CN113794590B - 处理网络安全态势感知信息的方法、装置及系统 - Google Patents

处理网络安全态势感知信息的方法、装置及系统 Download PDF

Info

Publication number
CN113794590B
CN113794590B CN202111072478.1A CN202111072478A CN113794590B CN 113794590 B CN113794590 B CN 113794590B CN 202111072478 A CN202111072478 A CN 202111072478A CN 113794590 B CN113794590 B CN 113794590B
Authority
CN
China
Prior art keywords
information
alarm
network
situation awareness
network node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111072478.1A
Other languages
English (en)
Other versions
CN113794590A (zh
Inventor
杨腾霄
罗伟
乔梁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Niudun Technology Co ltd
Original Assignee
Shanghai Niudun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Niudun Technology Co ltd filed Critical Shanghai Niudun Technology Co ltd
Priority to CN202111072478.1A priority Critical patent/CN113794590B/zh
Publication of CN113794590A publication Critical patent/CN113794590A/zh
Application granted granted Critical
Publication of CN113794590B publication Critical patent/CN113794590B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/803Application aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种处理网络安全态势感知信息的方法、装置及系统,涉及网络安全技术领域。所述处理方法包括步骤:获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志;从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;判断前述访问权限信息和操作权限信息不符合网络安全要素时,触发态势感知系统进行防御。本发明通过所述态势感知信息中访问请求信息对应的权限信息是否符合网络安全要素,来判断是否要触发态势感知系统进行网络安全防御,以保障网络安全的稳定运行。

Description

处理网络安全态势感知信息的方法、装置及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及处理网络安全态势感知信息的方法。
背景技术
态势感知系统旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与行动。
在态势感知的过程中,会对网络环境中的多源数据进行过采集、感知、理解、分析,从整体上把握网络环境安全。态势感知的目的在于通过分析判断网络环境的整体发展趋势,能够实现整个网络安全环境的感知。但是,对于态势感知信息中的诸多信息繁杂,难以进行有效筛选,得到更为精准的数据信息,以帮助态势感知系统的管理人员准确判断设备故障并进行准确的网络安全防御。
为此,要提供一种处理网络安全态势感知信息的方法、装置及系统,通过判断态势感知信息中的权限信息是否符合网络安全要素,来判定是否要触发态势感知系统进行网络安全防御,以保障网络安全的稳定运行,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种处理网络安全态势感知信息的方法、装置及系统,本发明能够提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;判定前述访问权限信息和操作权限信息不符合网络安全要素时,触发态势感知系统进行防御。
为解决现有的技术问题,本发明提供了如下技术方案:
一种处理网络安全态势感知信息的方法,其特征在于包括步骤:
获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志;
从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;
判断前述访问权限信息和操作权限信息是否符合网络安全要素;所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求;
判定不符合网络安全要素时,基于预设的网络安全态势感知系统数据库的防御方案,触发态势感知系统进行防御。
进一步,在前述网络节点触发告警时,获取该网络节点的日志信息中对应前述告警生成的第一告警事件,以及系统告警日志中对应前述告警生成的第二告警事件;
比对前述第一和第二告警事件中的告警原因是否一致,判定一致时,针对前述告警原因获取与该告警原因对应的防御方案进行防御;否则,获取第二告警事件中的告警原因,针对该告警原因获取与该告警原因对应的防御方案进行防御。
进一步,所述告警包括紧急告警和非紧急告警;
判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
进一步,分析前述告警的原因时,对采集和获取到的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
进一步,采集前述告警日志信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
进一步,所述网络环境中的网络结构包括内部网络结构和外部网络结构;所述内部网络结构,涉及在同一网络环境中发生的告警,发生前述告警的告警信息包括同一网络环境中网络节点的通信路径;所述外部网络结构是指非基于同一网络环境的网络节点访问前述内部网络结构中网络节点的通信路径。
进一步,在网络环境中设置有网络边缘设备,所述网络边缘设备能够隔离前述内部网络结构和外部网络结构中的触发告警的网络节点。
进一步,对所述网络节点的输入/输出端口进行数据监控,在网络环境信息发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
一种处理网络安全态势感知信息的装置,其特征在于包括结构:
信息获取单元,用于获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志;
信息分析单元,用于从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;
第一信息防御单元,用于判断前述访问权限信息和操作权限信息是否符合网络安全要素;所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求;
第二信息防御单元,用于判定不符合网络安全要素时,基于预设的网络安全态势感知系统数据库的防御方案,触发态势感知系统进行防御。
一种处理网络安全态势感知信息的系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志;从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;判断前述访问权限信息和操作权限信息是否符合网络安全要素;所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求;判定不符合网络安全要素时,基于预设的网络安全态势感知系统数据库的防御方案,触发态势感知系统进行防御。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:
第一,获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志;从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;判定前述访问权限信息和操作权限信息不符合网络安全要素时,触发态势感知系统进行防御。
第二,在前述网络节点触发告警时,获取该网络节点的日志信息中对应前述告警生成的第一告警事件,以及系统告警日志中对应前述告警生成的第二告警事件;比对前述第一和第二告警事件中的告警原因是否一致,判定一致时,针对前述告警原因获取与该告警原因对应的防御方案进行防御;否则,获取第二告警事件中的告警原因,针对该告警原因获取与该告警原因对应的防御方案进行防御。
附图说明
图1为本发明实施例提供的流程图。
图2为本发明实施例提供的又一流程图。
图3为本发明实施例提供的装置的结构示意图。
图4为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,信息获取单元201,信息分析单元202,第一信息防御的单元203,第二信息防御单元204;
系统300,网络节点301,态势感知系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种处理网络安全态势感知信息的方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述网络节点的日志信息是指网络设备在运作时产生的事件记录,所述网络节点的日志信息包括但不限于连接持续的时间,协议类型,目标主机的网络服务类型,连接正常或错误的状态,从源主机到目标主机的数据字节数,从目标主机到源主机的数据字节数,错误分段的数量,加急包的个数等。
所以网络环境日志信息可以是与网络环境相关的记录信息,也可以是影响网络环境的记录信息。所述网络环境日志信息包括但不限制于操作系统(例如UNIX/Linux,Windows等操作系统)日志、应用系统(例如Web网络应用)日志、系统告警日志等涉及网络环境的日志信息。其中,所述系统告警日志可以是对前述操作系统、应用系统中的故障进行告警的记录信息,所述系统告警日志包括但不限制于前述操作系统、应用系统中故障设备名称、故障症状、发生部位、发生时间、发生原因等记录信息。
S102,从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息。
所述态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析和响应处置能力,最终是进行决策与行动。所述态势感知能够检测出的云上安全风险,包括但不限制DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制。所述态势感知能够对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,通过采集全网流量数据和安全防护设备日志信息,并利用大数据安全分析平台进行处理和分析,能够实现企业主机安全、Web防火墙和DDoS流量清洗等安全服务上报的告警数据的整合,实时呈现完整的全网攻击态势,进而为安全事件的处置决策提供依据。
所述态势感知信息是指在态势感知系统中存储的数据信息,用于分析态势感知事件的发展趋势。所述态势感知信息的数据来源包括但不限制于环境业务数据、网络层面数据、日志层面数据、告警数据,因此,所述态势感知信息可以包括但不限制于网络环境信息、网络节点的日志信息、告警日志信息等,在形成网络空间安全态势感知的过程中,参照现有技术对不同来源的数据信息进行有效融合。所述网络环境信息是指所述网络节点涉及到与网络环境相关的数据信息,包括但不限制于用户首次访问时间、用户访问次数、当前时间下用户的操作类型和控制用户的访问速率等。
所述访问请求信息中具有请求行、请求头部和请求数据,对所述访问请求信息进行实时的关联分析和路径追踪,以实现网络安全的动态分析。
所述访问权限可以根据与前述网络节点的访问请求信息中的用户信息、环境信息进行划分;所述操作权限可以根据前述网络节点的访问请求信息中的操作信息、对象信息进行划分。
S103,判断前述访问权限信息和操作权限信息是否符合网络安全要素;所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求。
所述网络安全要素包括但不限制于:
保密性,保证信息不泄露给非授权用户、实体或过程,或供其利用的特性;
完整性,数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;
可用性,可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性,对信息的传播及内容具有控制能力;
可审查性,出现安全问题时提供依据与手段。
需要说明的是,前述保密性、完整性对应前述网络节点的访问权限要求,即响应前述网络节点的访问权限要求,对前述网络节点的访问权限进行保密性、完整性的检查;前述可控性对应前述网络节点的操作权限要求,即响应前述网络节点的操作权限要求,对前述网络节点的操作权限进行可控性的检查。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
S104,判定不符合网络安全要素时,基于预设的网络安全态势感知系统数据库的防御方案,触发态势感知系统进行防御。
所述态势感知系统可以整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
本实施例的优选实施方式中,参见图2所示,所述方法具体实施步骤S110如下:
S111,在前述网络节点触发告警时,获取该网络节点的日志信息中对应前述告警生成的第一告警事件,以及系统告警日志中对应前述告警生成的第二告警事件。
S112,比对前述第一和第二告警事件中的告警原因是否一致,判定一致时,针对前述告警原因获取与该告警原因对应的防御方案进行防御;否则,获取第二告警事件中的告警原因,针对该告警原因获取与该告警原因对应的防御方案进行防御。
优选的,所述告警包括紧急告警和非紧急告警;判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
在本实施例的优选实施方式中,所述告警是一种用于传递告警日志信息的事件报告,也叫告警事件,简称告警。它可以由生产厂商定义好,也可以由网管人员结合网络中的告警进行定义。在一次告警中,网管系统的监控单元视故障情况给出告警信号,系统每接收到一次的告警信号,代表一次告警事件的发生,并通过告警日志信息的形式进行故障描述,并在网管系统的告警日志信息管理中心显示告警日志信息。所述故障是网络中的设备产生告警的原因。
所述紧急告警能够对告警中突然发生的异常数据进行报警,所述异常数据可以是异常操作、异常行为、异常数值等;优选的,所产生的紧急告警可以在态势感知系统基于告警数据进行分析后得出,并能够提供显示异常数据的指针;所述非紧急告警是指除紧急告警之外的其它告警情形,针对非紧急告警的情形,可以参照现有技术中针对非紧急告警的处理方案进行处置。
所述故障处理针对网络环境中出现的故障进行排查,包括步骤:观察、描述故障现象,收集可能产生故障原因的信息;分析故障的原因,并制定解决方案;逐一实施解决方案,记录故障排查过程,直至网络恢复正常。
优选的,在分析前述告警的原因时,对采集和获取到的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
优选的,采集前述告警日志信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
优选的,所述网络环境中的网络结构包括内部网络结构和外部网络结构;所述内部网络结构,涉及在同一网络环境中发生的告警,发生前述告警的告警信息包括同一网络环境中网络节点的通信路径;所述外部网络结构是指非基于同一网络环境的网络节点访问前述内部网络结构中网络节点的通信路径。
优选的,在网络环境中设置有网络边缘设备,所述网络边缘设备能够隔离前述内部网络结构和外部网络结构中的触发告警的网络节点。
所述网络边缘设备可以是向企业或服务提供商核心网络提供入口点的设备。作为举例而非限制,所述网络边缘设备可以是路由器、路由交换机、集成接入设备(IAD)、多路复用器,以及各种城域网(MAN)和广域网(WAN)接入设备。
需要说明的是,前述网络边缘设备是独立于前述网络节点的设备,所述网络节点不包括前述网络边缘设备。
优选的,对所述网络节点的输入/输出端口进行数据监控,在网络环境信息发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
还需要说明的是,在进行前述数据监控操作时,所述态势感知系统可以对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控。
此时,所述态势感知系统能够采集前述告警日志信息中网络节点的IP地址,以获取前述IP地址的访问或操作记录信息,进一步进行轨迹追溯和/或轨迹安全分析。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于态势感知系统对用户的访问路径进行跟踪。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种处理网络安全态势感知信息的装置200,其特征在于包括结构:
信息获取单元201,用于获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志。
信息分析单元202,用于从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息。
第一信息防御单元203,用于判断前述访问权限信息和操作权限信息是否符合网络安全要素;所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求。
第二信息防御单元204,用于判定不符合网络安全要素时,基于预设的网络安全态势感知系统数据库的防御方案,触发态势感知系统进行防御。
此外,参见图3所示,本发明还给出了一个实施例,提供了一种处理网络安全态势感知信息的系统,其特征在于包括:
网络节点301,用于收发数据;
态势感知系统302,定期检测出现过告警的网络节点301,将前述网络节点的日志信息进行安全分析;
系统服务器303,所述系统服务器303连接网络节点301和态势感知系统302;
所述系统服务器303被配置为:获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志;从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;判断前述访问权限信息和操作权限信息是否符合网络安全要素;所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求;判定不符合网络安全要素时,基于预设的网络安全态势感知系统数据库的防御方案,触发态势感知系统进行防御。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。

Claims (9)

1.一种处理网络安全态势感知信息的方法,其特征在于包括步骤:
获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志;
从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;
判断前述访问权限信息和操作权限信息是否符合网络安全要素;所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求;
判定不符合网络安全要素时,基于预设的网络安全态势感知系统数据库的防御方案,触发态势感知系统进行防御;
其中,在前述网络节点触发告警时,获取该网络节点的日志信息中对应前述告警生成的第一告警事件,以及系统告警日志中对应前述告警生成的第二告警事件;比对前述第一和第二告警事件中的告警原因是否一致,判定一致时,针对前述告警原因获取与该告警原因对应的防御方案进行防御;否则,获取第二告警事件中的告警原因,针对该告警原因获取与该告警原因对应的防御方案进行防御。
2.根据权利要求1所述的方法,其特征在于,所述告警包括紧急告警和非紧急告警;
判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;
和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
3.根据权利要求1所述的方法,其特征在于,分析前述告警的原因时,对采集和获取到的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
4.根据权利要求1所述的方法,其特征在于,采集前述告警日志信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
5.根据权利要求1所述的方法,其特征在于,所述网络环境中的网络结构包括内部网络结构和外部网络结构;
所述内部网络结构,涉及在同一网络环境中发生的告警,发生前述告警的告警信息包括同一网络环境中网络节点的通信路径;
所述外部网络结构是指非基于同一网络环境的网络节点访问前述内部网络结构中网络节点的通信路径。
6.根据权利要求5所述的方法,其特征在于,在网络环境中设置有网络边缘设备,所述网络边缘设备能够隔离前述内部网络结构和外部网络结构中的触发告警的网络节点。
7.根据权利要求1所述的方法,其特征在于,对所述网络节点的输入/输出端口进行数据监控,在网络环境信息发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
8.一种处理网络安全态势感知信息的装置,其特征在于,在网络节点触发告警时,获取该网络节点的日志信息中对应前述告警生成的第一告警事件,以及系统告警日志中对应前述告警生成的第二告警事件;比对前述第一和第二告警事件中的告警原因是否一致,判定一致时,针对前述告警原因获取与该告警原因对应的防御方案进行防御;否则,获取第二告警事件中的告警原因,针对该告警原因获取与该告警原因对应的防御方案进行防御;
所述装置具体包括结构:
信息获取单元,用于获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志;
信息分析单元,用于从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;
第一信息防御单元,用于判断前述访问权限信息和操作权限信息是否符合网络安全要素;所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求;
第二信息防御单元,用于判定不符合网络安全要素时,基于预设的网络安全态势感知系统数据库的防御方案,触发态势感知系统进行防御。
9.一种处理网络安全态势感知信息的系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:获取网络节点的日志信息,以及该网络节点所属网络系统的网络环境日志信息,所述网络环境日志信息包括系统告警日志;
从前述日志信息中提取态势感知信息,并进行分析;所述态势感知信息包括对应网络节点的访问请求信息,所述访问请求信息包括访问权限信息和操作权限信息;
判断前述访问权限信息和操作权限信息是否符合网络安全要素;所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求;
判定不符合网络安全要素时,基于预设的网络安全态势感知系统数据库的防御方案,触发态势感知系统进行防御;
其中,在前述网络节点触发告警时,获取该网络节点的日志信息中对应前述告警生成的第一告警事件,以及系统告警日志中对应前述告警生成的第二告警事件;比对前述第一和第二告警事件中的告警原因是否一致,判定一致时,针对前述告警原因获取与该告警原因对应的防御方案进行防御;否则,获取第二告警事件中的告警原因,针对该告警原因获取与该告警原因对应的防御方案进行防御。
CN202111072478.1A 2021-09-14 2021-09-14 处理网络安全态势感知信息的方法、装置及系统 Active CN113794590B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111072478.1A CN113794590B (zh) 2021-09-14 2021-09-14 处理网络安全态势感知信息的方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111072478.1A CN113794590B (zh) 2021-09-14 2021-09-14 处理网络安全态势感知信息的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN113794590A CN113794590A (zh) 2021-12-14
CN113794590B true CN113794590B (zh) 2023-10-10

Family

ID=79183207

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111072478.1A Active CN113794590B (zh) 2021-09-14 2021-09-14 处理网络安全态势感知信息的方法、装置及系统

Country Status (1)

Country Link
CN (1) CN113794590B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115328727A (zh) * 2022-07-25 2022-11-11 江苏财经职业技术学院 大数据计算机网络安全预警装置
CN117014230B (zh) * 2023-10-07 2024-05-24 天云融创数据科技(北京)有限公司 基于大数据的网络安全态势感知方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108494810A (zh) * 2018-06-11 2018-09-04 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及系统
CN108768719A (zh) * 2018-05-23 2018-11-06 郑州信大天瑞信息技术有限公司 一种应用操作日志审计系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200329072A1 (en) * 2019-04-11 2020-10-15 Level 3 Communications, Llc System and method for utilization of threat data for network security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768719A (zh) * 2018-05-23 2018-11-06 郑州信大天瑞信息技术有限公司 一种应用操作日志审计系统
CN108494810A (zh) * 2018-06-11 2018-09-04 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及系统

Also Published As

Publication number Publication date
CN113794590A (zh) 2021-12-14

Similar Documents

Publication Publication Date Title
US6775657B1 (en) Multilayered intrusion detection system and method
CN106411562B (zh) 一种电力信息网络安全联动防御方法及系统
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
CN113839935B (zh) 网络态势感知方法、装置及系统
US11080392B2 (en) Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment
CN113794590B (zh) 处理网络安全态势感知信息的方法、装置及系统
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
Debar et al. Intrusion detection: Introduction to intrusion detection and security information management
CN114124516B (zh) 态势感知预测方法、装置及系统
CN114553537A (zh) 一种面向工业互联网的异常流量监测方法和系统
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
CN113660115A (zh) 基于告警的网络安全数据处理方法、装置及系统
CN114006722B (zh) 发现威胁的态势感知验证方法、装置及系统
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
CN114301796B (zh) 预测态势感知的验证方法、装置及系统
CN113904920B (zh) 基于失陷设备的网络安全防御方法、装置及系统
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统
KR20190134287A (ko) 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법
Chen et al. Active event correlation in Bro IDS to detect multi-stage attacks
Alim et al. IDSUDA: An Intrusion Detection System Using Distributed Agents
Abudalfa et al. Evaluating performance of supervised learning techniques for developing real-time intrusion detection system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant