CN113596028B - 一种网络异常行为的处置方法及装置 - Google Patents

一种网络异常行为的处置方法及装置 Download PDF

Info

Publication number
CN113596028B
CN113596028B CN202110861793.6A CN202110861793A CN113596028B CN 113596028 B CN113596028 B CN 113596028B CN 202110861793 A CN202110861793 A CN 202110861793A CN 113596028 B CN113596028 B CN 113596028B
Authority
CN
China
Prior art keywords
network
early warning
behavior
matching
key information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110861793.6A
Other languages
English (en)
Other versions
CN113596028A (zh
Inventor
葛国栋
李泽科
魏兴慎
吴超
张勃
王海清
高鹏
马增洲
曹永健
杨维永
刘苇
朱世顺
陈泽文
徐志光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Fujian Electric Power Co Ltd
NARI Group Corp
Nari Information and Communication Technology Co
Original Assignee
State Grid Fujian Electric Power Co Ltd
NARI Group Corp
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Fujian Electric Power Co Ltd, NARI Group Corp, Nari Information and Communication Technology Co filed Critical State Grid Fujian Electric Power Co Ltd
Priority to CN202110861793.6A priority Critical patent/CN113596028B/zh
Publication of CN113596028A publication Critical patent/CN113596028A/zh
Application granted granted Critical
Publication of CN113596028B publication Critical patent/CN113596028B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出一种网络异常行为的处置方法及装置,该方法包括从安全预警设备日志中提取不信任网络访问行为的关键信息;依据设定的网络异常行为匹配规则,对提取的关键信息进行匹配,识别出网络异常行为;针对网络异常行为联动安全防御设备,下发防御策略命令。本发明根据安全防护要求,可灵活设定精确匹配规则,实现对电力物联网终端设备的精确访问控制;在节省人力资源的同时,也提高了网络安全应急响应的速度和能力。

Description

一种网络异常行为的处置方法及装置
技术领域
本发明属于网络安全技术领域,具体的说是一种网络异常行为的处置方法及装置。
背景技术
网络异常行为是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备,利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。对于计算机和计算机网络来说,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何计算机的数据,都会被视为于计算机和计算机网络中的异常行为。
在日常工作中防御网络异常行为的方式多种多样。总结来说,监控人员通过对安全监控预警设备不信任的网络访问行为进行分析和识别判断,使用防毒、防黑等安全防御设备控制网络进/出两个方向通信的门槛,针对发现的网络异常行为,设置针对性的防御策略,保证可疑行为不能访问内部网络,从而有效保护内部网络安全。
上述的防护异常行为的方法具有一定的局限性,在网络区域广,安全预警设备多的情况下,产生了大量的不信任的网络访问行为,需要更多的人力去进行分析、判断和设定防御策略,也会导致从网络异常行为发现到设定针对性防御策略的时间较长,不能快速有效的应急响应网络异常访问行为。
发明内容
本发明的目的在于提供一种网络异常行为的处置方法及装置,该方法将从网络异常行为发现到安全防御处置的过程,进行自动化识别、分析和处置,在节省人力的情况下同时也提高了网络安全应急响应的速度和能力。
为达到上述目的,本发明采用的技术方案如下:
本发明一方面提供一种网络异常行为的处置方法,包括:
从安全预警设备日志中提取不信任网络访问行为的关键信息;
依据设定的网络异常行为匹配规则,对提取的关键信息进行匹配,识别出网络异常行为;
针对网络异常行为联动安全防御设备,下发防御策略命令。
进一步的,所述从安全预警设备日志中提取不信任网络访问行为的关键信息,包括:
采集安全预警设备日志;
识别日志中被判断为不信任的网络访问行为数据;
从不信任的网络访问行为数据中提取关键信息,其中所述关键信息至少包括:源IP、目的IP、攻击方式、预警级别、攻击结果和攻击时间。
进一步的,还包括,
将设定时间内同源IP、同目的IP和同攻击方式的关键信息归并成一条数据;
将关键信息中攻击方式、预警级别和攻击结果的数字指标转化为具体文字内容,将攻击时间转化为字符时间格式,以及根据源IP查询本地IP归属地库获取源IP归属地;
将格式转换后的关键信息存储在关系型数据库中,其中未处置状态的网络访问行为关键信息存储到预警数据库中。
进一步的,所述对提取的关键信息进行匹配,包括:
扫描预警数据库,对未处置状态的网络访问行为关键信息,根据预设的网络异常行为匹配规则进行匹配;
对于匹配成功的关键信息,判定对应的网络访问行为是网络异常行为。
进一步的,所述网络异常行为匹配规则包括:
规则一:将关键信息中的攻击结果与安全设备预警数据的访问结果进行匹配,如果一致,则匹配成功;
规则二:对关键信息中的源IP进行匹配判断,如果关键信息源IP在设定的时间范围内被超过预设数量的安全预警设备监测到不信任的网络访问行为,则匹配成功;
规则三:对关键信息中的源IP进行匹配判断,如果关键信息源IP在设定的时间范围内被当前安全预警设备监测到不信任的网络访问行为次数超过预设阈值,则匹配成功;
规则四:对关键信息中的预警级别进行匹配判断,如果在预设的预警级别范围内,则匹配成功;
规则五:对关键信息中的源IP进行匹配判断,判断源IP是否为境外IP告警,如果是,则匹配成功;
规则六:对关键信息中的源IP进行匹配判断,通过情报中心查询源IP情报级别,情报级别在预设的情报级别范围内,则匹配成功。
进一步的,设定的网络异常行为匹配规则为六条规则中的至少一条,
规则匹配过程中按照规则一到规则六顺次匹配。
进一步的,所述针对网络异常行为联动安全防御设备,下发防御策略命令,包括:
根据网络异常行为所属预警设备类型获取需要联动的安全防御设备类型,其中,网络攻击预警设备数据联动安全访问控制设备,终端接入预警设备数据联动终端接入预警设备;
检索MySQL数据库中需要联动的安全防御设备的策略封禁记录数据表;
根据策略封禁记录数据表中获取的数据记录,组建策略命令;
获取安全防御设备信息,远程联动安全防御设备,下发组建的策略命令。
进一步的,
如果需要联动的安全防御设备是安全访问控制设备,则从策略封禁记录数据表中获取最新防御策略源地址对象数量、对象组名称和组内IP数量;如果需要联动的安全防御设备是终端接入预警设备,则从策略封禁记录数据表中获取终端接入证书。
进一步的,还包括,
根据获取的最新防御策略源地址对象数量、对象组名称和组内IP数量,判断当前对象组内IP数量是否达到阈值,如未达到,组建策略命令时,将需要封禁的源IP放入当前最新对象组中;如达到则需要新建对象组,并判断源地址的对象组数量是否达到阈值,如达到则需要新建策略,将新建的对象组放入到新建的策略源地址中,如未达到,则将新建的对象组放入当前策略源地址中。
进一步的,还包括,
记录已经下发防御策略的源IP,分别存储在关系型数据库和缓存库中;所述关系型数据库存放源IP、安全防御设备IP、策略名称、对象组名和时间;所述缓存库存储网络异常访问行为源IP的处置状态,再次探测到相同源IP的网络异常访问行为时,无需重复判断和处置。
本发明另一方面提供一种网络异常行为的处置装置,包括:
采集模块,用于从安全预警设备日志中提取不信任网络访问行为的关键信息;
规则模块,用于依据设定的网络异常行为匹配规则,对提取的关键信息进行匹配,识别出网络异常行为;
以及,
联动模块,用于针对网络异常行为联动安全防御设备,下发防御策略命令。
进一步的,还包括,
记录模块,用于记录已经下发防御策略的网络异常行为源IP及处置状态。
与现有网络安全防护方法相比,本发明的优点在于:
本发明通过采集所有安全预警设备的日志数据,节省了监控多种安全预警设备的人力需求;根据设定的规则,快速分析和识别网络异常访问,节省了人工对网络异常行为的分析和判断的时间;联动安全防御设备,设定针对性防御策略,节省了人力在安全防御设备上进行策略操作的时间和预防工作人员策略设定错误的可能。本发明在节省网络异常行为人力监控需求的同时,也提高了安全异常行为的应急响应速度,保证了内部网络的安全稳定。
附图说明
图1为本发明实施例的一种网络异常行为的处置方法流程示意图。
图2为本发明实施例中预警日志数据处理流程图。
图3为本发明实施例中联动防火墙策略下发流程图。
具体实施方式
下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明的一个实施例中提供一种网络异常行为的处置方法,参见图1,包括:
从安全预警设备的日志中提取不信任网络访问行为的关键信息;
依据预设的网络异常行为匹配规则,对提取的关键信息进行匹配,识别出网络异常行为;
针对网络异常行为联动安全防御设备,下发防御策略命令。
本发明实施例中,从安全预警设备的日志中提取不信任网络访问行为的关键信息,参见图2,包括:
采集安全预警设备的日志;
识别日志中安全预警设备判断为不信任的网络访问行为数据;
从不信任的网络访问行为数据中提取关键信息字段包括源IP、目的IP、攻击方式、预警级别、攻击结果、攻击时间等数据。
如图2所示,还包括对关键信息数据进行去重、格式转换和数据库持久化存储,
其中,数据去重是根据三元组进行去重,即同一预警来源与同源IP、同目的IP、同攻击方式在10分钟内归并成一条数据。
数据格式转换是将关键信息数据中攻击方式、预警级别、攻击结果等字段的数字指标转化为具体文字内容,攻击时间戳转化为字符时间格式,源IP查询本地IP归属地库获取源IP归属地。
对格式转换后的数据进行持久化是指,将数据存储在关系型数据库中,其中未处置状态的网络访问行为数据存储到预警数据库中,便于网络异常行为规则扫描和匹配。处置状态判断为,对已经处置的网络访问行为,设定已处置状态,对未处置的网络异常行为,设定未处置状态。本发明实施例中,依据预设的网络异常行为匹配规则,对提取的关键信息进行匹配,识别出网络异常行为,包括:
扫描预警数据库,对最新的网络访问行为预警且处置状态是未处置的数据,根据预设的网络异常行为匹配规则进行规则匹配;
对于匹配成功的数据,认定此网络访问行为是异常的。
其中,预设的网络异常行为匹配规则共有六条,根据安全防护级别设定相应的匹配规则,包括:
规则一:匹配网络异常行为告警结果;即安全设备预警数据的访问结果,如设定攻击成功,所有预警数据中访问结果为“攻击成功”的预警数据将被成功匹配。
规则二:匹配当前访问源IP被多台安全预警设备监测到不信任的网络访问行为,此规则有两个关键因素,分别是时间范围和设备数量,如设定5分钟和2台,此规则表示,如有2台及以上安全预警设备,在当前时间至5分钟前这段时间内都监测到此访问源IP的异常行为,则规则匹配成功,可认定此网络访问行为是异常的。由此可知时间范围设定越大,设备数量设定越小,越容易匹配成功,规则也就越敏感。
规则三:匹配一定时间范围内,源IP超过安全预警设备设置的阈值。匹配规则有两个关键因素,分别是时间范围和阈值,如设定10分钟和3次,此规则表示,如在当前预警设备中,当前时间至10分钟前时间范围内预警设备监测到此源IP异常行为3次及以上,则规则匹配成功,可认定此网络访问行为是异常的。由此可知时间范围设定越大,阈值设定越小,越容易匹配成功,规则也就越敏感。
规则四:匹配网络异常行为预警的告警级别。一般告警有3种级别,分别是高危、中危和低位。规则可设定“高危”、“高危和中危”以及“高危、中危和低危”。由于告警级别只有高中低三种级别,所以设定“高危、中危和低危”其实就是对当前安全预警设备所有的预警都能匹配成功。
规则五:匹配源IP是否为境外IP告警。境外IP包含国外和港澳台地区的IP,也就是对源IP归属地进行匹配。
规则六:情报中心查询源IP情报。情报中心针对IP的情报级别分类是危险、高危、中危、低危和未知。可设定规则“危险”、“危险和高危”、“危险、高危和中危”以及“危险、高危、中危和低危”。
设定网络异常行为匹配规则可同时设定六条规则,也可以设定其中的几条,没有设定的规则,不会进行匹配。六条规则在匹配过程中是从一到六依次匹配,如有一条规则匹配成功,则后续规则不再匹配,直接认定此网络访问行为是异常的。
本发明实施例中,针对网络异常行为联动安全防御设备,下发防御策略命令,参见图3,包括:
根据网络异常行为所属预警设备类型(分为网络攻击预警设备和终端接入预警设备)获取需要联动的安全防御设备类型,网络攻击预警设备数据联动安全访问控制设备,终端接入预警设备数据联动终端接入预警设备。
检索联动设备在MySQL数据库 “策略封禁记录数据表”中的数据,如是安全访问控制类设备,如防火墙,从“策略封禁记录数据表”中需要获取最新防御策略源地址对象组数量、对象组名称和组内IP数量;如果是终端接入预警设备,如安全接入网关,则需获取终端接入证书。
根据从MySQL数据库“封禁记录数据表”中获取的数据记录,组建下发封禁策略命令。
安全访问控制设备,一般是指防火墙设备,防火墙设备创建策略一般有两个步骤:(1),创建对象组;(2)创建封禁策略,将对象组放入策略的源地址中。其中第一步创建对象组是指创建一个组,将需要封禁的IP地址放入组中,地址组中存放IP的数量是有阈值的,也就是最多可以存放多少个IP地址,超过阈值则无法继续存放新的IP地址;第二步创建策略,防火墙设备策略创建主要包含源域、目的域、源地址、目的地址、服务(端口等)、动作、生效日期等关键因素,在本发明中自动创建封禁策略时,除源地址是变化的,且也是有阈值的(最多可以存放多少对象组),其他都使用默认值,比如源域、目的域默认值是“ANY”,表示内外双向访问;目的地址、服务默认值是“ANY”,表示访问内部网络的所有IP和服务;动作默认值为“Deny”表示丢包,也就是封禁动作,时间一般默认3个月,超过时间后策略失效。
终端接入预警设备,一般是指安全接入网关设备,安全接入网关设备创建策略只需要将终端的IP,终端的证书(证明终端唯一性数据证书),策略动作组装成数组数据,调用安全接入网关创建策略接口,传替数组数据进行策略创建。
从MySQL数据库“安全设备信息表”中获取安全防御设备信息,远程联动安全防御设备,传输已组建的策略命令,生成有效防御策略。其中,安全防御设备信息包含设备IP、设备账户、设备密码、SSH登录端口,且需要设备开通SSH访问权限。设备密码信息是加密存储在MySQL数据库“安全设备信息表”表中,远程联动安全防御设备时,从表中获取加密密码进行解密,再模拟登录到设备中。
参见图3,还包括,对安全访问控制设备策略中源地址的对象组和对象组中IP地址数量是否达到阈值进行判断。判断当前对象组是否达到阈值,如未达到,组建策略命令时,只需要在最新对象组中增加需要封禁的源IP地址,即使用host add命令;如达到,组件策略命令时,需要使用新建地址对象,即host create命令;还需要判断策略中源地址的对象组数量是否达到阈值,如达到,在组件策略命令时,需要使用新建策略,即policy create命令,将刚刚新建的对象组放入到新建的策略源地址中;如未达到,只需要在最新策略的源地址中增加新建的对象组,即使用policy add命令。
本发明实施例中,还包括,针对已处置的网络异常行为,进行数据和防御策略记录,当再次探测到相同网络异常行为时,能够立即判断识别并无须设定防御策略。包括记录已经下发防御策略的源IP,分别存储在MySQL数据库“策略封禁记录数据表”和缓存库Redis中。MySQL数据库存放的是此源IP策略的详情,包含源IP、安全防御设备IP、策略名称、对象组名、时间等,便于进行策略命令阻断判断;缓存库Redis存储此网络异常访问源IP的处置状态,等再次探测到相同源IP的异常访问行为时,无需重复判断和处置,节省资源。
本发明实施例中,还包括,检测网络异常访问行为源IP在安全防御设备中的生效状态,如未生效或策略组建失败,将再次下发防御策略。
本发明的另一个实施例提供一种网络异常行为的处置装置,包括:
采集模块,采集安全预警设备的日志,识别不信任的网络访问行为数据,并从数据中提取访问行为的关键信息,对关键信息数据进行格式化、去重、转换和数据库持久化。
匹配模块,设定网络异常行为匹配规则,根据设定的匹配规则,实时扫描网络访问行为预警数据,进行规则匹配。
联动模块,根据本地数据库封禁记录和安全防御设备自身策略命令,自动组装下发防御策略命令,远程联动安全防御设备,生成有效防御策略。
还包括记录模块,针对已处置的网络异常行为,进行数据和防御策略记录,当再次探测到相同网络异常行为时,能够立即判断识别并无须设定防御策略。
值得指出的是,该装置实施例是与上述方法实施例对应的,上述方法实施例的实现方式均适用于该装置实施例中,并能达到相同或相似的技术效果,故不在此赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。

Claims (8)

1.一种网络异常行为的处置方法,其特征在于,包括:
从安全预警设备日志中提取不信任网络访问行为的关键信息;所述关键信息至少包括:源IP、目的IP、攻击方式、预警级别、攻击结果和攻击时间;
依据设定的网络异常行为匹配规则,对提取的关键信息进行匹配,识别出网络异常行为;所述网络异常行为匹配规则包括:
规则一:将关键信息中的攻击结果与安全设备预警数据的访问结果进行匹配,如果一致,则匹配成功;
规则二:对关键信息中的源IP进行匹配判断,如果关键信息源IP在设定的时间范围内被超过预设数量的安全预警设备监测到不信任的网络访问行为,则匹配成功;
规则三:对关键信息中的源IP进行匹配判断,如果关键信息源IP在设定的时间范围内被当前安全预警设备监测到不信任的网络访问行为次数超过预设阈值,则匹配成功;
规则四:对关键信息中的预警级别进行匹配判断,如果在预设的预警级别范围内,则匹配成功;
规则五:对关键信息中的源IP进行匹配判断,判断源IP是否为境外IP告警,如果是,则匹配成功;
规则六:对关键信息中的源IP进行匹配判断,通过情报中心查询源IP情报级别,情报级别在预设的情报级别范围内,则匹配成功;
规则匹配过程中按照规则一到规则六顺次匹配;
针对网络异常行为联动安全防御设备,下发防御策略命令,包括:
根据网络异常行为所属安全预警设备类型获取需要联动的安全防御设备类型,所述安全预警设备包括网络攻击预警设备和终端接入预警设备,其中,网络攻击预警设备数据联动安全访问控制设备,终端接入预警设备数据联动终端接入预警设备;
检索MySQL数据库中需要联动的安全防御设备的策略封禁记录数据表;
根据策略封禁记录数据表中获取的数据记录,组建策略命令;
获取安全防御设备信息,远程联动安全防御设备,下发组建的策略命令;
记录已经下发防御策略的源IP,分别存储在关系型数据库和缓存库中;所述关系型数据库存放源IP、安全防御设备IP、策略名称、对象组名和时间;所述缓存库存储网络异常访问行为源IP的处置状态;再次探测到相同源IP的网络异常访问行为时,无需重复判断和处置。
2.根据权利要求1所述的一种网络异常行为的处置方法,其特征在于,所述从安全预警设备日志中提取不信任网络访问行为的关键信息,包括:
采集安全预警设备日志;
识别日志中被判断为不信任的网络访问行为数据;
从不信任的网络访问行为数据中提取关键信息。
3.根据权利要求2所述的一种网络异常行为的处置方法,其特征在于,还包括,
将设定时间内同源IP、同目的IP和同攻击方式的关键信息归并成一条数据;
将关键信息中攻击方式、预警级别和攻击结果的数字指标转化为具体文字内容,将攻击时间转化为字符时间格式,以及根据源IP查询本地IP归属地库获取源IP归属地;
将格式转换后的关键信息存储在关系型数据库中,其中未处置状态的网络访问行为关键信息存储到预警数据库中。
4.根据权利要求3所述的一种网络异常行为的处置方法,其特征在于,所述对提取的关键信息进行匹配,包括:
扫描预警数据库,对未处置状态的网络访问行为关键信息,根据预设的网络异常行为匹配规则进行匹配;
对于匹配成功的关键信息,判定对应的网络访问行为是网络异常行为。
5.根据权利要求1所述的一种网络异常行为的处置方法,其特征在于,
如果需要联动的安全防御设备是安全访问控制设备,则从策略封禁记录数据表中获取最新防御策略源地址对象数量、对象组名称和组内IP数量;如果需要联动的安全防御设备是终端接入预警设备,则从策略封禁记录数据表中获取终端接入证书。
6.根据权利要求5所述的一种网络异常行为的处置方法,其特征在于,还包括,
根据获取的最新防御策略源地址对象数量、对象组名称和组内IP数量,判断当前对象组内IP数量是否达到阈值,如未达到,组建策略命令时,将需要封禁的源IP放入当前最新对象组中;如达到则需要新建对象组,并判断源地址的对象组数量是否达到阈值,如达到则需要新建策略,将新建的对象组放入到新建的策略源地址中,如未达到,则将新建的对象组放入当前策略源地址中。
7.一种网络异常行为的处置装置,其特征在于,用于实现权利要求1至6任意一项所述的网络异常行为的处置方法,所述装置包括:
采集模块,用于从安全预警设备日志中提取不信任网络访问行为的关键信息;
规则模块,用于依据设定的网络异常行为匹配规则,对提取的关键信息进行匹配,识别出网络异常行为;
以及,
联动模块,用于针对网络异常行为联动安全防御设备,下发防御策略命令。
8.根据权利要求7所述的一种网络异常行为的处置装置,其特征在于,还包括,
记录模块,用于记录已经下发防御策略的网络异常行为源IP及处置状态。
CN202110861793.6A 2021-07-29 2021-07-29 一种网络异常行为的处置方法及装置 Active CN113596028B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110861793.6A CN113596028B (zh) 2021-07-29 2021-07-29 一种网络异常行为的处置方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110861793.6A CN113596028B (zh) 2021-07-29 2021-07-29 一种网络异常行为的处置方法及装置

Publications (2)

Publication Number Publication Date
CN113596028A CN113596028A (zh) 2021-11-02
CN113596028B true CN113596028B (zh) 2023-06-30

Family

ID=78251634

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110861793.6A Active CN113596028B (zh) 2021-07-29 2021-07-29 一种网络异常行为的处置方法及装置

Country Status (1)

Country Link
CN (1) CN113596028B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257415B (zh) * 2021-11-25 2024-04-30 中国建设银行股份有限公司 网络攻击的防御方法、装置、计算机设备和存储介质
CN115051830B (zh) * 2022-04-29 2023-12-26 国网浙江省电力有限公司宁波供电公司 一种电力靶场隐患数据安全监控系统及方法
CN115189926B (zh) * 2022-06-22 2024-01-26 北京天融信网络安全技术有限公司 网络流量的检测方法、网络流量的检测系统和电子设备
CN115314252B (zh) * 2022-07-06 2023-06-13 北京神州慧安科技有限公司 应用于工业防火墙的防护方法、系统、终端及存储介质
CN115766225B (zh) * 2022-11-16 2024-05-28 四川新网银行股份有限公司 基于蜜罐诱捕攻击行为分析的自动化防御方法和系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641591A (zh) * 2020-04-30 2020-09-08 杭州博联智能科技股份有限公司 云服务安全防御方法、装置、设备及介质
CN111935074A (zh) * 2020-06-22 2020-11-13 国网电力科学研究院有限公司 一种一体化网络安全检测方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10778722B2 (en) * 2016-11-08 2020-09-15 Massachusetts Institute Of Technology Dynamic flow system
US20200329072A1 (en) * 2019-04-11 2020-10-15 Level 3 Communications, Llc System and method for utilization of threat data for network security
CN110855697A (zh) * 2019-11-20 2020-02-28 国网湖南省电力有限公司 电力行业网络安全的主动防御方法
CN112468472B (zh) * 2020-11-18 2022-09-06 中通服咨询设计研究院有限公司 一种基于安全日志关联分析的安全策略自反馈方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641591A (zh) * 2020-04-30 2020-09-08 杭州博联智能科技股份有限公司 云服务安全防御方法、装置、设备及介质
CN111935074A (zh) * 2020-06-22 2020-11-13 国网电力科学研究院有限公司 一种一体化网络安全检测方法及装置

Also Published As

Publication number Publication date
CN113596028A (zh) 2021-11-02

Similar Documents

Publication Publication Date Title
CN113596028B (zh) 一种网络异常行为的处置方法及装置
CN109739203B (zh) 一种工业网络边界防护系统
CN109995796B (zh) 工控系统终端安全防护方法
CN109976239B (zh) 工控系统终端安全防护系统
Lin et al. Cyber attack and defense on industry control systems
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
CN114978770B (zh) 基于大数据的物联网安全风险预警管控方法及系统
CN113098846A (zh) 工控流量监测方法、设备、存储介质及装置
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
CN111835680A (zh) 一种工业自动制造的安全防护系统
CN115996146A (zh) 数控系统安全态势感知与分析系统、方法、设备及终端
CN116319061A (zh) 一种智能控制网络系统
CN114666088A (zh) 工业网络数据行为信息的侦测方法、装置、设备和介质
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
Ferencz et al. Review of industry 4.0 security challenges
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
CN114826880A (zh) 一种数据安全运行在线监测的方法及系统
CN113438249A (zh) 一种基于策略的攻击溯源方法
Asiri et al. Understanding indicators of compromise against cyber-attacks in industrial control systems: a security perspective
CN116094817A (zh) 一种网络安全检测系统和方法
Asiri et al. Investigating usable indicators against cyber-attacks in industrial control systems
Liebl et al. Threat analysis of industrial internet of things devices
Johnson Barriers to the use of intrusion detection systems in safety-critical applications
Zhang et al. Investigating the impact of cyber attacks on power system reliability
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant