CN112073355A - 基于网络流量的脆弱性分析方法 - Google Patents

基于网络流量的脆弱性分析方法 Download PDF

Info

Publication number
CN112073355A
CN112073355A CN201910478779.0A CN201910478779A CN112073355A CN 112073355 A CN112073355 A CN 112073355A CN 201910478779 A CN201910478779 A CN 201910478779A CN 112073355 A CN112073355 A CN 112073355A
Authority
CN
China
Prior art keywords
vulnerability
port
database
data
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910478779.0A
Other languages
English (en)
Inventor
谢泉钦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Leidun Information Security Co ltd
Original Assignee
Fujian Leidun Information Security Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Leidun Information Security Co ltd filed Critical Fujian Leidun Information Security Co ltd
Priority to CN201910478779.0A priority Critical patent/CN112073355A/zh
Publication of CN112073355A publication Critical patent/CN112073355A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Abstract

本发明公开了一种基于网络流量的脆弱性分析方法,属于计算机技术领域,该方法包括以下步骤:步骤一、进行数据采集;步骤二、建立脆弱性端口库;步骤三、脆弱性端口相关行为识别;步骤四、脆弱性端口判断;通过该基于网络流量的脆弱性分析方法,用户可以实时监控全局网络中端口及服务的风险情况,动态掌控全网的脆弱性端口情况,此外,通过该基于网络流量的脆弱性分析方法,用户可以对脆弱性端口的交互流量进行溯源。

Description

基于网络流量的脆弱性分析方法
技术领域
本发明属于计算机技术领域,具体涉及一种基于网络流量的脆弱性分析方法。
背景技术
传统的端口扫描,其基本原理是对目标设备的一段端口或指定的端口逐个进行扫描。通过扫描结果知道目标设备都提供了哪些端口,然后就可以有针对性地进行加固。该端口扫描检测安全技术存在的缺陷是:
1、逐一扫描系统、端口以及服务、数据库等,检测耗时长;
2、根据业务的需求可能随时需要开放新的端口,致使之前的端口扫描检查安全的工作做了无用功;
3、只能针对目标设备的端口,无法感知全局网络脆弱端口的动态变化情况。
发明内容
本发明的目的在于提供一种基于网络流量的脆弱性分析方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于网络流量的脆弱性分析方法,该方法包括以下步骤:
步骤一、进行数据采集;
步骤二、建立脆弱性端口库;
步骤三、脆弱性端口相关行为识别;
步骤四、脆弱性端口判断。
作为本发明进一步的方案:步骤一中的“进行数据采集”,其具体方法为:通过采集模块采集网络设备上的Sflow和Netflow协议数据作为底层原始数据,然后将采集到的底层原始数据经过数据清洗后得到格式化数据。
作为本发明再进一步的方案:步骤二中的“建立脆弱性端口库”,其建立方法为:根据格式化数据,将不同威胁类别分别建立脆弱性端口数据库,从而通过建立的脆弱性端口数据库组成数据库。
作为本发明再进一步的方案:步骤三中的“脆弱性端口相关行为识别”,其识别方法为:采用大数据分析技术进行筛选匹配,从而进行脆弱性行为分析,从数据库中识别出涉及脆弱性端口的行为。
作为本发明再进一步的方案:步骤四中的“脆弱性端口判断”,其判断方法为:在步骤三的基础上,通过端口规则库进行脆弱性端口分析,从而分析出涉及脆弱性端口行为的主机及相应的端口,然后将分析结果进行视觉呈现,视觉呈现方法为通过显示屏进行显示。
作为本发明再进一步的方案:所述网络设备为交换机/路由器。
作为本发明再进一步的方案:脆弱性端口数据库包括远程登录默认端口数据库、木马端口数据库和蠕虫端口数据库等。
与现有技术相比,本发明的有益效果是:通过该基于网络流量的脆弱性分析方法,用户可以实时监控全局网络中端口及服务的风险情况,动态掌控全网的脆弱性端口情况,此外,通过该基于网络流量的脆弱性分析方法,用户可以对脆弱性端口的交互流量进行溯源。
附图说明
图1为本发明的工作原理图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
请参阅图1,本发明提供一种技术方案:一种基于网络流量的脆弱性分析方法,该方法包括以下步骤:
步骤一、进行数据采集;
步骤二、建立脆弱性端口库;
步骤三、脆弱性端口相关行为识别;
步骤四、脆弱性端口判断;
为了使数据采集效果更好,本实施例中,优选的,步骤一中的“进行数据采集”,其具体方法为:通过采集模块采集交换机上的Sflow和Netflow协议数据作为底层原始数据,然后将采集到的底层原始数据经过数据清洗后得到格式化数据;
为了使建立的脆弱性端口库的范围更加广泛,本实施例中,优选的,步骤二中的“建立脆弱性端口库”,其建立方法为:根据格式化数据,将不同威胁类别分别建立脆弱性端口数据库,脆弱性端口数据库包括远程登录默认端口数据库、木马端口数据库和蠕虫端口数据库等,从而通过建立的脆弱性端口数据库组成数据库;
为了使脆弱性端口相关行为的识别更加精准,本实施例中,优选的,步骤三中的“脆弱性端口相关行为识别”,其识别方法为:采用大数据分析技术进行筛选匹配,从而进行脆弱性行为分析,从数据库中识别出涉及脆弱性端口的行为;
为了使脆弱性端口判断更加精确,本实施例中,优选的,步骤四中的“脆弱性端口判断”,其判断方法为:在步骤三的基础上,通过端口规则库进行脆弱性端口分析,从而分析出涉及脆弱性端口行为的主机及相应的端口,然后对分析结果进行储存。
实施例2:
请参阅图1,本发明提供一种技术方案:一种基于网络流量的脆弱性分析方法,该方法包括以下步骤:
步骤一、进行数据采集;
步骤二、建立脆弱性端口库;
步骤三、脆弱性端口相关行为识别;
步骤四、脆弱性端口判断;
为了使数据采集效果更好,本实施例中,优选的,步骤一中的“进行数据采集”,其具体方法为:通过采集模块采集路由器上的Sflow和Netflow协议数据作为底层原始数据,然后将采集到的底层原始数据经过数据清洗后得到格式化数据;
为了使建立的脆弱性端口库的范围更加广泛,本实施例中,优选的,步骤二中的“建立脆弱性端口库”,其建立方法为:根据格式化数据,将不同威胁类别分别建立脆弱性端口数据库,脆弱性端口数据库包括远程登录默认端口数据库、木马端口数据库和蠕虫端口数据库等,从而通过建立的脆弱性端口数据库组成数据库;
为了使脆弱性端口相关行为的识别更加精准,本实施例中,优选的,步骤三中的“脆弱性端口相关行为识别”,其识别方法为:采用大数据分析技术进行筛选匹配,从而进行脆弱性行为分析,从数据库中识别出涉及脆弱性端口的行为;
为了使脆弱性端口判断更加精确,本实施例中,优选的,步骤四中的“脆弱性端口判断”,其判断方法为:在步骤三的基础上,通过端口规则库进行脆弱性端口分析,从而分析出涉及脆弱性端口行为的主机及相应的端口,然后将分析结果进行视觉呈现,视觉呈现方法为通过显示屏进行显示。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。

Claims (7)

1.一种基于网络流量的脆弱性分析方法,其特征在于,该方法包括以下步骤:
步骤一、进行数据采集;
步骤二、建立脆弱性端口库;
步骤三、脆弱性端口相关行为识别;
步骤四、脆弱性端口判断。
2.根据权利要求1所述的基于网络流量的脆弱性分析方法,其特征在于,步骤一中的“进行数据采集”,其具体方法为:通过采集模块采集网络设备上的Sflow和Netflow协议数据作为底层原始数据,然后将采集到的底层原始数据经过数据清洗后得到格式化数据。
3.根据权利要求2所述的基于网络流量的脆弱性分析方法,其特征在于,步骤二中的“建立脆弱性端口库”,其建立方法为:根据格式化数据,将不同威胁类别分别建立脆弱性端口数据库,从而通过建立的脆弱性端口数据库组成数据库。
4.根据权利要求3所述的基于网络流量的脆弱性分析方法,其特征在于,步骤三中的“脆弱性端口相关行为识别”,其识别方法为:采用大数据分析技术进行筛选匹配,从而进行脆弱性行为分析,从数据库中识别出涉及脆弱性端口的行为。
5.根据权利要求4所述的基于网络流量的脆弱性分析方法,其特征在于,步骤四中的“脆弱性端口判断”,其判断方法为:在步骤三的基础上,通过端口规则库进行脆弱性端口分析,从而分析出涉及脆弱性端口行为的主机及相应的端口,然后将分析结果进行视觉呈现,视觉呈现方法为通过显示屏进行显示。
6.根据权利要求2-5任一所述的基于网络流量的脆弱性分析方法,其特征在于,所述网络设备为交换机/路由器。
7.根据权利要求3所述的基于网络流量的脆弱性分析方法,其特征在于,脆弱性端口数据库包括远程登录默认端口数据库、木马端口数据库和蠕虫端口数据库。
CN201910478779.0A 2019-05-25 2019-05-25 基于网络流量的脆弱性分析方法 Pending CN112073355A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910478779.0A CN112073355A (zh) 2019-05-25 2019-05-25 基于网络流量的脆弱性分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910478779.0A CN112073355A (zh) 2019-05-25 2019-05-25 基于网络流量的脆弱性分析方法

Publications (1)

Publication Number Publication Date
CN112073355A true CN112073355A (zh) 2020-12-11

Family

ID=73658682

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910478779.0A Pending CN112073355A (zh) 2019-05-25 2019-05-25 基于网络流量的脆弱性分析方法

Country Status (1)

Country Link
CN (1) CN112073355A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866051A (zh) * 2020-12-31 2021-05-28 深信服科技股份有限公司 一种脆弱性处理方法、装置、服务器和介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741472A (zh) * 2005-09-05 2006-03-01 北京启明星辰信息技术有限公司 网络入侵事件风险评估方法及系统
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
US20180129810A1 (en) * 2016-11-04 2018-05-10 Korea Internet & Security Agency Method and apparatus for identifying vulnerability information using keyword analysis for banner of open port
CN108429766A (zh) * 2018-05-29 2018-08-21 广西电网有限责任公司 基于大数据和wsn技术的网络安全态势分析预警系统
CN108494746A (zh) * 2018-03-07 2018-09-04 长安通信科技有限责任公司 一种网络端口流量异常检测方法及系统
KR20190017208A (ko) * 2017-08-10 2019-02-20 한국전자통신연구원 직렬 포트 기반 사이버 보안 취약점 점검 장치 및 그 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741472A (zh) * 2005-09-05 2006-03-01 北京启明星辰信息技术有限公司 网络入侵事件风险评估方法及系统
CN101436967A (zh) * 2008-12-23 2009-05-20 北京邮电大学 一种网络安全态势评估方法及其系统
US20180129810A1 (en) * 2016-11-04 2018-05-10 Korea Internet & Security Agency Method and apparatus for identifying vulnerability information using keyword analysis for banner of open port
KR20190017208A (ko) * 2017-08-10 2019-02-20 한국전자통신연구원 직렬 포트 기반 사이버 보안 취약점 점검 장치 및 그 방법
CN108494746A (zh) * 2018-03-07 2018-09-04 长安通信科技有限责任公司 一种网络端口流量异常检测方法及系统
CN108429766A (zh) * 2018-05-29 2018-08-21 广西电网有限责任公司 基于大数据和wsn技术的网络安全态势分析预警系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866051A (zh) * 2020-12-31 2021-05-28 深信服科技股份有限公司 一种脆弱性处理方法、装置、服务器和介质

Similar Documents

Publication Publication Date Title
CN112651006B (zh) 一种电网安全态势感知系统
US8019865B2 (en) Method and apparatus for visualizing network security state
KR100925176B1 (ko) 지리 정보를 이용한 네트워크 상태 표시장치 및 방법
US20100262873A1 (en) Apparatus and method for dividing and displaying ip address
CN105577679A (zh) 一种基于特征选择与密度峰值聚类的异常流量检测方法
CN110493179B (zh) 基于时间序列的网络安全态势感知系统和方法
CN103281177A (zh) 对Internet信息系统恶意攻击的检测方法及系统
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
CN111181978B (zh) 异常网络流量的检测方法、装置、电子设备及存储介质
CN104298586A (zh) 一种基于系统日志的Web系统异常分析方法和装置
Illiano et al. Don't fool me!: detection, characterisation and diagnosis of spoofed and masked events in wireless sensor networks
CN110460611A (zh) 基于机器学习的全流量攻击检测技术
CN111181918A (zh) 基于ttp的高风险资产发现和网络攻击溯源方法
CN108881271A (zh) 一种代理主机的反向追踪溯源方法及装置
CN113360566A (zh) 一种信息内容监测方法及系统
US8775613B2 (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
KR20080079767A (ko) 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
US20170272453A1 (en) User interface for displaying network analytics
CN105187403A (zh) 软件定义网络的网络安全性测试方法
Chang et al. An efficient network attack visualization using security quad and cube
KR100609707B1 (ko) 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
CN112073355A (zh) 基于网络流量的脆弱性分析方法
CN110881022A (zh) 一种大型网络安全态势检测分析方法
CN113938401A (zh) 一种舰艇网络安全可视化系统
KR100656352B1 (ko) 네트워크의 보안 관련 이벤트 정보를 표시하는 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20201211

WD01 Invention patent application deemed withdrawn after publication