CN113839935A - 网络态势感知方法、装置及系统 - Google Patents
网络态势感知方法、装置及系统 Download PDFInfo
- Publication number
- CN113839935A CN113839935A CN202111072457.XA CN202111072457A CN113839935A CN 113839935 A CN113839935 A CN 113839935A CN 202111072457 A CN202111072457 A CN 202111072457A CN 113839935 A CN113839935 A CN 113839935A
- Authority
- CN
- China
- Prior art keywords
- event
- information
- situation awareness
- index
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 230000007123 defense Effects 0.000 claims abstract description 48
- 230000008447 perception Effects 0.000 claims abstract description 24
- 238000004458 analytical method Methods 0.000 claims abstract description 14
- 238000011161 development Methods 0.000 claims abstract description 14
- 238000004891 communication Methods 0.000 claims description 11
- 230000001960 triggered effect Effects 0.000 claims description 5
- 230000010365 information processing Effects 0.000 claims description 4
- 239000004744 fabric Substances 0.000 claims 3
- 230000002265 prevention Effects 0.000 abstract 1
- 238000003672 processing method Methods 0.000 abstract 1
- 230000002159 abnormal effect Effects 0.000 description 17
- 230000006399 behavior Effects 0.000 description 12
- 238000001514 detection method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 241000700605 Viruses Species 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明提供了一种网络态势感知方法、装置及系统,涉及网络安全技术领域。所述处理方法包括步骤:接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件包括事件指标信息;对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御,并对判定为是和判定为否的情形分别执行相应操作。本发明能够通过态势感知系统分析,实现对态势感知信息的预防御,从而节约计算资源,降低网络安全防御的成本,节省网络安全态势感知系统数据库的使用费用。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及网络态势感知方法。
背景技术
为确保网络安全以及对潜在网络威胁的感知能力,很多企业都会选用网络态势感知系统来提高网络安全稳定运行的能力。而有的企业购买的网络态势感知系统具有防御使用次数的限制,故有的企业会选择使用态势感知系统进行分析和防御,通过该防御实现网络环境中异常项的事前防御,减少态势感知系统防御的使用次数,以保障资源成本的使用效益最大的同时,通过该防御避免发生更为严重的告警事件。
为此,提供一种网络态势感知方法、装置及系统,通过前述预防御的方式进行网络安全防御,降低网络安全防御的成本,节约计算资源,并节省态势感知系统数据库的使用次数,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种网络态势感知方法、装置及系统,本发明能够接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御。
为解决现有的技术问题,本发明提供了如下技术方案:
一种网络态势感知方法,其特征在于包括步骤,
接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;
对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
进一步,所述事件指标为多个,当其中一个事件指标的值超过前述指标容许阈值时,判定对前述态势感知事件进行预防御。
进一步,所述事件指标为多个,获取超过指标容许阈值的事件指标的数量,判断前述数量是否超过预设的指标容许阈值的事件指标的数量,判定超过时,触发对前述态势感知事件进行预防御。
进一步,所述事件指标为多个,对应各事件指标设置有指标重要性等级;获取超过指标容许阈值的事件指标对应的指标重要性等级信息,判定所述指标重要性等级信息中包含至少一个重要等级指标时,对前述态势感知事件进行预防御。
进一步,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
进一步,所述网络环境中的网络结构包括内部网络结构和外部网络结构;
所述内部网络结构,涉及在同一网络环境中发生的告警,发生前述告警的告警信息包括同一网络环境中网络节点的通信路径;
所述外部网络结构是指非基于同一网络环境的网络节点访问前述内部网络结构中网络节点的通信路径。
进一步,所述态势感知系统能够采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
进一步,对所述网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
一种网络态势感知装置,其特征在于包括结构:
信息接收单元,用以接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;
信息处理单元,用以对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
一种网络态势感知系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:
接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;
对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
进一步,所述事件指标为多个,当其中一个事件指标的值超过前述指标容许阈值时,判定对前述态势感知事件进行预防御。
进一步,所述事件指标为多个,获取超过指标容许阈值的事件指标的数量,判断前述数量是否超过预设的指标容许阈值的事件指标的数量,判定超过时,触发对前述态势感知事件进行预防御。
进一步,所述事件指标为多个,对应各事件指标设置有指标重要性等级;获取超过指标容许阈值的事件指标对应的指标重要性等级信息,判定所述指标重要性等级信息中包含至少一个重要等级指标时,对前述态势感知事件进行预防御。
本发明在调用态势感知系统进行防御前,通过前述预防御的方式进行网络安全防御,能够降低网络安全防御的成本,同时,可以节约计算资源,并节省态势感知系统数据库的使用次数。
附图说明
图1为本发明实施例提供的流程图。
图2为本发明实施例提供的装置的结构示意图。
图3为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,信息接收单元201,信息处理单元202;
系统300,网络节点301,态势感知系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种网络态势感知方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息。
在本实施例的优选实施方式中,所述告警是一种用于传递告警信息的事件报告,也叫告警事件,简称告警。它可以由生产厂商定义好,也可以由网管人员结合网络中的告警进行定义。在一次告警中,网管系统的监控单元视故障情况给出告警信号,系统每接收到一次的告警信号,代表一次告警事件的发生,并通过告警信息的形式进行故障描述,并在网管系统的告警信息管理中心显示告警信息。所述故障是网络中的设备产生告警的原因。
所述告警信息是对前述告警事件的描述,所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
所述态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析和响应处置能力,最终是进行决策与行动。所述态势感知能够检测出的云上安全风险,包括但不限制DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制。所述态势感知能够对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,通过采集全网流量数据和安全防护设备日志信息,并利用大数据安全分析平台进行处理和分析,能够实现企业主机安全、Web防火墙和DDoS流量清洗等安全服务上报的告警数据的整合,实时呈现完整的全网攻击态势,进而为安全事件的处置决策提供依据。
所述态势感知系统可以整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
所述态势感知信息是指在前述态势感知系统中存储的数据信息,用于分析态势感知事件的发展趋势。所述态势感知信息的数据来源包括但不限制于环境业务数据、网络层面数据、日志层面数据、告警数据,因此,所述态势感知信息可以包括但不限制于网络环境信息、网络节点的日志信息、告警信息等,在形成网络空间安全态势感知的过程中,参照现有技术对不同来源的数据信息进行有效融合。其中,所述网络环境信息是指所述网络节点涉及到与网络环境相关的数据信息,包括但不限制于用户首次访问时间、用户访问次数、当前时间下用户的操作类型和控制用户的访问速率等。
所述态势感知事件是前述态势感知信息的集合,所述态势感知信息是对前述态势感知事件的描述,通过分析和预测前述态势感知信息获得态势感知事件的发展趋势,从而进行决策和防御。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述网络节点的日志信息是指网络设备、系统及服务程序等,在运作时产生的事件记录,其中,每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于下述信息:
连接持续的时间,其数值以秒为单位,例如,其数值范围可以是:[0,58329];
协议类型,包括但不限于TCP、UDP、ICMP;
目标主机的网络服务类型;
连接正常或错误的状态;
从源主机到目标主机的数据字节数,例如,其数值范围可以是:[0,1379963888];
从目标主机到源主机的数据字节数,例如,其数值范围可以是:[0,1309937401];
连接是否来自同一个主机,是否有相同的端口;
错误分段的数量,例如,其数值范围可以是:[0,3];
加急包的个数,例如,其数值范围可以是:[0,14]。
所述的定期检测可以设置检测时间或是检测时间周期,所述的定期检测可以是下述项目,包括但不限于:
网页防篡改,用以实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁等内容;
进程异常行为,用以检测资产中是否存在超出正常执行流程的行为;
异常登录,用以检测服务器上的异常登录行为。所述异常登录可以是ECS非合法IP登录、ECS在非常用地登录、ECS登录后执行异常指令序列等;
敏感文件篡改,用以检测是否存在对服务器中的敏感文件进行恶意修改;
恶意进程,用以实时检测服务器,并对检测到的病毒文件提供实时告警。可检测子项包括访问恶意IP、挖矿程序、自变异木马、恶意程序、木马程序等;
异常网络连接,检测网络显示断开或不正常的网络连接状态。所述异常网络连接可以是主动连接恶意下载源、访问恶意域名、矿池通信行为、可疑网络外连、反弹Shell网络外连、Windows异常网络连接、疑似内网横向攻击、疑似敏感端口扫描行为等;
异常账号,用以检测非合法的登录账号;
应用入侵事件,用以检测通过系统的应用组件入侵服务器的行为;
病毒检测,可用以对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行主动防御;
Web应用威胁检测,用以检测通过Web应用入侵服务器的行为;
恶意脚本,用以检测资产的系统功能是否受到恶意脚本的攻击或篡改,对可能的恶意脚本攻击行为进行告警提示;
恶意网络行为通过流量内容、服务器行为等日志综合判断的异常网络行为,包括攻击者通过开放的网络服务入侵主机、或主机沦陷后对外发起的异常网络行为;
威胁情报用以利用威胁情报库对访问流量、日志进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。
所述事件指标包括但不限制于:内部网络的不明设备、入侵尝试、平均故障间隔时间、平均检测时间、平均确认时间、平均遏制时间、平均解决时间、平均恢复时间、漏洞修复天数、报告的安全事件数量、安全评级、访问管理、安全策略合规性、网络安全意识培训、非人为流量、病毒感染监控、钓鱼邮件攻击成功率、安全事件的成本等。
S102,对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
所述指标容许阈值是对前述事件指标设定数值的容许浮动范围,当前述事件指标的数值超出所述指标容许阈值时,基于上述步骤S102判定对前述态势感知事件进行预防御,即在调用态势感知系统的防御方案进行正式防御前,先通过事件指标和指标容许阈值对预判的态势感知事件进行安全防御。
作为本实施例的一种优选实施方式,所述事件指标为多个,当其中一个事件指标的值超过前述指标容许阈值时,判定对前述态势感知事件进行预防御。
作为举例而非限制,例如所述事件指标有5个,分别是事件指标A、事件指标B、事件指标C、事件指标D、事件指标E,当其中任意一个事件指标的值超过前述指标容许阈值时,就判定对前述态势感知事件进行预防御。
作为本实施例的另一种优选实施方式,所述事件指标为多个,获取超过指标容许阈值的事件指标的数量,判断前述数量是否超过预设的指标容许阈值的事件指标的数量,判定超过时,触发对前述态势感知事件进行预防御。
作为举例而非限制,例如所述事件指标设置有5个,当预设的超过指标容许阈值的事件指标的数量为3(所述数量为3,包括本数),而实际超过指标容许阈值的事件指标的数量为3时,即判定数量过限,触发对前述态势感知事件进行预防御。
本实施例还有一种优选实施方式,即所述事件指标为多个,对应各事件指标设置有指标重要性等级;获取超过指标容许阈值的事件指标对应的指标重要性等级信息,判定所述指标重要性等级信息中包含至少一个重要等级指标时,对前述态势感知事件进行预防御。
作为举例而非限制,所述事件指标设置有5个,分别是事件指标A、事件指标B、事件指标C、事件指标D、事件指标E,从保证安全、资源、效率、平衡等角度对各事件指标设置指标重要性等级,所述指标重要性等级可以设置为非常重要、重要、次要、普通等,所述重要等级指标指标设置为非常重要和重要。当所述指标重要性等级信息中包含至少一个重要等级指标时,对前述态势感知事件进行预防御。
优选的,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
所述紧急告警能够对告警中突然发生的异常数据进行报警,所述异常数据可以是异常操作、异常行为、异常数值等;优选的,所产生的紧急告警可以在态势感知系统基于告警数据进行分析后得出,并能够提供显示异常数据的指针;所述非紧急告警是指除紧急告警之外的其它告警情形,针对非紧急告警的情形,可以参照现有技术中针对非紧急告警的处理方案进行处置。
所述故障处理针对网络环境中出现的故障进行排查,包括步骤:观察、描述故障现象,收集可能产生故障原因的信息;分析故障的原因,并制定解决方案;逐一实施解决方案,记录故障排查过程,直至网络恢复正常。
优选的,所述网络环境中的网络结构包括内部网络结构和外部网络结构。
所述内部网络结构,涉及在同一网络环境中发生的告警,发生前述告警的告警信息包括同一网络环境中网络节点的通信路径。
所述外部网络结构是指非基于同一网络环境的网络节点访问前述内部网络结构中网络节点的通信路径。
优选的,所述态势感知系统能够采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于态势感知系统对用户的访问路径进行跟踪。
可选的,在进行数据监控时,所述态势感知系统同时可以对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控,所述端口和/或IP网段采取多路复用方式进行通信。
优选的,对所述网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种网络态势感知装置200,其特征在于包括结构:
信息接收单元201,用以接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;
信息处理单元202,用以对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
此外,参见图3所示,本发明还给出了一个实施例,提供了一种网络态势感知系统,其特征在于包括:
网络节点301,用于收发数据;
态势感知系统302,定期检测出现过告警的网络节点301,将前述网络节点301的日志信息进行安全分析;
系统服务器303,所述系统服务器303连接网络节点301和态势感知系统302;
所述系统服务器303被配置为:
接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;
对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (10)
1.一种网络态势感知方法,其特征在于包括步骤,
接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;
对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
2.根据权利要求1所述的方法,其特征在于,所述事件指标为多个,当其中一个事件指标的值超过前述指标容许阈值时,判定对前述态势感知事件进行预防御。
3.根据权利要求1所述的方法,其特征在于,所述事件指标为多个,获取超过指标容许阈值的事件指标的数量,判断前述数量是否超过预设的指标容许阈值的事件指标的数量,判定超过时,触发对前述态势感知事件进行预防御。
4.根据权利要求1所述的方法,其特征在于,所述事件指标为多个,对应各事件指标设置有指标重要性等级;获取超过指标容许阈值的事件指标对应的指标重要性等级信息,判定所述指标重要性等级信息中包含至少一个重要等级指标时,对前述态势感知事件进行预防御。
5.根据权利要求1所述的方法,其特征在于,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;
和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
6.根据权利要求5所述的方法,其特征在于,所述网络环境中的网络结构包括内部网络结构和外部网络结构;
所述内部网络结构,涉及在同一网络环境中发生的告警,发生前述告警的告警信息包括同一网络环境中网络节点的通信路径;
所述外部网络结构是指非基于同一网络环境的网络节点访问前述内部网络结构中网络节点的通信路径。
7.根据权利要求1所述的方法,其特征在于,所述态势感知系统能够采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
8.根据权利要求1所述的方法,其特征在于,对所述网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
9.一种网络态势感知装置,其特征在于包括结构:
信息接收单元,用以接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;
信息处理单元,用以对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
10.一种网络态势感知系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:
接收告警信息,并上报至态势感知系统,获取态势感知信息;所述态势感知信息包括网络节点的日志信息和告警信息;所述态势感知信息用于分析态势感知事件的发展趋势;所述态势感知事件通过前述态势感知信息进行描述,所述态势感知事件包括事件指标信息;
对前述事件指标设定有指标容许阈值;根据指标容许阈值,判断是否对前述态势感知事件进行预防御;判定为是时,获取前述网络节点的实时告警信息,当所述实时告警信息中包含对应超过指标容许阈值的事件指标的告警信息时,基于预设的网络安全态势感知系统数据库的防御方案对前述态势感知事件进行防御;否则,解除前述预防御。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111072457.XA CN113839935B (zh) | 2021-09-14 | 2021-09-14 | 网络态势感知方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111072457.XA CN113839935B (zh) | 2021-09-14 | 2021-09-14 | 网络态势感知方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113839935A true CN113839935A (zh) | 2021-12-24 |
| CN113839935B CN113839935B (zh) | 2024-01-23 |
Family
ID=78959211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111072457.XA Active CN113839935B (zh) | 2021-09-14 | 2021-09-14 | 网络态势感知方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113839935B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301700A (zh) * | 2021-12-31 | 2022-04-08 | 上海纽盾科技股份有限公司 | 调整网络安全防御方案的方法、装置、系统及存储介质 |
| CN114430347A (zh) * | 2022-01-31 | 2022-05-03 | 上海纽盾科技股份有限公司 | 网络资产的安全态势感知防御方法、装置及系统 |
| CN114726649A (zh) * | 2022-05-16 | 2022-07-08 | 中国电子科技集团公司第十五研究所 | 态势感知的评价方法、装置、终端设备和存储介质 |
| CN115296860A (zh) * | 2022-07-15 | 2022-11-04 | 智己汽车科技有限公司 | 基于中央计算平台的车辆安全运维运营系统及车辆 |
| CN115314415A (zh) * | 2022-07-08 | 2022-11-08 | 北京天融信网络安全技术有限公司 | 网络安全态势预测方法、装置、电子设备及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376222A (zh) * | 2015-10-30 | 2016-03-02 | 四川九洲电器集团有限责任公司 | 基于云计算平台的智能防御系统 |
| RU2015120547A (ru) * | 2015-05-29 | 2016-12-20 | Закрытое акционерное общество "ТЕЛРОС" | Способ адаптивной защиты выделенных сетей от воздействия деструктивного трафика сложной структуры |
| WO2017020712A1 (zh) * | 2015-08-03 | 2017-02-09 | 阿里巴巴集团控股有限公司 | 量化防御结果的方法、装置及系统 |
| WO2018107811A1 (zh) * | 2016-12-14 | 2018-06-21 | 平安科技(深圳)有限公司 | 网络安全联合防御方法、装置、服务器和存储介质 |
| CN108337270A (zh) * | 2018-05-18 | 2018-07-27 | 梧州井儿铺贸易有限公司 | 一种企业网络安全事件管理系统 |
| US20180225964A1 (en) * | 2017-02-09 | 2018-08-09 | GM Global Technology Operations LLC | Integrated interface for situation awareness information alert, advise, and inform |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| CN110149303A (zh) * | 2019-03-27 | 2019-08-20 | 李登峻 | 一种党校的网络安全预警方法及预警系统 |
| CN110855687A (zh) * | 2019-11-18 | 2020-02-28 | 惠州学院 | 一种网络空间安全态势感知检测分析系统及方法 |
| CN110913357A (zh) * | 2019-11-13 | 2020-03-24 | 绍兴文理学院 | 一种基于安全态势感知的传感云双层网络防御系统及方法 |
| CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
-
2021
- 2021-09-14 CN CN202111072457.XA patent/CN113839935B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2015120547A (ru) * | 2015-05-29 | 2016-12-20 | Закрытое акционерное общество "ТЕЛРОС" | Способ адаптивной защиты выделенных сетей от воздействия деструктивного трафика сложной структуры |
| WO2017020712A1 (zh) * | 2015-08-03 | 2017-02-09 | 阿里巴巴集团控股有限公司 | 量化防御结果的方法、装置及系统 |
| CN105376222A (zh) * | 2015-10-30 | 2016-03-02 | 四川九洲电器集团有限责任公司 | 基于云计算平台的智能防御系统 |
| WO2017071148A1 (zh) * | 2015-10-30 | 2017-05-04 | 四川九洲电器集团有限责任公司 | 基于云计算平台的智能防御系统 |
| WO2018107811A1 (zh) * | 2016-12-14 | 2018-06-21 | 平安科技(深圳)有限公司 | 网络安全联合防御方法、装置、服务器和存储介质 |
| US20180225964A1 (en) * | 2017-02-09 | 2018-08-09 | GM Global Technology Operations LLC | Integrated interface for situation awareness information alert, advise, and inform |
| CN108337270A (zh) * | 2018-05-18 | 2018-07-27 | 梧州井儿铺贸易有限公司 | 一种企业网络安全事件管理系统 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
| CN110149303A (zh) * | 2019-03-27 | 2019-08-20 | 李登峻 | 一种党校的网络安全预警方法及预警系统 |
| CN110913357A (zh) * | 2019-11-13 | 2020-03-24 | 绍兴文理学院 | 一种基于安全态势感知的传感云双层网络防御系统及方法 |
| CN110855687A (zh) * | 2019-11-18 | 2020-02-28 | 惠州学院 | 一种网络空间安全态势感知检测分析系统及方法 |
| CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
Non-Patent Citations (5)
| Title |
|---|
| HONGRUI BAO; HAIGUANG HE; ZHE LIU; ZHONGWEI LIU: "Research on Information Security Situation Awareness System Based on Big Data and Artificial Intelligence Technology", 2019 INTERNATIONAL CONFERENCE ON ROBOTS & INTELLIGENT SYSTEM (ICRIS), pages 318 - 322 * |
| MARIA EVANGELOPOULOU; CHRISTOPHER W. JOHNSON: "Empirical framework for situation awareness measurement techniques in network defense", 2015 INTERNATIONAL CONFERENCE ON CYBER SITUATIONAL AWARENESS, DATA ANALYTICS AND ASSESSMENT (CYBERSA), pages 1 - 4 * |
| 丁华东;许华虎;段然;陈帆;: "基于贝叶斯方法的网络安全态势感知模型", no. 06, pages 136 - 141 * |
| 管磊;胡光俊;王专;: "基于大数据的网络安全态势感知技术研究", 信息网络安全, no. 09, pages 53 - 58 * |
| 邵伯乐: "基于数据挖掘的网络安全态势感知技术研究", 宁夏师范学院学报, vol. 42, pages 80 - 84 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301700A (zh) * | 2021-12-31 | 2022-04-08 | 上海纽盾科技股份有限公司 | 调整网络安全防御方案的方法、装置、系统及存储介质 |
| CN114301700B (zh) * | 2021-12-31 | 2023-09-08 | 上海纽盾科技股份有限公司 | 调整网络安全防御方案的方法、装置、系统及存储介质 |
| CN114430347A (zh) * | 2022-01-31 | 2022-05-03 | 上海纽盾科技股份有限公司 | 网络资产的安全态势感知防御方法、装置及系统 |
| CN114726649A (zh) * | 2022-05-16 | 2022-07-08 | 中国电子科技集团公司第十五研究所 | 态势感知的评价方法、装置、终端设备和存储介质 |
| CN114726649B (zh) * | 2022-05-16 | 2022-08-23 | 中国电子科技集团公司第十五研究所 | 态势感知的评价方法、装置、终端设备和存储介质 |
| CN115314415A (zh) * | 2022-07-08 | 2022-11-08 | 北京天融信网络安全技术有限公司 | 网络安全态势预测方法、装置、电子设备及存储介质 |
| CN115314415B (zh) * | 2022-07-08 | 2023-09-26 | 北京天融信网络安全技术有限公司 | 网络安全态势预测方法、装置、电子设备及存储介质 |
| CN115296860A (zh) * | 2022-07-15 | 2022-11-04 | 智己汽车科技有限公司 | 基于中央计算平台的车辆安全运维运营系统及车辆 |
| CN115296860B (zh) * | 2022-07-15 | 2023-08-15 | 智己汽车科技有限公司 | 基于中央计算平台的车辆安全运维运营系统及车辆 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113839935B (zh) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| US8161554B2 (en) | System and method for detection and mitigation of network worms | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| EP3158706A1 (en) | Ineffective network equipment identification | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| Pradhan et al. | Intrusion detection system (IDS) and their types | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| Debar et al. | Intrusion detection: Introduction to intrusion detection and security information management | |
| CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| GB2381722A (en) | intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 | |
| CN113904920B (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| Coulibaly | An overview of intrusion detection and prevention systems | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
| KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
| CN114006720B (zh) | 网络安全态势感知方法、装置及系统 | |
| Alim et al. | IDSUDA: An Intrusion Detection System Using Distributed Agents | |
| CN114006802B (zh) | 失陷设备的态势感知预测方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |