CN109889476A - 一种网络安全防护方法和网络安全防护系统 - Google Patents
一种网络安全防护方法和网络安全防护系统 Download PDFInfo
- Publication number
- CN109889476A CN109889476A CN201811482296.XA CN201811482296A CN109889476A CN 109889476 A CN109889476 A CN 109889476A CN 201811482296 A CN201811482296 A CN 201811482296A CN 109889476 A CN109889476 A CN 109889476A
- Authority
- CN
- China
- Prior art keywords
- data
- early warning
- network
- analyzed
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000002159 abnormal effect Effects 0.000 claims abstract description 27
- 238000012544 monitoring process Methods 0.000 claims abstract description 20
- 238000010223 real-time analysis Methods 0.000 claims abstract description 17
- 238000013210 evaluation model Methods 0.000 claims abstract description 16
- 238000011156 evaluation Methods 0.000 claims abstract description 11
- 238000010801 machine learning Methods 0.000 claims abstract description 11
- 238000004458 analytical method Methods 0.000 claims description 28
- 238000001514 detection method Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 12
- 230000002155 anti-virotic effect Effects 0.000 claims description 9
- 241001269238 Data Species 0.000 claims description 8
- 241000700605 Viruses Species 0.000 claims description 8
- 238000007689 inspection Methods 0.000 claims description 5
- 238000007781 pre-processing Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 4
- 238000012549 training Methods 0.000 claims description 4
- 244000035744 Hura crepitans Species 0.000 claims description 3
- 238000004422 calculation algorithm Methods 0.000 claims description 3
- 238000013439 planning Methods 0.000 claims description 3
- 230000003068 static effect Effects 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 230000009545 invasion Effects 0.000 claims 1
- 230000008447 perception Effects 0.000 claims 1
- 230000005856 abnormality Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000002265 prevention Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000007115 recruitment Effects 0.000 description 2
- UPLPHRJJTCUQAY-WIRWPRASSA-N 2,3-thioepoxy madol Chemical compound C([C@@H]1CC2)[C@@H]3S[C@@H]3C[C@]1(C)[C@@H]1[C@@H]2[C@@H]2CC[C@](C)(O)[C@@]2(C)CC1 UPLPHRJJTCUQAY-WIRWPRASSA-N 0.000 description 1
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- 239000002023 wood Substances 0.000 description 1
Abstract
本发明公开了一种网络安全防护方法和系统,所述网络安全防护方法包括:获取多维度数据;对获取到的所述多维度数据进行预处理,生成待分析数据;对所述待分析数据进行分析并生成预警报告,所述预警报告用于预告威胁;对所述待分析数据分析并生成预警报告至少包括:态势感知、实时分析预警或网络入侵攻击路径及威胁溯源分析;所述态势感知包括使用机器学习从所述待分析数据中提取正常网络状态下的流量上限,根据所述流量上限从所述待分析数据中划分出信任的流量数据,根据所述信任的流量数据建立流量评估模型,根据所述流量评估模型评估网络流量,如果监测到异常流量则生成所述预警报告;所述实时分析预警用于对异常数据进行预警。
Description
技术领域
本发明涉及网络安全领域,特别是指一种网络安全防护方法和网络安全防护系统。
背景技术
在网络安全防护方法中,异常检测是防护手段之一,但是由于技术条件的限制,普通的异常检测方法面临如下问题:
模型粒度问题,普通的异常检测方法计算能力有限,很难建立对异常行为较为敏感的细粒度模型,从而导致较高的漏报率。以异常流量检测为例,建模对象往往基于安全域间的流量,这就使得个体间的攻击流量淹没在大量背景流量中,很难进行有效检测。
特征数量问题,普通的异常检测方法计算能力有限,难建立从不同维度描述网络行为的高维模型,从而导致较高的误报率。特征数量选取的限制,使得只能基于低维的特征判断网络行为的异常度。
模型训练问题,由于存储容量有限,很难基于长期的数据对模型进行充分的训练,从而导致模型的准确度不足。
因此,面对日益复杂的网络结构,需要优化异常检测方法,提升对网络的安全防护效果。
发明内容
有鉴于此,本发明的目的在于提出一种提升网络安全防护效果的网络安全防护方法和网络安全防护装置。
基于上述目的本发明提供的一种网络安全防护方法包括:获取多维度数据;对获取到的所述多维度数据进行预处理,生成待分析数据;对所述待分析数据进行分析并生成预警报告,所述预警报告用于预告威胁;对所述待分析数据分析并生成预警报告至少包括:态势感知、实时分析预警或网络入侵攻击路径及威胁溯源分析;所述态势感知包括使用机器学习从所述待分析数据中提取正常网络状态下的流量上限,根据所述流量上限从所述待分析数据中划分出信任的流量数据,根据所述信任的流量数据建立流量评估模型,根据所述流量评估模型评估网络流量,如果监测到异常流量则生成所述预警报告;所述实时分析预警用于对所述待分析数据中的异常数据进行预警。
在一些实施方式中,所述使用机器学习从所述待分析数据中提取正常网络状态下的流量上限包括记录网络的流量变化特征,根据所述流量变化特征进行基础数据建模;所述根据所述信任的流量数据建立流量评估模型包括设置时间点,针对不同时间点下的所述信任的流量数据进行学习建模。
在一些实施方式中,所述态势感知还包括蠕虫态势感知、木马态势感知;使用防病毒引擎监控网络流量,从而发现蠕虫病毒或木马;使用所述防病毒引擎监控蠕虫态势和木马态势。
在一些实施方式中,所述态势感知还包括APT攻击态势感知,所述APT攻击态势感知包括部署未知威胁态势感知传感器,利用所述未知威胁态势传感器检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知恶意软件;至少利用应用层即文件层解码、智能ShellCode检测、动态沙箱检检测或基于漏洞的静态检测对未知威胁感知和检测。
在一些实施方式中,所述态势感知还包括入侵意图识别,所述入侵意图识别包括利用动态贝叶斯网络模型、基于三层攻击图的入侵意图的自动识别模型及基于概率推理的入侵意图模型分析所述待分析数据中的不确定信息,预测攻击规划和攻击目标,生成所述预警报告。
在一些实施方式中,所述实时分析预警至少包括阈值预警、趋势预警或关联预警;所述阈值预警包括预先设置指标数据的阈值参数,如果所述待分析数据中的指标数据超出阈值范围,则预警所述待分析数据中的指标数据异常;所述趋势预警包括预先建立趋势预警模型和算法,根据当前时间内的指标数据后推预设时间范围内的指标数据,对后推出的所述预设时间范围内的指标数据进行趋势分析,如果所述预设范围内的指标数据的趋势符合所述趋势预警模型,则预警当前时间内的指标数据异常;所述关联预警包括对多个指标数据进行关联,分析关联后的多个指标数据,根据对所述关联后的多个指标数据的分析结果评估故障影响、查找故障源。
在一些实施方式中,所述网络入侵攻击路径及威胁溯源分析包括构建覆盖全网络的监测点,对检测到异常流量进行可视化;存储流经路由器的所有数据包,如果受到攻击,则查询所述流经所有路由器的所有数据包,进而确定攻击路径。
在一些实施方式中,所述网络入侵攻击路径及威胁溯源分析还包括根据确定的攻击路径确定攻击源,对确定的攻击源进行拦截或隔离;根据所述攻击源制定防御建议,然后将所述防御建议写入所述预警报告。
在一些实施方式中,所述多维度数据的获取方式至少包括日志采集、流量采集、情境数据采集或外部支持数据;所述对获取到的所述多维度数据进行预处理包括结构化处理或非结构化处理;所述对所述待分析数据进行分析至少包括特征提取、统计分析、模型训练、取证溯源或全文检索。
本发明的实施例还提供一种网络安全防护系统,包括:数据获取模块,用于获取多维度数据;预处理模块,用于接收获取到的所述多维度数据并进行预处理,生成待分析数据并发送至分析单元;所述分析单元用于对所述待分析数据进行分析并生成预警报告,所述预警报告用于预告威胁;所述分析单元至少包括态势感知模块、实时分析预警模块或网络入侵攻击路径及威胁溯源分析模块;所述态势感知模块通过机器学习从所述待分析数据中提取正常网络状态下的流量上限,根据所述流量上限从所述分析数据中划分出信任的的流量数据,根据所述信任的流量数据建立流量评估模型,根据所述流量评估模型评估网络流量,如果监测到异常流量则生成所述预警报告;所述实时分析预警模块用于对所述待分析数据中的异常数据进行预警;所述网络入侵攻击路径及威胁溯源分析模块用于确定攻击源,对确定的攻击源进行拦截或隔离。
从上面所述可以看出,本发明提供的网络安全防护方法,对于威胁的分析和预测准确性高,可以较好地实现网络防护。而且,该方法对多个维度的数据进行分析,可以应对复杂的网络攻击。
进一步,通过使用防病毒引擎,对网络流量监控,发现蠕虫病毒、木马的传播,并通过对蠕虫病毒、木马态势监控,实现对僵尸网络的发现、打击及效果评估。
进一步通过APT攻击态势感知,可以发现利用0day漏洞的APT攻击行为,保护客户网络免遭0day等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。
附图说明
图1是本发明实施例的一种网络安全防护方法的流程示意图;
图2是本发明实施例的网络安全防护系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
本发明的实施例提供一种网络安全防护方法,如图1所示,图1是本发明实施例的一种网络安全防护方法的流程示意图,该方法至少包括如下步骤:
步骤A01:获取多维度数据。
需要说明的是,多维度数据是指通过各种方式获取的各种类型的数据。以丰富多样的数据作为分析基础,提升对可能的威胁预测的准确性。多维度数据可以包括网络流量、病毒数量、木马数量、受攻击端口等。
步骤A02:对获取到的多维度数据进行预处理,生成待分析数据。
在一些实施方式中,对多维度数据的处理为结构化处理或非结构化处理。对多维度数据的结构化处理可以增加数据的可读性,使得数据在后期易于分析。对多维度数据的非结构化处理可以用于处理不适于使用二维逻辑来表达的数据,例如图像、视频等。
步骤A03:对待分析数据进行分析并生成预警报告,此预警报告用于预告威胁。
步骤A03中对待分析数据进行分析并生成预警报告至少包括:态势感知、实时分析预警或网络入侵攻击路径及威胁溯源分析等。需要说明的是,对待分析数据进行分析的方法并不限于此,可以根据实际需要增加其它的分析方式,可以为一种或多种分析方法并用。
需要说明是,预警报告根据对待分析数据的分析方式或实时场景的不同而不同,例如如果是对异常数据的预警分析,则将该异常数据写入预警报告;又如,如果是对网络入侵攻击路径的分析,则可以将追溯的攻击源写入预警报告。需要说明的是,预警报告的内容并不仅限于前述内容,可以根据实际需要进行选择。
在一些实施方式中,多维度数据的获取方式至少包括日志采集、流量采集、情境数据采集或外部支持数据。
在一些实施方式中,所述对待分析数据进行分析至少包括特征提取、统计分析、模型训练、取证溯源或全文检索。
前述方法中,态势感知包括使用机器学习从待分析数据中提取正常网络状态下的流量上限,根据流量上限从待分析数据中划分出信任的流量数据,根据信任的流量数据建立流量评估模型,根据流量评估模型评估网络流量,如果监测到异常流量则生成预警报告。
在一些实施方式中,使用机器学习从待分析数据中提取正常网络状态下的流量上限包括记录网络的流量变化特征,根据流量变化特征进行基础数据建模。
在一些实施方式中,根据信任的流量数据建立流量评估模型包括设置时间点,针对不同时间点下的信任的流量数据进行学习建模。
依据上述态势感知的方法,通过一段时间的机器学习,可以获得网络正常状态的流量上限。自学习过程中系统可以自动记录网络的流量变化特征,进行基础数据建模,按照可信范围的数据设置置信区间,通过对置信区间内的历史数据进行分析计算,得到流量的变化趋势和模型特征。为了保证学习的流量特征符合正态分布,可以使用日历模式的数据建模,如设置工作日、双休日等日历时间点,针对不同的时间点进行自学习建模。同时系统支持对生成的动态基线进行手动调整,和日历自学习模式相结合,共同保证动态基线的准确性。
前述方法中,实时分析预警用于对待分析数据中的异常数据进行预警。
前述方法中,网络入侵攻击路径及威胁溯源分析可以确定攻击源,对确定的攻击源进行拦截或隔离
通过上述网络安全防护方法,对于威胁的分析和预测准确性高,可以较好地实现网络防护。而且,该方法对多个维度的数据进行分析,可以应对复杂的网络攻击。
在一些实施方式中,态势感知还包括蠕虫态势感知、木马态势感知。使用防病毒引擎监控网络流量,从而可以发现蠕虫病毒或木马;使用防病毒引擎还可以监控蠕虫态势和木马态势。
在办公网等内网环境中,蠕虫病毒、木马的威胁是首要威胁,通过使用防病毒引擎,对网络流量监控,发现蠕虫病毒、木马的传播,并通过对蠕虫病毒、木马态势监控,实现对僵尸网络的发现、打击及效果评估。
在一些实施方式中,态势感知还包括APT(Advanced Persistent Threat,高级持续性威胁)攻击态势感知,该方式包括部署未知威胁态势感知传感器,利用未知威胁态势传感器检测通过网页、电子邮件或其他的在线文件共享方式进入网络已知和未知恶意软件。
在一些实施方式中,可以利用多种应层及文件层解码、智能ShellCode(壳代码)检测、动态沙箱检检测、AV(Anti Virus,反病毒)检测或基于漏洞的静态检测中的一种或多种方式对未知威胁感知和检测。
通过上述APT攻击态势感知方法,可以发现利用0day漏洞的APT攻击行为,保护客户网络免遭0day等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。
在一些实施方式中,态势感知还包括入侵意图识别,包括利用动态贝叶斯网络模型、基于三层攻击图的入侵意图的自动识别模型及基于概率推理的入侵意图模型分析待分析数据中的不确定信息,预测攻击规划和攻击目标,生成所预警报告。
入侵检测是一种主动的信息安全保障措施,通过将人工智能技术、机器学习技术引入入侵检测领域,可以以解决入侵分布化、智能化的问题。通过对动态贝叶斯网络模型、基于三层攻击图的入侵意图的自动识别模型及基于概率推理的入侵意图模型等入侵意图识别技术研究,为处理网络中的不确定性信息,提供了解决方法,同时在此基础上预测攻击者的后续攻击规划和目标,可以起到预警的作用。
在一些实施方式中,实时分析预警至少包括阈值预警、趋势预警或关联预警。
阈值预警包括预先设置指标数值的阈值参数,如果待分析数据中的指标数据超出阈值范围,则预警该指标数据异常。此处,指标数据是指待分析数据中收到监控的数据,例如,可以设置网络流量的的阈值参数,则网络流量为一个指标数据,将指标数据与阈值参数进行比较,如果指标数据不在相应的阈值范围内,则预警该指标异常。
趋势预警包括预先简历趋势预警模型和算法,根据当前时间内的指标数据后推预设时间范围内的指标数据,对后推出的预设时间范围内的指标数据进行趋势分析,如果预设范围内的指标数据的趋势符合前述趋势预警模型,则预警当前时间内的指标数据异常。
关联预警包括对多个指标数据进行,分析关联后的多个指标数据,根据对关联后的多个指标数据的分析结果评估故障影响、查找故障源。需要说明的是,关联预警可以分为单对象多指标关联预警和多对象多指标关联预警,通过对指标的关联预警和对象的关联预警,可以分析出故障的影响域及故障源,从多个异常指标或多个异常对象中找出主因。
在一些实施方式中,网络入侵攻击路径及威胁溯源分析包括构建覆盖全网络的检测点,对检测到的异常流量进行可视化;还包括存储流经路由器的所有数据包,如果受到攻击,则查询流经所有路由器的所有数据包,进而确定攻击路径。
在一些实施方式中,对确定的攻击源进行拦截或隔离;根据攻击源制定防御建议,然后将防御建议写入预警报告。因为确定了攻击源,所以可以对其采取拦截、隔离等手段,减轻损害,保证网络平稳健康的运行。
异常流量可视化通过构建覆盖全网络的监测点对网络中数据流进行监测。通过对流经路由器的所有数据包(包括攻击数据包)进行信息存储,一旦发生攻击,由受害端发起查询信息,以此确定攻击路径。
网络入侵攻击路径及威胁溯源是指确定网络攻击者身份或位置及其中间介质的过程。身份是指攻击者名字、账号或与之有关系的类似信息;位置包括其地理位置或虚拟地址:如IP地址、MAC地址等。追踪溯源过程还能够提供其他辅助信息,比如攻击路径和攻击时序等。网络管理者可使用追踪溯源技术定位真正的攻击源,以采取多种安全策略和手段,从源头抑制,防止网络攻击带来更大破坏,并记录攻击过程,为司法取证提供必要的信息支撑。
通过网络入侵攻击路径及威胁溯源,可以确定攻击源,记录攻击过程,为司法取证听证据。
本发明的实施例还提供一种网络安全防护系统10,如图2所示,图2是本发明实施例的网络安全防护系统10的结构示意图。
网络安全防护系统10包括:
数据获取模块11,用于获取多维度数据。数据模块11将获取到的多维度发送给预处理模块12。
预处理模块12,用于接收获取到的多维度数据并进行预处理,生成待分析数据并发送至分析单元13。
分析单元13用于对待分析数据进行分析并生成预警报告,预警报告用于预告威胁。
分析单元13至少包括态势感知模块131、实时分析预警模块132或网络入侵攻击路径及威胁溯源分析模块133。
态势感知模块131通过机器学习从待分析数据中提取正常网络状态下的流量上限,根据攻击流量上限从分析数据中划分出信任的流量数据,根据信任的流量数据建立评估模型,根据流量评估模型评估网络流量,如果监测到异常流量则生成预警报告。
实时分析预警模块132用于对待分析数据中的异常数据进行预警。
网络入侵攻击路径及威胁溯源分析模块133用于确定攻击源,对确定的攻击源进行拦截或隔离。
在一些实施方式中,分析单元13可以将生成的预警报告发送至中央处理器14,中央处理器14根据预警报告作出防御策略,并根据该防御策略向网络中的其它设备发送对应的控制指令,用于防御攻击或威胁。需要说明的是,分析单元13可以根据需要,发送预警报告至其它模块和设备,而不仅限于中央处理器14。
需要说明的是,网络安全防护系统10中的各个模块可以集成于处理芯片中,或者使用独立的处理器来构建。
需要说明的是,本发明实施例中提供的网络防护装置是基于海量网络监测数据的大数据安全分析,因此在数据源层面上具备完整的数据采集能力,可以对于网络行为相关的各类日志、网络流量以及情境数据和外部支持数据进行采集。另外,在存储层面上,可以支持异构数据存储,可以通过缓存应付突发数据,因而具备弹性扩展能力。此外,在分析层面上,可以支持灵活的特征提取,支持基于特征的统计分析模型训练,支持对检测结果的事后取证溯源。而且,在展示层面上,可以支持大数据凭条集群配置管理和数据的交互式可视化分析。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络安全防护方法,其特征在于,包括:
获取多维度数据;
对获取到的所述多维度数据进行预处理,生成待分析数据;
对所述待分析数据进行分析并生成预警报告,所述预警报告用于预告威胁;
对所述待分析数据分析并生成预警报告至少包括:态势感知、实时分析预警或网络入侵攻击路径及威胁溯源分析;
所述态势感知包括使用机器学习从所述待分析数据中提取正常网络状态下的流量上限,根据所述流量上限从所述待分析数据中划分出信任的流量数据,根据所述信任的流量数据建立流量评估模型,根据所述流量评估模型评估网络流量,如果监测到异常流量则生成所述预警报告;
所述实时分析预警用于对所述待分析数据中的异常数据进行预警。
2.根据权利要求1所述的网络安全防护方法,其特征在于,所述使用机器学习从所述待分析数据中提取正常网络状态下的流量上限包括记录网络的流量变化特征,根据所述流量变化特征进行基础数据建模;所述根据所述信任的流量数据建立流量评估模型包括设置时间点,针对不同时间点下的所述信任的流量数据进行学习建模。
3.根据权利要求1所述的网络安全防护方法,其特征在于,所述态势感知还包括蠕虫态势感知、木马态势感知;使用防病毒引擎监控网络流量,从而发现蠕虫病毒或木马;使用所述防病毒引擎监控蠕虫态势和木马态势。
4.根据权利要求1所述的网络安全防护方法,其特征在于,所述态势感知还包括APT攻击态势感知,所述APT攻击态势感知包括部署未知威胁态势感知传感器,利用所述未知威胁态势传感器检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知恶意软件;至少利用应用层即文件层解码、智能ShellCode检测、动态沙箱检检测或基于漏洞的静态检测对未知威胁感知和检测。
5.根据权利要求1所述的网络安全防护方法,其特征在于,所述态势感知还包括入侵意图识别,所述入侵意图识别包括利用动态贝叶斯网络模型、基于三层攻击图的入侵意图的自动识别模型及基于概率推理的入侵意图模型分析所述待分析数据中的不确定信息,预测攻击规划和攻击目标,生成所述预警报告。
6.根据权利要求1所述的网络安全防护方法,其特征在于,所述实时分析预警至少包括阈值预警、趋势预警或关联预警;所述阈值预警包括预先设置指标数据的阈值参数,如果所述待分析数据中的指标数据超出阈值范围,则预警所述待分析数据中的指标数据异常;所述趋势预警包括预先建立趋势预警模型和算法,根据当前时间内的指标数据后推预设时间范围内的指标数据,对后推出的所述预设时间范围内的指标数据进行趋势分析,如果所述预设范围内的指标数据的趋势符合所述趋势预警模型,则预警当前时间内的指标数据异常;所述关联预警包括对多个指标数据进行关联,分析关联后的多个指标数据,根据对所述关联后的多个指标数据的分析结果评估故障影响、查找故障源。
7.根据权利要求1所述的网络安全防护方法,其特征在于,所述网络入侵攻击路径及威胁溯源分析包括构建覆盖全网络的监测点,对检测到异常流量进行可视化;存储流经路由器的所有数据包,如果受到攻击,则查询所述流经所有路由器的所有数据包,进而确定攻击路径。
8.根据权利要求7所述的网络安全防护方法,其特征在于,所述网络入侵攻击路径及威胁溯源分析还包括根据确定的攻击路径确定攻击源,对确定的攻击源进行拦截或隔离;根据所述攻击源制定防御建议,然后将所述防御建议写入所述预警报告。
9.根据权利要求1所述的网络安全防护方法,其特征在于,所述多维度数据的获取方式至少包括日志采集、流量采集、情境数据采集或外部支持数据;所述对获取到的所述多维度数据进行预处理包括结构化处理或非结构化处理;所述对所述待分析数据进行分析至少包括特征提取、统计分析、模型训练、取证溯源或全文检索。
10.一种网络安全防护系统,其特征在于,包括:
数据获取模块,用于获取多维度数据;
预处理模块,用于接收获取到的所述多维度数据并进行预处理,生成待分析数据并发送至分析单元;
所述分析单元用于对所述待分析数据进行分析并生成预警报告,所述预警报告用于预告威胁;
所述分析单元至少包括态势感知模块、实时分析预警模块或网络入侵攻击路径及威胁溯源分析模块;
所述态势感知模块通过机器学习从所述待分析数据中提取正常网络状态下的流量上限,根据所述流量上限从所述分析数据中划分出信任的的流量数据,根据所述信任的流量数据建立流量评估模型,根据所述流量评估模型评估网络流量,如果监测到异常流量则生成所述预警报告;
所述实时分析预警模块用于对所述待分析数据中的异常数据进行预警;
所述网络入侵攻击路径及威胁溯源分析模块用于确定攻击源,对确定的攻击源进行拦截或隔离。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811482296.XA CN109889476A (zh) | 2018-12-05 | 2018-12-05 | 一种网络安全防护方法和网络安全防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811482296.XA CN109889476A (zh) | 2018-12-05 | 2018-12-05 | 一种网络安全防护方法和网络安全防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109889476A true CN109889476A (zh) | 2019-06-14 |
Family
ID=66924993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811482296.XA Pending CN109889476A (zh) | 2018-12-05 | 2018-12-05 | 一种网络安全防护方法和网络安全防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109889476A (zh) |
Cited By (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110233849A (zh) * | 2019-06-20 | 2019-09-13 | 电子科技大学 | 网络安全态势分析的方法及系统 |
| CN110445807A (zh) * | 2019-08-23 | 2019-11-12 | 瑞森网安(福建)信息科技有限公司 | 网络安全态势感知系统及方法 |
| CN111092893A (zh) * | 2019-12-22 | 2020-05-01 | 上海唐盛信息科技有限公司 | 一种基于xdr话单数据的网络安全防护方法 |
| CN111193734A (zh) * | 2019-12-27 | 2020-05-22 | 杭州安恒信息技术股份有限公司 | 基于http流量态势的用户行为分析方法 |
| CN111274583A (zh) * | 2020-01-17 | 2020-06-12 | 湖南城市学院 | 一种大数据计算机网络安全防护装置及其控制方法 |
| CN111464502A (zh) * | 2020-03-10 | 2020-07-28 | 湖南文理学院 | 一种基于大数据平台的网络安全防护方法及系统 |
| CN111585830A (zh) * | 2020-03-25 | 2020-08-25 | 国网思极网安科技(北京)有限公司 | 一种用户行为分析方法、装置、设备及存储介质 |
| CN111667198A (zh) * | 2020-06-23 | 2020-09-15 | 宝石电气设备有限责任公司 | 石油钻机远程在线监测与预测性维护系统与评价方法 |
| CN112118220A (zh) * | 2020-08-06 | 2020-12-22 | 福建中信网安信息科技有限公司 | 一种网络安全等级保护测评方法及测评系统 |
| CN112269316A (zh) * | 2020-10-28 | 2021-01-26 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
| CN112364002A (zh) * | 2020-11-04 | 2021-02-12 | 上海新朋程数据科技发展有限公司 | 一种数据分析模型的建模方法 |
| CN112367185A (zh) * | 2020-10-10 | 2021-02-12 | 国网宁夏电力有限公司电力科学研究院 | 基于数字信号多维量化特征的流量建模方法 |
| CN112511387A (zh) * | 2020-12-15 | 2021-03-16 | 北京京航计算通讯研究所 | 基于多源信息分析的网络攻击监测系统 |
| CN112822220A (zh) * | 2021-03-04 | 2021-05-18 | 哈尔滨安天科技集团股份有限公司 | 一种面向多样本组合攻击的溯源方法和装置 |
| CN112887270A (zh) * | 2021-01-08 | 2021-06-01 | 天目数据(福建)科技有限公司 | 基于网络安全的恶意流量入侵分析预警装置 |
| CN113094715A (zh) * | 2021-04-20 | 2021-07-09 | 国家计算机网络与信息安全管理中心 | 一种基于知识图谱的网络安全动态预警系统 |
| CN113328996A (zh) * | 2021-05-08 | 2021-08-31 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
| CN113381980A (zh) * | 2021-05-13 | 2021-09-10 | 优刻得科技股份有限公司 | 信息安全防御方法及系统、电子设备、存储介质 |
| CN113411296A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 态势感知虚拟链路防御方法、装置及系统 |
| CN113438207A (zh) * | 2021-06-03 | 2021-09-24 | 张宇翔 | 一种基于白名单的网络安全防护方法 |
| CN113472788A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
| CN113642005A (zh) * | 2021-08-17 | 2021-11-12 | 安天科技集团股份有限公司 | 安全防护产品的防御性评估方法、装置、设备及介质 |
| CN113746832A (zh) * | 2021-09-02 | 2021-12-03 | 华中科技大学 | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
| CN113839935A (zh) * | 2021-09-14 | 2021-12-24 | 上海纽盾科技股份有限公司 | 网络态势感知方法、装置及系统 |
| CN113938401A (zh) * | 2021-08-27 | 2022-01-14 | 天津七所精密机电技术有限公司 | 一种舰艇网络安全可视化系统 |
| CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
| CN114124516A (zh) * | 2021-11-19 | 2022-03-01 | 上海纽盾科技股份有限公司 | 态势感知预测方法、装置及系统 |
| CN114154160A (zh) * | 2022-02-08 | 2022-03-08 | 中国电子信息产业集团有限公司第六研究所 | 容器集群监测方法、装置、电子设备及存储介质 |
| CN114338214A (zh) * | 2021-12-31 | 2022-04-12 | 中国联合网络通信集团有限公司 | 风险控制方法和系统 |
| CN114666088A (zh) * | 2021-12-30 | 2022-06-24 | 爱普(福建)科技有限公司 | 工业网络数据行为信息的侦测方法、装置、设备和介质 |
| CN114915491A (zh) * | 2022-06-20 | 2022-08-16 | 北京猎鹰安全科技有限公司 | 一种网络终端安全状态的评估方法、装置及存储介质 |
| CN114938300A (zh) * | 2022-05-17 | 2022-08-23 | 浙江木链物联网科技有限公司 | 基于设备行为分析的工控系统态势感知方法及其系统 |
| CN115021997A (zh) * | 2022-05-26 | 2022-09-06 | 广州中南网络技术有限公司 | 一种基于机器学习的网络入侵检测系统 |
| CN115085986A (zh) * | 2022-06-07 | 2022-09-20 | 珠海市鸿瑞信息技术股份有限公司 | 基于网络安全态势感知系统的异常行为监测系统及方法 |
| CN115086012A (zh) * | 2022-06-13 | 2022-09-20 | 北京融讯智晖技术有限公司 | 一种基于视频云指挥系统的网络安全防御系统 |
| CN115102790A (zh) * | 2022-08-24 | 2022-09-23 | 珠海市鸿瑞信息技术股份有限公司 | 基于大数据的网络流量异常感知系统及方法 |
| CN115174211A (zh) * | 2022-07-05 | 2022-10-11 | 北京珞安科技有限责任公司 | 基于流量分析与控制的工业安全防护系统 |
| CN115396465A (zh) * | 2022-07-20 | 2022-11-25 | 大连海事大学 | 一种基于sdn的智能船网络系统 |
| CN115549760A (zh) * | 2022-09-19 | 2022-12-30 | 航天宏图信息技术股份有限公司 | 一种卫星网络安全分析方法和系统 |
| CN116132989A (zh) * | 2023-04-13 | 2023-05-16 | 问策师信息科技南京有限公司 | 一种工业互联网安全态势感知系统及方法 |
| CN116708208A (zh) * | 2023-08-07 | 2023-09-05 | 山东慧贝行信息技术有限公司 | 一种基于机器学习的网络数据传输态势预测方法 |
| CN116828513A (zh) * | 2023-08-31 | 2023-09-29 | 长春市鑫鸿图科技有限公司 | 一种移动通信网络实时维护方法 |
| CN117118745A (zh) * | 2023-10-20 | 2023-11-24 | 山东慧贝行信息技术有限公司 | 一种基于深度学习的网络安全动态预警系统 |
-
2018
- 2018-12-05 CN CN201811482296.XA patent/CN109889476A/zh active Pending
Cited By (58)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110233849A (zh) * | 2019-06-20 | 2019-09-13 | 电子科技大学 | 网络安全态势分析的方法及系统 |
| CN110233849B (zh) * | 2019-06-20 | 2020-05-01 | 电子科技大学 | 网络安全态势分析的方法及系统 |
| CN110445807A (zh) * | 2019-08-23 | 2019-11-12 | 瑞森网安(福建)信息科技有限公司 | 网络安全态势感知系统及方法 |
| CN111092893A (zh) * | 2019-12-22 | 2020-05-01 | 上海唐盛信息科技有限公司 | 一种基于xdr话单数据的网络安全防护方法 |
| CN111193734A (zh) * | 2019-12-27 | 2020-05-22 | 杭州安恒信息技术股份有限公司 | 基于http流量态势的用户行为分析方法 |
| CN111274583A (zh) * | 2020-01-17 | 2020-06-12 | 湖南城市学院 | 一种大数据计算机网络安全防护装置及其控制方法 |
| CN111464502A (zh) * | 2020-03-10 | 2020-07-28 | 湖南文理学院 | 一种基于大数据平台的网络安全防护方法及系统 |
| CN111585830A (zh) * | 2020-03-25 | 2020-08-25 | 国网思极网安科技(北京)有限公司 | 一种用户行为分析方法、装置、设备及存储介质 |
| CN111667198A (zh) * | 2020-06-23 | 2020-09-15 | 宝石电气设备有限责任公司 | 石油钻机远程在线监测与预测性维护系统与评价方法 |
| CN112118220A (zh) * | 2020-08-06 | 2020-12-22 | 福建中信网安信息科技有限公司 | 一种网络安全等级保护测评方法及测评系统 |
| CN112118220B (zh) * | 2020-08-06 | 2022-09-06 | 福建中信网安信息科技有限公司 | 一种网络安全等级保护测评方法及测评系统 |
| CN112367185A (zh) * | 2020-10-10 | 2021-02-12 | 国网宁夏电力有限公司电力科学研究院 | 基于数字信号多维量化特征的流量建模方法 |
| CN112269316A (zh) * | 2020-10-28 | 2021-01-26 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
| CN112364002A (zh) * | 2020-11-04 | 2021-02-12 | 上海新朋程数据科技发展有限公司 | 一种数据分析模型的建模方法 |
| CN112511387A (zh) * | 2020-12-15 | 2021-03-16 | 北京京航计算通讯研究所 | 基于多源信息分析的网络攻击监测系统 |
| CN112887270B (zh) * | 2021-01-08 | 2023-04-18 | 天目数据(福建)科技有限公司 | 基于网络安全的恶意流量入侵分析预警装置 |
| CN112887270A (zh) * | 2021-01-08 | 2021-06-01 | 天目数据(福建)科技有限公司 | 基于网络安全的恶意流量入侵分析预警装置 |
| CN112822220B (zh) * | 2021-03-04 | 2023-02-28 | 安天科技集团股份有限公司 | 一种面向多样本组合攻击的溯源方法和装置 |
| CN112822220A (zh) * | 2021-03-04 | 2021-05-18 | 哈尔滨安天科技集团股份有限公司 | 一种面向多样本组合攻击的溯源方法和装置 |
| CN113094715A (zh) * | 2021-04-20 | 2021-07-09 | 国家计算机网络与信息安全管理中心 | 一种基于知识图谱的网络安全动态预警系统 |
| CN113411296A (zh) * | 2021-05-07 | 2021-09-17 | 上海纽盾科技股份有限公司 | 态势感知虚拟链路防御方法、装置及系统 |
| CN113328996A (zh) * | 2021-05-08 | 2021-08-31 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
| CN113381980B (zh) * | 2021-05-13 | 2022-11-22 | 优刻得(上海)数据科技有限公司 | 信息安全防御方法及系统、电子设备、存储介质 |
| CN113381980A (zh) * | 2021-05-13 | 2021-09-10 | 优刻得科技股份有限公司 | 信息安全防御方法及系统、电子设备、存储介质 |
| CN113438207A (zh) * | 2021-06-03 | 2021-09-24 | 张宇翔 | 一种基于白名单的网络安全防护方法 |
| CN113472788B (zh) * | 2021-06-30 | 2023-09-08 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
| CN113472788A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
| CN113642005A (zh) * | 2021-08-17 | 2021-11-12 | 安天科技集团股份有限公司 | 安全防护产品的防御性评估方法、装置、设备及介质 |
| CN113642005B (zh) * | 2021-08-17 | 2023-07-21 | 安天科技集团股份有限公司 | 安全防护产品的防御性评估方法、装置、设备及介质 |
| CN113938401A (zh) * | 2021-08-27 | 2022-01-14 | 天津七所精密机电技术有限公司 | 一种舰艇网络安全可视化系统 |
| CN113746832A (zh) * | 2021-09-02 | 2021-12-03 | 华中科技大学 | 多方法混合的分布式apt恶意流量检测防御系统及方法 |
| CN113839935B (zh) * | 2021-09-14 | 2024-01-23 | 上海纽盾科技股份有限公司 | 网络态势感知方法、装置及系统 |
| CN114006723B (zh) * | 2021-09-14 | 2023-08-18 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
| CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
| CN113839935A (zh) * | 2021-09-14 | 2021-12-24 | 上海纽盾科技股份有限公司 | 网络态势感知方法、装置及系统 |
| CN114124516B (zh) * | 2021-11-19 | 2023-08-22 | 上海纽盾科技股份有限公司 | 态势感知预测方法、装置及系统 |
| CN114124516A (zh) * | 2021-11-19 | 2022-03-01 | 上海纽盾科技股份有限公司 | 态势感知预测方法、装置及系统 |
| CN114666088A (zh) * | 2021-12-30 | 2022-06-24 | 爱普(福建)科技有限公司 | 工业网络数据行为信息的侦测方法、装置、设备和介质 |
| CN114338214A (zh) * | 2021-12-31 | 2022-04-12 | 中国联合网络通信集团有限公司 | 风险控制方法和系统 |
| CN114338214B (zh) * | 2021-12-31 | 2023-08-18 | 中国联合网络通信集团有限公司 | 风险控制方法和系统 |
| CN114154160A (zh) * | 2022-02-08 | 2022-03-08 | 中国电子信息产业集团有限公司第六研究所 | 容器集群监测方法、装置、电子设备及存储介质 |
| CN114938300A (zh) * | 2022-05-17 | 2022-08-23 | 浙江木链物联网科技有限公司 | 基于设备行为分析的工控系统态势感知方法及其系统 |
| CN115021997A (zh) * | 2022-05-26 | 2022-09-06 | 广州中南网络技术有限公司 | 一种基于机器学习的网络入侵检测系统 |
| CN115085986A (zh) * | 2022-06-07 | 2022-09-20 | 珠海市鸿瑞信息技术股份有限公司 | 基于网络安全态势感知系统的异常行为监测系统及方法 |
| CN115086012A (zh) * | 2022-06-13 | 2022-09-20 | 北京融讯智晖技术有限公司 | 一种基于视频云指挥系统的网络安全防御系统 |
| CN114915491A (zh) * | 2022-06-20 | 2022-08-16 | 北京猎鹰安全科技有限公司 | 一种网络终端安全状态的评估方法、装置及存储介质 |
| CN114915491B (zh) * | 2022-06-20 | 2023-12-26 | 北京猎鹰安全科技有限公司 | 一种网络终端安全状态的评估方法、装置及存储介质 |
| CN115174211A (zh) * | 2022-07-05 | 2022-10-11 | 北京珞安科技有限责任公司 | 基于流量分析与控制的工业安全防护系统 |
| CN115396465A (zh) * | 2022-07-20 | 2022-11-25 | 大连海事大学 | 一种基于sdn的智能船网络系统 |
| CN115102790A (zh) * | 2022-08-24 | 2022-09-23 | 珠海市鸿瑞信息技术股份有限公司 | 基于大数据的网络流量异常感知系统及方法 |
| CN115549760A (zh) * | 2022-09-19 | 2022-12-30 | 航天宏图信息技术股份有限公司 | 一种卫星网络安全分析方法和系统 |
| CN116132989B (zh) * | 2023-04-13 | 2023-08-22 | 南京艾牛科技有限公司 | 一种工业互联网安全态势感知系统及方法 |
| CN116132989A (zh) * | 2023-04-13 | 2023-05-16 | 问策师信息科技南京有限公司 | 一种工业互联网安全态势感知系统及方法 |
| CN116708208B (zh) * | 2023-08-07 | 2023-10-13 | 山东慧贝行信息技术有限公司 | 一种基于机器学习的网络数据传输态势预测方法 |
| CN116708208A (zh) * | 2023-08-07 | 2023-09-05 | 山东慧贝行信息技术有限公司 | 一种基于机器学习的网络数据传输态势预测方法 |
| CN116828513A (zh) * | 2023-08-31 | 2023-09-29 | 长春市鑫鸿图科技有限公司 | 一种移动通信网络实时维护方法 |
| CN117118745A (zh) * | 2023-10-20 | 2023-11-24 | 山东慧贝行信息技术有限公司 | 一种基于深度学习的网络安全动态预警系统 |
| CN117118745B (zh) * | 2023-10-20 | 2024-01-05 | 山东慧贝行信息技术有限公司 | 一种基于深度学习的网络安全动态预警系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889476A (zh) | 一种网络安全防护方法和网络安全防护系统 | |
| CN103312679B (zh) | 高级持续威胁的检测方法和系统 | |
| CN104486141B (zh) | 一种误报自适应的网络安全态势预测方法 | |
| CN105357063B (zh) | 一种网络空间安全态势实时检测方法 | |
| CN108769048A (zh) | 一种安全可视化与态势感知平台系统 | |
| CN109873811A (zh) | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 | |
| CN105553998A (zh) | 一种网络攻击异常检测方法 | |
| CN106888211A (zh) | 一种网络攻击的检测方法及装置 | |
| CN110213226A (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| CN107800685A (zh) | 基于威胁情报的智能安全防御平台 | |
| CN109120592A (zh) | 一种基于用户行为的Web异常检测系统 | |
| CN110602109A (zh) | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 | |
| CN106254318A (zh) | 一种网络攻击分析方法 | |
| CN115225384B (zh) | 一种网络威胁度评估方法、装置、电子设备及存储介质 | |
| CN114531283B (zh) | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 | |
| KR20080079767A (ko) | 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 | |
| Muneer et al. | Cyber Security event detection using machine learning technique | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
| CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
| CN116633685A (zh) | 基于IPv6发展态势监测的分析方法 | |
| Salazar et al. | Monitoring approaches for security and safety analysis: application to a load position system | |
| CN116094817A (zh) | 一种网络安全检测系统和方法 | |
| TianYu et al. | Research on security threat assessment for power iot terminal based on knowledge graph | |
| CN113132414B (zh) | 一种多步攻击模式挖掘方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190614 |
|
| WD01 | Invention patent application deemed withdrawn after publication |