CN106941493A - 一种网络安全态势感知结果输出方法及装置 - Google Patents
一种网络安全态势感知结果输出方法及装置 Download PDFInfo
- Publication number
- CN106941493A CN106941493A CN201710202172.0A CN201710202172A CN106941493A CN 106941493 A CN106941493 A CN 106941493A CN 201710202172 A CN201710202172 A CN 201710202172A CN 106941493 A CN106941493 A CN 106941493A
- Authority
- CN
- China
- Prior art keywords
- event
- network security
- obtaining
- security situation
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000008447 perception Effects 0.000 claims description 32
- 238000001514 detection method Methods 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 11
- 238000010801 machine learning Methods 0.000 claims description 8
- 238000004140 cleaning Methods 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了一种网络安全态势感知结果输出方法及装置,应用于服务器,所述方法包括:获得网络安全态势感知结果;按照预设规则存储所述网络安全态势感知结果;接收搜索请求,并启动执行所述搜索请求的微服务所在的容器;输出所述微服务从所述网络安全态势感知结果中获取的搜索结果,并关闭所述容器。应用本发明实施例,提高了服务器的资源利用率。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络安全态势感知结果输出方法及装置。
背景技术
网络安全态势感知是在获取大量的日志和网络流量数据的基础上对整个网络当前的状态进行变化趋势的分析和预测的结果。它能够在大规模网络数据中进行安全分析,支持网络流数据的收集、存储和分析,网络安全分析人员可以从网络安全态势感知的结果中采用搜索请求进行查询。
现有技术中,网络安全态势感知的结果采用的是基于虚拟服务进行输出,虚拟服务是运行在虚拟机上的,因为虚拟机的启动时间比较长,一般要几分钟,当用户没有搜索请求的时候也不能将虚拟机关闭,否则当用户发送搜索请求之后再启动虚拟机,造成用户等待时间过长。而没有用户请求的时候虚拟机一直处于空闲的状态,同样会占用服务器的资源。因此,基于虚拟服务的态势感知输出,会造成服务器的资源利用率较低。
发明内容
本发明实施例的目的在于提供一种态势感知输出方法及装置,以实现提高服务器的资源利用率。具体技术方案如下:
一种网络安全态势感知结果输出方法,应用于服务器,所述方法包括:
获得网络安全态势感知结果;
按照预设规则存储所述网络安全态势感知结果;
接收搜索请求,并启动执行所述搜索请求的微服务所在的容器;
输出所述微服务从所述网络安全态势感知结果中获取的搜索结果,并关闭所述容器。
可选的,所述获得网络安全态势感知结果的步骤,包括:
收集网页服务日志和网络流量数据,并根据所述网页服务日志和所述网络流量数据,获得待检测事件;
根据预设流量检测模型,获得每一个待检测事件的风险概率;
根据每一个待检测事件的风险概率和事件类型,获得网络安全态势感知结果。
可选的,所述收集网页服务日志和网络流量数据,包括:
采用旁路流量、蜜罐容器、Docker容器、http代理和检测引擎中的一种或多种方式,收集网页服务日志和网络流量数据。
可选的,所述根据所述网页服务日志和所述网络流量数据,获得待检测事件,包括:
从所述网页服务日志和所述网络流量数据中提取每一条流量记录的特征;
对所提取的特征进行数据清洗以及数据归一化处理;
根据所述清洗和归一化处理后的特征,和预设的事件与特征的对应关系,获得待检测事件。
可选的,所述根据每一个待检测事件的风险概率和事件类型,获得网络安全态势感知结果,包括:
根据预先设置的事件类型与风险权重值的对应关系,获得每一个待检测事件的风险权重;
将每一个待检测事件的风险权重和风险概率的乘积,确定为该待检测事件的风险指数;
将根据每一个待检测事件的风险指数和事件类型,确定为网络安全态势感知结果。
可选的,所述按照预设规则存储所述网络安全态势感知结果,包括:
按照主键值的规则存储所述网络安全态势感知结果。
可选的,所述接收搜索请求,并启动执行所述搜索请求的微服务所在的容器,包括:
接收应用程序编程接口网关发送的搜索请求、以及执行所述搜索请求的微服务的调度信息;
根据所述调度信息,启动执行所述搜索请求的微服务所在的容器。
可选的,所述预设流量检测模型为基于机器学习的流量检测模型。
一种网络安全态势感知结果输出装置,应用于服务器,所述装置包括:
获得模块,用于获得网络安全态势感知结果;
存储模块,用于按照预设规则存储所述网络安全态势感知结果;
接收模块,用于接收搜索请求,并启动执行所述搜索请求的微服务所在的容器;
输出模块,用于输出所述微服务从所述网络安全态势感知结果中获取的搜索结果,并关闭所述容器。
可选的,所述获得模块,包括:
收集子模块,用于收集网页服务日志和网络流量数据,并根据所述网页服务日志和所述网络流量数据,获得待检测事件;
第一获得子模块,用于根据预设流量检测模型,获得每一个待检测事件的风险概率;
第二获得子模块,用于根据每一个待检测事件的风险概率和事件类型,获得网络安全态势感知结果。
可选的,所述收集子模块,具体用于:
采用旁路流量、蜜罐容器、Docker容器、http代理和检测引擎中的一种或多种方式,收集网页服务日志和网络流量数据。
可选的,所述收集子模块,包括:
提取单元,用于从所述网页服务日志和所述网络流量数据中提取每一条流量记录的特征;
处理单元,用于对所提取的特征进行数据清洗以及数据归一化处理;
第一获得单元,用于根据所述清洗和归一化处理后的特征,和预设的事件与特征的对应关系,获得待检测事件。
可选的,所述第二获得子模块,包括:
第二获得单元,用于根据预先设置的事件类型与风险权重值的对应关系,获得每一个待检测事件的风险权重;
第一确定单元,用于将每一个待检测事件的风险权重和风险概率的乘积,确定为该待检测事件的风险指数;
第二确定单元,用于将根据每一个待检测事件的风险指数和事件类型,确定为网络安全态势感知结果。
可选的,所述存储模块,具体用于:
按照主键值的规则存储所述网络安全态势感知结果。
可选的,所述接收模块,包括:
接收子模块,用于接收应用程序编程接口网关发送的搜索请求、以及执行所述搜索请求的微服务的调度信息;
启动子模块,用于根据所述调度信息,启动执行所述搜索请求的微服务所在的容器。
可选的,所述预设流量检测模型为基于机器学习的流量检测模型。
应用本发明实施例提供的网络安全态势感知结果输出方法及装置,通过接收用户发送的搜索请求后启动执行搜索请求的微服务所在的容器;并在输出微服务从网络安全态势感知结果中获取的搜索结果后关闭容器。可见,本发明实施例中微服务所在的容器在有搜索请求的时候启动,在没有搜索请求时关闭,从而在空闲状态不会占用资源,解决了现有技术中在没有搜索请求时虚拟机也不能关闭,造成了虚拟机空闲状态仍然会占用服务器的资源的问题。因此,达到了实现提高服务器的资源利用率的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络安全态势感知结果输出方法的流程示意图;
图2为本发明实施例提供的一种网络安全态势感知结果输出装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例所提供的网络安全态势感知结果输出方法的执行主体可以为网络安全态势感知结果输出装置。在实际应用中,该输出装置可以为运行于服务器中。
图1为本发明实施例提供的一种网络安全态势感知结果输出方法的流程示意图,应用于服务器,所述方法包括:
S101,获得网络安全态势感知结果。
本发明实施例中,服务器获得网络安全态势感知结果可以采用:收集网页服务日志和网络流量数据,并根据网页服务日志和网络流量数据,获得待检测事件;根据预设流量检测模型,获得每一个待检测事件的风险概率;根据每一个待检测事件的风险概率和事件类型,获得网络安全态势感知结果。
具体的,服务器收集网页服务日志和网络流量数据,可以采用旁路流量、蜜罐容器、Docker容器、http代理和检测引擎中的一种或多种方式。本领域技术人员可以理解的是,服务器时刻在接收来自终端的访问,每一次访问就会生成一条流量记录,从而生成包含大量流量记录的网页服务日志。具体的,可以从网页服务日志中提取每一条流量记录的特征,特征的数量为多个,示例性的,特征可以是上行总包数、上行总字节数、下行总包数、下行总字节数、平均活动状态时间、平均空闲时间等等,每条网络流量的特征可以多达两百多个。
示例性的,网络流量数据是tcp(Transmission Control Protocol,传输控制协议)、udp(User Datagram Protocol,用户数据报协议)的网络发布数据,如源mac地址、目标mac地址、源ip、目标ip、源端口、目标端口、包类型、包大小、交换机入口、交换机出口、时间戳等数据,网络数据中保存有与每一条流量相对应的数据信息。
本发明实施例,可以对从网页服务日志和网络流量数据中获得的多个特征进行数据清洗以及数据归一化处理,本领域技术人员可以理解的是,数据清洗即为数据的过滤等预处理操作;另外得到的特征是连续的,为了防止在分类的时候产生过拟合的风险需要将特征进行离散化处理,具体的可以采用基于信息熵的离散化方法;为了方便获得流量对应的特征向量,将流量对应的特征进行归一化处理,得到的特征值均在0-1之间;还可以采用插值法对流量的特征进行插值处理。
实际应用中,可以预先设置有事件与特征的对应关系,示例性的,可以设置事件用固定的某些特征进行表达,如上行总包数、上行总字节数、下行总包数、交换机出口、时间戳5个特征进行表达,从而在经过清洗和归一化处理后的特征中获取该5个特征,并用这5个特征表示待检测事件,具体的,可以用5个特征组成特征向量进行表示。
可以将待检测事件输入预设流量检测模型进行检测,能够获得每一个待检测事件的风险概率,预设流量检测模型可以为基于机器学习的流量检测模型;该流量检测模型为采用预先标记的大量流量数据对输入的每一条待检测事件进行训练,得到的训练结果为该待检测事件是风险事件的概率,即风险概率。示例性的,事件A经过基于机器学习的流量检测模型进行检测后,得到其风险概率为0.5。本发明实施例中的基于机器学习的流量检测模型仅仅是示例性的,实际应用中只要能够进行待检测事件的风险概率检测的模型均可使用,本发明实施例在此不做具体限定。
可以理解的是,每一个待检测事件都属于一种事件类型,事件类型可以为:攻击事件、扫描事件等等,另外还预先设置有事件类型与风险权重值的对应关系,如攻击事件的风险权重值为0.5、扫描事件的风险权重值为0.8。风险权重值可以根据经验进行预先设置,值越大表示该事件的危害性越大,根据对应关系获得待检测事件的风险权重后,得到待检测事件的风险权重和风险概率的乘积,将乘积确定为该待检测事件的风险指数。另外,还可以设置风险指数的阈值,在大于阈值时确定为该事件类型的风险事件,并进行结果分类。示例性的,事件A为扫描事件,风险概率为0.5,风险权重值为0.8,风险指数阈值为0.35,因为事件A的风险指数=风险概率*风险权重值=0.5*0.8=0.4,因为0.4大于0.35,超过风险指数阈值,所以将事件A确定为一次风险事件;否则,归类为安全事件。如此,得到所有待检测事件的分类结果,将分类结果确定为网络安全态势感知结果,可以理解的是,网络安全态势感知结果即为所有待检测事件根据事件类型和阈值的分类结果。示例性的,开发者还可以根据将分类结果进行命名,如监控模块、告警模块、攻击数据模块、安全数据中心等等。
需要说明的是,本发明实施例中获得网络安全态势感知结果的方式不限于上述方式,任何现有技术已有的获得网络安全态势感知结果的方式都可以应用于本发明实施例。
S102,按照预设规则存储所述网络安全态势感知结果。
本发明实施例中,将根据S101获得的态势结果进行存储。具体的,可以存储在索引队列当中,存储方式可以为:按照主键值的规则存储所述网络安全态势感知结果。可以理解的是,可以将网络安全态势感知结果对应的数据视为存储在表中,主键值能唯一地标识表中的每一行,通过它可实现表的实体完整性。当创建或更改表时可通过定义主键约束来创建主键。主键值起到的作用有:保证实体的完整性;加快数据库的操作速度等等。另外,如果没有定义主键,则按输入记录的顺序显示表中的记录。将网络安全态势感知结果采用主键值进行存储,根据主键值直接找到该行所有的相关数据,能够达到搜索结果的快速查找目的。
S103,接收搜索请求,并启动执行所述搜索请求的微服务所在的容器。
当服务器接收用户发送的搜索请求,并确定由者哪些微服务来执行这个搜索请求,当确定了执行搜索请求的微服务以后,就启动微服务所在的容器。服务器确定由哪些微服务来执行搜索请求的过程为现有技术,本发明实施例在此不对其进行赘述。示例性的,当确定由微服务1和微服务5来执行搜索请求时,启动微服务1所在的容器1和微服务5所在的容器5。执行搜索请求的微服务可以为一个也可以为多个,本发明实施例在此不对其进行限定。
微服务所在的容器是指微服务运行的容器,可以理解的是,微服务运行在容器上,容器是现有的应用服务器中位于组件和平台之间的接口集合;微服务就是开发的一个单纯的,小型的,有意义的功能作为一个单一服务。每个微服务都有自己的进程,通过轻量级的协议进行通信,发布在一个或者多个服务器上。微服务有以下优点:服务足够内聚,足够小,代码容易理解、开发效率提高,微服务之间可以独立部署,微服务架构让持续部署成为可能;而且每个微服务可以各自进行x扩展和z扩展,而且,每个服务可以根据自己的需要部署到合适的硬件服务器上;容易扩大开发团队,可以针对每个服务组件开发团队;提高容错性,一个服务的内存泄露并不会让整个系统瘫痪。现有技术中采用的是运行于虚拟机上的服务,微服务可以针对现有技术的虚拟机上的服务的单个功能进行开发,使各个功能模块分开部署。
具体的,微服务接收应用程序编程接口网关发送的搜索请求、以及执行所述搜索请求的微服务的调度信息;根据调度信息,启动执行搜索请求的微服务所在的容器。
可以采用应用程序编程接口(Application Programming Interface,简称API)网关接收用户发送的请求,示例性的,API网关根据搜索请求确定由微服务1和微服务5执行搜索请求,并将微服务1和微服务5的有关接口的调度信息发送到服务器,服务器根据微服务1和微服务5的有关接口的调度信息确定其所在的容器,进而启动容器,以使微服务执行搜索请求。
每个微服务可以预先定义搜索已存储的网络安全态势感知结果的规则,示例性的,存储网络安全态势感知结果的规则为主键值,那么可以定义微服务搜索已存储的网络安全态势感知结果的为基于主键值的规则,当微服务接收调度信息以后执行搜索请求,可以按照主键值的规则从网络安全态势感知结果中进行搜索。具体实现为现有技术,本发明实施例在此不对其进行赘述。
S104,输出所述微服务从所述网络安全态势感知结果中获取的搜索结果,并关闭所述容器。
服务器输出微服务获取与搜索请求对应的搜索结果给用户,完成此次搜索,搜索任务结束后关闭执行搜索任务的微服务对应的容器。示例性的,微服务1和微服务5执行搜索请求结束后,对应的容器1和容器5进行关闭,当下次有搜索请求的需要开启的时候再启动,由于容器的启动时间只是毫秒级的,因此达到了使用的时候开启,不使用的时候关闭,不会影响用户的使用,因此能够达到微服务不占用服务器的资源的目的。
应用本发明图1所示的实施例,通过接收用户发送的搜索请求后启动执行搜索请求的微服务所在的容器;并在输出微服务从网络安全态势感知结果中获取的搜索结果后关闭容器。可见,本发明实施例中微服务所在的容器在有搜索请求的时候启动,在没有搜索请求时关闭,从而在空闲状态不会占用资源,解决了现有技术中在没有搜索请求时虚拟机也不能关闭,造成了虚拟机空闲状态仍然会占用服务器的资源的问题。因此,达到了实现提高服务器的资源利用率的目的。
图2为本发明实施例提供的一种网络安全态势感知结果输出装置的结构示意图,应用于服务器,所述装置可以包括:获得模块201、存储模块202、接收模块203、输出模块204。
获得模块201,用于获得网络安全态势感知结果;
存储模块202,用于按照预设规则存储所述网络安全态势感知结果;
接收模块203,用于接收搜索请求,并启动执行所述搜索请求的微服务所在的容器;
输出模块204,用于输出所述微服务从所述网络安全态势感知结果中获取的搜索结果,并关闭所述容器。
具体的,所述获得模块201可以包括:收集子模块、第一获得子模块、第二获得子模块;其中
收集子模块,用于收集网页服务日志和网络流量数据,并根据所述网页服务日志和所述网络流量数据,获得待检测事件;
第一获得子模块,用于根据预设流量检测模型,获得每一个待检测事件的风险概率;
第二获得子模块,用于根据每一个待检测事件的风险概率和事件类型,获得网络安全态势感知结果。
具体的,所述收集子模块,可以采用旁路流量、蜜罐容器、Docker容器、http代理和检测引擎中的一种或多种方式,收集网页服务日志和网络流量数据。
具体的,所述收集子模块,包括:提取单元、处理单元、第一获得单元;其中,
提取单元,用于从所述网页服务日志和所述网络流量数据中提取每一条流量记录的特征;
处理单元,用于对所提取的特征进行数据清洗以及数据归一化处理;
第一获得单元,用于根据所述清洗和归一化处理后的特征,和预设的事件与特征的对应关系,获得待检测事件。
具体的,所述第二获得子模块,包括:第二获得单元、第一确定单元、第二确定单元;其中,
第二获得单元,用于根据预先设置的事件类型与风险权重值的对应关系,获得每一个待检测事件的风险权重;
第一确定单元,用于将每一个待检测事件的风险权重和风险概率的乘积,确定为该待检测事件的风险指数;
第二确定单元,用于将根据每一个待检测事件的风险指数和事件类型,确定为网络安全态势感知结果。
具体的,所述存储模块202可以用于:按照主键值的规则存储所述网络安全态势感知结果。
具体的,所述接收模块203可以包括:接收子模块、启动子模块;其中,
接收子模块,用于接收应用程序编程接口网关发送的搜索请求、以及执行所述搜索请求的微服务的调度信息;
启动子模块,用于根据所述调度信息,启动执行所述搜索请求的微服务所在的容器。
具体的,所述预设流量检测模型为基于机器学习的流量检测模型。
应用本发明图2所示的实施例,通过接收用户发送的搜索请求后启动执行搜索请求的微服务所在的容器;并在输出微服务从网络安全态势感知结果中获取的搜索结果后关闭容器。可见,本发明实施例中微服务所在的容器在有搜索请求的时候启动,在没有搜索请求时关闭,从而在空闲状态不会占用资源,解决了现有技术中在没有搜索请求时虚拟机也不能关闭,造成了虚拟机空闲状态仍然会占用服务器的资源的问题。因此,达到了实现提高服务器的资源利用率的目的。当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (16)
1.一种网络安全态势感知结果输出方法,应用于服务器,其特征在于,所述方法包括:
获得网络安全态势感知结果;
按照预设规则存储所述网络安全态势感知结果;
接收搜索请求,并启动执行所述搜索请求的微服务所在的容器;
输出所述微服务从所述网络安全态势感知结果中获取的搜索结果,并关闭所述容器。
2.根据权利要求1所述的方法,其特征在于,所述获得网络安全态势感知结果的步骤,包括:
收集网页服务日志和网络流量数据,并根据所述网页服务日志和所述网络流量数据,获得待检测事件;
根据预设流量检测模型,获得每一个待检测事件的风险概率;
根据每一个待检测事件的风险概率和事件类型,获得网络安全态势感知结果。
3.根据权利要求2所述的方法,其特征在于,所述收集网页服务日志和网络流量数据,包括:
采用旁路流量、蜜罐容器、Docker容器、http代理和检测引擎中的一种或多种方式,收集网页服务日志和网络流量数据。
4.根据权利要求2所述的方法,其特征在于,所述根据所述网页服务日志和所述网络流量数据,获得待检测事件,包括:
从所述网页服务日志和所述网络流量数据中提取每一条流量记录的特征;
对所提取的特征进行数据清洗以及数据归一化处理;
根据所述清洗和归一化处理后的特征,和预设的事件与特征的对应关系,获得待检测事件。
5.根据权利要求2所述的方法,其特征在于,所述根据每一个待检测事件的风险概率和事件类型,获得网络安全态势感知结果,包括:
根据预先设置的事件类型与风险权重值的对应关系,获得每一个待检测事件的风险权重;
将每一个待检测事件的风险权重和风险概率的乘积,确定为该待检测事件的风险指数;
将根据每一个待检测事件的风险指数和事件类型,确定为网络安全态势感知结果。
6.根据权利要求1所述的方法,其特征在于,所述按照预设规则存储所述网络安全态势感知结果,包括:
按照主键值的规则存储所述网络安全态势感知结果。
7.根据权利要求1所述的方法,其特征在于,所述接收搜索请求,并启动执行所述搜索请求的微服务所在的容器,包括:
接收应用程序编程接口网关发送的搜索请求、以及执行所述搜索请求的微服务的调度信息;
根据所述调度信息,启动执行所述搜索请求的微服务所在的容器。
8.根据权利要求1所述的方法,其特征在于,所述预设流量检测模型为基于机器学习的流量检测模型。
9.一种网络安全态势感知结果输出装置,应用于服务器,其特征在于,所述装置包括:
获得模块,用于获得网络安全态势感知结果;
存储模块,用于按照预设规则存储所述网络安全态势感知结果;
接收模块,用于接收搜索请求,并启动执行所述搜索请求的微服务所在的容器;
输出模块,用于输出所述微服务从所述网络安全态势感知结果中获取的搜索结果,并关闭所述容器。
10.根据权利要求9所述的装置,其特征在于,所述获得模块,包括:
收集子模块,用于收集网页服务日志和网络流量数据,并根据所述网页服务日志和所述网络流量数据,获得待检测事件;
第一获得子模块,用于根据预设流量检测模型,获得每一个待检测事件的风险概率;
第二获得子模块,用于根据每一个待检测事件的风险概率和事件类型,获得网络安全态势感知结果。
11.根据权利要求10所述的装置,其特征在于,所述收集子模块,具体用于:
采用旁路流量、蜜罐容器、Docker容器、http代理和检测引擎中的一种或多种方式,收集网页服务日志和网络流量数据。
12.根据权利要求10所述的装置,其特征在于,所述收集子模块,包括:
提取单元,用于从所述网页服务日志和所述网络流量数据中提取每一条流量记录的特征;
处理单元,用于对所提取的特征进行数据清洗以及数据归一化处理;
第一获得单元,用于根据所述清洗和归一化处理后的特征,和预设的事件与特征的对应关系,获得待检测事件。
13.根据权利要求10所述的装置,其特征在于,所述第二获得子模块,包括:
第二获得单元,用于根据预先设置的事件类型与风险权重值的对应关系,获得每一个待检测事件的风险权重;
第一确定单元,用于将每一个待检测事件的风险权重和风险概率的乘积,确定为该待检测事件的风险指数;
第二确定单元,用于将根据每一个待检测事件的风险指数和事件类型,确定为网络安全态势感知结果。
14.根据权利要求9所述的装置,其特征在于,所述存储模块,具体用于:
按照主键值的规则存储所述网络安全态势感知结果。
15.根据权利要求9所述的装置,其特征在于,所述接收模块,包括:
接收子模块,用于接收应用程序编程接口网关发送的搜索请求、以及执行所述搜索请求的微服务的调度信息;
启动子模块,用于根据所述调度信息,启动执行所述搜索请求的微服务所在的容器。
16.根据权利要求9所述的装置,其特征在于,所述预设流量检测模型为基于机器学习的流量检测模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710202172.0A CN106941493B (zh) | 2017-03-30 | 2017-03-30 | 一种网络安全态势感知结果输出方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710202172.0A CN106941493B (zh) | 2017-03-30 | 2017-03-30 | 一种网络安全态势感知结果输出方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106941493A true CN106941493A (zh) | 2017-07-11 |
CN106941493B CN106941493B (zh) | 2020-02-18 |
Family
ID=59464108
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710202172.0A Active CN106941493B (zh) | 2017-03-30 | 2017-03-30 | 一种网络安全态势感知结果输出方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106941493B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN108900467A (zh) * | 2018-05-31 | 2018-11-27 | 华东师范大学 | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 |
CN109088750A (zh) * | 2018-07-23 | 2018-12-25 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 基于容器的网络态势感知系统设计与部署方法 |
CN111183612A (zh) * | 2017-12-27 | 2020-05-19 | 西门子股份公司 | 一种网络流量的发送方法、装置及混合蜜罐系统 |
CN111212038A (zh) * | 2019-12-23 | 2020-05-29 | 江苏国泰新点软件有限公司 | 基于大数据人工智能的开放数据api网关系统 |
CN111404903A (zh) * | 2020-03-09 | 2020-07-10 | 深信服科技股份有限公司 | 一种日志处理方法、装置、设备及存储介质 |
CN111740974A (zh) * | 2020-06-16 | 2020-10-02 | 黑龙江省网络空间研究中心 | 一种网络安全应急联动系统及方法 |
CN112311679A (zh) * | 2020-10-28 | 2021-02-02 | 北京健康之家科技有限公司 | 状态检测方法、装置、电子设备及可读存储介质 |
CN113824682A (zh) * | 2021-08-12 | 2021-12-21 | 浙江木链物联网科技有限公司 | 一种模块化的scada安全态势感知系统架构 |
CN114115068A (zh) * | 2021-12-03 | 2022-03-01 | 东南大学 | 一种内生安全交换机的异构冗余防御策略下发方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001099373A2 (en) * | 2000-06-16 | 2001-12-27 | Securify, Inc. | System and method for security policy |
CN101867498A (zh) * | 2009-04-17 | 2010-10-20 | 中国科学院软件研究所 | 一种网络安全态势评估方法 |
CN103748999B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 一种网络安全态势综合评估系统 |
CN102707990A (zh) * | 2012-05-14 | 2012-10-03 | 华为技术有限公司 | 基于容器的处理方法、装置和系统 |
CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
CN106133688A (zh) * | 2014-03-28 | 2016-11-16 | 亚马逊技术有限公司 | 协调容器布置和执行的服务的实施 |
US20160350105A1 (en) * | 2015-05-27 | 2016-12-01 | Runnable Inc. | Automatic communications graphing for a source application |
-
2017
- 2017-03-30 CN CN201710202172.0A patent/CN106941493B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001099373A2 (en) * | 2000-06-16 | 2001-12-27 | Securify, Inc. | System and method for security policy |
CN101867498A (zh) * | 2009-04-17 | 2010-10-20 | 中国科学院软件研究所 | 一种网络安全态势评估方法 |
CN103748999B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 一种网络安全态势综合评估系统 |
CN102707990A (zh) * | 2012-05-14 | 2012-10-03 | 华为技术有限公司 | 基于容器的处理方法、装置和系统 |
CN106133688A (zh) * | 2014-03-28 | 2016-11-16 | 亚马逊技术有限公司 | 协调容器布置和执行的服务的实施 |
US20160350105A1 (en) * | 2015-05-27 | 2016-12-01 | Runnable Inc. | Automatic communications graphing for a source application |
CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理系统及其方法 |
CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN111183612A (zh) * | 2017-12-27 | 2020-05-19 | 西门子股份公司 | 一种网络流量的发送方法、装置及混合蜜罐系统 |
CN111183612B (zh) * | 2017-12-27 | 2023-08-29 | 西门子股份公司 | 一种网络流量的发送方法、装置及混合蜜罐系统 |
US11736524B2 (en) | 2017-12-27 | 2023-08-22 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
CN108900467A (zh) * | 2018-05-31 | 2018-11-27 | 华东师范大学 | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 |
CN108900467B (zh) * | 2018-05-31 | 2020-12-22 | 华东师范大学 | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 |
CN109088750B (zh) * | 2018-07-23 | 2021-05-25 | 下一代互联网重大应用技术(北京)工程研究中心有限公司 | 基于容器的网络态势感知系统设计与部署方法 |
CN109088750A (zh) * | 2018-07-23 | 2018-12-25 | 下代互联网重大应用技术(北京)工程研究中心有限公司 | 基于容器的网络态势感知系统设计与部署方法 |
CN111212038A (zh) * | 2019-12-23 | 2020-05-29 | 江苏国泰新点软件有限公司 | 基于大数据人工智能的开放数据api网关系统 |
CN111404903B (zh) * | 2020-03-09 | 2022-08-09 | 深信服科技股份有限公司 | 一种日志处理方法、装置、设备及存储介质 |
CN111404903A (zh) * | 2020-03-09 | 2020-07-10 | 深信服科技股份有限公司 | 一种日志处理方法、装置、设备及存储介质 |
CN111740974A (zh) * | 2020-06-16 | 2020-10-02 | 黑龙江省网络空间研究中心 | 一种网络安全应急联动系统及方法 |
CN112311679A (zh) * | 2020-10-28 | 2021-02-02 | 北京健康之家科技有限公司 | 状态检测方法、装置、电子设备及可读存储介质 |
CN112311679B (zh) * | 2020-10-28 | 2023-07-28 | 北京水滴科技集团有限公司 | 状态检测方法、装置、电子设备及可读存储介质 |
CN113824682A (zh) * | 2021-08-12 | 2021-12-21 | 浙江木链物联网科技有限公司 | 一种模块化的scada安全态势感知系统架构 |
CN113824682B (zh) * | 2021-08-12 | 2024-05-31 | 浙江木链物联网科技有限公司 | 一种模块化的scada安全态势感知系统架构 |
CN114115068A (zh) * | 2021-12-03 | 2022-03-01 | 东南大学 | 一种内生安全交换机的异构冗余防御策略下发方法 |
Also Published As
Publication number | Publication date |
---|---|
CN106941493B (zh) | 2020-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106941493B (zh) | 一种网络安全态势感知结果输出方法及装置 | |
CN106921637B (zh) | 网络流量中的应用信息的识别方法和装置 | |
US11095670B2 (en) | Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane | |
CN112350854B (zh) | 一种流量故障定位方法、装置、设备及存储介质 | |
JP2019517040A (ja) | クラウドプラットフォームベースのクライアントアプリケーション情報統計方法および装置 | |
CN105939231B (zh) | 共享接入检测方法和共享接入检测装置 | |
WO2014000485A1 (zh) | 内容过滤方法和装置 | |
CN110351280A (zh) | 一种威胁情报提取的方法、系统、设备及可读存储介质 | |
CN111176941B (zh) | 一种数据处理的方法、装置和存储介质 | |
CN111162950B (zh) | 故障事件处理方法、装置及系统 | |
CN103455600B (zh) | 一种视频url抓取方法、装置及服务器设备 | |
CN105471635B (zh) | 一种系统日志的处理方法、装置和系统 | |
US10775751B2 (en) | Automatic generation of regular expression based on log line data | |
US20180316702A1 (en) | Detecting and mitigating leaked cloud authorization keys | |
CN106067879B (zh) | 信息的检测方法及装置 | |
CN111970151A (zh) | 虚拟及容器网络的流量故障定位方法及系统 | |
US9736215B1 (en) | System and method for correlating end-user experience data and backend-performance data | |
CN110968561B (zh) | 日志存储方法和分布式系统 | |
WO2023082605A1 (zh) | Http报文的提取方法、装置、介质及设备 | |
CN112822075A (zh) | 一种业务链路追踪方法及相关装置 | |
CN106933718B (zh) | 性能监控方法及装置 | |
Bigotto et al. | Statistical fingerprint-based ids in sdn architecture | |
CN117478438B (zh) | 网络微隔离方法、系统及虚拟化云主机 | |
CN106878040B (zh) | 一种记录加载方法和装置 | |
CN103780701B (zh) | 浏览器监控方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |