[发明专利]一种家庭网关安全监控方法、装置、系统和介质

权利要求书

1.一种家庭网关安全监控方法，其特征在于，包括：

获得各家庭网关的安全监控数据，所述家庭网关安全监控数据包括各家庭网关上报的网络访问数据和网络侧采集的安全基础数据；所述网络访问数据包括以下至少一项：域名系统DNS解析请求数据和统一资源定位符URL访问数据；所述DNS解析请求数据是由安装在所述家庭网关中的网关安全插件通过数据流镜像服务类Traffic Mirror Service接口采集的所述家庭网关及其下挂的从属设备的DNS解析请求数据，所述URL访问数据是由安装在所述家庭网关中的网关安全插件通过数据流精细处理服务类Traffic Detail ProcessService接口采集的所述家庭网关及其下挂的从属设备的URL访问数据；所述安全基础数据包括以下至少一项：网络流Netflow流量数据、远程用户拨号认证系统RADIUS日志数据、网络地址转换NAT地址转换日志数据和威胁情报数据；

如果根据所述网络访问数据和/或安全基础数据，确定存在恶意网络访问行为，则根据所述网络访问数据/或安全基础数据确定发起所述恶意网络访问行为的目标家庭网关标识；所述恶意网络访问行为包括异常流量攻击行为；根据所述Netflow流量数据，按照以下流程判断是否存在异常流量攻击行为：针对采集的Netflow流量数据中包含的目的互联网协议IP地址，统计在预设时长内去向该目的IP地址的第一网络流量；如果所述第一网络流量超过动态流量阈值，则以所述预设时长为单位持续统计多个时段的第二网络流量；如果各个统计时段的第二网络流量与所述第一网络流量的差值绝对值不超过预设流量阈值且持续时长超过预设时长阈值，则确定存在异常流量攻击行为，否则，确定不存在异常流量攻击行为；

根据所述目标家庭网关标识对应的目标家庭网关上报的网络访问数据，确定发起所述恶意网络访问行为的、连接于所述目标家庭网关的从属设备标识；

向所述目标家庭网关发送安全访问控制指令，所述安全访问控制指令中携带有确定出的从属设备标识。

2.如权利要求1所述的方法，其特征在于，如果确定存在异常流量攻击行为，则根据所述网络访问数据/或安全基础数据确定发起所述恶意网络访问行为的目标家庭网关标识，具体包括：

根据存在异常流量攻击行为对应的目的IP地址，从采集的Netflow流量数据中查找该目的IP地址对应的源IP地址；

确定查找到的源IP地址为发起所述异常流量攻击行为的目标家庭网关标识；以及

根据所述目标家庭网关标识对应的目标家庭网关上报的网络访问数据，确定发起所述恶意网络访问行为的、连接于所述目标家庭网关的从属设备标识，具体包括：

根据所述目标家庭网关标识对应的目标家庭网关上报的DNS解析请求数据和URL访问数据，确定发起所述恶意网络访问行为的、连接于所述目标家庭网关的从属设备标识。

3.如权利要求1所述的方法，其特征在于，所述恶意网络访问行为还包括恶意URL访问行为，所述威胁情报数据中包含有恶意URL列表；以及

根据所述URL访问数据，按照以下流程判断是否存在恶意URL访问行为：

查询各家庭网关上报的URL访问数据包含的URL是否存在于所述URL列表中；

如果是，则确定存在恶意URL访问行为，否则，确定不存在恶意URL访问行为。