CN108769032A - 内网安全专家分析方法及系统 - Google Patents
内网安全专家分析方法及系统 Download PDFInfo
- Publication number
- CN108769032A CN108769032A CN201810552751.2A CN201810552751A CN108769032A CN 108769032 A CN108769032 A CN 108769032A CN 201810552751 A CN201810552751 A CN 201810552751A CN 108769032 A CN108769032 A CN 108769032A
- Authority
- CN
- China
- Prior art keywords
- analysis
- data
- value
- intranet
- analysis item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明涉及一种内网安全专家分析方法及系统,包括:数据采集,收集目标网段上传输的数据;数据检测,对来自内外网的行为进行实时跟踪检测;检测的数据分为正常数据和异常数据,异常数据为与入侵行为的相关数据;数据分析及计算,对异常数据进行分析以建立多个有关入侵行为的分析项,对分析项进行层次分级,设定分析项所占的安全权重值Ai;对每个分析项进行分析,设定分析项的安全等级值Bi;计算每个分析项的安全等级总值Ci,Ci=Ai×Bi;计算总分析值C,C=C1+C2+…+Ci。可对内网的入侵行为进行分析,建立相关模型,分级并设定安全等级,便于对内网的入侵行为进行分析并明确防护方向,对内网的入侵行为进行有目的的抵御。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种内网安全专家分析方法及系统。
背景技术
随着网络技术的快速发展,我们对网络安全的关注越来越重视。然而,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统越来越难以检测和阻挡。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等会如何快速的传播,通常在几个小时之内就能席卷全球。为了对抗安全威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和IPS等新技术不断被应用。
但是,防御软件比如杀毒软件不能解决当攻击者用合法软件进行攻击的情况,并且防火墙主要是防御外网,当攻击者是企业内部的情况下防御外网的防火墙就形同虚设。现有技术中,对内网的分析及等级划分不清,无法明确的对入侵行为进行有目的的抵御。
发明内容
本发明的目的是提供一种内网安全专家分析方法及系统以解决现有的内网安全等级划分不清的技术问题。
为了实现以上目的,本发明采取的技术方案为:内网安全专家分析方法,包括:
数据采集,收集目标网段上传输的数据;
数据检测,对来自内外网的行为进行实时跟踪检测;检测的数据分为正常数据和异常数据,异常数据为与入侵行为的相关数据;
数据分析及计算,对异常数据进行分析以建立多个有关入侵行为的分析项,对分析项进行层次分级,设定分析项所占的安全权重值Ai;对每个分析项进行分析,设定分析项的安全等级值Bi;
计算每个分析项的安全等级总值Ci,Ci=Ai×Bi;
计算总分析值C,C=C1+C2+…+Ci。
进一步地,设定所述总分析值C的阈值为N,判断总分析值是否低于所述阈值N;若总分析值低于阈值,则记录所述总分析值,若总分析值高于所述阈值,则进行告警。
进一步地,所述层次分级按照入侵行为所引起的破坏程度来区分。
进一步地,根据AHP方法确定各分析项的安全权重值:确定分析项的总权重为100分,之后按照层次分级的划分时破坏程度所占比例确定个各分析项所占权重;按照AHP方法审核各分析项的安全权重值,在需要修改时进行修正,在不需要修改时输出所述各分析项的安全权重值。
内网安全专家分析系统,包括以下部分:
数据采集模块,用于收集目标网段上传输的数据;
数据检测模块,用于对来自内外网的入侵行为进行实时跟踪检测;
数据分析及计算模块,用于对异常数据进行分析并计算总分析指。
进一步地,所述数据分析及计算模块包括主机分析模块、链路分析模块、应用分析模块、协议字段模块、总体分析模块、历史分析和预测分析模。
进一步地,所述数据采集模块包括本地采集模块、远程采集模块。
本发明的有益效果:
本发明的内网安全专家分析方法及内网安全专家分析系统,可对内网的入侵行为进行分析,建立相关模型,分级并设定安全等级,便于对内网的入侵行为进行分析并明确防护方向,对内网的入侵行为进行有目的的抵御。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本实施例的内网安全专家分析方法,包括:数据采集,收集目标网段上传输的数据。数据检测,对来自内外网的行为进行实时跟踪检测;检测的数据分为正常数据和异常数据,异常数据为与入侵行为的相关数据。数据分析及计算,对异常数据进行分析以建立多个有关入侵行为的分析项,对分析项进行层次分级,设定分析项所占的安全权重值Ai。层次分级按照入侵行为所引起的破坏程度来区分。在其他实施例中,层次分级也可以采用其他方法来区分。
对每个分析项进行分析,设定分析项的安全等级值Bi。计算每个分析项的安全等级总值Ci,Ci=Ai×Bi。计算总分析值C,C=C1+C2+…+Ci。设定总分析值C的阈值为N,判断总分析值是否低于阈值N;若总分析值低于阈值,则记录所述总分析值,若总分析值高于阈值,则进行告警。
根据AHP方法确定各分析项的安全权重值:确定分析项的总权重为100分,之后按照层次分级的划分时破坏程度所占比例确定个各分析项所占权重;按照AHP方法审核各分析项的安全权重值,在需要修改时进行修正,在不需要修改时输出所述各分析项的安全权重值。
本实施例的内网安全专家分析系统,包括以下部分:数据采集模块,用于收集目标网段上传输的数据。数据采集模块包括本地采集模块、远程采集模块。数据检测模块,用于对来自内外网的入侵行为进行实时跟踪检测。数据分析及计算模块,用于对异常数据进行分析并计算总分析指。数据分析及计算模块包括主机分析模块、链路分析模块、应用分析模块、协议字段模块、总体分析模块、历史分析和预测分析模。
Claims (7)
1.内网安全专家分析方法,其特征在于:包括:
数据采集,收集目标网段上传输的数据;
数据检测,对来自内外网的行为进行实时跟踪检测;检测的数据分为正常数据和异常数据,异常数据为与入侵行为的相关数据;
数据分析及计算,对异常数据进行分析以建立多个有关入侵行为的分析项,对分析项进行层次分级,设定分析项所占的安全权重值Ai;对每个分析项进行分析,设定分析项的安全等级值Bi;
计算每个分析项的安全等级总值Ci,Ci=Ai×Bi;
计算总分析值C,C=C1+C2+…+Ci。
2.根据权利要求1所述的内网安全专家分析方法,其特征在于:设定所述总分析值C的阈值为N,判断总分析值是否低于所述阈值N;若总分析值低于阈值,则记录所述总分析值,若总分析值高于所述阈值,则进行告警。
3.根据权利要求1所述的内网安全专家分析方法,其特征在于:所述层次分级按照入侵行为所引起的破坏程度来区分。
4.根据权利要求3所述的内网安全专家分析方法,其特征在于:根据AHP方法确定各分析项的安全权重值:确定分析项的总权重为100分,之后按照层次分级的划分时破坏程度所占比例确定个各分析项所占权重;按照AHP方法审核各分析项的安全权重值,在需要修改时进行修正,在不需要修改时输出所述各分析项的安全权重值。
5.内网安全专家分析系统,其特征在于:包括以下部分:
数据采集模块,用于收集目标网段上传输的数据;
数据检测模块,用于对来自内外网的入侵行为进行实时跟踪检测;
数据分析及计算模块,用于对异常数据进行分析并计算总分析指。
6.根据权利要求5所述的内网安全专家分析系统,其特征在于:所述数据分析及计算模块包括主机分析模块、链路分析模块、应用分析模块、协议字段模块、总体分析模块、历史分析和预测分析模。
7.根据权利要求5所述的内网安全专家分析系统,其特征在于:所述数据采集模块包括本地采集模块、远程采集模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810552751.2A CN108769032A (zh) | 2018-05-31 | 2018-05-31 | 内网安全专家分析方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810552751.2A CN108769032A (zh) | 2018-05-31 | 2018-05-31 | 内网安全专家分析方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108769032A true CN108769032A (zh) | 2018-11-06 |
Family
ID=64001555
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810552751.2A Pending CN108769032A (zh) | 2018-05-31 | 2018-05-31 | 内网安全专家分析方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108769032A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109379373A (zh) * | 2018-11-23 | 2019-02-22 | 中国电子科技网络信息安全有限公司 | 一种云安全评估系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562534A (zh) * | 2009-05-26 | 2009-10-21 | 中山大学 | 一种网络行为分析系统 |
CN103259682A (zh) * | 2013-05-16 | 2013-08-21 | 浪潮通信信息系统有限公司 | 一种基于多维数据聚合的通信网网元安全评估方法 |
CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
US9009828B1 (en) * | 2007-09-28 | 2015-04-14 | Dell SecureWorks, Inc. | System and method for identification and blocking of unwanted network traffic |
CN106713267A (zh) * | 2016-11-16 | 2017-05-24 | 湖南优图信息技术有限公司 | 一种网络安全评估方法及系统 |
CN107517214A (zh) * | 2017-09-05 | 2017-12-26 | 合肥丹朋科技有限公司 | 用于提供计算机网络安全的系统和方法 |
-
2018
- 2018-05-31 CN CN201810552751.2A patent/CN108769032A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9009828B1 (en) * | 2007-09-28 | 2015-04-14 | Dell SecureWorks, Inc. | System and method for identification and blocking of unwanted network traffic |
CN101562534A (zh) * | 2009-05-26 | 2009-10-21 | 中山大学 | 一种网络行为分析系统 |
CN103259682A (zh) * | 2013-05-16 | 2013-08-21 | 浪潮通信信息系统有限公司 | 一种基于多维数据聚合的通信网网元安全评估方法 |
CN103581186A (zh) * | 2013-11-05 | 2014-02-12 | 中国科学院计算技术研究所 | 一种网络安全态势感知方法及系统 |
CN106713267A (zh) * | 2016-11-16 | 2017-05-24 | 湖南优图信息技术有限公司 | 一种网络安全评估方法及系统 |
CN107517214A (zh) * | 2017-09-05 | 2017-12-26 | 合肥丹朋科技有限公司 | 用于提供计算机网络安全的系统和方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109379373A (zh) * | 2018-11-23 | 2019-02-22 | 中国电子科技网络信息安全有限公司 | 一种云安全评估系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101803337B (zh) | 入侵检测方法和系统 | |
CN104486141B (zh) | 一种误报自适应的网络安全态势预测方法 | |
CN107204876B (zh) | 一种网络安全风险评估方法 | |
CN106790023B (zh) | 网络安全联合防御方法和装置 | |
CN104811447B (zh) | 一种基于攻击关联的安全检测方法和系统 | |
Barbará et al. | ADAM: a testbed for exploring the use of data mining in intrusion detection | |
CN107239707A (zh) | 一种用于信息系统的威胁数据处理方法 | |
CN103227798B (zh) | 一种免疫网络系统 | |
Yu | A survey of anomaly intrusion detection techniques | |
CN105208037A (zh) | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 | |
CN105868629B (zh) | 一种适用于电力信息物理系统的安全威胁态势评估方法 | |
Gómez et al. | Design of a snort-based hybrid intrusion detection system | |
CN103441982A (zh) | 一种基于相对熵的入侵报警分析方法 | |
CN110545280B (zh) | 一种基于威胁检测准确度的量化评估方法 | |
CN106357637A (zh) | 一种针对智慧能源终端数据的主动防御系统 | |
CN114666088A (zh) | 工业网络数据行为信息的侦测方法、装置、设备和介质 | |
CN113810362A (zh) | 一种安全风险检测处置系统及其方法 | |
CN108809706A (zh) | 一种变电站的网络风险监测系统 | |
CN108769032A (zh) | 内网安全专家分析方法及系统 | |
Kumar et al. | Intrusion detection system-false positive alert reduction technique | |
Zhao et al. | Research of intrusion detection system based on neural networks | |
CN107277070A (zh) | 一种计算机网络入侵防御系统及入侵防御方法 | |
CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
CN108924129A (zh) | 一种基于计算机网络入侵防御系统及入侵防御方法 | |
Rutravigneshwaran | A study of intrusion detection system using efficient data mining techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181106 |
|
RJ01 | Rejection of invention patent application after publication |