CN108111487B - 一种安全监控方法及系统 - Google Patents
一种安全监控方法及系统 Download PDFInfo
- Publication number
- CN108111487B CN108111487B CN201711272655.4A CN201711272655A CN108111487B CN 108111487 B CN108111487 B CN 108111487B CN 201711272655 A CN201711272655 A CN 201711272655A CN 108111487 B CN108111487 B CN 108111487B
- Authority
- CN
- China
- Prior art keywords
- network
- access
- event
- information
- asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种安全监控方法及系统,包括:采集网络交换设备中的网络流量数据并转换为网络流量事件;基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析,当出现异常后生成告警事件和资产访问关系;所述预先定义的暴露面访问基线,为根据网络交换设备非故障情况下网络流量事件的统计值计算得到。本发明根据资产访问关系与告警事件,为外部网络攻击的路径、攻击方式进一步地进行分析提供了依据。
Description
技术领域
本发明涉及网络安全监控相关领域,具体涉及一种安全监控方法及系统。
背景技术
系统能够从外部访问的资源集合定义为系统的暴露面。当前,随着互联网技术的快速发展及互联网+理念的迅速推广,越来越多的企业将自己的信息资产接入互联网,这些资产都可以统称为暴露面。伴随暴露面的增加而来的是企业网络安全监测设备的增加及遭受网络攻击风险的加剧。常规网络安全监测方式对一般性的攻击具有较强的防护能力,能够对攻击进行防护与告警。目前网络安全监测系统将主要精力集中在对于网络中流量或网络安全设备日志中异常部分检测上。例如:网络应用入侵防御系统WAF、IDS等系统主要分析流量中的异常特征,来判定外界对系统内网络资产的攻击;通过采集网络安全设备的日志信息,并通过实时或离线分析发现高级持续性威胁。
但是关注具体的攻击或发现网络中的某台资产受到的攻击与风险,如果网络访问策略配置不当或外围暴露面被入侵,入侵者会基于一个暴露面不断地向系统内部渗透,从而形成一个暴露链,最终导致核心资产设备的暴露,造成难以估量的后果。
发明内容
为了解决现有技术中所存在的上述不足,本发明提供一种安全监控方法及系统。
本发明提供的技术方案是:一种安全监控方法,包括:
采集网络交换设备中的网络流量数据并转换为网络流量事件;
基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析,当出现异常后生成告警事件和资产访问关系;
所述预先定义的暴露面访问基线,为根据网络交换设备非故障情况下网络流量事件的统计值计算得到。
优选的,所述预先定义的暴露面访问基线,包括:暴露面服务端口活动基线、暴露服务访问互联网基线和暴露面流量协议分析基线;
所述暴露面服务端口活动基线为根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期分组得到的统计值计算得到;
所述暴露服务访问互联网基线为根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到;
所述暴露面流量协议分析基线为根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到。
优选的,所述采集网络交换设备中的网络流量数据并转换为网络流量事件,包括:
采集交换设备的网络流量数据;
基于面向对象的方式将所述网络流量数据转换为网络流量事件;
所述网络流量事件包括:数据库访问事件、网络连接事件和HTTP访问事件。
优选的,所述数据库访问事件为数据库操作产生的网络流量信息;
所述网络连接事件为网络连接操作产生的网络流量信息;
所述HTTP访问事件为HTTP协议操作产生的网络流量信息。
优选的,在所述网络流量数据转换为网络流量事件后,所述安全监控方法,还包括:
对所述网络流量事件进行丰富化处理;
所述丰富化处理包括:IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析和超文本传输协议解析。
优选的,所述告警事件包括:暴露面不当暴露告警与暴露面过度暴露告警;所述当出现异常后生成告警事件,包括:
当存在非法的访问或恶意访问时,生成所述暴露面不当暴露告警;
将当前网络流量事件与所述暴露面访问基线对比,在规定时间内的网络连接事件条数远大于所述暴露面访问基线时,生成暴露面过度暴露告警。
优选的,所述出现异常后生成资产访问关系包括:
分析实时的网络流量事件中的源IP与目的IP信息;
在两个资产IP之间有网络流量事件生成时,生成资产访问关系,并记录资产之间的访问次数,同时标注访问方向;以及对非法的访问进行标记。
优选的,所述预先登记的暴露面的基本信息,包括:网域信息、资产信息、服务信息和漏洞信息;
对所述网域信息的登记,包括:以IP地址段‐所属网域的格式录入内网不同的网域信息;
对所述资产信息的登记,包括:以输入框或文件的方式录入或批量导入网络资产名称、网络资产编号、网络资产使用者、网络资产IP地址和网络使用的操作系统信息;
对所述服务信息的登记,包括:以输入框的方式录入网络资产所属的服务名称、服务类型、服务URL和服务使用软件信息;
对所述漏洞信息的登记,包括:通过漏洞扫描或查阅漏洞知识库,采集操作系统漏洞、软件漏洞及相关的漏洞级别,以输入框或文件的方式录入或批量导入。
优选的,所述网络流量数据,包括:基于网络的数据源与基于主机的数据源;
所述基于网络的数据源包括:完整的数据包、会话数据、吞吐量统计数据和安全设备告警数据;
所述基于主机的数据源包括:操作系统事件日志和主机防护系统告警数据。
基于同一发明构思,本发明还提供了一种安全监控系统,包括:
流量采集模块:用于采集网络交换设备中的网络流量数据并转换为网络流量事件;
离线分析模块:用于预先根据网络交换设备对非故障情况下网络流量事件的统计值进行计算,得到暴露面访问基线;
暴露面登记模块,用于预先登记暴露面的基本信息;
实时分析模块:用于基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析,当出现异常后生成告警事件和资产访问关系。
优选的,所述离线分析模块,包括:
暴露面服务端口活动基线单元:用于根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期进行分组得到的统计值计算得到暴露面服务端口活动基线;
暴露服务访问互联网基线单元:用于根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到暴露服务访问互联网基线;
暴露面流量协议分析基线单元:用于根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到暴露面流量协议分析基线。
优选的,所述流量采集模块,包括:数据库访问事件单元、网络连接事件单元和HTTP访问事件单元;
所述数据库访问事件单元:用于将不同主机之间数据库操作在网络中产生的网络流量信息转化为数据库访问事件;
所述网络连接事件单元:用于将网络连接操作产生的网络流量信息转化为网络连接事件;
所述HTTP访问事件单元:用于将主机之间通过HTTP协议进行交互过程中产生的网络流量信息转化为HTTP访问事件。
优选的,所述安全监控系统,还包括:网络流量事件丰富化模块;
所述网络流量事件丰富化模块:用于在所述网络流量数据转换为网络流量事件后,对所述网络流量事件进行IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析和超文本传输协议解析。
优选的,所述实时分析模块,包括:暴露面不当暴露告警单元、暴露面过度暴露告警单元和资产访问关系单元;
所述暴露面不当暴露告警单元:用于在出现非法的访问或恶意访问时,生成暴露面不当暴露告警;
所述暴露面过度暴露告警单元:用于将当前网络流量事件与所述暴露面访问基线对比,在规定时间内的网络连接事件条数远大于所述暴露面访问基线时,生成暴露面过度暴露告警;
所述资产访问关系单元:用于通过分析实时的网络流量事件中的源IP与目的IP信息,每当在两个资产IP之间有网络流量事件生成时,则生成资产访问关系并记录资产之间的访问次数,同时标注访问方向;同时对非法的访问进行标记。
优选的,所述暴露面登记模块,包括:网域信息登记单元、资产信息登记单元、服务信息登记单元和漏洞信息登记单元;
所述网域信息登记单元:用于登记内网不同网域IP地址段的信息;
所述资产信息登记单元:用于登记网络资产名称、网络资产编号、网络资产使用者、网络资产IP地址和网络使用的操作系统信息;
所述服务信息登记单元:用于登记网络资产所属的服务名称、服务类型、服务URL、服务使用软件信息;
所述漏洞信息登记单元:用于登记恶意IP、恶意URL、操作系统漏洞、软件漏洞及相关的漏洞级别。
与最接近的现有技术相比,本发明提供的技术方案具有以下有益效果:
本发明提供的技术方案,通过采集网络交换设备中的网络流量数据并转换为网络流量事件,基于预先登记的所述暴露面的基础信息和根据非故障情况下网络流量事件的统计值预先定义的暴露面访问基线,分析网络流量事件的类型,当出现异常后生成告警事件和资产访问关系,后续根据资产访问关系与告警事件,为外部网络攻击的路径、攻击方式进一步地进行分析提供了依据。
本发明提供的技术方案,根据暴露面登记信息与离线分析生成的暴露面访问基线作为判断条件,定义了暴露面告警的种类与对应的检测方法;通过告警的分类在网络资产层面对网络安全状态进行监控与评估。
附图说明
图1为本发明的一种安全监控方法实施的流程示意图;
图2为本发明实施例中安全监控方法的具体流程图;
图3为本发明的暴露面的登记流程图;
图4为本发明的资产访问关系图;
图5为本发明实施例中安全监控系统的结构示意图。
具体实施方式
为了更好地理解本发明,下面结合说明书附图和实例对本发明的内容做进一步的说明。
实施例1、
图1为一种安全监控方法实施的流程示意图,如图1所示,所述方法可以包括:
采集网络交换设备中的网络流量数据并转换为网络流量事件;
基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析,当出现异常后生成告警事件和资产访问关系;
所述预先定义的暴露面访问基线为根据网络交换设备非故障情况下网络流量事件的统计值计算得到。
如图2所示为本实施例中安全监控方法的具体流程图:
(1)用户首先进行暴露面登记,登记暴露面的基础信息;
(2)采集网络流量数据并转换为网络流量事件;
(3)对网络流量事件进行丰富化处理,便于后续分析;
(4)根据暴露面访问基线与登记的暴露面基础信息对丰富化后的流量事件进行实时分析,发现异常生成告警事件、资产访问关系;
(5)定期对历史网络流量事件进行离线分析,生成暴露访问基线。
暴露面登记
如图3所示为预先进行暴露面登记流程:
登记暴露面的基本信息,可以包括:网域信息登记、资产信息登记、服务信息登记、漏洞信息登记等。
网域信息登记可以由用户收集系统中不同的网域信息,以IP地址段‐所属网域的格式进行手工录入。
资产信息登记可以由用户收集系统中资产编号、资产名称、资产IP地址、资产使用者、资产使用的操作系统信息,以输入框或文件的方式进行手工录入或批量导入。
服务登记可以由用户收集资产所属的服务名称、服务类型、服务URL、服务使用软件信息,以输入框的方式手工录入。
漏洞信息登记可以由用户通过漏洞扫描或查阅漏洞知识库,采集操作系统漏洞、软件漏洞及相关的漏洞级别,以输入框或文件的方式进行手工录入或批量导入。
网络流量采集
采集核心交换设备的网络流量数据,并按照面向对象的方式将网络流量数据转换为网络流量事件。
网络流量数据,可以包括:基于网络的数据源与基于主机的数据源等数据;
基于网络的数据源可以包括:完整的数据包、会话数据、吞吐量统计数据和安全设备告警数据等;
基于主机的数据源可以包括:操作系统事件日志和主机防护系统告警数据等。
将网络流量事件抽象为基类,同时扩展三个子类型:数据库访问事件、网络连接事件、HTTP访问事件,分别表示数据库操作、网络连接、HTTP协议所产生的网络流量信息。
流量事件丰富化
网络流量事件丰富化可以包含如下处理步骤:IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析、超文本传输协议解析等步骤。
丰富化后所有的网络流量事件通常可以包含:源主机IP、目的主机IP、源端口、目的端口、使用协议、数据包大小、数据采样等;
其中网络连接事件可以额外包含:连接时长、传输数据采样、连接过程中传输的数据量信息等;
数据库访问事件可以额外包含访问数据库的用户名称、数据库表信息列表及执行的数据操作等;
HTTP访问事件可以额外包含HTTP协议相关的信息,如访问使用的URL、请求参数、浏览器信息等。
离线分析
离线分析使用大数据分析方法对历史网络流量事件进行分析处理,可以根据非故障情况下网络流量事件的统计值预先定义暴露面访问基线。
暴露面访问基线可以包括:暴露面服务端口活动基线、暴露服务访问互联网基线、暴露面流量协议分析基线等。
本发明实施例为了避免误报等情况可以将基线的统计周期设置为1小时,即统计一天以小时为区间统计该时间段内的基线数据。
暴露面服务端口活动基线是对非故障暴露的服务端口根据预设的第一时间周期分组得到统计值,包含服务端口在特定时间周期内:访问流量字节数、平均流量包大小、访问次数的均值和方差数据等。
暴露服务访问互联网基线是对非故障暴露的可访问互联网的服务器根据预设的第二时间周期分组得到统计值,包含可访问外网服务器在特定时间周期内访问次数的均值和方差。
暴露面流量协议分析基线是对非故障暴露的协议根据预设的第三时间周期分组得到统计值,包含该协议在特定时间周期内的访问流量字节数的均值和方差以及在总流量中的百分比。
实时分析
实时分析模块根据预先登记的暴露面登记数据与预先定义的暴露面访问基线数据,可以对丰富化后的网络流量事件进行实时分析,资产访问关系与告警事件。
通过分析实时的流量事件中的源IP与目的IP信息,每当在两个资产IP之间有网络流量事件生成,则生成资产访问关系并记录资产之间的访问次数,并使用箭头形状的线条表示访问方向,如果是非法的访问,则标记箭头,并标记异常访问。
图4为典型的资产访问关系的示意图,如图所示,其中,黑色矩形框表示单个资产,包含了资产IP、服务端口、资产功能;资产所在的网域信息由用户进行登记,可以分为互联网、信息外网、信息内网,垂直的黑色虚线表示网域间的边界;无标记的箭头表示正常访问,有异常标记的箭头表示异常访问,箭头的方向表示访问关系的方向,即源IP所在资产对目的IP所在资产的访问;箭头中的数字表示一定周期内的访问次数,如果为双向箭头,则表示相互访问次数之和。
通过图4可以展示出互联网中的主机对资产5发生了29次异常访问、资产5对资产3发生了8次异常访问;通过分析可以发现,外部攻击源可能将资产5作为跳板对作为数据库服务器的资产3进行攻击。
告警事件可以包括:暴露面异常暴露告警与暴露面不当暴露告警。
其中,不当暴露指的是存在非法的访问或恶意访问,过度暴露指的是当前网络流量事件与访问基线对比存在异常。
如表1所示为暴露面告警的生成依据:
表1告警生成依据
本发明提供的技术方案,通过采集网络交换设备中的网络流量数据并转换为网络流量事件,基于预先登记的所述暴露面的基础信息和根据非故障情况下网络流量事件的统计值预先定义的暴露面访问基线,分析网络流量事件的类型,当出现异常后生成告警事件和资产访问关系,后续根据资产访问关系与告警事件,为外部网络攻击的路径、攻击方式进一步地进行分析,在整体上结合了资产间的访问关系与资产上部署服务等先验知识判断网络资产的风险,为后续判断提供了依据。
实施例2、
基于同一发明构思,本发明实施例还提供了一种安全监控系统,所述系统可以包括:
暴露面登记模块、流量采集模块、实时分析模块和离线分析模块。
图5为安全监控系统的结构示意图,如图所示:
暴露面登记模块,可以用于登记暴露面的基本信息,这些信息可以包括:网域信息登记、资产信息登记、服务信息登记、漏洞信息登记。
网域信息登记包括登记内网不同网域IP地址段的信息;
资产信息登记包括:登记网络资产名称、网络资产编号、网络资产使用者、网络使用的操作系统信息;
服务信息登记包括:登记服务名称、服务类型、服务URL、服务使用软件信息;
漏洞信息登记包括:恶意IP、恶意URL、操作系统漏洞、软件漏洞及相关的漏洞级别。
流量采集模块可以用于采集核心网络交换设备中的流量信息,并使用面向对象的方式将流量信息转换为:数据库访问事件、网络连接事件、HTTP访问事件。
数据库访问事件表示不同主机之间数据库操作在网络中产生的流量信息;网络连接事件表示两个主机从建立网络连接到关闭连接的整个过程;HTTP访问事件表示主机之间通过HTTP协议进行交互过程中产生的流量信息。
安全监控系统还可以包括:
网络流量事件丰富化模块,所述网络流量事件丰富化模块可以用于在所述网络流量数据转换为网络流量事件后,IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析、超文本传输协议解析。
丰富化后所有的网络流量事件都包含了:源主机IP、目的主机IP、源端口、目的端口、使用协议、数据包大小、数据采样;
其中网络连接事件额外包含了:连接时长、传输数据采样、连接过程中传输的数据量信息;
数据库访问事件额外包含了访问数据库的用户名称、数据库表信息列表及执行的数据操作;
HTTP访问事件额外包含了HTTP协议相关的信息,如访问使用的URL、请求参数、浏览器信息等。
实时分析模块,可以用于通过分析丰富化后网络流量事件,结合登记的暴露面信息,发现暴露面不当暴露与过度暴露两大类暴露面异常,例如A网域内的主机不具备访问B网域主机的权限,但是却监测到了A网域主机对B网域主机的访问,说明暴露面B存在安全风险;
实时分析模块还可以用于通过分析丰富化后网络流量事件,生成资产访问关系。
离线分析模块,可以用于在长时间维度上对网络流量事件的历史数据进行离线分析,生成网络访问基线。
基线可以反应非暴露情况下网络流量事件的统计值,例如一小时内网络连接事件生成的条数。当一小时内的网络连接事件条数远大于该值时,说明有异常情况发生。
所述离线分析模块,可以包括:
暴露面服务端口活动基线单元:用于根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期分组得到的统计值计算得到暴露面服务端口活动基线;
暴露服务访问互联网基线单元:用于根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到暴露服务访问互联网基线;
暴露面流量协议分析基线单元:用于根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到暴露面流量协议分析基线。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。
Claims (8)
1.一种安全监控方法,其特征在于,包括:
采集网络交换设备中的网络流量数据并转换为网络流量事件;
基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析,当出现异常后生成告警事件和资产访问关系;
所述预先定义的暴露面访问基线,为根据网络交换设备非故障情况下网络流量事件的统计值计算得到;
所述预先定义的暴露面访问基线,包括:暴露面服务端口活动基线、暴露服务访问互联网基线和暴露面流量协议分析基线;
所述暴露面服务端口活动基线为根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期分组得到的统计值计算得到;
所述暴露服务访问互联网基线为根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到;
所述暴露面流量协议分析基线为根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到;
所述采集网络交换设备中的网络流量数据并转换为网络流量事件,包括:
采集交换设备的网络流量数据;
基于面向对象的方式将所述网络流量数据转换为网络流量事件;
所述网络流量事件包括:数据库访问事件、网络连接事件和HTTP访问事件;
所述告警事件包括:暴露面不当暴露告警与暴露面过度暴露告警;所述当出现异常后生成告警事件,包括:
当存在非法的访问或恶意访问时,生成所述暴露面不当暴露告警;
将当前网络流量事件与所述暴露面访问基线对比,在规定时间内的网络连接事件条数远大于所述暴露面访问基线时,生成暴露面过度暴露告警;
所述预先登记的暴露面的基本信息,包括:网域信息、资产信息、服务信息和漏洞信息;
对所述网域信息的登记,包括:以IP地址段-所属网域的格式录入内网不同的网域信息;
对所述资产信息的登记,包括:以输入框或文件的方式录入或批量导入网络资产名称、网络资产编号、网络资产使用者、网络资产IP地址和网络使用的操作系统信息;
对所述服务信息的登记,包括:以输入框的方式录入网络资产所属的服务名称、服务类型、服务URL和服务使用软件信息;
对所述漏洞信息的登记,包括:通过漏洞扫描或查阅漏洞知识库,采集操作系统漏洞、软件漏洞及相关的漏洞级别,以输入框或文件的方式录入或批量导入。
2.如权利要求1所述的安全监控方法,其特征在于,所述数据库访问事件为数据库操作产生的网络流量信息;
所述网络连接事件为网络连接操作产生的网络流量信息;
所述HTTP访问事件为HTTP协议操作产生的网络流量信息。
3.如权利要求1所述的安全监控方法,其特征在于,在所述网络流量数据转换为网络流量事件后,所述安全监控方法,还包括:
对所述网络流量事件进行丰富化处理;
所述丰富化处理包括:IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析和超文本传输协议解析。
4.如权利要求1所述的安全监控方法,其特征在于,出现异常后生成资产访问关系包括:
分析实时的网络流量事件中的源IP与目的IP信息;
在两个资产IP之间有网络流量事件生成时,生成资产访问关系,并记录资产之间的访问次数,同时标注访问方向;以及对非法的访问进行标记。
5.如权利要求1所述的安全监控方法,其特征在于,所述网络流量数据,包括:基于网络的数据源与基于主机的数据源;
所述基于网络的数据源包括:完整的数据包、会话数据、吞吐量统计数据和安全设备告警数据;
所述基于主机的数据源包括:操作系统事件日志和主机防护系统告警数据。
6.一种安全监控系统,其特征在于,包括:
流量采集模块:用于采集网络交换设备中的网络流量数据并转换为网络流量事件;
离线分析模块:用于预先根据网络交换设备对非故障情况下网络流量事件的统计值进行计算,得到暴露面访问基线;
暴露面登记模块,用于预先登记暴露面的基本信息;
实时分析模块:用于基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析,当出现异常后生成告警事件和资产访问关系;
所述离线分析模块,包括:
暴露面服务端口活动基线单元:用于根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期进行分组得到的统计值计算得到暴露面服务端口活动基线;
暴露服务访问互联网基线单元:用于根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到暴露服务访问互联网基线;
暴露面流量协议分析基线单元:用于根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到暴露面流量协议分析基线;
所述实时分析模块,包括:暴露面不当暴露告警单元、暴露面过度暴露告警单元和资产访问关系单元;
所述暴露面不当暴露告警单元:用于在出现非法的访问或恶意访问时,生成暴露面不当暴露告警;
所述暴露面过度暴露告警单元:用于将当前网络流量事件与所述暴露面访问基线对比,在规定时间内的网络连接事件条数远大于所述暴露面访问基线时,生成暴露面过度暴露告警;
所述资产访问关系单元:用于通过分析实时的网络流量事件中的源IP与目的IP信息,每当在两个资产IP之间有网络流量事件生成时,则生成资产访问关系并记录资产之间的访问次数,同时标注访问方向;同时对非法的访问进行标记;
所述暴露面登记模块,包括:网域信息登记单元、资产信息登记单元、服务信息登记单元和漏洞信息登记单元;
所述网域信息登记单元:用于登记内网不同网域IP地址段的信息;
所述资产信息登记单元:用于登记网络资产名称、网络资产编号、网络资产使用者、网络资产IP地址和网络使用的操作系统信息;
所述服务信息登记单元:用于登记网络资产所属的服务名称、服务类型、服务URL、服务使用软件信息;
所述漏洞信息登记单元:用于登记恶意IP、恶意URL、操作系统漏洞、软件漏洞及相关的漏洞级别。
7.如权利要求6所述的安全监控系统,其特征在于,所述流量采集模块,包括:数据库访问事件单元、网络连接事件单元和HTTP访问事件单元;
所述数据库访问事件单元:用于将不同主机之间数据库操作在网络中产生的网络流量信息转化为数据库访问事件;
所述网络连接事件单元:用于将网络连接操作产生的网络流量信息转化为网络连接事件;
所述HTTP访问事件单元:用于将主机之间通过HTTP协议进行交互过程中产生的网络流量信息转化为HTTP访问事件。
8.如权利要求6所述的安全监控系统,其特征在于,所述安全监控系统,还包括:网络流量事件丰富化模块;
所述网络流量事件丰富化模块:用于在所述网络流量数据转换为网络流量事件后,对所述网络流量事件进行IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析和超文本传输协议解析。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711272655.4A CN108111487B (zh) | 2017-12-05 | 2017-12-05 | 一种安全监控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711272655.4A CN108111487B (zh) | 2017-12-05 | 2017-12-05 | 一种安全监控方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108111487A CN108111487A (zh) | 2018-06-01 |
CN108111487B true CN108111487B (zh) | 2022-08-09 |
Family
ID=62208070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711272655.4A Active CN108111487B (zh) | 2017-12-05 | 2017-12-05 | 一种安全监控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108111487B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110602021A (zh) * | 2018-06-12 | 2019-12-20 | 蓝盾信息安全技术有限公司 | 一种基于http请求行为与业务流程相结合的安全风险值评估方法 |
CN111030972A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种资产信息管理及可视化展示的方法、装置及存储设备 |
CN112270493B (zh) * | 2020-11-13 | 2023-05-12 | 中盈优创资讯科技有限公司 | 一种资产自动防护的方法及装置 |
CN112565287B (zh) * | 2020-12-18 | 2023-05-12 | 深信服科技股份有限公司 | 资产暴露面确定方法、装置、防火墙及存储介质 |
CN113472775B (zh) * | 2021-06-29 | 2023-07-14 | 深信服科技股份有限公司 | 一种暴露面确定方法、系统及存储介质 |
CN114070608A (zh) * | 2021-11-12 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种基于流量分析的资产优化方法及装置 |
CN114244727A (zh) * | 2021-12-15 | 2022-03-25 | 国网辽宁省电力有限公司沈阳供电公司 | 一种电力物联网通信全景图即时生成方法及系统 |
CN115296917B (zh) * | 2022-08-09 | 2023-07-07 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
CN115408701B (zh) * | 2022-08-30 | 2023-06-27 | 上海聚均科技有限公司 | 人工智能与大数据结合的数据资产漏洞分析方法及系统 |
CN117640257B (zh) * | 2024-01-25 | 2024-04-16 | 华能澜沧江水电股份有限公司 | 一种基于大数据的网络安全运营的数据处理方法及系统 |
CN118075025B (zh) * | 2024-04-17 | 2024-06-28 | 莱芜职业技术学院 | 一种基于大数据的计算机数据安全评估方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN105281981A (zh) * | 2015-11-04 | 2016-01-27 | 北京百度网讯科技有限公司 | 网络服务的数据流量监控方法和装置 |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
CN107135183A (zh) * | 2016-02-26 | 2017-09-05 | 中国移动通信集团河北有限公司 | 一种流量数据监测方法和装置 |
CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
-
2017
- 2017-12-05 CN CN201711272655.4A patent/CN108111487B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104361283A (zh) * | 2014-12-05 | 2015-02-18 | 网宿科技股份有限公司 | 防护Web攻击的方法 |
CN105141604A (zh) * | 2015-08-19 | 2015-12-09 | 国家电网公司 | 一种基于可信业务流的网络安全威胁检测方法及系统 |
CN105281981A (zh) * | 2015-11-04 | 2016-01-27 | 北京百度网讯科技有限公司 | 网络服务的数据流量监控方法和装置 |
CN107135183A (zh) * | 2016-02-26 | 2017-09-05 | 中国移动通信集团河北有限公司 | 一种流量数据监测方法和装置 |
CN105847283A (zh) * | 2016-05-13 | 2016-08-10 | 深圳市傲天科技股份有限公司 | 一种基于信息熵方差分析的异常流量检测方法 |
CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108111487A (zh) | 2018-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108111487B (zh) | 一种安全监控方法及系统 | |
Kumar et al. | Signature based intrusion detection system using SNORT | |
Gul et al. | Distributed cloud intrusion detection model | |
US11647037B2 (en) | Penetration tests of systems under test | |
US20160381049A1 (en) | Identifying network intrusions and analytical insight into the same | |
CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
CN114640548A (zh) | 一种基于大数据的网络安全感知和预警的方法及系统 | |
CN112217777A (zh) | 攻击回溯方法及设备 | |
Lu et al. | Integrating traffics with network device logs for anomaly detection | |
Tiwari et al. | Refinements in Zeek intrusion detection system | |
Thapliyal et al. | A generic process model for botnet forensic analysis | |
Holkovič et al. | Automating network security analysis at packet-level by using rule-based engine | |
CN116668051A (zh) | 攻击行为的告警信息处理方法、装置、程序、电子及介质 | |
Vitali et al. | DDoS Detection with Information Theory Metrics and Netflows-A Real Case. | |
CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
Kim et al. | Detection of advanced persistent threat by analyzing the big data log | |
Kumar et al. | Analysis of network traffic and security through log aggregation | |
Montanari et al. | Confidentiality of event data in policy-based monitoring | |
Syed et al. | Fast attack detection using correlation and summarizing of security alerts in grid computing networks | |
CN116827698B (zh) | 一种网络关口流量安全态势感知系统及方法 | |
Benzidane et al. | Toward a cloud-based security intelligence with big data processing | |
Pareta et al. | An integrated approach for effective intrusion detection with elasticsearch | |
US11792209B2 (en) | Robust learning of web traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |