CN107347067A - 一种网络风险监控方法、系统及安全网络系统 - Google Patents
一种网络风险监控方法、系统及安全网络系统 Download PDFInfo
- Publication number
- CN107347067A CN107347067A CN201710552106.6A CN201710552106A CN107347067A CN 107347067 A CN107347067 A CN 107347067A CN 201710552106 A CN201710552106 A CN 201710552106A CN 107347067 A CN107347067 A CN 107347067A
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- data
- risks
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本申请公开了一种网络风险监控方法、系统及安全网络系统,该方法包括:对预先设置在企业内部网络中的诱捕节点进行实时监视;若监视到诱捕节点受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络;对蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。可见,本申请预先在企业内部网络中设置了诱捕节点,并且还预设了蜜场网络,一旦监视到该诱捕节点受到攻击扫描,则会将与当前攻击扫描事件对应的网络流量牵引至上述蜜场网络以迷惑攻击者,与此同时还会对蜜场网络中的网络流量进行实时数据采集,从而得到相应的网络风险数据,由此实现了对未知网络风险的主动检测。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种网络风险监控方法、系统及安全网络系统。
背景技术
NGFW(即Next Generation Firewall,下一代防火墙)是著名咨询机构Gartner所提出最新的“下一代防火墙”产品。前几代网络防火墙产品已无法对当前盛行的僵尸网络威胁进行有效检测。为适应当前严峻的互联网攻击风险,NGFW在原有网络防火墙产品的基础上集成了IPS流量检测功能(IPS,即Intrusion Prevention System,入侵防御系统)、WAF流量检测功能(WAF,即Web Application Firewall,Web应用防护系统)和网络数据包杀毒等功能,这大大增强了企业边界防护能力,也一致获得企业用户的高度认可。
随着网络安全技术的飞速发展,NGFW网络防火墙的短板也被逐渐暴露。其基于Snort引擎的IPS流量检测功能模块和WAF流量检测功能模块均只能检测已知的网络攻击流量和僵木蠕C&C通信流量,对日新月异的高级APT可持续攻击(APT,即Advanced PersistentThreat,高级持续性威胁)和加壳变种僵木蠕病毒完全没有检测能力,而网络数据包杀毒功能也同样只能对已知的病毒样本进行检测,导致企业网络安全检测一直处于被动防御的局面。
综上所述可以看出,如何实现对未知网络风险的主动检测是目前亟待解决问题。
发明内容
有鉴于此,本发明的目的在于提供一种网络风险监控方法、系统及安全网络系统,能够实现对未知网络风险的主动检测。其具体方案如下:
一种网络风险监控方法,包括:
对预先设置在企业内部网络中的诱捕节点进行实时监视;
若监视到所述诱捕节点受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络;
对所述蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。
可选的,所述网络风险监控方法,还包括:
对所述网络风险数据展开数据分析,得到相应的网络风险特征。
可选的,所述对所述蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据,对所述网络风险数据展开数据分析,得到相应的网络风险特征的过程,包括:
对所述蜜场网络中的攻击流量进行实时数据采集,得到相应的攻击数据流,然后对所述攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取,得到相应的攻击特征信息;
和/或,
对所述蜜场网络中的病毒样本流量进行实时数据采集,得到相应的病毒样本,然后对所述病毒样本中的恶意软件特征和/或C&C通信特征进行提取,得到相应的病毒特征信息。
可选的,所述网络风险监控方法,还包括:
判断当前时刻是否为预设的报告推送时刻,若是,则通过SaaS安全服务模块对攻击链关联分析报告进行推送处理。
可选的,所述若监视到所述诱捕节点受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络的过程,包括:
若监视所述诱捕节点受到企业外部攻击事件或企业内部攻击事件的攻击扫描,则将相应的网络流量牵引至所述蜜场网络。
可选的,所述网络风险监控方法,还包括:
利用预先设置在企业边界网络上的NGFW安全设备,对来自互联网的访问流量进行初步的安全防御。
可选的,所述对所述网络风险数据展开数据分析,得到相应的网络风险特征的过程之后,还包括:
将所述网络风险特征实时传输至所述NGFW安全设备的规则库中进行保存,以对所述规则库进行更新。
本发明还相应公开了一种网络风险监控系统,包括:
预先设置在企业内部网络中的诱捕节点;
数据重定向模块,用于对所述诱捕节点进行实时监视,若监视到所述诱捕节点受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络;
数据采集模块,用于对所述蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。
可选的,所述网络风险监控系统,还包括:
数据分析模块,用于对所述网络风险数据展开数据分析,得到相应的网络风险特征。
可选的,所述数据采集模块,包括攻击数据流采集子模块和/或病毒样本采集子模块;其中,
所述攻击数据流采集子模块,用于对所述蜜场网络中的攻击流量进行实时数据采集,得到相应的攻击数据流;
所述病毒样本采集子模块,用于对所述蜜场网络中的病毒样本流量进行实时数据采集,得到相应的病毒样本;
相应的,所述数据分析模块包括威胁情报分析子模块和/或行为分析沙盒子模块;其中,
所述威胁情报分析子模块,用于对所述攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取,得到相应的攻击特征信息;
所述行为分析沙盒子模块,用于对所述病毒样本中的恶意软件特征和/或C&C通信特征进行提取,得到相应的病毒特征信息。
可选的,所述网络风险监控系统,还包括报告推送单元和SaaS安全服务模块;其中,
所述报告推送单元,用于判断当前时刻是否为预设的报告推送时刻,若是,则通过所述SaaS安全服务模块对攻击链关联分析报告进行推送处理。
可选的,所述网络风险监控系统,还包括:
初步安全防御模块,用于利用预先设置在企业边界网络上的NGFW安全设备,对来自互联网的访问流量进行初步的安全防御。
可选的,所述网络风险监控系统,还包括:
规则库更新模块,用于将所述网络风险特征实时传输至所述NGFW安全设备的规则库中进行保存,以对所述规则库进行更新。
本发明进一步公开了一种安全网络系统,包括前述公开的网络风险监控系统、企业内部网络和蜜场网络。
本发明中,网络风险监控方法,包括:对预先设置在企业内部网络中的诱捕节点进行实时监视;若监视到诱捕节点受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络;对蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。
可见,本发明预先在企业内部网络中设置了诱捕节点,并且还预设了蜜场网络,一旦监视到该诱捕节点受到攻击扫描,则会将与当前攻击扫描事件对应的网络流量牵引至上述蜜场网络以迷惑攻击者,与此同时还会对蜜场网络中的网络流量进行实时数据采集,从而得到相应的网络风险数据。这样,每当未知类型的攻击事件试图对企业内部网络进行攻击扫描时,将会对预先设置在企业内部网络的诱捕节点也进行了攻击扫描,也即不可避免地触发了该诱捕节点,为了避免攻击者察觉自身的攻击行为已被识破,本发明还会将相应的网络流量牵引至蜜场网络,与此同时会对蜜场网络中的网络流量进行实时数据采集,从而获取到相应的网络风险数据,由此实现了对未知网络风险的主动检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种网络风险监控方法流程图;
图2为本发明实施例公开的一种具体的网络风险监控方法流程图;
图3为本发明实施例公开的一种具体的网络风险监控方法流程图;
图4为本发明实施例公开的一种网络风险监控系统结构示意图;
图5为本发明实施例公开的一种具体的网络风险监控系统结构示意图;
图6为本发明实施例公开的一种具体的安全网络系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种网络风险监控方法,参见图1所示,该方法包括:
步骤S11:对预先设置在企业内部网络中的诱捕节点进行实时监视。
需要指出的是,本实施例中的诱捕节点是预先设置在企业内部网络中的。并且这种设置方式是一种隐藏式的设置方式,也即,不论对于企业内部终端还是企业外部终端,均无法预先知晓上述企业内部网络中存在诱捕节点。由此使得,当企业内部终端或企业外部终端对企业内部网络发起合法的访问请求时,是无法访问到上述诱捕节点的。而由于非法终端发起的访问攻击事件会对企业内部网络肆意地进行攻击扫描,所以一旦企业内部网络受到了未知类型的攻击事件的攻击扫描,将不可避免地访问到企业内部网络中的诱捕节点,据此便可以推断出诱捕节点受到了攻击扫描。
另外,可以理解的是,本实施例中的诱捕节点可以是任一能够被访问的节点,如服务器节点、存储节点等。
进一步的,本实施例在企业内部网络中设置的诱捕节点的数量可以是一个,也可以是多个。其中,诱捕节点的具体数量可以根据企业内部网络的规模大小来进行具体设定。
步骤S12:若监视到诱捕节点受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络。
本实施例中,一旦诱捕节点被访问到,则可判定当前诱捕节点受到了攻击扫描,然后可立即将与该攻击扫描事件对应的网络流量牵引至预设的蜜场网络。本实施例中,优先在上述蜜场网络中设有多种多样的漏洞系统和虚拟服务,可以理解的是,上述漏洞系统以及虚拟服务中的数据均是没有价值的数据。当将与上述攻击扫描事件对应的网络流量牵引至蜜场网络后,蜜场网络便可利用自身的漏洞系统和虚拟服务继续对相应的攻击扫描事件进行响应,从而达到迷惑攻击者的目的,也即达到避免攻击者察觉自身的攻击行为已被识破的目的。
步骤S13:对蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。
可见,本发明实施例预先在企业内部网络中设置了诱捕节点,并且还预设了蜜场网络,一旦监视到该诱捕节点受到攻击扫描,则会将与当前攻击扫描事件对应的网络流量牵引至上述蜜场网络以迷惑攻击者,与此同时还会对蜜场网络中的网络流量进行实时数据采集,从而得到相应的网络风险数据。这样,每当未知类型的攻击事件试图对企业内部网络进行攻击扫描时,将会对预先设置在企业内部网络的诱捕节点也进行了攻击扫描,也即不可避免地触发了该诱捕节点,为了避免攻击者察觉自身的攻击行为已被识破,本发明实施例还会将相应的网络流量牵引至蜜场网络,与此同时会对蜜场网络中的网络流量进行实时数据采集,从而获取到相应的网络风险数据,由此实现了对未知网络风险的主动检测。
本发明实施例公开了一种具体的网络风险监控方法,参见图2所示,该方法包括:
步骤S21:利用预先设置在企业边界网络上的NGFW安全设备,对来自互联网的访问流量进行初步的安全防御,并对预先设置在企业内部网络中的诱捕节点进行实时监视。
需要指出的是,上述NGFW安全设备是一种预先设置在企业边界网络上的防火墙产品。尽管上述NGFW安全设备无法对未知的高级APT可持续攻击和加壳变种僵木蠕病毒进行检测,但是由于其能够利用自身保存的规则库对已知的网络攻击流量和僵木蠕C&C通信流量进行检测,所以可以起到对来自互联网的访问流量进行初步的安全防御的效果。
步骤S22:若监视诱捕节点受到企业外部攻击事件的攻击扫描,则将相应的网络流量牵引至蜜场网络。
本实施例中,企业外部攻击事件是指企业外部攻击者针对企业内部网络发起的攻击事件。其中,企业外部攻击者在对企业内部网络发起攻击时,主要是通过Bypass技术绕过企业边界网络上的NGFW安全设备,直接对暴露在互联网的应用系统进行攻击并获取相应的控制权限,然后再以该应用系统的服务器为跳板,对整个企业内部网络进行纵深横向移动攻击扫描。由于本实施例预先在企业内部网络中设置了诱捕节点,所以在企业外部攻击者在对整个企业内部网络进行纵深横向移动攻击扫描的时候,将会访问到上述诱捕节点,据此便可判断出诱捕节点受到了攻击扫描,进而将会把相应的网络流量牵引至预先设置的蜜场网络。
步骤S23:对蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。
步骤S24:对网络风险数据展开数据分析,得到相应的网络风险特征。
需要具体说明的是,在上述步骤S23以及S24中,数据采集分析的过程具体可以包括第一数据采集分析过程和/或第二数据采集分析过程。
其中,上述第一数据采集分析过程具体可以包括:
对蜜场网络中的攻击流量进行实时数据采集,得到相应的攻击数据流,然后对攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取,得到相应的攻击特征信息;
另外,上述第二数据采集分析过程具体可以包括:
对蜜场网络中的病毒样本流量进行实时数据采集,得到相应的病毒样本,然后对病毒样本中的恶意软件特征和/或C&C通信特征进行提取,得到相应的病毒特征信息。
由于考虑到在实际的攻击过程中,相应的网络流量中均包括攻击流量和病毒样本流量,所以,在上述步骤S23以及S24中,数据采集分析的过程优先包括第一数据采集分析过程和第二数据采集分析过程,也即,对网络流量中的攻击流量和病毒样本流量均进行数据采集和分析处理。
步骤S25:将网络风险特征实时传输至NGFW安全设备的规则库中进行保存,以对规则库进行更新。
为了进一步提升企业边界网络的安全性,本实施例在获取到上述网络风险特征之后,可以将网络风险特征实时传输至上述NGFW安全设备,以利用网络风险特征对NGFW安全设备上的规则库进行更新,这样可以实现对当前正在进行的攻击事件以及未来同类型的攻击事件进行拦截的目的,也即实现了对同类型的攻击流量和僵木蠕流量进行有效阻断的目的。具体的,可以将上述攻击源IP信息、弱口令枚举信息、恶意软件特征和C&C通信特征实时传输至上述NGFW安全设备,以利用上述攻击源IP信息、弱口令枚举信息、恶意软件特征和C&C通信特征对NGFW安全设备中的规则库进行相应地更新。
进一步的,本发明实施例中的网络风险监控方法,还可以包括:
对网络风险数据进行基于时间序列的TCP/IP五元组攻击链的关联分析,得到相应的攻击链关联分析报告。具体的,可以对上述采集到的攻击数据流和病毒样本进行基于时间序列的TCP/IP五元组攻击链的关联分析,得到相应的攻击链关联分析报告。
与此相应的,本发明实施例中的网络风险监控方法,还可以进一步包括:
判断当前时刻是否为预设的报告推送时刻,若是,则通过SaaS安全服务模块(SaaS,即Software-as-a-service,软件即服务)对攻击链关联分析报告进行推送处理。
可以理解的是,本实施例具体可以将上述攻击链关联分析报告推送给预先指定的监管终端。另外,上述报告推送时刻可以是人为预先设定的推送时刻,当然也可以是后台根据预先设定的报告推送周期确定的推送时刻。
进一步的,本实施例中的网络风险监控方法,还可以包括:
若监视到诱捕节点受到攻击扫描,则生成相应的告警信息,并通过SaaS安全服务模块对告警信息进行实时推送处理。
可以理解的是,本实施例具体可以将上述告警信息实时推送给预先指定的监管终端,以便相关的网络监管人员及时知晓当前企业内部网络的安全状态,进而做出是否需要人为采取进一步措施的决定。
通过上述公开的技术方案可知,本实施例可以实现闭环的企业网络风险检测、风险感知、风险响应和风险防御的安全能力,由此形成了一个正向闭合的自循环安全系统架构。
本发明实施例公开了一种具体的网络风险监控方法,参见图3所示,该方法包括:
步骤S31:利用预先设置在企业边界网络上的NGFW安全设备,对来自互联网的访问流量进行初步的安全防御,并对预先设置在企业内部网络中的诱捕节点进行实时监视。
步骤S32:若监视诱捕节点受到企业内部攻击事件的攻击扫描,则将相应的网络流量牵引至蜜场网络。
在实际的网络应用过程中,针对企业内部网络发起攻击的攻击者大部分是企业外部攻击者,但是在某些情况下,也存在由企业内部的攻击者针对企业内部网络发起的攻击。然而,不论是企业内部攻击者还是企业外部攻击者,针对企业内部网络发起的攻击扫描均会触发预先设置在企业内部网络的诱捕节点,由此,本实施例也可以针对企业内部攻击者发起的攻击进行监控。
本实施例中,当监视到诱捕节点受到企业内部攻击事件的攻击扫描,则会将当前攻击事件对应的网络流量牵引至蜜场网络。
步骤S33:对蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。
步骤S34:对网络风险数据展开数据分析,得到相应的网络风险特征。
需要具体说明的是,在上述步骤S33以及S34中,数据采集分析的过程具体可以包括第一数据采集分析过程和/或第二数据采集分析过程。
其中,上述第一数据采集分析过程具体可以包括:
对蜜场网络中的攻击流量进行实时数据采集,得到相应的攻击数据流,然后对攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取,得到相应的攻击特征信息;
另外,上述第二数据采集分析过程具体可以包括:
对蜜场网络中的病毒样本流量进行实时数据采集,得到相应的病毒样本,然后对病毒样本中的恶意软件特征和/或C&C通信特征进行提取,得到相应的病毒特征信息。
由于考虑到在实际的攻击过程中,相应的网络流量中均包括攻击流量和病毒样本流量,所以,在上述步骤S33以及S34中,数据采集分析的过程优先包括第一数据采集分析过程和第二数据采集分析过程,也即,对网络流量中的攻击流量和病毒样本流量均进行数据采集和分析处理。
进一步的,本实施例也可以根据上述攻击源IP信息来确定出发起攻击的终端,从而有利于揪出企业内鬼。
步骤S35:将网络风险特征实时传输至NGFW安全设备的规则库中进行保存,以对规则库进行更新。
为了进一步提升企业边界网络的安全性,本实施例在获取到上述网络风险特征之后,可以将网络风险特征实时传输至上述NGFW安全设备,以利用网络风险特征对NGFW安全设备上的规则库进行更新,这样可以实现对当前正在进行的攻击事件以及未来同类型的攻击事件进行拦截的目的,也即实现了对同类型的攻击流量和僵木蠕流量进行有效阻断的目的。具体的,可以将上述攻击源IP信息、弱口令枚举信息、恶意软件特征和C&C通信特征实时传输至上述NGFW安全设备,以利用上述攻击源IP信息、弱口令枚举信息、恶意软件特征和C&C通信特征对NGFW安全设备中的规则库进行相应地更新。
进一步的,本发明实施例中的网络风险监控方法,还可以包括:
对网络风险数据进行基于时间序列的TCP/IP五元组攻击链的关联分析,得到相应的攻击链关联分析报告。具体的,可以对上述采集到的攻击数据流和病毒样本进行基于时间序列的TCP/IP五元组攻击链的关联分析,得到相应的攻击链关联分析报告。
与此相应的,本发明实施例中的网络风险监控方法,还可以进一步包括:
判断当前时刻是否为预设的报告推送时刻,若是,则通过SaaS安全服务模块对攻击链关联分析报告进行推送处理。
可以理解的是,本实施例具体可以将上述攻击链关联分析报告推送给预先指定的监管终端。另外,上述报告推送时刻可以是人为预先设定的推送时刻,当然也可以是后台根据预先设定的报告推送周期确定的推送时刻。
进一步的,本实施例中的网络风险监控方法,还可以包括:
若监视到诱捕节点受到攻击扫描,则生成相应的告警信息,并通过SaaS安全服务模块对告警信息进行实时推送处理。
可以理解的是,本实施例具体可以将上述告警信息实时推送给预先指定的监管终端,以便相关的网络监管人员及时知晓当前企业内部网络的安全状态,进而做出是否需要人为采取进一步措施的决定。
通过上述公开的技术方案可知,本实施例可以实现闭环的企业网络风险检测、风险感知、风险响应和风险防御的安全能力,由此形成了一个正向闭合的自循环安全系统架构。
相应的,本发明实施例还公开了一种网络风险监控系统,参见图4所示,该系统包括:
预先设置在企业内部网络中的诱捕节点11;
数据重定向模块12,用于对诱捕节点11进行实时监视,若监视到诱捕节点11受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络;
数据采集模块13,用于对蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。
需要指出的是,本实施例中的诱捕节点是预先设置在企业内部网络中的。并且这种设置方式是一种隐藏式的设置方式,也即,不论对于企业内部终端还是企业外部终端,均无法预先知晓上述企业内部网络中存在诱捕节点。由此使得,当企业内部终端或企业外部终端对企业内部网络发起合法的访问请求时,是无法访问到上述诱捕节点的。而由于非法终端发起的访问攻击事件会对企业内部网络肆意地进行攻击扫描,所以一旦企业内部网络受到了未知类型的攻击事件的攻击扫描,将不可避免地访问到企业内部网络中的诱捕节点,据此便可以推断出诱捕节点受到了攻击扫描。
另外,可以理解的是,本实施例中的诱捕节点可以是任一能够被访问的节点,如服务器节点、存储节点等。
进一步的,本实施例在企业内部网络中设置的诱捕节点的数量可以是一个,也可以是多个。其中,诱捕节点的具体数量可以根据企业内部网络的规模大小来进行具体设定。
本实施例中,一旦诱捕节点被访问到,数据重定向模块12则可判定当前诱捕节点受到了攻击扫描,然后可立即将与该攻击扫描事件对应的网络流量牵引至预设的蜜场网络。本实施例中,优先在上述蜜场网络中设有多种多样的漏洞系统和虚拟服务,可以理解的是,上述漏洞系统以及虚拟服务中的数据均是没有价值的数据。当将与上述攻击扫描事件对应的网络流量牵引至蜜场网络后,蜜场网络便可利用自身的漏洞系统和虚拟服务继续对相应的攻击扫描事件进行响应,从而达到迷惑攻击者的目的,也即达到避免攻击者察觉自身的攻击行为已被识破的目的。
可见,本发明实施例预先在企业内部网络中设置了诱捕节点,并且还预设了蜜场网络,一旦监视到该诱捕节点受到攻击扫描,则会将与当前攻击扫描事件对应的网络流量牵引至上述蜜场网络以迷惑攻击者,与此同时还会对蜜场网络中的网络流量进行实时数据采集,从而得到相应的网络风险数据。这样,每当未知类型的攻击事件试图对企业内部网络进行攻击扫描时,将会对预先设置在企业内部网络的诱捕节点也进行了攻击扫描,也即不可避免地触发了该诱捕节点,为了避免攻击者察觉自身的攻击行为已被识破,本发明实施例还会将相应的网络流量牵引至蜜场网络,与此同时会对蜜场网络中的网络流量进行实时数据采集,从而获取到相应的网络风险数据,由此实现了对未知网络风险的主动检测。
参见图5所示,为了了解网络风险数据的特点,本发明实施例的网络风险监控系统,还可以进一步包括:
数据分析模块14,用于对网络风险数据展开数据分析,得到相应的网络风险特征。
其中,上述数据采集模块13,具体可以包括攻击数据流采集子模块131和/或病毒样本采集子模块132;其中,
攻击数据流采集子模块131,用于对蜜场网络中的攻击流量进行实时数据采集,得到相应的攻击数据流;
病毒样本采集子模块132,用于对蜜场网络中的病毒样本流量进行实时数据采集,得到相应的病毒样本;
相应的,上述数据分析模块14具体可以包括威胁情报分析子模块141和/或行为分析沙盒子模块142;其中,
威胁情报分析子模块141,用于对攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取,得到相应的攻击特征信息;
行为分析沙盒子模块142,用于对病毒样本中的恶意软件特征和/或C&C通信特征进行提取,得到相应的病毒特征信息。
进一步的,本实施例中的网络风险监控系统,还可以包括:
关联日志分析模块15,用于对网络风险数据进行基于时间序列的TCP/IP五元组攻击链的关联分析,得到相应的攻击链关联分析报告。
另外,为了方便企业能够更加全面的感知网络安全状况,本实施例中的网络风险监控系统,还可以进一步包括SaaS安全服务模块16和报告推送单元17;其中,
报告推送单元17,用于判断当前时刻是否为预设的报告推送时刻,若是,则通过SaaS安全服务模块16对攻击链关联分析报告进行推送处理。
为了方便企业及时地获知当前网络状态的风险状况,本实施例中的网络风险监控系统,还可以进一步包括告警推送单元18;其中,
告警推送单元18,用于当数据重定向模块监视到诱捕节点受到攻击扫描,则生成相应的告警信息,并通过SaaS安全服务模块16对告警信息进行实时推送处理。
为了强化针对企业内部网络的安全防御能力,本实施例中的网络风险监控系统,还可以进一步包括:
初步安全防御模块10,用于利用预先设置在企业边界网络上的NGFW安全设备,对来自互联网的访问流量进行初步的安全防御。
为了提升NGFW安全设备的攻击拦截能力,本实施例中的网络风险监控系统,还可以进一步包括:
规则库更新模块19,用于将网络风险特征实时传输至NGFW安全设备的规则库中进行保存,以对规则库进行更新。
进一步的,本发明实施例公开了一种安全网络系统,包括前述实施例中公开的网络风险监控系统、企业内部网络和蜜场网络。
关于上述网络风险监控系统的具体构造可以参考前述实施例中公开的相应内容,在此不再进行赘述。
另外,图6中示出了本发明实施例中一种相对较为完整的安全网络系统。
图6中,先通过企业边界网络中的NGFW安全设备对来自于Internet的攻击流量进行初步的检测和防御。一旦有攻击者绕过企业边界的NGFW安全设备,并进入到企业内部网络进行纵深横向移动攻击时、一旦触发诱捕节点,那么数据重定向模块将迅速把攻击流量牵引至蜜场网络来迷惑攻击者,蜜场网络中含有多种多样的漏洞系统和虚拟服务,攻击者在蜜场中的所有攻击流量和病毒样本流量都会被实时重定向至数据采集模块。
然后,通过数据采集模块中的攻击数据流采集子模块和病毒样本采集子模块分别对蜜场中的攻击流量与病毒样本文件进行实时采集。
进而,通过威胁情报分析子模块对攻击数据流采集子模块所采集到的数据进行解析和分析、提取攻击数据流中的攻击源IP信息和弱口令枚举信息,并将这些数据实时传送给NGFW安全设备,形成实时有效的对攻击源流量进行阻断和封锁。通过行为分析沙盒子模块对病毒样本采集子模块所采集到的病毒样本进行动态分析,提取恶意软件特征和C&C通信特征,并将这些数据实时传送给NGFW安全设备,形成实时有效的对僵木蠕通信流量进行阻断和封锁。
接着,通过关联日志分析模块对攻击数据流采集子模块和病毒样本采集子模块所提取的数据进行基于时间序列的TCP/IP五元组攻击链的关联分析,并定期将生成的攻击链关联分析报告发送给Saas安全服务模块进行推送。进一步可以通过Saas安全服务模块对诱捕节点的触发告警进行实时消息推送和定期对攻击链关联分析报告进行推送,从而达到帮助企业实现实时感知网络安全状态的目标。
由上可知,本实施例利用企业内部网络、诱捕节点、数据重定向模块以及蜜场网络等形成了一个具有风险感知能力的Honeypot Farms网络系统,降低了企业内部网络的安全风险。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种网络风险监控方法、系统及安全网络系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种网络风险监控方法,其特征在于,包括:
对预先设置在企业内部网络中的诱捕节点进行实时监视;
若监视到所述诱捕节点受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络;
对所述蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。
2.根据权利要求1所述的网络风险监控方法,其特征在于,还包括:
对所述网络风险数据展开数据分析,得到相应的网络风险特征。
3.根据权利要求2所述的网络风险监控方法,其特征在于,所述对所述蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据,对所述网络风险数据展开数据分析,得到相应的网络风险特征的过程,包括:
对所述蜜场网络中的攻击流量进行实时数据采集,得到相应的攻击数据流,然后对所述攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取,得到相应的攻击特征信息;
和/或,
对所述蜜场网络中的病毒样本流量进行实时数据采集,得到相应的病毒样本,然后对所述病毒样本中的恶意软件特征和/或C&C通信特征进行提取,得到相应的病毒特征信息。
4.根据权利要求3所述的网络风险监控方法,其特征在于,还包括:
判断当前时刻是否为预设的报告推送时刻,若是,则通过SaaS安全服务模块对攻击链关联分析报告进行推送处理。
5.根据权利要求2所述的网络风险监控方法,其特征在于,所述若监视到所述诱捕节点受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络的过程,包括:
若监视所述诱捕节点受到企业外部攻击事件或企业内部攻击事件的攻击扫描,则将相应的网络流量牵引至所述蜜场网络。
6.根据权利要求2至5任一项所述的网络风险监控方法,其特征在于,还包括:
利用预先设置在企业边界网络上的NGFW安全设备,对来自互联网的访问流量进行初步的安全防御。
7.根据权利要求6所述的网络风险监控方法,其特征在于,所述对所述网络风险数据展开数据分析,得到相应的网络风险特征的过程之后,还包括:
将所述网络风险特征实时传输至所述NGFW安全设备的规则库中进行保存,以对所述规则库进行更新。
8.一种网络风险监控系统,其特征在于,包括:
预先设置在企业内部网络中的诱捕节点;
数据重定向模块,用于对所述诱捕节点进行实时监视,若监视到所述诱捕节点受到攻击扫描,则将相应的网络流量牵引至预设的蜜场网络;
数据采集模块,用于对所述蜜场网络中的网络流量进行实时数据采集,得到相应的网络风险数据。
9.根据权利要求8所述的网络风险监控系统,其特征在于,还包括:
数据分析模块,用于对所述网络风险数据展开数据分析,得到相应的网络风险特征。
10.根据权利要求9所述的网络风险监控系统,其特征在于,
所述数据采集模块,包括攻击数据流采集子模块和/或病毒样本采集子模块;其中,
所述攻击数据流采集子模块,用于对所述蜜场网络中的攻击流量进行实时数据采集,得到相应的攻击数据流;
所述病毒样本采集子模块,用于对所述蜜场网络中的病毒样本流量进行实时数据采集,得到相应的病毒样本;
相应的,所述数据分析模块包括威胁情报分析子模块和/或行为分析沙盒子模块;其中,
所述威胁情报分析子模块,用于对所述攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取,得到相应的攻击特征信息;
所述行为分析沙盒子模块,用于对所述病毒样本中的恶意软件特征和/或C&C通信特征进行提取,得到相应的病毒特征信息。
11.根据权利要求10所述的网络风险监控系统,其特征在于,还包括报告推送单元和SaaS安全服务模块;其中,
所述报告推送单元,用于判断当前时刻是否为预设的报告推送时刻,若是,则通过所述SaaS安全服务模块对攻击链关联分析报告进行推送处理。
12.根据权利要求9至11任一项所述的网络风险监控系统,其特征在于,还包括:
初步安全防御模块,用于利用预先设置在企业边界网络上的NGFW安全设备,对来自互联网的访问流量进行初步的安全防御。
13.根据权利要求12所述的网络风险监控系统,其特征在于,还包括:
规则库更新模块,用于将所述网络风险特征实时传输至所述NGFW安全设备的规则库中进行保存,以对所述规则库进行更新。
14.一种安全网络系统,其特征在于,包括如权利要求8至13任一项所述的网络风险监控系统、企业内部网络和蜜场网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710552106.6A CN107347067B (zh) | 2017-07-07 | 2017-07-07 | 一种网络风险监控方法、系统及安全网络系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710552106.6A CN107347067B (zh) | 2017-07-07 | 2017-07-07 | 一种网络风险监控方法、系统及安全网络系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107347067A true CN107347067A (zh) | 2017-11-14 |
CN107347067B CN107347067B (zh) | 2021-06-04 |
Family
ID=60256785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710552106.6A Active CN107347067B (zh) | 2017-07-07 | 2017-07-07 | 一种网络风险监控方法、系统及安全网络系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107347067B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109995794A (zh) * | 2019-04-15 | 2019-07-09 | 深信服科技股份有限公司 | 一种安全防护系统、方法、设备及存储介质 |
CN112118258A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 在蜜罐场景下获取攻击者信息的系统及方法 |
CN112995229A (zh) * | 2021-05-17 | 2021-06-18 | 金锐同创(北京)科技股份有限公司 | 网络攻击流量检测方法、装置、设备及计算机可读存储介质 |
CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
CN114070575A (zh) * | 2020-08-07 | 2022-02-18 | 奇安信科技集团股份有限公司 | 设备探测处理方法、装置、电子设备、存储介质和程序 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100154057A1 (en) * | 2008-12-16 | 2010-06-17 | Korea Information Security Agency | Sip intrusion detection and response architecture for protecting sip-based services |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN103227798A (zh) * | 2013-04-23 | 2013-07-31 | 西安电子科技大学 | 一种免疫网络系统 |
CN105049441A (zh) * | 2015-08-07 | 2015-11-11 | 杭州数梦工场科技有限公司 | 防止链路型DDoS攻击的实现方法和系统 |
CN105471875A (zh) * | 2015-11-25 | 2016-04-06 | 西安科技大学 | 一种计算机网络监控系统 |
CN105847291A (zh) * | 2016-05-13 | 2016-08-10 | 内蒙古工业大学 | 计算机网络防御决策系统 |
CN105933301A (zh) * | 2016-04-13 | 2016-09-07 | 重庆邮电大学 | 一种基于sdn实现网络蠕虫集中防控的方法和装置 |
CN106850551A (zh) * | 2016-12-12 | 2017-06-13 | 长春理工大学 | 网络安全风险评估与自主防御系统 |
-
2017
- 2017-07-07 CN CN201710552106.6A patent/CN107347067B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100154057A1 (en) * | 2008-12-16 | 2010-06-17 | Korea Information Security Agency | Sip intrusion detection and response architecture for protecting sip-based services |
CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN103227798A (zh) * | 2013-04-23 | 2013-07-31 | 西安电子科技大学 | 一种免疫网络系统 |
CN105049441A (zh) * | 2015-08-07 | 2015-11-11 | 杭州数梦工场科技有限公司 | 防止链路型DDoS攻击的实现方法和系统 |
CN105471875A (zh) * | 2015-11-25 | 2016-04-06 | 西安科技大学 | 一种计算机网络监控系统 |
CN105933301A (zh) * | 2016-04-13 | 2016-09-07 | 重庆邮电大学 | 一种基于sdn实现网络蠕虫集中防控的方法和装置 |
CN105847291A (zh) * | 2016-05-13 | 2016-08-10 | 内蒙古工业大学 | 计算机网络防御决策系统 |
CN106850551A (zh) * | 2016-12-12 | 2017-06-13 | 长春理工大学 | 网络安全风险评估与自主防御系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109995794A (zh) * | 2019-04-15 | 2019-07-09 | 深信服科技股份有限公司 | 一种安全防护系统、方法、设备及存储介质 |
CN114070575A (zh) * | 2020-08-07 | 2022-02-18 | 奇安信科技集团股份有限公司 | 设备探测处理方法、装置、电子设备、存储介质和程序 |
CN112118258A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 在蜜罐场景下获取攻击者信息的系统及方法 |
CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
CN113037777B (zh) * | 2021-04-09 | 2021-12-03 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
CN112995229A (zh) * | 2021-05-17 | 2021-06-18 | 金锐同创(北京)科技股份有限公司 | 网络攻击流量检测方法、装置、设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107347067B (zh) | 2021-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107347067A (zh) | 一种网络风险监控方法、系统及安全网络系统 | |
CN111385236B (zh) | 一种基于网络诱骗的动态防御系统 | |
CN103561004B (zh) | 基于蜜网的协同式主动防御系统 | |
Artail et al. | A hybrid honeypot framework for improving intrusion detection systems in protecting organizational networks | |
Loukas et al. | Protection against denial of service attacks: A survey | |
CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
Haris et al. | Detecting TCP SYN flood attack based on anomaly detection | |
Chen et al. | Intrusion detection | |
CN106992955A (zh) | Apt防火墙 | |
CN109218327A (zh) | 基于云容器的主动防御技术 | |
Raghav et al. | Intrusion detection and prevention in cloud environment: A systematic review | |
CN113422779B (zh) | 一种基于集中管控的积极的安全防御的系统 | |
Singh et al. | Testbed-based evaluation of siem tool for cyber kill chain model in power grid scada system | |
Lin et al. | Implementation of an SDN-based security defense mechanism against DDoS attacks | |
CN113783880A (zh) | 网络安全检测系统及其网络安全检测方法 | |
u Nisa et al. | Detection of slow port scanning attacks | |
Haris et al. | TCP SYN flood detection based on payload analysis | |
Dhangar et al. | Analysis of proposed intrusion detection system | |
Ayeni et al. | Design and implementation of a medium interaction honeypot | |
Mudgal et al. | Spark-Based Network Security Honeypot System: Detailed Performance Analysis | |
Raju et al. | Network Intrusion Detection System Using KMP Pattern Matching Algorithm | |
Pao et al. | Netflow based intrusion detection system | |
Chan et al. | A netflow based internet-worm detecting system in large network | |
Shyla et al. | The Geo-Spatial Distribution of Targeted Attacks sources using Honeypot Networks | |
Acharya et al. | DDoS simulation and hybrid ddos defense mechanism |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |