。测的准确率。


    技术研发人员:高志明 尚程 李鹏超 王泽政 傅强 梁彧 蔡琳 杨满智 王杰 田野 金红 陈晓光
    受保护的技术使用者:恒安嘉新(北京)科技股份公司
    技术研发日:2022.02.17
    技术公布日:2022/5/25
    转载请注明原文地址:https://tc.8miu.com/read-11470.html

    专利

    最新回复(0)