CN107483472A - 一种网络安全监控的方法、装置、存储介质及服务器 - Google Patents
一种网络安全监控的方法、装置、存储介质及服务器 Download PDFInfo
- Publication number
- CN107483472A CN107483472A CN201710790228.9A CN201710790228A CN107483472A CN 107483472 A CN107483472 A CN 107483472A CN 201710790228 A CN201710790228 A CN 201710790228A CN 107483472 A CN107483472 A CN 107483472A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- network security
- monitoring
- security risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全监控的方法、装置、存储介质及服务器。所述网络安全监控的方法,包括:实时监控网络安全监控平台获取的网络安全日志;分析所述网络安全日志中的网络描述信息;根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。本发明通过对海量网络安全日志进行分析,分析出网络安全监控平台所面临的安全风险类型,并进行相应的处理,从而确保了网络安全功能的高效执行。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种网络安全监控的方法、装置、存储介质及服务器。
背景技术
随着网络技术的不断发展和网络应用的深入普及,网络安全的问题日益突出。网络安全日志中记载了用户的操作记录和程序的运行记录等内容,从中可挖掘出网络异常的相关事件,进而得到网络安全问题的相关信息。由于网络安全日志的数据量常常为海量数据的级别,而且网络安全日志的可读性和利用率也较低。如何高效的通过对海量的网络安全日志进行分析,来应对网络安全中可能存在的安全风险,就成为了业界亟待解决的课题。
发明内容
本发明提供一种网络安全监控的方法、装置、存储介质及服务器,用以通过对海量网络安全日志进行分析,分析出网络安全监控平台所面临的安全风险类型,并进行相应的处理,从而确保了网络安全功能的高效执行。
根据本发明实施例的第一方面,提供一种网络安全监控的方法,包括:
实时监控网络安全监控平台获取的网络安全日志;
分析所述网络安全日志中的网络描述信息;
根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
在一个实施例中,还包括:
在所述实时监控网络安全监控平台获取的网络安全日志之前,
通过分流器对被监控的IP地址的网络数据进行流量镜像的操作;
通过所述网络安全监控平台对进行流量镜像后的网络数据进行实时监控。
在一个实施例中,所述分析所述网络安全日志中的网络描述信息,包括:
分析所述网络安全日志中的网络描述信息,所述网络描述信息包括:IP信息、端口信息、描述文本、时间戳、执行结果中的任一种或多种;所述描述文本包括存活时间、TCP窗口的大小、TCP标识中任一者或多者;所述IP信息包括源地址信息、目标地址信息和IP协议中的任一种或多种;所述执行结果包括接收、丢弃和拒绝连接中的任一种或多种。
在一个实施例中,所述根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型,包括:
调用预设的安全风险评估的分析系统对所述网络描述信息进行评估,得到第一评估结果,所述第一评估结果包括安全风险类型,所述安全风险类型包括网络故障、网络入侵、网络木马和网络漏洞中的任一种或多种;
通过预设的历史安全风险评结果数据库,对所述第一评估结果进行修正,得到第二评估结果;
确认所述第二评估结果中的安全风险类型为所述网络安全监控平台的安全风险类型。
在一个实施例中,所述根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理,包括:
在预设的安全风险处理策略数据库中,查询所述安全风险类型对应的优先度排名前N的安全事件处理策略;
结合所述网络安全监控平台的处理能力和可调用资源,在所述优先度排名前N的安全事件处理策略中分析出最优的安全事件处理策略;
调用所述最优的安全事件处理策略进行网络安全事件处理。
根据本发明实施例的第二方面,提供一种网络安全监控的装置,包括:
第一监控模块,用于实时监控网络安全监控平台获取的网络安全日志;
分析模块,用于分析所述网络安全日志中的网络描述信息;
评估模块,用于根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
调用模块,用于根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
在一个实施例中,还包括:
镜像模块,用于在所述实时监控网络安全监控平台获取的网络安全日志之前,通过分流器对被监控的IP地址的网络数据进行流量镜像的操作;
第二监控模块,用于通过所述网络安全监控平台对进行流量镜像后的网络数据进行实时监控。
在一个实施例中,所述分析模块,包括:
第一分析子模块,用于分析所述网络安全日志中的网络描述信息,所述网络描述信息包括:IP信息、端口信息、描述文本、时间戳、执行结果中的任一种或多种;所述描述文本包括存活时间、TCP窗口的大小、TCP标识中任一者或多者;所述IP信息包括源地址信息、目标地址信息和IP协议中的任一种或多种;所述执行结果包括接收、丢弃和拒绝连接中的任一种或多种。
在一个实施例中,所述评估模块,包括:
第一调用子模块,用于调用预设的安全风险评估的分析系统对所述网络描述信息进行评估,得到第一评估结果,所述第一评估结果包括安全风险类型,所述安全风险类型包括网络故障、网络入侵、网络木马和网络漏洞中的任一种或多种;
修正子模块,用于通过预设的历史安全风险评结果数据库,对所述第一评估结果进行修正,得到第二评估结果;
确认子模块,用于确认所述第二评估结果中的安全风险类型为所述网络安全监控平台的安全风险类型。
在一个实施例中,所述调用模块,包括:
查询子模块,用于在预设的安全风险处理策略数据库中,查询所述安全风险类型对应的优先度排名前N的安全事件处理策略;
第二分析子模块,用于结合所述网络安全监控平台的处理能力和可调用资源,在所述优先度排名前N的安全事件处理策略中分析出最优的安全事件处理策略;
第二调用子模块,用于调用所述最优的安全事件处理策略进行网络安全事件处理。
根据本发明实施例的第三方面,提供一种存储介质,所述存储介质存储有多条指令,所述指令适用于由处理器加载并执行:
实时监控网络安全监控平台获取的网络安全日志;
分析所述网络安全日志中的网络描述信息;
根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
根据本发明实施例的第四方面,提供一种服务器,所述服务器包括存储介质、处理器及存储在所述存储介质上并可在所述处理器上运行的网络安全监控系统,所述网络安全监控系统被所述处理器执行时实现如下步骤:
实时监控网络安全监控平台获取的网络安全日志;
分析所述网络安全日志中的网络描述信息;
根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明一示例性实施例示出的一种网络安全监控的方法的流程图;
图2为本发明另一示例性实施例示出的一种网络安全监控的方法的流程图;
图3为本发明一示例性实施例示出的一种网络安全监控的方法的步骤S12的流程图;
图4为本发明一示例性实施例示出的一种网络安全监控的方法的步骤S13的流程图;
图5为本发明一示例性实施例示出的一种网络安全监控的方法的步骤S14的流程图;
图6为本发明一示例性实施例示出的一种网络安全监控的装置的框图;
图7为本发明另一示例性实施例示出的一种网络安全监控的装置的框图;
图8为本发明一示例性实施例示出的一种网络安全监控的装置的分析模块62的框图;
图9为本发明一示例性实施例示出的一种网络安全监控的装置的评估模块63的框图;
图10为本发明一示例性实施例示出的一种网络安全监控的装置的调用模块64的框图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本申请通过对网络安全日志集中进行分析处理,从海量的网络安全日志中挖掘出需要进行处理的网络安全事件,通过分析网络安全事件的网络描述信息,例如:IP信息、端口信息、描述文本、时间戳、执行结果以及网络安全事件发生的整个过程、影响规模等因素,来评估所述网络安全监控平台的安全风险类型,从而调用匹配的安全事件处理策略进行网络安全事件处理。
图1是根据一示例性实施例示出的一种网络安全监控的方法流程图,如图1所示,该网络安全监控的方法,用于服务器端,包括以下步骤S11-S14:
在步骤S11中,实时监控网络安全监控平台获取的网络安全日志;
在步骤S12中,分析所述网络安全日志中的网络描述信息;
在步骤S13中,根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
在步骤S14中,根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
在一个实施例中,随着网络技术的不断发展和网络应用的深入普及,网络安全的问题日益突出。网络安全日志中记载了用户的操作记录和程序的运行记录等内容,从中可挖掘出异常的事件,从而确定出网络安全问题的相关信息。可是,由于网络安全日志的数据量常常为海量数据的级别,而且网络安全日志的格式也复杂多样,导致可读性和利用率也较低。本申请可高效的通过对海量的网络安全日志进行分析,来应对网络安全中可能存在的安全风险。
首先,实时监控网络安全监控平台获取的网络安全日志,网络安全日志包括系统日志、防火墙日志、入侵检测日志等。通过分析网络安全日志可定位网络故障和获取网络攻击所留下的痕迹等信息。
然后,通过分析网络安全日志中的网络描述信息,该网络描述信息包括:IP信息、端口信息、描述文本、时间戳、执行结果中的任一种或多种;该描述文本包括存活时间、TCP窗口的大小、TCP标识中任一者或多者;该IP信息包括源地址信息、目标地址信息和IP协议中的任一种或多种;该执行结果包括接收、丢弃和拒绝连接中的任一种或多种。
接着,根据该网络描述信息,评估该网络安全监控平台的安全风险类型。其中,调用预设的安全风险评估的分析系统对该网络描述信息进行评估,得到第一评估结果,该第一评估结果包括安全风险类型,该安全风险类型包括网络故障、网络入侵、网络木马和网络漏洞中的任一种或多种;通过预设的历史安全风险评结果数据库,对该第一评估结果进行修正,得到第二评估结果;确认该第二评估结果中的安全风险类型为该网络安全监控平台的安全风险类型。
最后,根据该安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。在预设的安全风险处理策略数据库中,查询该安全风险类型对应的优先度排名前N的安全事件处理策略;结合该网络安全监控平台的处理能力和可调用资源,在该优先度排名前N的安全事件处理策略中分析出最优的安全事件处理策略;调用该最优的安全事件处理策略进行网络安全事件处理。
在该实时监控网络安全监控平台获取的网络安全日志之前,通过分流器对被监控的IP地址的网络数据进行流量镜像的操作;通过该网络安全监控平台对进行流量镜像后的网络数据进行实时监控。
本申请通过对海量网络安全日志进行分析,发现网络安全监控平台的安全风险类型,并进行相应的处理,从保障了网络安全监控平台的稳定运行。
在一个实施例中,如图2所示,还包括如下步骤S21-S22:
在步骤S21中,在所述实时监控网络安全监控平台获取的网络安全日志之前,通过分流器对被监控的IP地址的网络数据进行流量镜像的操作;
在步骤S22中,通过所述网络安全监控平台对进行流量镜像后的网络数据进行实时监控。
在一个实施例中,网络安全监控平台监控的IP地址的数量为n个,每一个IP地址中存在的网络设备的数量为m个,其中m和n的数量为大于一的正整数。对每一个IP中发送和接收的网络数据进行流量镜像的操作,具体步骤为在路由器和外界网络之间安装分流器,分流器将该路由器中进出的网络数据进行备份,将备份的网络数据发送到网络安全监控平台。通过该网络安全监控平台对进行流量镜像后的网络数据进行实时监控。通过上述操作步骤,可提升了网络安全监控平台的监控效果和处理效率。
在一个实施例中,如图3所示,步骤S12包括如下步骤S31-S32:
在步骤S31中,分析所述网络安全日志中的网络描述信息,所述网络描述信息包括:IP信息、端口信息、描述文本、时间戳、执行结果中的任一种或多种;所述描述文本包括存活时间、TCP窗口的大小、TCP标识中任一者或多者;所述IP信息包括源地址信息、目标地址信息和IP协议中的任一种或多种;所述执行结果包括接收、丢弃和拒绝连接中的任一种或多种。
在一个实施例中,分析网络安全日志中的网络描述信息,该网络描述信息包括网络数据包中的接受方和发送发的IP信息和端口信息,该网络数据包的时间戳和执行该网络数据包的执行结果,已经在该网络数据包的存活时间内的描述文本。其中,时间戳表示时间发生的时间或者是将事件记录到日志中的时间。IP协议包括TCP(Transmission ControlProtocol,传输控制协议)、UDP(UserDatagram Protocol,用户数据报协议)、ICMP(Internet Control Message Protocol,因特网控制报文协议)等。该网络描述信息还可以包括TCP窗口的大小和TCP的序号,以及网络数据包中包体的字节数和数据包包头的字节数及包头内的相关数据。
在一个实施例中,如图4所示,步骤S13包括如下步骤S41-S42:
在步骤S41中,调用预设的安全风险评估的分析系统对所述网络描述信息进行评估,得到第一评估结果,所述第一评估结果包括安全风险类型,所述安全风险类型包括网络故障、网络入侵、网络木马和网络漏洞中的任一种或多种;
在步骤S42中,通过预设的历史安全风险评结果数据库,对所述第一评估结果进行修正,得到第二评估结果;
在步骤S43中,确认所述第二评估结果中的安全风险类型为所述网络安全监控平台的安全风险类型。
在一个实施例中,网络安全监控平台中预先设置了安全风险评估的分析系统,该分析系统将网络安全日志中的网络描述信息作为输入信息,经过该分析系统预设的分析评估算法和机制,可得到第一评估结果,该第一评估结果包括安全风险类型,该安全风险类型包括网络故障、网络入侵、网络木马和网络漏洞中的任一种或多种。
结合网络安全监控平台中预设的历史安全风险评结果数据库,对所述第一评估结果进行修正,得到第二评估结果。根据历史上类似的网络描述信息的分析结果,对第一评估结果进行修正,可提高系统对网络安全日志中的网络描述信息的评估准确度。
确认该第二评估结果中的安全风险类型为该网络安全监控平台的安全风险类型。
在一个实施例中,如图5所示,步骤S14包括如下步骤S51-S55:
在步骤S51中,在预设的安全风险处理策略数据库中,查询所述安全风险类型对应的优先度排名前N的安全事件处理策略;
在步骤S52中,结合所述网络安全监控平台的处理能力和可调用资源,在所述优先度排名前N的安全事件处理策略中分析出最优的安全事件处理策略;
在步骤S53中,调用所述最优的安全事件处理策略进行网络安全事件处理。
在一个实施例中,对于同一个类型的安全风险类型,其解决方案往往不止一种,从中可以选择出优先度排名前N的安全事件处理策略,其中优先度的综合因素包括处理时间成本、系统性能开销成本、系统I/O开销等因素。结合该网络安全监控平台的实际的处理能力和实际的可调用资源,在该优先度排名前N的安全事件处理策略中分析出最优的安全事件处理策略。例如,优先度排名第一安全事件处理策略虽然只需要10秒的处理事件成本,但是需要16线程的并行处理能力的CPU;优先度排名第一安全事件处理策略虽然只需要20秒的处理事件成本和2线程的并行处理能力的CPU,但是需要一个额外的系统功能模块。这就需要综合考虑网络安全监控平台的处理能力和可调用资源,在可保证安全事件处理策略能够运行的基础上,在该优先度排名前N的安全事件处理策略中分析出最优的安全事件处理策略。经过上述步骤之后,调用该最优的安全事件处理策略进行网络安全事件处理。
在一个实施例中,图6是根据一示例性实施例示出的一种网络安全监控的装置框图。如图6示,该装置用于服务器端,包括第一监控模块61、分析模块62、评估模块63和调用模块64。
该第一监控模块61,用于实时监控网络安全监控平台获取的网络安全日志;
该分析模块62,用于分析所述网络安全日志中的网络描述信息;
该评估模块63,用于根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
该调用模块64,用于根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
如图7所示,还包括镜像模块71和第二监控模块72。
该镜像模块71,用于在所述实时监控网络安全监控平台获取的网络安全日志之前,通过分流器对被监控的IP地址的网络数据进行流量镜像的操作;
该第二监控模块72,用于通过所述网络安全监控平台对进行流量镜像后的网络数据进行实时监控。
如图8所示,该分析模块62包括第一分析子模块81。
该第一分析子模块81,用于分析所述网络安全日志中的网络描述信息,所述网络描述信息包括:IP信息、端口信息、描述文本、时间戳、执行结果中的任一种或多种;所述描述文本包括存活时间、TCP窗口的大小、TCP标识中任一者或多者;所述IP信息包括源地址信息、目标地址信息和IP协议中的任一种或多种;所述执行结果包括接收、丢弃和拒绝连接中的任一种或多种。
如图9所示,该评估模块63包括和第一调用子模块91、修正子模块92和确认子模块93。
该第一调用子模块91,用于调用预设的安全风险评估的分析系统对所述网络描述信息进行评估,得到第一评估结果,所述第一评估结果包括安全风险类型,所述安全风险类型包括网络故障、网络入侵、网络木马和网络漏洞中的任一种或多种;
该修正子模块92,用于通过预设的历史安全风险评结果数据库,对所述第一评估结果进行修正,得到第二评估结果;
该确认子模块93,用于确认所述第二评估结果中的安全风险类型为所述网络安全监控平台的安全风险类型。
如图10所示,该调用模块64包括查询子模块101、第二分析子模块102和第二调用子模块103。
该查询子模块101,用于在预设的安全风险处理策略数据库中,查询所述安全风险类型对应的优先度排名前N的安全事件处理策略;
该第二分析子模块102,用于结合所述网络安全监控平台的处理能力和可调用资源,在所述优先度排名前N的安全事件处理策略中分析出最优的安全事件处理策略;
该第二调用子模块103,用于调用所述最优的安全事件处理策略进行网络安全事件处理。
对应本发明实施例提供的前述网络安全监控方法,本发明实施例还提供了一种存储介质,所述存储介质存储有多条指令,所述指令适用于由处理器加载并执行:
实时监控网络安全监控平台获取的网络安全日志;
分析所述网络安全日志中的网络描述信息;
根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
对应本发明实施例提供的前述网络安全监控方法,本发明实施例还提供了一种服务器,所述服务器包括存储介质、处理器及存储在所述存储介质上并可在所述处理器上运行的网络安全监控系统,所述网络安全监控系统被所述处理器执行时实现如下步骤:
实时监控网络安全监控平台获取的网络安全日志;
分析所述网络安全日志中的网络描述信息;
根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网络安全监控的方法,其特征在于,包括:
实时监控网络安全监控平台获取的网络安全日志;
分析所述网络安全日志中的网络描述信息;
根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
2.如权利要求1所述的方法,其特征在于,还包括:
在所述实时监控网络安全监控平台获取的网络安全日志之前,
通过分流器对被监控的IP地址的网络数据进行流量镜像的操作;
通过所述网络安全监控平台对进行流量镜像后的网络数据进行实时监控。
3.如权利要求1所述的方法,其特征在于,所述分析所述网络安全日志中的网络描述信息,包括:
分析所述网络安全日志中的网络描述信息,所述网络描述信息包括:IP信息、端口信息、描述文本、时间戳、执行结果中的任一种或多种;所述描述文本包括存活时间、TCP窗口的大小、TCP标识中任一者或多者;所述IP信息包括源地址信息、目标地址信息和IP协议中的任一种或多种;所述执行结果包括接收、丢弃和拒绝连接中的任一种或多种。
4.如权利要求1所述的方法,其特征在于,所述根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型,包括:
调用预设的安全风险评估的分析系统对所述网络描述信息进行评估,得到第一评估结果,所述第一评估结果包括安全风险类型,所述安全风险类型包括网络故障、网络入侵、网络木马和网络漏洞中的任一种或多种;
通过预设的历史安全风险评结果数据库,对所述第一评估结果进行修正,得到第二评估结果;
确认所述第二评估结果中的安全风险类型为所述网络安全监控平台的安全风险类型;
和/或
所述根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理,包括:
在预设的安全风险处理策略数据库中,查询所述安全风险类型对应的优先度排名前N的安全事件处理策略;
结合所述网络安全监控平台的处理能力和可调用资源,在所述优先度排名前N的安全事件处理策略中分析出最优的安全事件处理策略;
调用所述最优的安全事件处理策略进行网络安全事件处理。
5.一种网络安全监控的装置,其特征在于,包括:
第一监控模块,用于实时监控网络安全监控平台获取的网络安全日志;
分析模块,用于分析所述网络安全日志中的网络描述信息;
评估模块,用于根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
调用模块,用于根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
6.根据权利要求6所述的装置,其特征在于,还包括:
镜像模块,用于在所述实时监控网络安全监控平台获取的网络安全日志之前,通过分流器对被监控的IP地址的网络数据进行流量镜像的操作;
第二监控模块,用于通过所述网络安全监控平台对进行流量镜像后的网络数据进行实时监控。
7.根据权利要求6所述的装置,其特征在于,所述分析模块,包括:
第一分析子模块,用于分析所述网络安全日志中的网络描述信息,所述网络描述信息包括:IP信息、端口信息、描述文本、时间戳、执行结果中的任一种或多种;所述描述文本包括存活时间、TCP窗口的大小、TCP标识中任一者或多者;所述IP信息包括源地址信息、目标地址信息和IP协议中的任一种或多种;所述执行结果包括接收、丢弃和拒绝连接中的任一种或多种。
8.根据权利要求5所述的装置,其特征在于,
所述评估模块,包括:
第一调用子模块,用于调用预设的安全风险评估的分析系统对所述网络描述信息进行评估,得到第一评估结果,所述第一评估结果包括安全风险类型,所述安全风险类型包括网络故障、网络入侵、网络木马和网络漏洞中的任一种或多种;
修正子模块,用于通过预设的历史安全风险评结果数据库,对所述第一评估结果进行修正,得到第二评估结果;
确认子模块,用于确认所述第二评估结果中的安全风险类型为所述网络安全监控平台的安全风险类型;
和/或
所述调用模块,包括:
查询子模块,用于在预设的安全风险处理策略数据库中,查询所述安全风险类型对应的优先度排名前N的安全事件处理策略;
第二分析子模块,用于结合所述网络安全监控平台的处理能力和可调用资源,在所述优先度排名前N的安全事件处理策略中分析出最优的安全事件处理策略;
第二调用子模块,用于调用所述最优的安全事件处理策略进行网络安全事件处理。
9.一种存储介质,所述存储介质存储有多条指令,其特征在于,所述指令适用于由处理器加载并执行:
实时监控网络安全监控平台获取的网络安全日志;
分析所述网络安全日志中的网络描述信息;
根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
10.一种服务器,其特征在于,所述服务器包括存储介质、处理器及存储在所述存储介质上并可在所述处理器上运行的网络安全监控系统,所述网络安全监控系统被所述处理器执行时实现如下步骤:
实时监控网络安全监控平台获取的网络安全日志;
分析所述网络安全日志中的网络描述信息;
根据所述网络描述信息,评估所述网络安全监控平台的安全风险类型;
根据所述安全风险类型,调用匹配的安全事件处理策略进行网络安全事件处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710790228.9A CN107483472B (zh) | 2017-09-05 | 2017-09-05 | 一种网络安全监控的方法、装置、存储介质及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710790228.9A CN107483472B (zh) | 2017-09-05 | 2017-09-05 | 一种网络安全监控的方法、装置、存储介质及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107483472A true CN107483472A (zh) | 2017-12-15 |
| CN107483472B CN107483472B (zh) | 2020-12-08 |
Family
ID=60603791
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710790228.9A Active CN107483472B (zh) | 2017-09-05 | 2017-09-05 | 一种网络安全监控的方法、装置、存储介质及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107483472B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150976A (zh) * | 2018-07-23 | 2019-01-04 | 中国科学院计算机网络信息中心 | 提供安全服务的方法、装置及存储介质 |
| CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
| CN111404903A (zh) * | 2020-03-09 | 2020-07-10 | 深信服科技股份有限公司 | 一种日志处理方法、装置、设备及存储介质 |
| CN111865973A (zh) * | 2020-07-17 | 2020-10-30 | 国网河北省电力有限公司邯郸供电分公司 | 一种网络安全运维关联分析方法 |
| CN112257069A (zh) * | 2020-10-20 | 2021-01-22 | 福建奇点时空数字科技有限公司 | 一种基于流量数据分析的服务器安全事件审计方法 |
| CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
| CN112487419A (zh) * | 2020-11-30 | 2021-03-12 | 扬州大自然网络信息有限公司 | 一种计算机网络信息安全事件处理方法 |
| CN113242218A (zh) * | 2021-04-23 | 2021-08-10 | 葛崇振 | 一种网络安全监控方法及系统 |
| CN113434855A (zh) * | 2021-06-30 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 一种安全事件的处理方法及装置、可读存储介质 |
| CN115510984A (zh) * | 2022-09-29 | 2022-12-23 | 刘家杰 | 支付平台的防侵入方法、系统及云平台 |
| CN116566729A (zh) * | 2023-06-15 | 2023-08-08 | 广州谦益科技有限公司 | 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
| US9325729B2 (en) * | 2011-01-11 | 2016-04-26 | George Mason Research Foundation, Inc. | K-zero day safety |
-
2017
- 2017-09-05 CN CN201710790228.9A patent/CN107483472B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309150A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
| CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
| US9325729B2 (en) * | 2011-01-11 | 2016-04-26 | George Mason Research Foundation, Inc. | K-zero day safety |
| CN102594783A (zh) * | 2011-01-14 | 2012-07-18 | 中国科学院软件研究所 | 一种网络安全应急响应方法 |
| CN104901960A (zh) * | 2015-05-26 | 2015-09-09 | 汉柏科技有限公司 | 一种基于告警策略的网络安全管理设备及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 龚俭: "计算机网络安全导论第2版", 《南京大学出版社》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150976A (zh) * | 2018-07-23 | 2019-01-04 | 中国科学院计算机网络信息中心 | 提供安全服务的方法、装置及存储介质 |
| CN110602046B (zh) * | 2019-08-13 | 2022-04-26 | 未鲲(上海)科技服务有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
| CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
| CN111404903A (zh) * | 2020-03-09 | 2020-07-10 | 深信服科技股份有限公司 | 一种日志处理方法、装置、设备及存储介质 |
| CN111865973A (zh) * | 2020-07-17 | 2020-10-30 | 国网河北省电力有限公司邯郸供电分公司 | 一种网络安全运维关联分析方法 |
| CN112257069A (zh) * | 2020-10-20 | 2021-01-22 | 福建奇点时空数字科技有限公司 | 一种基于流量数据分析的服务器安全事件审计方法 |
| CN112351004A (zh) * | 2020-10-23 | 2021-02-09 | 烟台南山学院 | 一种基于计算机网络信息安全事件处理系统及方法 |
| CN112487419A (zh) * | 2020-11-30 | 2021-03-12 | 扬州大自然网络信息有限公司 | 一种计算机网络信息安全事件处理方法 |
| CN113242218A (zh) * | 2021-04-23 | 2021-08-10 | 葛崇振 | 一种网络安全监控方法及系统 |
| CN113434855A (zh) * | 2021-06-30 | 2021-09-24 | 北京天融信网络安全技术有限公司 | 一种安全事件的处理方法及装置、可读存储介质 |
| CN115510984A (zh) * | 2022-09-29 | 2022-12-23 | 刘家杰 | 支付平台的防侵入方法、系统及云平台 |
| CN115510984B (zh) * | 2022-09-29 | 2024-01-02 | 广州合利宝支付科技有限公司 | 支付平台的防侵入方法、系统及云平台 |
| CN116566729A (zh) * | 2023-06-15 | 2023-08-08 | 广州谦益科技有限公司 | 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质 |
| CN116566729B (zh) * | 2023-06-15 | 2024-02-13 | 广州谦益科技有限公司 | 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107483472B (zh) | 2020-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483472A (zh) | 一种网络安全监控的方法、装置、存储介质及服务器 | |
| US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
| US11750631B2 (en) | System and method for comprehensive data loss prevention and compliance management | |
| US20220377093A1 (en) | System and method for data compliance and prevention with threat detection and response | |
| US20210092150A1 (en) | Advanced cybersecurity threat mitigation using behavioral and deep analytics | |
| JP6527590B2 (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
| US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
| US10432660B2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| US20120047581A1 (en) | Event-driven auto-restoration of websites | |
| US11734008B1 (en) | Reusable sets of instructions for responding to incidents in information technology environments | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| CN107168844B (zh) | 一种性能监控的方法及装置 | |
| CN110959158A (zh) | 信息处理装置、信息处理方法和信息处理程序 | |
| EP3655878A1 (en) | Advanced cybersecurity threat mitigation using behavioral and deep analytics | |
| KR20220074819A (ko) | 효율적인 서브그래프 검출을 위한 그래프 스트림 마이닝 파이프라인 | |
| US20230113332A1 (en) | Advanced detection of identity-based attacks to assure identity fidelity in information technology environments | |
| Abbass et al. | Assessing the Internet of Things Security Risks. | |
| EP3975021B1 (en) | Method and system for data flow monitoring to identify application security vulnerabilities and to detect and prevent attacks | |
| US8931087B1 (en) | Reconfigurable virtualized remote computer security system | |
| Anand et al. | Enchanced multiclass intrusion detection using supervised learning methods | |
| US20220247763A1 (en) | Dynamic Computer Threat Alert System and Method | |
| EP3679506A2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| Passarelli et al. | NERD: Neural Network for Edict of Risky Data Streams |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |