CN108234486A - 一种网络监测方法及监测服务器 - Google Patents
一种网络监测方法及监测服务器 Download PDFInfo
- Publication number
- CN108234486A CN108234486A CN201711489011.0A CN201711489011A CN108234486A CN 108234486 A CN108234486 A CN 108234486A CN 201711489011 A CN201711489011 A CN 201711489011A CN 108234486 A CN108234486 A CN 108234486A
- Authority
- CN
- China
- Prior art keywords
- server
- blacklist
- message data
- network identity
- cloud server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种网络监测方法及监测服务器,其中,网络监测方法包括:监测服务器获取被监测服务器的消息数据;监测服务器获取消息数据中交互方的网络标识;监测服务器根据网络标识查询本地的第一黑名单;第一黑名单是监测服务器从云端服务器的第二黑名单获得的;云端服务器的第二黑名单包括多个关联攻击行为的网络标识;在第一黑名单存在网络标识时,确定消息数据为威胁性消息数据。监测服务器的第一黑名单是从云端服务器的第二黑名单中获得的,由于第二黑名单中的网络标识是关联攻击行为的网络标识,因此即使该网络标识对应的交互方没有发起攻击监测服务器也可以发现交互方对被监测服务器的威胁,从而实现了对攻击行为的主动防御。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络监测方法及监测服务器。
背景技术
随着网络环境越来越复杂,不同的攻击行为更具产业化、团伙化,入侵手法也越来越多样化和复杂化,使得传统安全解决方案持续受到挑战。然而,传统的安全产品,如入侵防御系统(Intrusion Prevention System,IPS)、入侵检测系统(Intrusion DetectionSystems,IDS)、防火墙等通常都是根据特定的攻击行为做出相应的防护,因此,这些防护手段只能在攻击发生后被动进行防护。
发明内容
本发明提供一种网络监测方法及监测服务器,用以实现对攻击行为的主动防御。
本发明实施例提供一种网络监测方法,包括:
监测服务器获取被监测服务器的消息数据;
所述监测服务器获取所述消息数据中交互方的网络标识;
所述监测服务器根据所述网络标识查询本地的第一黑名单;所述第一黑名单是所述监测服务器从云端服务器的第二黑名单获得的;所述云端服务器的第二黑名单包括多个关联攻击行为的网络标识;
在所述第一黑名单存在所述网络标识时,确定所述消息数据为威胁性消息数据。
可选的,所述云端服务器的第二黑名单中还包括每一个网络标识所对应的信息记录;
所述监测服务器确定所述消息数据为威胁性消息数据之后,还包括:
将所述威胁性消息数据对应的威胁事件发送至所述云端服务器;以使所述云端服务器根据所述威胁事件中的网络标识更新所述第二黑名单中所述网络标识的信息记录。
可选的,所述监测服务器还包括第一白名单;所述第一白名单是所述监测服务器从所述云端服务器的第二白名单获得的;
所述监测服务器根据所述网络标识查询本地的第一黑名单之后,还包括:
在所述第一黑名单不存在所述网络标识时,所述监测服务器根据所述网络标识查询所述第一白名单;
在所述第一白名单不存在所述网络标识时,所述监测服务器将所述消息数据发送至所述云端服务器,以使所述云端服务器查询所述第二黑名单和所述第二白名单以确定所述消息数据是否为威胁性消息数据。
可选的,还包括:
所述监测服务器按照预设的第一时间间隔向所述云端服务器发送消息数据包;所述消息数据包中包括在预设的第一时间间隔内,所述被监测服务器的消息数据总量;所述云端服务器用于根据所述消息数据总量对所述被监测服务器进行统计分析。
可选的,还包括:
所述监测服务器接收所述云端服务器返回的分析报告;所述分析报告包括所述被监测服务器在预设的第二时间间隔内的威胁事件统计分析结果。
本发明实施例提供一种监测服务器,包括:
收发单元,用于获取被监测服务器的消息数据;
处理单元,用于获取所述消息数据中交互方的网络标识;
所述处理单元,还用于根据所述网络标识查询本地的第一黑名单;所述第一黑名单是所述处理单元通过所述收发单元从云端服务器的第二黑名单获得的;所述云端服务器的第二黑名单包括多个关联攻击行为的网络标识;
所述处理单元,还用于在所述第一黑名单存在所述网络标识时,确定所述消息数据为威胁性消息数据。
可选的,所述云端服务器的第二黑名单中还包括每一个网络标识所对应的信息记录;
所述处理单元还用于:
通过所述收发单元将所述威胁性消息数据对应的威胁事件发送至所述云端服务器;以使所述云端服务器根据所述威胁事件中的网络标识更新所述第二黑名单中所述网络标识的信息记录。
可选的,所述监测服务器还包括第一白名单;所述第一白名单是所述处理单元通过所述收发单元从所述云端服务器的第二白名单获得的;
所述处理单元还用于:
在所述第一黑名单不存在所述网络标识时,根据所述网络标识查询所述第一白名单;
在所述第一白名单不存在所述网络标识时,通过所述收发单元将所述消息数据发送至所述云端服务器,以使所述云端服务器查询所述第二黑名单和所述第二白名单以确定所述消息数据是否为威胁性消息数据。
可选的,所述处理单元还用于:
通过所述收发单元按照预设的第一时间间隔向所述云端服务器发送消息数据包;所述消息数据包中包括在预设的第一时间间隔内,所述被监测服务器的消息数据总量;所述云端服务器用于根据所述消息数据总量对所述被监测服务器进行统计分析。
可选的,所述收发单元还用于:
接收所述云端服务器返回的分析报告;所述分析报告包括所述被监测服务器在预设的第二时间间隔内的威胁事件统计分析结果。
本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述任一项所述的网络监测方法。
本发明实施例提供一种计算设备,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述任一项所述的网络监测方法。
综上所述,本发明实施例提供一种网络监测方法及监测服务器,其中,网络监测方法包括:监测服务器获取被监测服务器的消息数据;监测服务器获取消息数据中交互方的网络标识;监测服务器根据网络标识查询本地的第一黑名单;第一黑名单是监测服务器从云端服务器的第二黑名单获得的;云端服务器的第二黑名单包括多个关联攻击行为的网络标识;在第一黑名单存在网络标识时,确定消息数据为威胁性消息数据。在本发明实施例中,监测服务器的第一黑名单是从云端服务器的第二黑名单中获得的,由于第二黑名单中的网络标识是关联攻击行为的网络标识,因此即使该网络标识对应的交互方没有发起攻击监测服务器也可以发现交互方对被监测服务器的威胁,从而实现了对攻击行为的主动防御。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供一种网络监测系统架构示意图;
图2为本发明实施例提供的一种网络监测方法流程示意图;
图3为本发明实施例提供的一种可行的网络监测方法流程示意图
图4为本发明实施例提供的一种监测服务器结构示意图;
图5为本发明实施例提供的一种计算设备结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明实施例提供一种网络监测系统架构示意图,如图1所示,云端服务器与监测服务器1、监测服务器2、……、监测服务器N等N台监测服务器通过网络连接,N大于等于1。对于任一监测服务器,其与一被监测服务器连接。监测服务器能够从被监测服务器获取被监测服务器的镜像消息数据,即被监测服务器所发送或接收的每一条消息数据都会传至监测服务器。可选的,被监测服务器可以是各机构的内部网关服务器,机构内网发送或接收的外界消息必须经过内部网关服务器。监测服务器镜像内部网关服务器的消息数据实际上镜像的是内网与外界交互的消息数据,从而实现了对内网的网络威胁的监测。监测服务器和被监测服务器可以是两台单独的服务器,二者之间通过网络进行数据传输,可选的,监测服务器和被监测服务器也可以集成于同一台服务器,例如,在被监测服务器上通过安装监测软件或功能模块使被监测服务器同时集成了监测服务器的功能。为了便于理解,本申请将监测服务器和被监测服务器作为两台独立的服务器进行表述,应理解,监测服务器和被监测服务器集成于同一台服务器的实现方式也同样包含于本发明实施例之中。
基于如图1所示的网络监测系统,本发明实施例提供一种网络监测方法。图2为本发明实施例提供的一种网络监测方法流程示意图,如图2所示,包括以下步骤:
S201:监测服务器获取被监测服务器的消息数据。
S202:监测服务器获取消息数据中交互方的网络标识。
S203:监测服务器根据网络标识查询本地的第一黑名单;第一黑名单是监测服务器从云端服务器的第二黑名单获得的;云端服务器的第二黑名单包括多个关联攻击行为的网络标识。
S204:在第一黑名单存在该网络标识时,确定消息数据为威胁性消息数据。
在S201中,消息数据既包括了被监测服务器接收到的消息数据,又包括了被监测服务器向外发送的消息数据。监测服务器镜像获取被监测服务器的消息数据,依次对被监测服务器的每一条消息数据进行监测。
在S202中,网络标识可以网络协议(Internet Protocol,IP)地址,也可以是统一资源定位符(Uniform Resource Locator,URL),也可以是域名,或者是上述三种标识之间的任意组合等等。在本发明实施例中,交互方的网络标识既可以是消息数据中的源网络标识,也可以是消息数据中的目的网络标识,具体来说,在消息数据为被监测服务器接收到的消息数据时,则获取消息数据中的源网络标识,在消息数据为被监测服务器发送的消息数据时,则获取消息数据中的目的网络标识。
在S203中,云端服务器保存有第二黑名单,第二黑名单中记录有多个关联攻击行为的网络标识。其中,关联攻击行为指的是与历史发生过的攻击行为相关的网络标识。例如,一些历史一段时间(如一个月)内发起过攻击行为的网络标识,便是关联攻击行为的网络标识。又例如,一些网络标识虽不会直接发起攻击,但在服务器被攻击时会被强制访问一些网络标识,那么这些网络标识也是关联攻击行为的网络标识,例如盗用网站。可选的,云端服务器的第二黑名单中的网络标识可通过蜜罐、扫描、被监测服务器日志查询、监测平台日志查询、开源信息等多种方式定时更新。监测服务器定期从云端服务器加载第二黑名单中的网络标识,从而获得监测服务器本地的第一黑名单。相比于传统的安全防护方法,本发明实施例中监测服务器可以及时从云端服务器中获取数据更新,更好应对不断变化的网络攻击行为。
可选的,云端服务器的第二黑名单设置有老化机制。超过预设老化时间的网络标识将会从第二黑名单中去除。对于一些关联攻击行为的网络标识,其有可能是在某一时刻被劫持而发生了攻击,在一定时间后,其有可能会恢复为正常的网络标识。通过设置老化机制可以避免第二黑名单防御过度的情况发生。
可选的,监测服务器定期从云端服务器中获取更新数据以更新本地的第一黑名单。可选的,监测服务器更新第一黑名单的频率可以和云端服务器第二黑名单的更新频率保持一致。例如,云端服务器每天都会更新第二黑名单中的网络标识,则监测服务器每天从云端服务器中获取第二黑名单的更新数据以更新第一黑名单。
可选的,由于监测系统中的N个被监测服务器往往属于不同的机构,在监测服务器与被监测服务器集成于同一服务器的情况下,由于各机构的服务器系统千差万别,使得监测服务器并不适合设置老化机制。可选的,监测服务器根据预设的时间定期删除本地的第一黑名单,并再次根据云端服务器的第二黑名单获取本地的第一黑名单,一般,第一黑名单无需获取第二黑名单中所有的网络标识,只需获取第二黑名单中最近一段时间内更新的网络标识即可。
在S204中,在第一黑名单存在该网络标识时,说明该消息数据的交互方曾与攻击行为产生过联系,对被监测服务器具有威胁性,因此可以确定消息数据为威胁性消息数据。
在本发明实施例中,监测服务器的第一黑名单是从云端服务器的第二黑名单中获得的,由于第二黑名单中的网络标识是关联攻击行为的网络标识,因此即使该网络标识对应的交互方没有发起攻击监测服务器也可以发现交互方对被监测服务器的威胁,从而实现了对攻击行为的主动防御。
可选的,在云端服务器的第二黑名单中还包括每一个网络标识所对应的信息记录,网络标识的信息记录的具体内容可以根据实际使用需求而定,例如,该网络标识曾参与过攻击行为的次数、参与攻击行为的时间、该网络标识曾攻击过的对象等等。信息记录相当于网络标识的“简历”,是追踪分析该网络标识的重要依据。可选的,在监测服务器确定消息数据为威胁性消息数据之后,监测服务器还会将威胁性消息数据对应的威胁事件发送至云端服务器;以使云端服务器根据威胁事件中的网络标识更新第二黑名单中网络标识的信息记录。一般,监测服务器可将威胁性消息数据中的五元组信息上报至云端服务器,所谓的五元组信息即威胁性消息数据中的源IP、源端口、目的IP、目的端口和时间。
可选的,监测服务器还包括第一白名单;第一白名单是监测服务器从云端服务器的第二白名单获得的。与第一黑名单类似的,由于第二白名单的数据量较大,第一白名单也可以只包括第二白名单中的部分网络标识。监测服务器根据网络标识查询本地的第一黑名单之后,还包括:在第一黑名单不存在网络标识时,监测服务器根据网络标识查询第一白名单;在第一白名单不存在网络标识时,监测服务器将消息数据发送至云端服务器,以使云端服务器查询第二黑名单和第二白名单以确定消息数据是否为威胁性消息数据。由于第一黑名单和第一白名单的内容有限,监测服务器在未在第一黑名单和第一白名单中匹配到网络标识时,可以将网络标识发送至云端服务器,由云端服务器在第二黑名单和第二白名单中匹配。当然,第二黑名单和第二白名单也有未匹配到该网络标识的情况,此时可通过其它安全监测方法对该网络标识的威胁性进行判断,本发明实施例对此不作过多限定。可选的,监测服务器本地还保存有灰名单,监测服务器在未在第一黑名单和第一白名单中匹配到网络标识时,继续在灰名单中匹配该网络标识。若仍未匹配到该网络标识,则将该网络标识添加至灰名单,并在收到云端服务器对该网络标识的威胁性判定后,更新灰名单中该网络标识的威胁性。可选的,对于设置有灰名单的监测服务器,在定期删除本地的第一黑名单,并再次根据云端服务器的第二黑名单获取本地的第一黑名单时,会重置灰名单中各个网络标识对应的威胁性。
可选的,本发明实施例中监测服务器还会按照预设的第一时间间隔向云端服务器发送消息数据包;消息数据包中包括在预设的第一时间间隔内,被监测服务器的消息数据总量;云端服务器用于根据消息数据总量对被监测服务器进行统计分析。举例说明,第一时间间隔为15s,则监测服务器每隔15s向云端服务器发送一次消息数据包,消息数据包中包括被监测服务器在15s内的消息数据总量。在云端服务器中,云端服务器可以对被监测服务器提供定制化的统计分析服务。云端服务器中每一个被监测服务器对应有一个第二黑名单,监测服务器上报的威胁事件会被定向更新到被监测服务器对应的第二黑名单中。可选的,监测服务器在确定某一消息数据为威胁性消息数据时,不会立即向云端服务器上报,而是将该威胁性消息数据对应的威胁事件添加入消息数据包,随消息数据总量一同上报。可选的,监测服务器在将某一网络标识加入灰名单后,也不会立即上报云端服务器,而是将该其加入消息数据包,随消息数据总量一同上报。采用这种方式,在第一时间间隔内,监测服务器只需一次上报,降低了监测服务器和云端服务器的工作压力。
云端服务器会对被监测服务器在预设的第二时间间隔内的威胁时间进行统计分析,将统计分析结果生成分析报告并返回监测服务器。例如,云端服务器可以根据第二时间间隔内被监测服务器的消息数据总量和威胁事件总量,判断被监测服务器威胁时间总量在消息数据总量中所占的比例,在该比例超过预设阈值后,向被监测服务器发出告警。同时,还可以向被监测服务器发送相关威胁事件中交互方网络标识所对应的信息记录。又例如,云端服务器还可以按照第二时间间隔定期向被监测服务器展示第二时间间隔内某些特定类型的威胁事件,例如,根据在第二黑名单中匹配到的网络标识的信息记录,判断该网络标识的威胁类型(如僵尸主机、扫描源等等),并将这些判断结果展示给被监测服务器。监测服务器在接收到云端服务器的分析结果后,进一步转发给被监测服务器,以使被监测服务器能够对所处网络环境有清楚的了解,并及时做好安全防御。
为了更具体地说明本发明实施例所提供的网络监测方法,本发明实施例提供一种具体可行的实现方式以供说明。在本实现方式中,被监测服务器为机构内网的内部网关服务器,内部网关服务器中通过安装监测软件或功能模块而集成了监测服务器的功能。在此基础上,图3为本发明实施例提供的一种可行的网络监测方法流程示意图,如图3所示,包括以下步骤:
S301:内部网关服务器获取内网与外界交互的消息数据。
S302:内部网关服务器获取消息数据中的交互方网络标识。
S303:内部网关服务器根据交互方网络标识查询第一黑名单。
S304:若第一黑名单中存在交互方网络标识,则该消息数据为威胁性消息数据,内部网关服务器执行S305;反之,则执行S309。
S305:内部网关服务器将威胁性消息数据对应的威胁事件加入消息数据包。
S306:内部网关服务器中设置定时模块在到达第一预设时间后执行S307。
S307:内部网关服务器向云端服务器发送消息数据包,消息数据包中包括了S305中加入的威胁事件,以及,第一预设时间内内部网关服务器的消息数据量。
S308:云端服务器对不同用户的数据进行定制化统计分析服务。
S309:内部网关服务器将未命中第一黑名单的消息数据发送至云端服务器。
S310:云端服务器判定消息数据的威胁性。查询方式包括了查询第二黑名单,以及,其它安全监测方法。
S311:云端服务器将判定结果返回内部网关服务器,以使内部网关服务器执行S305。
由上述实现方式可见,本发明实施例只需合理布局监测服务器的网络位置便可以实现对内网中网络威胁的识别。
综上所述,本发明实施例提供一种网络监测方法,包括:监测服务器获取被监测服务器的消息数据;监测服务器获取消息数据中交互方的网络标识;监测服务器根据网络标识查询本地的第一黑名单;第一黑名单是监测服务器从云端服务器的第二黑名单获得的;云端服务器的第二黑名单包括多个关联攻击行为的网络标识;在第一黑名单存在网络标识时,确定消息数据为威胁性消息数据。在本发明实施例中,监测服务器的第一黑名单是从云端服务器的第二黑名单中获得的,由于第二黑名单中的网络标识是关联攻击行为的网络标识,因此即使该网络标识对应的交互方没有发起攻击监测服务器也可以发现交互方对被监测服务器的威胁,从而实现了对攻击行为的主动防御。
基于相同的技术构思,本发明实施例还提供一种监测服务器,该监测服务器能够实现上述任一实施例所提供的网络监测方法。图4为本发明实施例提供的一种监测服务器结构示意图,如图4所示,监测服务器400包括:收发单元401和处理单元402,其中:
收发单元401,用于获取被监测服务器的消息数据;
处理单元402,用于获取消息数据中交互方的网络标识;
处理单元402,还用于根据网络标识查询本地的第一黑名单;第一黑名单是处理单元402通过收发单元401从云端服务器的第二黑名单获得的;云端服务器的第二黑名单包括多个关联攻击行为的网络标识;
处理单元402,还用于在第一黑名单存在网络标识时,确定消息数据为威胁性消息数据。
可选的,云端服务器的第二黑名单中还包括每一个网络标识所对应的信息记录;
处理单元402还用于:
通过收发单元401将威胁性消息数据对应的威胁事件发送至云端服务器;以使云端服务器根据威胁事件中的网络标识更新第二黑名单中网络标识的信息记录。
可选的,监测服务器还包括第一白名单;第一白名单是处理单元402通过收发单元401从云端服务器的第二白名单获得的;
处理单元402还用于:
在第一黑名单不存在网络标识时,根据网络标识查询第一白名单;
在第一白名单不存在网络标识时,通过收发单元401将消息数据发送至云端服务器,以使云端服务器查询第二黑名单和第二白名单以确定消息数据是否为威胁性消息数据。
可选的,处理单元402还用于:
通过收发单元401按照预设的第一时间间隔向云端服务器发送消息数据包;消息数据包中包括在预设的第一时间间隔内,被监测服务器的消息数据总量;云端服务器用于根据消息数据总量对被监测服务器进行统计分析。
可选的,收发单元401还用于:
接收云端服务器返回的分析报告;分析报告包括被监测服务器在预设的第二时间间隔内的威胁事件统计分析结果。
基于相同的技术构思,本发明实施例还提供一种计算设备。如图5所示,为本发明实施例提供的一种计算设备结构示意图,该计算设备可以包括中央处理器501(CenterProcessing Unit,CPU)、存储器502、输入设备503、输出设备504等,存储器502可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中,存储器可以用于存储本发明任一实施例所提供的网络监测方法的程序,处理器通过调用存储器存储的程序指令,按照获得的程序指令执行上述任一实施例所公开的网络监测方法。
基于相同的技术构思,本发明实施例还提供一种计算机可读存储介质,用于存储为上述计算设备所用的计算机程序指令,其包含用于执行上述任一实施例所公开的方法的程序。
所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种网络监测方法,其特征在于,包括:
监测服务器获取被监测服务器的消息数据;
所述监测服务器获取所述消息数据中交互方的网络标识;
所述监测服务器根据所述网络标识查询本地的第一黑名单;所述第一黑名单是所述监测服务器从云端服务器的第二黑名单获得的;所述云端服务器的第二黑名单包括多个关联攻击行为的网络标识;
在所述第一黑名单存在所述网络标识时,确定所述消息数据为威胁性消息数据。
2.如权利要求1所述的方法,其特征在于,所述云端服务器的第二黑名单中还包括每一个网络标识所对应的信息记录;
所述监测服务器确定所述消息数据为威胁性消息数据之后,还包括:
将所述威胁性消息数据对应的威胁事件发送至所述云端服务器;以使所述云端服务器根据所述威胁事件中的网络标识更新所述第二黑名单中所述网络标识的信息记录。
3.如权利要求1所述的方法,其特征在于,所述监测服务器还包括第一白名单;所述第一白名单是所述监测服务器从所述云端服务器的第二白名单获得的;
所述监测服务器根据所述网络标识查询本地的第一黑名单之后,还包括:
在所述第一黑名单不存在所述网络标识时,所述监测服务器根据所述网络标识查询所述第一白名单;
在所述第一白名单不存在所述网络标识时,所述监测服务器将所述消息数据发送至所述云端服务器,以使所述云端服务器查询所述第二黑名单和所述第二白名单以确定所述消息数据是否为威胁性消息数据。
4.如权利要求2所述的方法,其特征在于,还包括:
所述监测服务器按照预设的第一时间间隔向所述云端服务器发送消息数据包;所述消息数据包中包括在预设的第一时间间隔内,所述被监测服务器的消息数据总量;所述云端服务器用于根据所述消息数据总量对所述被监测服务器进行统计分析。
5.如权利要求4所述的方法,其特征在于,还包括:
所述监测服务器接收所述云端服务器返回的分析报告;所述分析报告包括所述被监测服务器在预设的第二时间间隔内的威胁事件统计分析结果。
6.一种监测服务器,其特征在于,包括:
收发单元,用于获取被监测服务器的消息数据;
处理单元,用于获取所述消息数据中交互方的网络标识;
所述处理单元,还用于根据所述网络标识查询本地的第一黑名单;所述第一黑名单是所述处理单元通过所述收发单元从云端服务器的第二黑名单获得的;所述云端服务器的第二黑名单包括多个关联攻击行为的网络标识;
所述处理单元,还用于在所述第一黑名单存在所述网络标识时,确定所述消息数据为威胁性消息数据。
7.如权利要求6所述的监测服务器,其特征在于,所述云端服务器的第二黑名单中还包括每一个网络标识所对应的信息记录;
所述处理单元还用于:
通过所述收发单元将所述威胁性消息数据对应的威胁事件发送至所述云端服务器;以使所述云端服务器根据所述威胁事件中的网络标识更新所述第二黑名单中所述网络标识的信息记录。
8.如权利要求6所述的监测服务器,其特征在于,所述监测服务器还包括第一白名单;所述第一白名单是所述处理单元通过所述收发单元从所述云端服务器的第二白名单获得的;
所述处理单元还用于:
在所述第一黑名单不存在所述网络标识时,根据所述网络标识查询所述第一白名单;
在所述第一白名单不存在所述网络标识时,通过所述收发单元将所述消息数据发送至所述云端服务器,以使所述云端服务器查询所述第二黑名单和所述第二白名单以确定所述消息数据是否为威胁性消息数据。
9.如权利要求7所述的监测服务器,其特征在于,所述处理单元还用于:
通过所述收发单元按照预设的第一时间间隔向所述云端服务器发送消息数据包;所述消息数据包中包括在预设的第一时间间隔内,所述被监测服务器的消息数据总量;所述云端服务器用于根据所述消息数据总量对所述被监测服务器进行统计分析。
10.如权利要求9所述的监测服务器,其特征在于,所述收发单元还用于:
接收所述云端服务器返回的分析报告;所述分析报告包括所述被监测服务器在预设的第二时间间隔内的威胁事件统计分析结果。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行权利要求1至5任一项所述的方法。
12.一种计算设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行如权利要求1至5任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711489011.0A CN108234486A (zh) | 2017-12-29 | 2017-12-29 | 一种网络监测方法及监测服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711489011.0A CN108234486A (zh) | 2017-12-29 | 2017-12-29 | 一种网络监测方法及监测服务器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108234486A true CN108234486A (zh) | 2018-06-29 |
Family
ID=62647413
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711489011.0A Pending CN108234486A (zh) | 2017-12-29 | 2017-12-29 | 一种网络监测方法及监测服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108234486A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109241734A (zh) * | 2018-08-10 | 2019-01-18 | 航天信息股份有限公司 | 一种防护软件运行效率优化方法及系统 |
CN109862025A (zh) * | 2019-02-28 | 2019-06-07 | 北京安护环宇科技有限公司 | 基于黑白名单的访问控制方法、装置及系统 |
CN111147498A (zh) * | 2019-12-28 | 2020-05-12 | 浙江物产信息技术有限公司 | 一种自动同步ip地址黑名单的装置及方法 |
CN111314131A (zh) * | 2020-02-13 | 2020-06-19 | 北京奇艺世纪科技有限公司 | 任务下发方法和装置、存储介质和电子装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103078864A (zh) * | 2010-08-18 | 2013-05-01 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御文件修复方法 |
CN103491543A (zh) * | 2013-09-30 | 2014-01-01 | 北京奇虎科技有限公司 | 通过无线终端检测恶意网址的方法、无线终端 |
CN103581162A (zh) * | 2012-12-27 | 2014-02-12 | 哈尔滨安天科技股份有限公司 | 一种基于云的持续更新事件结果与统计信息的系统及方法 |
CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
CN105282112A (zh) * | 2014-07-15 | 2016-01-27 | 中兴通讯股份有限公司 | 一种终端及检测终端数据交互的安全性的方法 |
-
2017
- 2017-12-29 CN CN201711489011.0A patent/CN108234486A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103078864A (zh) * | 2010-08-18 | 2013-05-01 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御文件修复方法 |
CN103581162A (zh) * | 2012-12-27 | 2014-02-12 | 哈尔滨安天科技股份有限公司 | 一种基于云的持续更新事件结果与统计信息的系统及方法 |
CN103491543A (zh) * | 2013-09-30 | 2014-01-01 | 北京奇虎科技有限公司 | 通过无线终端检测恶意网址的方法、无线终端 |
CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
CN105282112A (zh) * | 2014-07-15 | 2016-01-27 | 中兴通讯股份有限公司 | 一种终端及检测终端数据交互的安全性的方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109241734A (zh) * | 2018-08-10 | 2019-01-18 | 航天信息股份有限公司 | 一种防护软件运行效率优化方法及系统 |
CN109862025A (zh) * | 2019-02-28 | 2019-06-07 | 北京安护环宇科技有限公司 | 基于黑白名单的访问控制方法、装置及系统 |
CN109862025B (zh) * | 2019-02-28 | 2021-10-01 | 北京安护环宇科技有限公司 | 基于黑白名单的访问控制方法、装置及系统 |
CN111147498A (zh) * | 2019-12-28 | 2020-05-12 | 浙江物产信息技术有限公司 | 一种自动同步ip地址黑名单的装置及方法 |
CN111147498B (zh) * | 2019-12-28 | 2021-05-18 | 物产中大数字科技有限公司 | 一种自动同步ip地址黑名单的装置及方法 |
CN111314131A (zh) * | 2020-02-13 | 2020-06-19 | 北京奇艺世纪科技有限公司 | 任务下发方法和装置、存储介质和电子装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Vishwakarma et al. | A survey of DDoS attacking techniques and defence mechanisms in the IoT network | |
US7526806B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
Karasaridis et al. | Wide-Scale Botnet Detection and Characterization. | |
US9275348B2 (en) | Identifying participants for collaboration in a threat exchange community | |
US9118702B2 (en) | System and method for generating and refining cyber threat intelligence data | |
US8516595B2 (en) | Method and system for estimating the reliability of blacklists of botnet-infected computers | |
CN103701795B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
US10291630B2 (en) | Monitoring apparatus and method | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
US20160378978A1 (en) | Scoring for threat observables | |
US10419457B2 (en) | Selecting from computing nodes for correlating events | |
CN108234486A (zh) | 一种网络监测方法及监测服务器 | |
EP2880820A1 (en) | Pattern consolidation to identify malicious activity | |
US9300684B2 (en) | Methods and systems for statistical aberrant behavior detection of time-series data | |
KR20060013491A (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
KR20130005301A (ko) | 정보 시스템 기반구조의 보안 정책 조정 방법 | |
US11128649B1 (en) | Systems and methods for detecting and responding to anomalous messaging and compromised accounts | |
Ramaki et al. | A survey of IT early warning systems: architectures, challenges, and solutions | |
Macia-Fernandez et al. | Evaluation of a low-rate DoS attack against application servers | |
CA2747584C (en) | System and method for generating and refining cyber threat intelligence data | |
Le et al. | A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security | |
CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
Xi et al. | Quantitative threat situation assessment based on alert verification | |
Varma et al. | A review of DDoS attacks and its countermeasures in cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180629 |
|
RJ01 | Rejection of invention patent application after publication |