CN110365674A - 一种预测网络攻击面的方法、服务器和系统 - Google Patents

Abstract

本发明公开了一种预测网络攻击面的方法、服务器和系统，收集各个网络节点上的数据片段副本，提取可被利用的攻击向量，将数据片段副本与历史大数据合并，分析数据片段是否存在异常，多个异常数据片段之间是否存在逻辑关联，由此确定和标注异常点，得到潜在的攻击轨迹和网络节点的安全漏洞，预测异常的网络节点未来是否会改善，以及预测与这个网络节点类似的其他节点是否会遭遇攻击，从而实现在大量网络节点中追踪攻击面的同时，帮助管理员预测未来攻击的情况和范围，保证其他网络节点的正常使用。

Description

一种预测网络攻击面的方法、服务器和系统

技术领域

本申请涉及网络安全技术领域，尤其涉及一种预测网络攻击面的方法、服务器和系统。

背景技术

当前网络通信面临越来越隐蔽的安全问题，很多攻击来自于隐蔽的、碎片化的形式，单个网络节点的漏洞点和攻击链路会构成多个攻击面，现有的防范网络攻击的方法会失效。尤其现在的网络通常具有大量网络节点，攻击者将片段可以分散在各个不同的网络节点上，从而逃避被发现。

同时，单个网络节点异常的原因并不相同，需要系统能够根据每个网络节点的情况找出其异常的项目是什么，预测该网络节点未来会不会改善，以及预测与这个网络节点类似的其他节点会不会遭遇攻击。这些成为急需解决的技术问题。

发明内容

本发明的目的在于提供一种预测网络攻击面的方法、服务器和系统，收集各个网络节点上的数据片段副本，提取可被利用的攻击向量，将数据片段与历史大数据合并，分析数据片段是否存在异常，多个异常数据片段之间是否存在逻辑关联，由此确定异常点，得到潜在的攻击轨迹和网络节点的安全漏洞，预测异常的网络节点未来是否会改善，以及预测与这个网络节点类似的其他节点是否会遭遇攻击。

第一方面，本申请提供一种预测网络攻击面的方法，所述方法包括：

网络侧服务器收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；

将接收到的数据片段与服务器本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

所述服务器使用分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

所述服务器检查所述可被利用的攻击向量，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点；

针对被标注为异常点并且持续被评估为不可信的网络节点，所述服务器解析该网络节点的历史访问数据，从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目，找到导致该网络节点异常并且不可信的原因，并且预测该原因是否为在未来一段时间得到改善；

以及，分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点，预测该其他网络节点是否也会遭遇攻击；所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务；

所述服务器将所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述预测的结果传递给显示处理装置；

所述服务器根据所述逻辑关联、所述异常数据片段训练所述分析模型；

所述显示处理装置接收到所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述预测的结果后，在地图化的网络节点架构图上标记异常点，勾画所述异常数据片段之间的逻辑关联，在图上绘制出潜在攻击轨迹和范围，以及标注每个网络节点的安全漏洞，实时显示所述安全漏洞对应的持续监控情况，实时显示预测攻击对象，形成一幅全态势的网络攻击面，显示在大屏幕上，供管理员监控。

结合第一方面，在第一方面第一种可能的实现方式中，所述网络侧服务器为集群服务器。

结合第一方面，在第一方面第二种可能的实现方式中，所述网络侧服务器固定周期向各个网络节点发送指令，所述指令用于命令各个网络节点上传本地的数据片段副本。

结合第一方面，在第一方面第三种可能的实现方式中，所述网络节点在业务处理间隙上传数据片段副本包括：优先处理业务数据，当没有业务数据需要处理或传输时，才向服务器上传数据片段副本。

第二方面，本申请提供一种预测网络攻击面的服务器，位于网络侧，执行全部或部分的方法，所述服务器包括：

数据接收单元，用于收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；

数据合并单元，用于将接收到的数据片段与服务器本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

分析异常单元，用于使用分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

漏洞检查单元，用于检查所述可被利用的攻击向量，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点；

预测单元，用于针对被标注为异常点并且持续被评估为不可信的网络节点，解析该网络节点的历史访问数据，从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目，找到导致该网络节点异常并且不可信的原因，并且预测该原因是否为在未来一段时间得到改善；

以及，分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点，预测该其他网络节点是否也会遭遇攻击；所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务；

传递单元，用于将所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述一个或多个参数传递给显示处理装置；

模型训练单元，用于根据所述逻辑关联、所述异常数据片段训练所述分析模型。

第三方面，本申请提供一种预测网络攻击面的系统，所述系统包括多个网络节点，以及如第三方面所述的服务器，以及显示处理装置。

本发明提供一种预测网络攻击面的方法、装置和系统，收集各个网络节点上的数据片段副本，提取可被利用的攻击向量，将数据片段副本与历史大数据合并，分析数据片段是否存在异常，多个异常数据片段之间是否存在逻辑关联，由此确定和标注异常点，得到潜在的攻击轨迹和网络节点的安全漏洞，预测异常的网络节点未来是否会改善，以及预测与这个网络节点类似的其他节点是否会遭遇攻击，从而实现在大量网络节点中追踪攻击面的同时，帮助管理员预测未来攻击的情况和范围，保证其他网络节点的正常使用。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明预测网络攻击面的方法的流程图；

图2为本发明预测网络攻击面的服务器的内部结构图；

图3为本发明预测网络攻击面的系统的架构图。

具体实施方式

下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

图1为本申请提供的预测网络攻击面的方法的流程图，所述方法包括：

网络侧服务器收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；

将接收到的数据片段与服务器本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

所述服务器使用分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

所述服务器检查所述可被利用的攻击向量，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点；

针对被标注为异常点并且持续被评估为不可信的网络节点，所述服务器解析该网络节点的历史访问数据，从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目，找到导致该网络节点异常并且不可信的原因，并且预测该原因是否为在未来一段时间得到改善；

以及，分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点，预测该其他网络节点是否也会遭遇攻击；所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务；

所述服务器将所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述预测的结果传递给显示处理装置；

所述服务器根据所述逻辑关联、所述异常数据片段训练所述分析模型；

所述显示处理装置接收到所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述预测的结果后，在地图化的网络节点架构图上标记异常点，勾画所述异常数据片段之间的逻辑关联，在图上绘制出潜在攻击轨迹和范围，以及标注每个网络节点的安全漏洞，实时显示所述安全漏洞对应的持续监控情况，实时显示预测攻击对象，形成一幅全态势的网络攻击面，显示在大屏幕上，供管理员监控。

在一些优选实施例中，所述网络侧服务器为集群服务器。

在一些优选实施例中，所述各个网络节点将数据流拆分为若干个数据片段可根据业务类型、访问动作确定拆分的长度。

在一些优选实施例中，所述网络侧服务器固定周期向各个网络节点发送指令，所述指令用于命令各个网络节点上传本地的数据片段副本。

在一些优选实施例中，所述网络节点在业务处理间隙上传数据片段副本包括：优先处理业务数据，当没有业务数据需要处理或传输时，才向服务器上传数据片段副本。

本申请提供的预测网络攻击面的装置，所述装置包括：

指令接收单元，用于接收网络侧服务器向各个网络节点发送的指令，所述指令用于命令各个网络节点将本地数据片段上传到服务器；

数据处理单元，用于将经由网络节点本地的数据流拆分为若干个数据片段，从中提取出可被利用的攻击向量，以及调用本地策略扫描所述数据片段副本，检查是否包含可被利用的攻击向量；

数据发送单元，用于将所述可被利用的攻击向量以及数据片段副本打包，在业务处理间隙封装上传给服务器；所述封装包括在数据片段副本中插入数据发起者标识。

在一些优选实施例中，所述装置在业务处理间隙上传数据片段副本包括：优先处理业务数据，当没有业务数据需要处理或传输时，才向服务器上传数据片段副本。

图2为本申请提供的预测网络攻击面的服务器的内部结构图，所述服务器包括：

数据接收单元，用于收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；

数据合并单元，用于将接收到的数据片段与服务器本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

分析异常单元，用于使用分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

漏洞检查单元，用于检查所述可被利用的攻击向量，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点；

预测单元，用于针对被标注为异常点并且持续被评估为不可信的网络节点，解析该网络节点的历史访问数据，从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目，找到导致该网络节点异常并且不可信的原因，并且预测该原因是否为在未来一段时间得到改善；

以及，分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点，预测该其他网络节点是否也会遭遇攻击；所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务；

传递单元，用于将所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述一个或多个参数传递给显示处理装置；

模型训练单元，用于根据所述逻辑关联、所述异常数据片段训练所述分析模型。

在一些优选实施例中，所述网络侧服务器是集群服务器。

在一些优选实施例中，所述网络侧服务器固定周期向各个网络节点发送指令档。

图3为本申请提供的预测网络攻击面的系统的架构图，所述系统包括多个网络节点，以及如图2所示的服务器，以及显示处理装置。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：ROM)或随机存储记忆体(简称：RAM)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (6)

1.一种预测网络攻击面的方法，其特征在于，包括：

网络侧服务器收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；

将接收到的数据片段与服务器本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

所述服务器使用分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

所述服务器检查所述可被利用的攻击向量，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点；

针对被标注为异常点并且持续被评估为不可信的网络节点，所述服务器解析该网络节点的历史访问数据，从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目，找到导致该网络节点异常并且不可信的原因，并且预测该原因是否为在未来一段时间得到改善；

以及，分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点，预测该其他网络节点是否也会遭遇攻击；所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务；

所述服务器将所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述预测的结果传递给显示处理装置；

所述服务器根据所述逻辑关联、所述异常数据片段训练所述分析模型；

所述显示处理装置接收到所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述预测的结果后，在地图化的网络节点架构图上标记异常点，勾画所述异常数据片段之间的逻辑关联，在图上绘制出潜在攻击轨迹和范围，以及标注每个网络节点的安全漏洞，实时显示所述安全漏洞对应的持续监控情况，实时显示预测攻击对象，形成一幅全态势的网络攻击面，显示在大屏幕上，供管理员监控。

2.根据权利要求1所述的方法，其特征在于，所述网络侧服务器为集群服务器。

3.根据权利要求1-2任一所述的方法，其特征在于，所述网络侧服务器固定周期向各个网络节点发送指令，所述指令用于命令各个网络节点上传本地的数据片段副本。

4.根据权利要求1-3任一所述的方法，其特征在于，所述网络节点在业务处理间隙上传数据片段副本包括：优先处理业务数据，当没有业务数据需要处理或传输时，才向服务器上传数据片段副本。

5.一种预测网络攻击面的服务器，位于网络侧，执行如权利要求1-4任一项所述的方法，其特征在于，包括：

数据接收单元，用于收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；

数据合并单元，用于将接收到的数据片段与服务器本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

分析异常单元，用于使用分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

漏洞检查单元，用于检查所述可被利用的攻击向量，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点；

预测单元，用于针对被标注为异常点并且持续被评估为不可信的网络节点，解析该网络节点的历史访问数据，从中提取该网络节点访问的资源、应用程序、动作指令、用户类型、业务类型中的一个或多个项目，找到导致该网络节点异常并且不可信的原因，并且预测该原因是否为在未来一段时间得到改善；

以及，分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点，预测该其他网络节点是否也会遭遇攻击；所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务；

传递单元，用于将所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述一个或多个参数传递给显示处理装置；

模型训练单元，用于根据所述逻辑关联、所述异常数据片段训练所述分析模型。

6.一种预测网络攻击面的系统，其特征在于，所述系统包括多个网络节点，如权利要求5所述的服务器，以及显示处理装置。