CN113726780B - 基于态势感知的网络监控方法、装置、电子设备 - Google Patents

基于态势感知的网络监控方法、装置、电子设备 Download PDF

Info

Publication number
CN113726780B
CN113726780B CN202111011118.0A CN202111011118A CN113726780B CN 113726780 B CN113726780 B CN 113726780B CN 202111011118 A CN202111011118 A CN 202111011118A CN 113726780 B CN113726780 B CN 113726780B
Authority
CN
China
Prior art keywords
preset
abnormal
traffic
data
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111011118.0A
Other languages
English (en)
Other versions
CN113726780A (zh
Inventor
张煜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN202111011118.0A priority Critical patent/CN113726780B/zh
Publication of CN113726780A publication Critical patent/CN113726780A/zh
Application granted granted Critical
Publication of CN113726780B publication Critical patent/CN113726780B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及人工智能及安全监控领域,揭露了一种基于态势感知的网络监控方法,包括:获取被监控应用系统的日志数据库的数据流量,并提取异常流量,并利用异常查询服务对异常流量进行威胁情报查询,得到第一检测报告;从日志数据库中获取预设的时间周期内的历史数据流量,回访所述历史数据流量,并对所述历史数据流量进行漏洞检测,得到第二检测报告;对第一检测报告及第二检测报告进行动作预测,得到执行动作预测结果;将系统的执行动作与执行动作预测结果进行对比,得到系统是否被攻击的判断结果。本发明还提供了一种基于态势感知的网络监控装置及电子设备。本发明可以通过多维度及阶段性的网络数据进行态势感知来,实现增加态势感知的准确性。

Description

基于态势感知的网络监控方法、装置、电子设备
技术领域
本发明涉及人工智能及安全监控领域,尤其涉及一种基于态势感知的网络监控方法、装置、电子设备及计算机可读存储介质。
背景技术
态势感知是一种基于环境的,动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。随着互联网的兴起,网络态势感知逐渐演化而来。目前行业内已有的网络态势感知方法主要通过一系列已经发生的攻击记录,对态势感知神经网络进行训练,使得所述态势感知神经网络可识别网络中的异常流量,并判断所述异常流量对于网络的威胁程度,预测出高威胁性的异常流量的运行路径。
然而,上述的网络态势感知方法只能对网络中的单一维度的流量数据进行监控,无法结合被监控应用系统中各种业务活动的多维度数据进行针对性分析,导致无法准确预测异常流量的危险程度及路径。此外,由于网络上的攻击手段也逐渐增多,上述的网络态势感知方法为实时监控,无法对潜伏期较长的异常流量进行监控。
发明内容
本发明提供一种基于态势感知的网络监控方法,其主要目的在于通过多维度及阶段性的网络数据进行态势感知来,实现增加态势感知的准确性。
为实现上述目的,本发明提供的一种基于态势感知的网络监控方法,包括:
实时获取被监控应用系统的日志数据库中的数据流量,并利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量;
当所述异常数据监控服务检测到所述数据流量中出现异常流量时,提取所述异常流量,并利用预构建的异常查询服务对所述异常流量进行威胁情报查询,得到第一检测报告;
从所述日志数据库中获取预设的时间周期内的历史数据流量,并在包含预设执行环境的沙箱中,回访所述历史数据流量,并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告;
利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果;
捕捉预设时间段内所述被监控应用系统内的已执行的动作,得到执行动作集,并将所述执行动作集与所述执行动作预测结果进行对比;
当所述动作预测结果与所述执行动作集不一致时,判定所述被监控应用系统未受到攻击;
当所述动作预测结果与所述执行动作集一致时,停用所述被监控应用系统并进行报警。
可选的,所述利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量,包括:
从所述日志数据库中,获取目标时长的历史流量信息,利用预构建的可执行excel模板对所述历史流量信息进行数据分析,得到所述目标时长的历史流量涨跌规律;
根据时间-大小关系,对所述数据流量的大小进行记录,得到流量变化曲线,并计算所述流量变化曲线的在预设单位时间内的流量变化值,得到流量涨跌系数;
判断所述流量涨跌系数与所述历史流量涨跌规律中的历史系数的差值是否大于预设阈值;
当所述差值大于或等于所述预设阈值时,判定所述数据流量中出现异常流量;
当所述差值小于所述预设阈值时,判定所述数据流量中未出现异常流量。
可选的,所述从所述日志数据库中获取预设的时间周期内的历史数据流量之前,所述方法还包括:
根据所述被监控应用系统中各个已执行程序的数据接口,对所述各个已执行程序中的流量信息进行实时抓包,获取所述各个已执行程序对应的流量记录;
对预设的时间周期内所述各个已执行程序之间的被调用顺序进行记录,得到调用编号;
根据所述调用编号将所述各个已执行程序对应的流量记录进行打包,得到所述被监控应用系统在所述时间周期内的历史数据流量。
可选的,所述在包含预设执行环境的沙箱中,回访所述历史数据流量并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告,包括:
根据预设的配置文件,在所述历史数据流量的流转过程中,调取所述各个已执行程序中的初始输入数据;
在包含预设执行环境的沙箱中,根据所述历史数据流量的调用编号,将所述初始输入数据对应发送至所述各个已执行程序中,并利用预构建的漏洞检测服务,对所述各个已执行程序中的执行过程进行预设类型的检测,得到第二检测报告。
可选的,所述利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果,包括:
利用预构建的态势感知服务从所述第一检测报告及所述第二检测报告中提取出异常特征序列;
利用预设的态势感知神经网络对所述异常特征序列进行全连接运算,得到拼接特征,并对所述拼接特征进行特征分类,得到各个预设漏洞类别的威胁分数;
将各个漏洞类型的威胁分数与预设的威胁阈值进行对比,提取威胁分数大于所述威胁阈值的漏洞类型为所述异常特征序列对应的危险漏洞类型;
利用所述危险漏洞类型,查询预设的攻击手段数据库,得到在预设时间段内所述被监控应用系统的执行动作预测结果。
可选的,所述实时获取被监控应用系统的日志数据库中的数据流量之前,所述方法还包括:
根据预构建的系统白名单,利用预构建的分布式流数据引擎获取所述被监控应用系统中各个已执行程序的日志文件空间;
连接所述日志文件空间,得到所述被监控应用系统的日志数据库。
可选的,所述停用所述被监控应用系统并进行报警,包括:
当所述被监控应用系统执行了所述执行动作集中的全部执行动作时,根据预设的场景协同规则,阻断所述执行动作集中最后一个执行动作的输出值,并将所述第一检测报告及所述第二检测报告进行输出报警。
为了解决上述问题,本发明还提供一种基于态势感知的网络监控装置,所述装置包括:
第一异常分析模块,用于实时获取被监控应用系统的日志数据库中的数据流量,并利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量,及当所述异常数据监控服务检测到所述数据流量中出现异常流量时,提取所述异常流量,并利用预构建的异常查询服务对所述异常流量进行威胁情报查询,得到第一检测报告;
第二异常分析模块,用于从所述日志数据库中获取预设的时间周期内的历史数据流量,并在包含预设执行环境的沙箱中,回访所述历史数据流量,并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告;
态势感知模块,用于利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果,及捕捉预设时间段内所述被监控应用系统内的已执行的动作,得到执行动作集,并将所述执行动作集与所述执行动作预测结果进行对比,及当所述动作预测结果与所述执行动作集不一致时,判定所述被监控应用系统未受到攻击,及当所述动作预测结果与所述执行动作集一致时,阻断所述被监控应用系统并进行报警。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以实现上述所述的基于态势感知的网络监控方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个计算机程序,所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的基于态势感知的网络监控方法。
本发明实施将捕捉所述日志数据库中的异常进行威胁情报查询,得到第一检查报告,其中,所述第一检查报告由所述基础数据库中为多维度的数据得来,能够针对性的查询异常流数据的产生地,能够为后续的态势感知服务提供更加丰富的异常特征序列,增加态势感知服务的准确性;此外,本发明将预设时间周期内的历史数据流量,在预构建的沙箱中进行回访,并同时进行预设类型的漏洞检测,得到所述第二检测报告,其中,所述第二检测报告是阶段性的对周期内的数据流量进行检测,能够查询到变化不明显的异常流量,进一步为后续的态势感知服务提供更加丰富的异常特征序列;最后,利用所述态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果,并利用执行动作预测结果与预设时间段内的所述被监控应用系统内的执行动作进行对比,根据对比结果进行报警。因此,本发明提出的一种基于态势感知的网络监控方法装置、电子设备及存储介质可以增加态势感知的准确性。
附图说明
图1为本发明一实施例提供的基于态势感知的网络监控方法的流程示意图;
图2为本发明第一实施例中图1提供的基于态势感知的网络监控方法中的流量传输路径的示意图;
图3为本发明一实施例提供的基于态势感知的网络监控装置的模块示意图;
图4为本发明一实施例提供的实现基于态势感知的网络监控方法的电子设备的内部结构示意图;
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种基于态势感知的网络监控方法。所述基于态势感知的网络监控方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述基于态势感知的网络监控方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。
参照图1所示,为本发明一实施例提供的基于态势感知的网络监控方法的流程示意图。在本发明实施例中,所述基于态势感知的网络监控方法包括:
S1、实时获取被监控应用系统的日志数据库中的数据流量,并利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量。
本发明实施例中,所述异常数据监控服务为一种场景协调程序,通常位于数据流量传输的接口中,可以根据预设的异常条件对数据流量表现出的特征进行一些对应性的操作。
详细的,本发明实施例中,所述利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量,包括:
从所述日志数据库中,获取目标时长的历史流量信息,利用预构建的可执行excel模板对所述历史流量信息进行数据分析,得到所述目标时长的历史流量涨跌规律;
根据时间-大小关系,对所述数据流量的大小进行记录,得到流量变化曲线,并计算所述流量变化曲线的在预设单位时间内的流量变化值,得到流量涨跌系数;
判断所述流量涨跌系数与所述历史流量涨跌规律中的历史系数的差值是否大于预设阈值;
当所述差值大于或等于所述预设阈值时,判定所述数据流量中出现异常流量;
当所述差值小于所述预设阈值时,判定所述数据流量中未出现异常流量。
其中,所述可执行excel模板为一种VB代码编写的自动化脚本,可以对输入数据进行可视化分析,得到所述输入数据的规律特征。本发明实施例中,所述目标季度可以为过去一年或几年内所述数据流量此时对应的季度时间。
具体的,本发明实施例将目标季度的所述历史流量信息导入所述可执行excel模板中,输入启动指令,得到各个已执行程序的历史流量涨跌规律。再对所述数据流量进行观测,并将观测到的数据量大小进行时间-大小关系的可视化构图,得到流量变化曲线,并对所述流量变化曲线进行求导操作,得到所述流量变化曲线的流量涨跌系数。计算所述流量涨跌系数与所述历史流量涨跌规律中的历史系数的差值是否大于预设阈值可以判断所述数据流量是否为异常流量,如当历史流量涨跌规律在第二时刻下的历史系数为-0.02,而所述流量涨跌系数在所述第二时刻下的曲率为0.3,差值为0.32小于预设的预设阈值0.5,可以默认所述数据流量为正常流量;当所述历史流量涨跌规律在第一时刻下的历史系数为0.02,而所述流量涨跌系数在所述第一时刻下的曲率为2,差值为1.98大于预设的预设阈值0.5,则表明所述第一时刻下的数据流量为异常流量。
详细的,本发明实施例中,所述实时获取被监控应用系统的日志数据库中的数据流量之前,所述方法还包括:
根据预构建的系统白名单,利用预构建的分布式流数据引擎获取所述被监控应用系统中各个已执行程序的日志文件空间;
连接所述日志文件空间,得到所述被监控应用系统的日志数据库。
其中,所述分布式流数据引擎是一种由Java和Scala语言编写的一种以数据并行和流水线方式调取任意流数据的程序,可以批量处理流数据。本发明实施例中所述分布式流数据引擎可以为Apache Flink平台,能够有效提高数据的调取及处理效率。
所述已执行程序为所述被监控应用系统中的各个业务相关的程序,包括程序x、程序y、程序z等,负责不同的数据处理,例如登记、转接、数据处理及记录程序等。
进一步的,所述日志文件空间是存储各个程序的运行记录的数据存储空间,其中,所述运行记录会记录各个程序执行过程中的数据来源、数据量、数据处理过程及数据访问次数等。
如图2的流量传输路径中所示,本发明实施例中,所述被监控应用系统中的程序x、程序y、程序z等服务相互协调工作,并随时将各个程序产生的流量数据记录在所述日志文件空间中。所述日志文件空间存储预设时间段的流量作为历史流量数据提供给预设沙箱进行检测,并且将存储的实时流量发送给所述异常数据监控服务进行监控。
S2、当所述异常数据监控服务检测到所述数据流量中出现异常流量时,提取所述异常流量,并利用预构建的异常查询服务对所述异常流量进行威胁情报查询,得到第一检测报告。
所述威胁情报是基于多种攻击或漏洞的一种知识表,包括网络中数据传输的前后顺序、机制、标示、含义等,其中,所述知识表与网络的威胁或危害相关,可用于网络对威胁或危害的响应或处理决策提供信息支持。
进一步的,本发明实施例中所述异常查询服务可以为一种第三方的威胁报告权威的发行机构。
本发明实施例将检测到的异常流量通过预构建的第三方服务接口,将所述异常流量发送到所述第三方的威胁报告权威的发行机构中,得到包含访问用户身份、接口、系统等信息的第一检测报告。
S3、从所述日志数据库中获取预设的时间周期内的历史数据流量,并在包含预设执行环境的沙箱中,回访所述历史数据流量,并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告。
所述沙箱为一种可以设置环境、执行顺序等配置信息的一种不受外界干扰的虚拟空间。
进一步的,回访为一种将已发生的数据传输过程记录下来,然后再一个虚拟空间中重新进行执行的方法,通过回访可以无视真实情况下的登录态及代理切换的问题,方便进行对同一过程进行多次重现的场景。
其中,本发明实施例中的所述时间周期可以为10秒钟。
详细的,本发明实施例中,所述从所述日志数据库中获取预设的时间周期内的历史数据流量之前,所述方法还包括:
根据所述被监控应用系统中各个已执行程序的数据接口,对所述各个已执行程序中的流量信息进行实时抓包,获取所述各个已执行程序对应的流量记录;
对预设的时间周期内所述各个已执行程序之间的被调用顺序进行记录,得到调用编号;
根据所述调用编号将所述各个已执行程序对应的流量记录进行打包,得到所述被监控应用系统在所述时间周期内的历史数据流量。
其中,本发明实施例中通过一个抓包工具对所述历史数据流量短时间保存至日志数据库中。
详细的,本发明实施例中,所述在包含预设执行环境的沙箱中,回访所述历史数据流量并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告,包括:
根据预设的配置文件,在所述历史数据流量的流转过程中,调取所述各个已执行程序中的初始输入数据;
在包含预设执行环境的沙箱中,根据所述历史数据流量的调用编号,将所述初始输入数据对应发送至所述各个已执行程序中,并利用预构建的漏洞检测服务,对所述各个已执行程序中的执行过程进行预设类型的检测,得到第二检测报告。
其中,所述配置文件中包含所述历史数据流量在真实情况下传输的参数配置。所述漏洞检测服务为本发明实施例中构建的一种对于常规漏洞进行检测的程序,其中,常规漏洞包括信息泄露、信息被篡改、参数错误、认证错误等。
本发明实施例通过所述沙箱的虚拟环境,可以对所述历史数据流量的传输过程进行完美复原,并通过所述漏洞检测服务重新对所述历史数据流量的传输过程进行预设种类类型的漏洞检测,得到所述第二异常报告。
S4、利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果。
所述态势感知服务为一种可以对网络中各种漏洞的威胁程度进行识别、预测的神经网络模型。
详细的,本发明实施例中,所述利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果,包括:
步骤A、利用预构建的态势感知服务从所述第一检测报告及所述第二检测报告中提取出异常特征序列。
本发明实施例通过所述态势感知服务的接口中的特征提取网络,将所述第一检测报告及所述第二检测报告种的特定指标进行提取,得到异常特征序列【非法IP地址、令牌被监听、访问量不正常增长、配置被修改……】。
步骤B、利用预设的态势感知神经网络对所述异常特征序列进行全连接运算,得到拼接特征,并对所述拼接特征进行特征分类,得到各个预设漏洞类别的威胁分数。
本发明实施例中,连接【访问量不正常增长、配置被修改】,可分析出“访问被拒绝、请求资源被大量占用”等情况,表明所述被监控应用系统可能收到了拒绝服务(Denial ofService,DoS)攻击的概率极大。当全连接后各个漏洞组合的得分大于50%时,可以判定所述被监控应用系统正在被所述漏洞组合对应的攻击类型所攻击。而不同攻击类型的威胁程度不同如ICMP攻击,只需关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Intemet的请求这些服务的ICMP和UDP请求;而所述DoS攻击威胁程度就比较高。
步骤C、将各个漏洞类型的威胁分数与预设的威胁阈值进行对比,提取威胁分数大于所述威胁阈值的漏洞类型为所述异常特征序列对应的危险漏洞类型。
所述被监控应用系统中存在一些自动修复漏洞的程序,只需提出威胁程度较大的高危漏洞即可,因此,本发明实施例将各个漏洞类型的威胁分数与预设的威胁阈值进行对比,提取威胁分数大于所述威胁阈值的漏洞类型为所述异常特征序列对应的危险漏洞类型。
步骤D、利用所述危险漏洞类型,查询预设的攻击手段数据库,得到在预设时间段内所述被监控应用系统的执行动作预测结果。
其中,所述攻击手段数据库为一种预配置的一种记录各种类型攻击手段的执行动作与攻击路线。
本发明实施例识别出危险漏洞类型后,根据所述攻击手段数据库,查询所述危险漏洞类型对应的执行动作预测结果。
S5、捕捉预设时间段内所述目标应用系统内的已执行的动作,得到执行动作集,并将所述执行动作集与所述执行动作预测结果进行对比。
本发明实施例利用预构建的系统动作记录服务可以捕捉所述预设时间段内,如2秒,所述被监控应用系统的执行动作,然后通过预构建的动作判断服务,检测所述被监控应用系统识别是否会按照所述执行动作预测结果进行操作。
本发明实施例可以基于所述异常数据监控服务、所述系统动作记录服务、所述动作判断服务等人工智能技术对相关的数据进行获取和处理。其中,人工智能(ArtificialIntelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
当所述动作预测结果与所述执行动作集不一致时,执行S6、判定所述被监控应用系统未受到攻击。
当所述动作预测结果与所述执行动作集一致时,执行S7、停用所述被监控应用系统并进行报警。
详细的,本发明实施例中,当所述被监控应用系统执行了所述执行动作预测结果中的全部执行动作时,根据预设的场景协同规则,阻断所述执行动作集中最后一个执行动作的输出值,并将所述第一检测报告及所述第二检测报告进行输出报警。
具体的,当所述被监控应用系统将所述执行动作集中涉及的动作全部执行时,可以判定所述被监控应用系统被所述高危漏洞类型的攻击手段攻击了。本发明实施例利用一个预设的程序暂停服务,将所述最后一个执行动作进行阻断,做到及时止损。此外,本发明实施例中第一检测报告包含突发攻击的起始地址、传输流程,而所述第二检测报告中包含了潜伏的漏洞检测结果,将所述第一检测报告及所述第二检测报告进行打包输出,可以及时报警并为技术人员提供所述高危漏洞类型的攻击手段,从而高效进行漏洞修复。
本发明实施将捕捉所述日志数据库中的异常进行威胁情报查询,得到第一检查报告。其中,所述第一检查报告由所述基础数据库中为多维度的数据得来,能够针对性的查询异常流数据的产生地,能够为后续的态势感知服务提供更加丰富的异常特征序列,增加态势感知服务的准确性。此外,本发明将预设时间周期内的历史数据流量,在预构建的沙箱中进行回访,并同时进行预设类型的漏洞检测,得到所述第二检测报告,其中,所述第二检测报告是阶段性的对周期内的数据流量进行检测,能够查询到变化不明显的异常流量,进一步为后续的态势感知服务提供更加丰富的异常特征序列。最后,利用所述态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果,并利用执行动作预测结果与预设时间段内的所述被监控应用系统内的执行动作进行对比,根据对比结果进行报警。因此,本发明提出的一种基于态势感知的网络监控方法可以增加态势感知的准确性。
如图3所示,是本发明基于态势感知的网络监控装置的功能模块图。
本发明所述基于态势感知的网络监控装置100可以安装于电子设备中。根据实现的功能,所述基于态势感知的网络监控装置可以包括第一异常分析模块101、第二异常分析模块102以及态势感知模块103。本发所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述第一异常分析模块101,用于实时获取被监控应用系统的日志数据库中的数据流量,并利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量,及当所述异常数据监控服务检测到所述数据流量中出现异常流量时,提取所述异常流量,并利用预构建的异常查询服务对所述异常流量进行威胁情报查询,得到第一检测报告。
本发明实施例中,所述异常数据监控服务为一种场景协调程序,通常位于数据流量传输的接口中,可以根据预设的异常条件对数据流量表现出的特征进行一些对应性的操作。
详细的,本发明实施例中,所述第一异常分析模块101在利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量时,具体用于:
从所述日志数据库中,获取目标时长的历史流量信息,利用预构建的可执行excel模板对所述历史流量信息进行数据分析,得到所述目标时长的历史流量涨跌规律;
根据时间-大小关系,对所述数据流量的大小进行记录,得到流量变化曲线,并计算所述流量变化曲线的在预设单位时间内的流量变化值,得到流量涨跌系数;
判断所述流量涨跌系数与所述历史流量涨跌规律中的历史系数的差值是否大于预设阈值;
当所述差值大于或等于所述预设阈值时,判定所述数据流量中出现异常流量;
当所述差值小于所述预设阈值时,判定所述数据流量中未出现异常流量。
其中,所述可执行excel模板为一种VB代码编写的自动化脚本,可以对输入数据进行可视化分析,得到所述输入数据的规律特征。本发明实施例中,所述目标季度可以为过去一年或几年内所述数据流量此时对应的季度时间。
具体的,本发明实施例将目标季度的所述历史流量信息导入所述可执行excel模板中,输入启动指令,得到各个已执行程序的历史流量涨跌规律。再对所述数据流量进行观测,并将观测到的数据量大小进行时间-大小关系的可视化构图,得到流量变化曲线,并对所述流量变化曲线进行求导操作,得到所述流量变化曲线的流量涨跌系数。计算所述流量涨跌系数与所述历史流量涨跌规律中的历史系数的差值是否大于预设阈值可以判断所述数据流量是否为异常流量,如当历史流量涨跌规律在第二时刻下的历史系数为-0.02,而所述流量涨跌系数在所述第二时刻下的曲率为0.3,差值为0.32小于预设的预设阈值0.5,可以默认所述数据流量为正常流量;当所述历史流量涨跌规律在第一时刻下的历史系数为0.02,而所述流量涨跌系数在所述第一时刻下的曲率为2,差值为1.98大于预设的预设阈值0.5,则表明所述第一时刻下的数据流量为异常流量。
详细的,本发明实施例中,所述第一异常分析模块101在实时获取被监控应用系统的日志数据库中的数据流量之前,还用于:
根据预构建的系统白名单,利用预构建的分布式流数据引擎获取所述被监控应用系统中各个已执行程序的日志文件空间;
连接所述日志文件空间,得到所述被监控应用系统的日志数据库。
其中,所述分布式流数据引擎是一种由Java和Scala语言编写的一种以数据并行和流水线方式调取任意流数据的程序,可以批量处理流数据。本发明实施例中所述分布式流数据引擎可以为Apache Flink平台,能够有效提高数据的调取及处理效率。
进一步的,所述日志文件空间是存储各个程序的运行记录的数据存储空间,其中,所述运行记录会记录各个程序执行过程中的数据来源、数据量、数据处理过程及数据访问次数等。
本发明实施例中,所述被监控应用系统中的程序x、程序y、程序z等服务相互协调工作,并随时将各个程序产生的流量数据记录在所述日志文件空间中。所述日志文件空间存储预设时间段的流量作为历史流量数据提供给预设沙箱进行检测,并且将存储的实时流量发送给所述异常数据监控服务进行监控。
所述威胁情报是基于多种攻击或漏洞的一种知识表,包括网络中数据传输的前后顺序、机制、标示、含义等,其中,所述知识表与网络的威胁或危害相关,可用于网络对威胁或危害的响应或处理决策提供信息支持。
进一步的,本发明实施例中所述异常查询服务可以为一种第三方的威胁报告权威的发行机构。
本发明实施例将检测到的异常流量通过预构建的第三方服务接口,将所述异常流量发送到所述第三方的威胁报告权威的发行机构中,得到包含访问用户身份、接口、系统等信息的第一检测报告。
所述第二异常分析模块102,用于从所述日志数据库中获取预设的时间周期内的历史数据流量,并在包含预设执行环境的沙箱中,回访所述历史数据流量,并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告。
所述沙箱为一种可以设置环境、执行顺序等配置信息的一种不受外界干扰的虚拟空间。
进一步的,回访为一种将已发生的数据传输过程记录下来,然后再一个虚拟空间中重新进行执行的方法,通过回访可以无视真实情况下的登录态及代理切换的问题,方便进行对同一过程进行多次重现的场景。
其中,本发明实施例中的所述时间周期可以为10秒钟。
详细的,本发明实施例中,所述第二异常分析模块102在从所述日志数据库中获取预设的时间周期内的历史数据流量时之前,具体用于:
根据所述被监控应用系统中各个已执行程序的数据接口,对所述各个已执行程序中的流量信息进行实时抓包,获取所述各个已执行程序对应的流量记录;
对预设的时间周期内所述各个已执行程序之间的被调用顺序进行记录,得到调用编号;
根据所述调用编号将所述各个已执行程序对应的流量记录进行打包,得到所述被监控应用系统在所述时间周期内的历史数据流量。
其中,本发明实施例中通过一个抓包工具对所述历史数据流量短时间保存至日志数据库中。
详细的,本发明实施例中,所述第二异常分析模块102在包含预设执行环境的沙箱中,回访所述历史数据流量并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告时,具体用于:
根据预设的配置文件,在所述历史数据流量的流转过程中,调取所述各个已执行程序中的初始输入数据;
在包含预设执行环境的沙箱中,根据所述历史数据流量的调用编号,将所述初始输入数据对应发送至所述各个已执行程序中,并利用预构建的漏洞检测服务,对所述各个已执行程序中的执行过程进行预设类型的检测,得到第二检测报告。
其中,所述配置文件中包含所述历史数据流量在真实情况下传输的参数配置。所述漏洞检测服务为本发明实施例中构建的一种对于常规漏洞进行检测的程序,其中,常规漏洞包括信息泄露、信息被篡改、参数错误、认证错误等。
本发明实施例通过所述沙箱的虚拟环境,可以对所述历史数据流量的传输过程进行完美复原,并通过所述漏洞检测服务重新对所述历史数据流量的传输过程进行预设种类类型的漏洞检测,得到所述第二异常报告。
所述态势感知模块103,用于利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果,及捕捉预设时间段内所述目标应用系统内的已执行的动作,得到执行动作集,并将所述执行动作集与所述执行动作预测结果进行对比,及当所述动作预测结果与所述执行动作集不一致时,判定所述被监控应用系统未受到攻击,及当所述动作预测结果与所述执行动作集一致时,阻断所述执行动作集中的执行动作并进行报警。
所述态势感知服务为一种可以对网络中各种漏洞的威胁程度进行识别、预测的神经网络模型。
详细的,本发明实施例中,所述态势感知模块103在利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果时,具体用于:
利用预构建的态势感知服务从所述第一检测报告及所述第二检测报告中提取出异常特征序列;利用预设的态势感知神经网络对所述异常特征序列进行全连接运算,得到拼接特征,并对所述拼接特征进行特征分类,得到各个预设漏洞类别的威胁分数;将各个漏洞类型的威胁分数与预设的威胁阈值进行对比,提取威胁分数大于所述威胁阈值的漏洞类型为所述异常特征序列对应的危险漏洞类型;利用所述危险漏洞类型,查询预设的攻击手段数据库,得到在预设时间段内所述被监控应用系统的执行动作预测结果。
本发明实施例通过所述态势感知服务的接口中的特征提取网络,将所述第一检测报告及所述第二检测报告种的特定指标进行提取,得到异常特征序列【非法IP地址、令牌被监听、访问量不正常增长、配置被修改……】。
本发明实施例中,连接【访问量不正常增长、配置被修改】,可分析出“访问被拒绝、请求资源被大量占用”等情况,表明所述被监控应用系统可能收到了拒绝服务(Denial ofService,DoS)攻击的概率极大。当全连接后各个漏洞组合的得分大于50%时,可以判定所述被监控应用系统正在被所述漏洞组合对应的攻击类型所攻击。而不同攻击类型的威胁程度不同如ICMP攻击,只需关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Intemet的请求这些服务的ICMP和UDP请求;而所述DoS攻击威胁程度就比较高。
所述被监控应用系统中存在一些自动修复漏洞的程序,只需提出威胁程度较大的高危漏洞即可,因此,本发明实施例将各个漏洞类型的威胁分数与预设的威胁阈值进行对比,提取威胁分数大于所述威胁阈值的漏洞类型为所述异常特征序列对应的危险漏洞类型。
其中,所述攻击手段数据库为一种预配置的一种记录各种类型攻击手段的执行动作与攻击路线。
本发明实施例识别出危险漏洞类型后,根据所述攻击手段数据库,查询所述危险漏洞类型对应的执行动作预测结果。
本发明实施例捕捉所述预设时间段内,如2秒,所述被监控应用系统的执行动作,然后检测所述被监控应用系统识别是否会按照所述执行动作预测结果进行操作。
当所述动作预测结果与所述执行动作集不一致时,判定所述被监控应用系统未被所述高危漏洞类型的攻击手段攻击。
详细的,本发明实施例中,态势感知模块103在当所述被监控应用系统执行了所述执行动作预测结果中的全部执行动作时,根据预设的场景协同规则,阻断所述执行动作集中最后一个执行动作的输出值,并将所述第一检测报告及所述第二检测报告进行输出报警。
具体的,当所述被监控应用系统将所述执行动作集中涉及的动作全部执行时,可以判定所述被监控应用系统被所述高危漏洞类型的攻击手段攻击了。本发明实施例将所述最后一个执行动作进行阻断,做到及时止损。此外,本发明实施例中第一检测报告包含突发攻击的起始地址、传输流程,而所述第二检测报告中包含了潜伏的漏洞检测结果,将所述第一检测报告及所述第二检测报告进行打包输出,可以及时报警并为技术人员提供所述高危漏洞类型的攻击手段,从而高效进行漏洞修复。
本发明实施将捕捉所述日志数据库中的异常进行威胁情报查询,得到第一检查报告,其中,所述第一检查报告由所述基础数据库中为多维度的数据得来,能够针对性的查询异常流数据的产生地,能够为后续的态势感知服务提供更加丰富的异常特征序列,增加态势感知服务的准确性;此外,本发明将预设时间周期内的历史数据流量,在预构建的沙箱中进行回访,并同时进行预设类型的漏洞检测,得到所述第二检测报告,其中,所述第二检测报告是阶段性的对周期内的数据流量进行检测,能够查询到变化不明显的异常流量,进一步为后续的态势感知服务提供更加丰富的异常特征序列;最后,利用所述态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果,并利用执行动作预测结果与预设时间段内的所述被监控应用系统内的执行动作进行对比,根据对比结果进行报警。因此,本发明提出的一种基于态势感知的网络监控方法装置、电子设备及存储介质可以增加态势感知的准确性。
如图4所示,是本发明实现基于态势感知的网络监控方法的电子设备的结构示意图。
所述电子设备可以包括处理器10、存储器11、通信总线12以及通信接口13,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如基于态势感知的网络监控程序。
其中,所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(ControlUnit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行基于态势感知的网络监控程序等),以及调用存储在所述存储器11内的数据,以执行电子设备的各种功能和处理数据。
所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card, SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据,例如基于态势感知的网络监控程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述通信总线12可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
所述通信接口13用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
图4仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图4示出的结构并不构成对所述电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备中的所述存储器11存储的基于态势感知的网络监控程序是多个计算机程序的组合,在所述处理器10中运行时,可以实现:
实时获取被监控应用系统的日志数据库中的数据流量,并利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量;
当所述异常数据监控服务检测到所述数据流量中出现异常流量时,提取所述异常流量,并利用预构建的异常查询服务对所述异常流量进行威胁情报查询,得到第一检测报告;
从所述日志数据库中获取预设的时间周期内的历史数据流量,并在包含预设执行环境的沙箱中,回访所述历史数据流量,并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告;
利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果;
捕捉预设时间段内所述目标应用系统内的已执行的动作,得到执行动作集,并将所述执行动作集与所述执行动作预测结果进行对比;
当所述动作预测结果与所述执行动作集不一致时,判定所述被监控应用系统未受到攻击;
当所述动作预测结果与所述执行动作集一致时,阻断所述执行动作集中的执行动作并进行报警。
具体地,所述处理器10对上述计算机程序的具体实现方法可参考图1对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个非易失性计算机可读取存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
实时获取被监控应用系统的日志数据库中的数据流量,并利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量;
当所述异常数据监控服务检测到所述数据流量中出现异常流量时,提取所述异常流量,并利用预构建的异常查询服务对所述异常流量进行威胁情报查询,得到第一检测报告;
从所述日志数据库中获取预设的时间周期内的历史数据流量,并在包含预设执行环境的沙箱中,回访所述历史数据流量,并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告;
利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果;
捕捉预设时间段内所述目标应用系统内的已执行的动作,得到执行动作集,并将所述执行动作集与所述执行动作预测结果进行对比;
当所述动作预测结果与所述执行动作集不一致时,判定所述被监控应用系统未受到攻击;
当所述动作预测结果与所述执行动作集一致时,阻断所述执行动作集中的执行动作并进行报警。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种基于态势感知的网络监控方法,其特征在于,所述方法包括:
实时获取被监控应用系统的日志数据库中的数据流量,并利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量;
当所述异常数据监控服务检测到所述数据流量中出现异常流量时,提取所述异常流量,并利用预构建的异常查询服务对所述异常流量进行威胁情报查询,得到第一检测报告;
从所述日志数据库中获取预设的时间周期内的历史数据流量,并在包含预设执行环境的沙箱中,回访所述历史数据流量,并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告;
利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果;
捕捉预设时间段内所述被监控应用系统内的已执行的动作,得到执行动作集,并将所述执行动作集与所述执行动作预测结果进行对比;
当所述动作预测结果与所述执行动作集不一致时,判定所述被监控应用系统未受到攻击;
当所述动作预测结果与所述执行动作集一致时,停用所述被监控应用系统并进行报警。
2.如权利要求1所述的基于态势感知的网络监控方法,其特征在于,所述利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量,包括:
从所述日志数据库中,获取目标时长的历史流量信息,利用预构建的可执行excel模板对所述历史流量信息进行数据分析,得到所述目标时长的历史流量涨跌规律;
根据时间-大小关系,对所述数据流量的大小进行记录,得到流量变化曲线,并计算所述流量变化曲线的在预设单位时间内的流量变化值,得到流量涨跌系数;
判断所述流量涨跌系数与所述历史流量涨跌规律中的历史系数的差值是否大于预设阈值;
当所述差值大于或等于所述预设阈值时,判定所述数据流量中出现异常流量;
当所述差值小于所述预设阈值时,判定所述数据流量中未出现异常流量。
3.如权利要求1所述的基于态势感知的网络监控方法,其特征在于,所述从所述日志数据库中获取预设的时间周期内的历史数据流量之前,所述方法还包括:
根据所述被监控应用系统中各个已执行程序的数据接口,对所述各个已执行程序中的流量信息进行实时抓包,获取所述各个已执行程序对应的流量记录;
对预设的时间周期内所述各个已执行程序之间的被调用顺序进行记录,得到调用编号;
根据所述调用编号将所述各个已执行程序对应的流量记录进行打包,得到所述被监控应用系统在所述时间周期内的历史数据流量。
4.如权利要求3所述的基于态势感知的网络监控方法,其特征在于,所述在包含预设执行环境的沙箱中,回访所述历史数据流量并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告,包括:
根据预设的配置文件,在所述历史数据流量的流转过程中,调取所述各个已执行程序中的初始输入数据;
在包含预设执行环境的沙箱中,根据所述历史数据流量的调用编号,将所述初始输入数据对应发送至所述各个已执行程序中,并利用预构建的漏洞检测服务,对所述各个已执行程序中的执行过程进行预设类型的检测,得到第二检测报告。
5.如权利要求1所述的基于态势感知的网络监控方法,其特征在于,所述利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果,包括:
利用预构建的态势感知服务从所述第一检测报告及所述第二检测报告中提取出异常特征序列;
利用预设的态势感知神经网络对所述异常特征序列进行全连接运算,得到拼接特征,并对所述拼接特征进行特征分类,得到各个预设漏洞类别的威胁分数;
将各个漏洞类型的威胁分数与预设的威胁阈值进行对比,提取威胁分数大于所述威胁阈值的漏洞类型为所述异常特征序列对应的危险漏洞类型;
利用所述危险漏洞类型,查询预设的攻击手段数据库,得到在预设时间段内所述被监控应用系统的执行动作预测结果。
6.如权利要求1所述的基于态势感知的网络监控方法,其特征在于,所述实时获取被监控应用系统的日志数据库中的数据流量之前,所述方法还包括:
根据预构建的系统白名单,利用预构建的分布式流数据引擎获取所述被监控应用系统中各个已执行程序的日志文件空间;
连接所述日志文件空间,得到所述被监控应用系统的日志数据库。
7.如权利要求1所述的基于态势感知的网络监控方法,其特征在于,所述停用所述被监控应用系统并进行报警,包括:
当所述被监控应用系统执行了所述执行动作预测结果中的全部动作时,根据预设的场景协同规则,阻断所述执行动作集中最后一个执行动作的输出值,并将所述第一检测报告及所述第二检测报告进行输出报警。
8.一种基于态势感知的网络监控装置,其特征在于,所述装置包括:
第一异常分析模块,用于实时获取被监控应用系统的日志数据库中的数据流量,并利用预设的异常数据监控服务,根据预设的异常条件,检测所述数据流量中是否出现异常流量,及当所述异常数据监控服务检测到所述数据流量中出现异常流量时,提取所述异常流量,并利用预构建的异常查询服务对所述异常流量进行威胁情报查询,得到第一检测报告;
第二异常分析模块,用于从所述日志数据库中获取预设的时间周期内的历史数据流量,并在包含预设执行环境的沙箱中,回访所述历史数据流量,并对所述历史数据流量进行预设类型的漏洞检测,得到第二检测报告;
态势感知模块,用于利用预构建的态势感知服务对所述第一检测报告及所述第二检测报告进行用户及系统动作预测,得到执行动作预测结果,及捕捉预设时间段内所述被监控应用系统内的已执行的动作,得到执行动作集,并将所述执行动作集与所述执行动作预测结果进行对比,及当所述动作预测结果与所述执行动作集不一致时,判定所述被监控应用系统未受到攻击,及当所述动作预测结果与所述执行动作集一致时,阻断所述被监控应用系统并进行报警。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的基于态势感知的网络监控方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的基于态势感知的网络监控方法。
CN202111011118.0A 2021-08-31 2021-08-31 基于态势感知的网络监控方法、装置、电子设备 Active CN113726780B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111011118.0A CN113726780B (zh) 2021-08-31 2021-08-31 基于态势感知的网络监控方法、装置、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111011118.0A CN113726780B (zh) 2021-08-31 2021-08-31 基于态势感知的网络监控方法、装置、电子设备

Publications (2)

Publication Number Publication Date
CN113726780A CN113726780A (zh) 2021-11-30
CN113726780B true CN113726780B (zh) 2022-10-11

Family

ID=78679643

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111011118.0A Active CN113726780B (zh) 2021-08-31 2021-08-31 基于态势感知的网络监控方法、装置、电子设备

Country Status (1)

Country Link
CN (1) CN113726780B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114615072B (zh) * 2022-03-23 2023-01-20 国网山东省电力公司临清市供电公司 基于请求频率的安全态势感知方法、设备与系统
CN115102758B (zh) * 2022-06-21 2023-04-07 新余学院 异常网络流量的检测方法、装置、设备及存储介质
CN115277132B (zh) * 2022-07-14 2024-06-18 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) 网络安全态势感知方法、装置、计算机设备和存储介质
CN115017099A (zh) * 2022-08-08 2022-09-06 深圳市华曦达科技股份有限公司 一种分布式网络任务协作方法及系统
CN116015979B (zh) * 2023-02-23 2023-06-16 网思科技股份有限公司 一种智能安全态势感知方法、系统和存储介质
CN118132638A (zh) * 2024-04-29 2024-06-04 浪潮云信息技术股份公司 基于信创云平台的可视化国产数据库纳管系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102143085A (zh) * 2011-04-27 2011-08-03 北京网御星云信息技术有限公司 一种多维度网络态势感知的方法、设备及系统
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质
CN110740141A (zh) * 2019-11-15 2020-01-31 国网山东省电力公司信息通信公司 一体化网络安全态势感知方法、装置及计算机设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102143085A (zh) * 2011-04-27 2011-08-03 北京网御星云信息技术有限公司 一种多维度网络态势感知的方法、设备及系统
CN107995162A (zh) * 2017-10-27 2018-05-04 深信服科技股份有限公司 网络安全感知系统、方法及可读存储介质
CN110740141A (zh) * 2019-11-15 2020-01-31 国网山东省电力公司信息通信公司 一体化网络安全态势感知方法、装置及计算机设备

Also Published As

Publication number Publication date
CN113726780A (zh) 2021-11-30

Similar Documents

Publication Publication Date Title
CN113726780B (zh) 基于态势感知的网络监控方法、装置、电子设备
CN110324310B (zh) 网络资产指纹识别方法、系统及设备
CN111786950B (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US20150371044A1 (en) Targeted security alerts
CN111835737B (zh) 基于自动学习的web攻击防护方法、及其相关设备
CN109600362A (zh) 基于识别模型的僵尸主机识别方法、识别设备及介质
CN113315828A (zh) 一种流量录制方法、装置及流量录制设备、存储介质
CN110049028A (zh) 监控域控管理员的方法、装置、计算机设备及存储介质
JP2018196054A (ja) 評価プログラム、評価方法および情報処理装置
CN115001934A (zh) 一种工控安全风险分析系统及方法
CN105825130B (zh) 一种信息安全预警方法及装置
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
JP2019159431A (ja) 評価プログラム、評価方法および評価装置
CN112650180B (zh) 安全告警方法、装置、终端设备及存储介质
CN116910816B (zh) 一种提高隐私保护下的多方资产协同管理方法及装置
CN117370701A (zh) 浏览器风险检测方法、装置、计算机设备和存储介质
CN117272308A (zh) 软件安全测试方法、装置、设备、存储介质及程序产品
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、系统及设备
CN112560085B (zh) 业务预测模型的隐私保护方法及装置
CN112597490A (zh) 安全威胁编排响应方法、装置、电子设备及可读存储介质
CN117745044B (zh) 物业资产管理方法、装置、设备及存储介质
CN114978766B (zh) 基于大数据的隐私安全保护方法、装置、设备及介质
CN118174957B (zh) 一种基于大数据的网络安全在线实时监管系统
CN113936313B (zh) 网点员工账号外借检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant