CN114006723B - 基于威胁情报的网络安全预测方法、装置及系统 - Google Patents
基于威胁情报的网络安全预测方法、装置及系统 Download PDFInfo
- Publication number
- CN114006723B CN114006723B CN202111076496.7A CN202111076496A CN114006723B CN 114006723 B CN114006723 B CN 114006723B CN 202111076496 A CN202111076496 A CN 202111076496A CN 114006723 B CN114006723 B CN 114006723B
- Authority
- CN
- China
- Prior art keywords
- information
- alarm
- threat
- network
- evaluation index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3058—Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于威胁情报的网络安全预测方法、装置及系统,涉及网络安全技术领域。所述处理方法包括步骤:采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;对上述采集的信息,分别依据预设的威胁情报分析规则和预警规则,获取威胁源和异常项;获取预设的威胁源的评价指标和异常项的评价指标;对前述威胁源和异常项的评价指标的数值进行比较,并依据评价指标对威胁源或异常项进行安全防御。本发明通过网络安全评价指标分析网络环境中的威胁源和异常项,依据评价指标对威胁源或异常项进行安全防御,从而节约资源计算成本,并避免更为严重的告警事件,以保障网络安全的稳定运行。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于威胁情报的网络安全预测方法。
背景技术
在现有技术中,网络安全管理系统,又叫网管系统,是一个软硬件结合以软件为主的分布式网络应用系统,其目的是管理网络,使网络高效正常运行。当设备或链路产生故障时,网管运维人员可以通过网管系统中的告警信息快速定位故障点,帮助网管人员进行排查,管理和维护网络安全与稳定。但是,除了通过告警信息显示出的告警之外,网管系统中存在大量的网络安全威胁和异常情形,因此,除了告警信息,还需要考虑威胁情报,以及网络中异常项对网络安全的影响。
为此,提供一种基于威胁情报的网络安全预测方法、装置及系统,以通过网络安全评价指标分析网络环境中的威胁源和异常项,依据评价指标对威胁源或异常项进行安全防御,从而节约资源计算成本,并避免更为严重的告警事件,以保障网络安全的稳定运行,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种基于威胁情报的网络安全预测方法、装置及系统,本发明能够采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;对上述信息,依据预设的威胁情报分析规则获取威胁源,基于预警规则,获取异常项和预测告警信息;基于预设的网络安全评价指标,对前述威胁源和异常项的评价指标的数值进行比较,并对数值高的一项采取安全防御策略。
为解决现有的技术问题,本发明提供了如下技术方案:
一种基于威胁情报的网络安全预测方法,其特征在于包括步骤:
采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;
对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项;
获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标;
对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
进一步,所述告警信息包括历史告警信息、预测告警信息和实时告警信息,当所述预测告警判断准确时,所述实时告警体现与前述预测告警无关的告警信息。
进一步,在前述预测告警判断错误时,对所述实时告警依据网络安全数据库的防御方案进行安全防御;同时,对比前述预测告警,分析前述预测告警判断错误的原因。
进一步,所述告警包括紧急告警和非紧急告警;判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至网管系统进行安全分析。
进一步,分析前述告警的原因时,对采集和获取到的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
进一步,采集前述告警日志信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
进一步,针对发生告警的网络节点,通过网管系统对前述网络节点中未触发告警的端口和/或IP网段进行监控,所述端口和/或IP网段采取多路复用方式进行通信。
进一步,对所述网络节点中未触发告警的输入/输出端口进行数据监控,在网络环境发生异常变化时,通过网管系统对在前述网络节点的执行的操作进行标注和追溯。
一种基于威胁情报的网络安全预测装置,其特征在于包括结构:
信息采集单元,用以采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;
第一信息获取单元,用以对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项;
第二信息获取单元,用以获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标;
信息防御单元,用以对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
一种基于威胁情报的网络安全预测系统,其特征在于包括:
网络节点,用于收发数据;
网管系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和网管系统;
所述系统服务器被配置为:采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项;获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标;对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:
第一,采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项;获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标;对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
第二,所述告警信息包括历史告警信息、预测告警信息和实时告警信息,当所述预测告警判断准确时,所述实时告警体现与前述预测告警无关的告警信息。
第三,在前述预测告警判断错误时,对所述实时告警依据网络安全数据库的防御方案进行安全防御;同时,对比前述预测告警,分析前述预测告警判断错误的原因。
附图说明
图1为本发明实施例提供的流程图。
图2为本发明实施例提供的装置的结构示意图。
图3为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,信息采集单元201,第一信息获取单元202,第二信息获取单元203,信息防御单元204;
系统300,网络节点301,网管系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种基于威胁情报的网络安全预测方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息。
在本实施例的优选实施方式中,所述告警是一种用于传递告警信息的事件报告,也叫告警事件,简称告警。它可以由生产厂商定义好,也可以由网管人员结合网络中的告警进行定义。在一次告警中,网管系统的监控单元视故障情况给出告警信号,系统每接收到一次的告警信号,代表一次告警事件的发生,并通过告警信息的形式进行故障描述,并在网管系统的告警信息管理中心显示告警信息。所述故障是通过网络中的设备产生的告警事件的原因。
所述告警信息包括历史告警信息、预测告警信息和实时告警信息。所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
需要说明的是,所述预测告警信息是用以描述网管系统对网络环境实现预测告警的信息。所述预测告警是指所述网管系统针对可能会触发告警的情形进行了事先的预测,而形成的事前告警。所述预测告警在触发实时告警前,对可能发展为实时告警的告警进行预测,该操作能够在触发实时告警前,以预测告警的形式,提前对网络环境中的威胁进行防御,可以有效避免实时告警时反映对网络安全造成的影响。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。所述数据处理的对象包括但不限制于前述历史告警信息,以及,与前述历史告警信息相关的威胁情报信息和网络节点的日志信息。所述数据处理包括对前述数据信息进行数据清洗的操作。
以前述历史告警信息为例,在对前述历史告警信息进行数据处理后,获取的数据信息的属性类型包括但不限制于告警时间、事件ID、攻击源IP、攻击目的IP、告警名称、源端口、目的端口、等级、威胁类型,以及攻击手段。
所述网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述网络节点的日志信息是指网络设备、系统及服务程序等,在运作时产生的事件记录,其中,每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于下述信息:
连接持续的时间,其数值以秒为单位,例如,其数值范围可以是:[0,58329];
协议类型,包括但不限于TCP、UDP、ICMP;
目标主机的网络服务类型;
连接正常或错误的状态;
从源主机到目标主机的数据字节数,例如,其数值范围可以是:[0,1379963888];
从目标主机到源主机的数据字节数,例如,其数值范围可以是:
[0,1309937401];
连接是否来自同一个主机,是否有相同的端口;
错误分段的数量,例如,其数值范围可以是:[0,3];
加急包的个数,例如,其数值范围可以是:[0,14]。
所述威胁情报信息用以描述网络环境中的威胁情报,所述威胁情报能够通过利用威胁情报库对访问流量、网络节点的日志信息等数据信息进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。
S102,对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项。
所述威胁情报基于威胁情报分析规则得到威胁源的信息,所述威胁源可以是在网络环境中受到威胁的网络节点,遭受网络漏洞的设备、受到网络攻击的节点等。
所述威胁情报可以来源于两个方面:一是内部威胁情报,其数据来源涉及企业内部网络环境中要保护的资产和环境属性类数据、各种内部设备和系统上的日志数据、告警数据、捕获来的数据包信息、统计信息、元数据等;二是外部威胁情报,即从相对于企业内部网络环境而言的外部网络环境中采集的数据,并将这些数据与前述内部威胁情报来源收集来的数据相关联,在与被保护对象有关联时视为外部威胁情报。
所述威胁情报分析规则是基于威胁情报数据的关联分析。所述威胁情报分析规则的存在能够提升安全事件分析效率和对威胁行为的检测能力和响应速度。
所述威胁情报分析规则可以从网络安全数据库的威胁情报数据库中自动获取。所述威胁情报分析规则中往往包含多条子规则,其中,每条子规则可以用于处理一种或多种威胁。
所述威胁情报数据包括但不限制于IP指纹、Web指纹、IP信息、域名信息、漏洞库、样本库、IP信誉、域名信誉、URL信誉、文件信誉、C&C信誉等。
基于预设的威胁情报分析规则,首先,可以从日志中分析得受到出威胁的对象是基于什么问题而导致被入侵的,比如,CPU占用异常、内存占用异常;然后,提取服务器里面相关的日志和流量得到一些监测指标,所述指标可以是响应时延、下载速度等;进一步,可以根据时序确定其攻击路线。需要说明的是,前述受到威胁的对象可以是受影响的系统、设备、进程等。
在本实施例的一个优选的实施方式中,作为举例而非限制,在某台服务器出现了CPU占用异常时,通过分析本地Login日志,没有发现暴力破解的痕迹,使用ps -aux、lsof等命令来察看通信的端口与进程,发现1234端口反连了一个shell到xx.xx.xx.xx服务器,并且开启挖矿程序,矿池地址为xxx.xx.xx.xx,在定位到文件之后,发现该shell的创建日期在前述挖矿程序植入之前,也就是说,网络入侵攻击者是先挂了shell,再植入挖矿程序的。
此时,要基于预设的威胁情报分析规则对之前的进程排查,以分析网络入侵攻击者是怎么植入shell的。
经过对前述进程的排查,发现该服务器只安装了Weblogic一项服务,那么网络入侵攻击者很有可能是通过Weblogic进来的。也就是说,需要翻看Weblogic日志和对应的Nginx访问日志,通过访问日志、当时的全镜像流量数据、还有业务日志等,发现网络入侵攻击者实际是利用CVE-xxxx-xxxx漏洞进行了攻击,然后写一个shell后门到本地服务器上。
同时,还发现了前述全镜像流量里面存在了大量的TCP握手包,其中,端口是逐次增加的,并且TCP数据包的标志位全都是0或者全都是1,此时,可以分析得到网络入侵攻击者使用0扫描和Xmas扫描对端口进行检测的结论。
基于上述实施例的优选实施方式,建立威胁情报分析规则的优势在于:能够基于威胁情报数据,对前述IP信誉、域名信誉、URL信誉、文件信誉、C&C信誉等多个维度进行匹配,使得网管人员能够迅速定位威胁源以及与威胁源相关的数据;同时,利用威胁情报对网络入侵攻击者的攻击行为和操作行为,进行深入分析和溯源取证。
所述预警规则是用以得到预测告警信息,是以实现预测告警功能而预设的规则。所述预警规则可以是网管人员基于预警需要满足的各项条件进行设置。所述预警规则中往往包含多条子规则,其中,每条子规则可以用于处理一种或多种预警情形。
作为举例而非限制,当网管人员监控各网络节点的使用和运行情况时,可以通过创建预警规则,例如,在监控数据周期性变化时,为减少误报报警,设置阈值预警规则,以实现监控指标在超过阈值后,自动发送预警通知的功能,从而帮助网管人员及时了解监控数据的异常,并快速进行处理。
所述异常项是指程序或系统运行过程中出现的警告或错误,这些异常项多会影异常项响程序的健壮性、可靠性和安全性。所述异常项可以是网络环境中的异常操作、异常行为、异常数值等。
S103,获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标。
所述网络安全评价指标基于现有技术中网络安全评价指标进行设置,用以对网络环境中的威胁源和异常项进行评价,得到威胁源和异常项对应评价指标的数值。
所述威胁源的评价指标可以包括有多个网络安全评价指标,并对前述多个网络安全评价指标经过预设的计算方式,得到前述威胁源的评价指标的数值。所述威胁源的评价指标包括但不限制于针对流量指标、节点响应时间指标、攻击者驻留时间指标、攻击持续时间指标、代码缺陷密度指标等等网络安全评价指标。
所述异常项的评价指标可以包括有多个网络安全评价指标,并对前述多个网络安全评价指标经过预设的计算方式,得到前述异常项的评价指标的数值。所述异常项的评价指标包括但不限制于针对流量指标、节点响应时间指标、网络利用率指标、网络吞吐量指标、网络带宽容量指标等网络安全评价指标。
基于前述威胁源的评价指标和异常项的评价指标,预设有威胁源指标分析模型和异常项指标分析模型,分别用于根据预设的威胁源的评价指标和异常项的评价指标,以对威胁源信息和异常项信息进行分析后,计算所有威胁源的评价指标和异常项的评价指标的值。
S104,对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
可选的,所述威胁源和异常项的评价指标的数值是动态值,在获取指标在各时间点的值后,得到前述威胁源和异常项的评价指标的数值随时间的变化趋势。
可选的,基于前述威胁源和异常项的评价指标的数值随时间的变化趋势,设置比较基于前述威胁源和异常项的评价指标的数值的时间点和时间周期,跟随前述威胁源和异常项的评价指标的数值随时间的变化趋势,对网络安全数据库中调用的防御方案进行调整。
可选的,当威胁源和异常项是同一对象时,选取网络安全数据库中的威胁情报防御方案或异常项的防御方案的一种,并进行网络安全防御。
优选的,所述告警信息包括历史告警信息、预测告警信息和实时告警信息,当所述预测告警判断准确时,所述实时告警体现与前述预测告警无关的告警信息。
需要说明的是,前述预测告警信息均能够通过分析前述历史告警信息之间存在的某种特定关系得出,所述特定关系例如因果关系、递进关系等。在分析前述特定关系时,需要考虑多个因素,所述因素包括但不限制于时间因素和事件关联程度,针对前述历史告警信息依照时间顺序或事件发展顺序进行梳理,进一步预测得到预测告警信息。
优选的,在前述预测告警判断错误时,对所述实时告警依据网络安全数据库的防御方案进行安全防御;同时,对比前述预测告警,分析前述预测告警判断错误的原因。
优选的,所述告警包括紧急告警和非紧急告警;判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至网管系统进行安全分析。
所述紧急告警能够对告警中突然发生的异常数据进行报警,所述异常数据可以是异常操作、异常行为、异常数值等;优选的,所产生的紧急告警可以在网管系统基于告警数据进行分析后得出,并能够提供显示异常数据的指针;所述非紧急告警是指除紧急告警之外的其它告警情形。
所述故障处理针对网络环境中出现的故障进行排查,包括步骤:观察、描述故障现象,收集可能产生故障原因的信息;分析故障的原因,并制定解决方案;逐一实施解决方案,记录故障排查过程,直至网络恢复正常。
所述的定期检测可以设置检测时间或是检测时间周期,所述的定期检测可以是下述项目,包括但不限于:
网页防篡改,用以实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁等内容;
进程异常行为,用以检测资产中是否存在超出正常执行流程的行为;
异常登录,用以检测服务器上的异常登录行为。所述异常登录可以是ECS非合法IP登录、ECS在非常用地登录、ECS登录后执行异常指令序列等;
敏感文件篡改,用以检测是否存在对服务器中的敏感文件进行恶意修改;
恶意进程,用以实时检测服务器,并对检测到的病毒文件提供实时告警。可检测子项包括访问恶意IP、挖矿程序、自变异木马、恶意程序、木马程序等;
异常网络连接,检测网络显示断开或不正常的网络连接状态。所述异常网络连接可以是主动连接恶意下载源、访问恶意域名、矿池通信行为、可疑网络外连、反弹Shell网络外连、Windows异常网络连接、疑似内网横向攻击、疑似敏感端口扫描行为等;
异常账号,用以检测非合法的登录账号;
应用入侵事件,用以检测通过系统的应用组件入侵服务器的行为;
病毒检测,可用以对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行主动防御;
Web应用威胁检测,用以检测通过Web应用入侵服务器的行为;
恶意脚本,用以检测资产的系统功能是否受到恶意脚本的攻击或篡改,对可能的恶意脚本攻击行为进行告警提示;
恶意网络行为通过流量内容、服务器行为等日志综合判断的异常网络行为,包括网络入侵攻击者通过开放的网络服务入侵主机、或主机沦陷后对外发起的异常网络行为。
优选的,分析前述告警的原因时,对采集和获取到的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
优选的,采集前述告警日志信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于网管系统对用户的访问路径进行跟踪。
优选的,针对发生告警的网络节点,通过网管系统对前述网络节点中未触发告警的端口和/或IP网段进行监控,所述端口和/或IP网段采取多路复用方式进行通信。
还需要说明的是,在触发告警时,所述告警会显示针对触发告警的网络节点的端口信息,同时,对其他未触发告警的网络节点的端口的执行操作进行监控,能够确保网络安全的实时布控,使前述端口和/或IP网段在未触发告警时保持与其他网络节点的正常通信和稳定运行。
优选的,对所述网络节点中未触发告警的输入/输出端口进行数据监控,在网络环境发生异常变化时,通过网管系统对在前述网络节点的执行的操作进行标注和追溯。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种基于威胁情报的网络安全预测装置200,其特征在于包括结构:
信息采集单元201,用以采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息。
第一信息获取单元202,用以对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项。
第二信息获取单元203,用以获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标。
信息防御单元204,用以对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
此外,参见图3所示,本发明还给出了一个实施例,提供了一种基于威胁情报的网络安全预测系统300,其特征在于包括:
网络节点301,用于收发数据。
网管系统302,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析。
系统服务器303,所述系统服务器303连接网络节点301和网管系统302;
所述系统服务器303被配置为:
采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项;获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标;对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (8)
1.一种基于威胁情报的网络安全预测方法,其特征在于包括步骤:
采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;所述历史告警信息隶属于告警信息,所述告警信息包括历史告警信息、预测告警信息和实时告警信息,当预测告警判断准确时,所述实时告警体现与前述预测告警无关的告警信息;所述预测告警信息能够通过分析前述历史告警信息之间存在的因果关系或递进关系得到;在分析前述因果关系或递进关系时,考虑时间因素和事件关联程度,针对前述历史告警信息依照时间顺序或事件发展顺序进行梳理,预测得到预测告警信息;在前述预测告警判断错误时,对所述实时告警依据网络安全数据库的防御方案进行安全防御;同时,对比前述预测告警,分析前述预测告警判断错误的原因;
对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项;所述威胁情报分析规则能够从网络安全数据库的威胁情报数据库中自动获取;所述威胁情报分析规则中包含多条子规则,每条子规则能够用于处理一种或多种威胁;然后,提取服务器里面相关的日志和流量得到监测指标,所述监测指标包括响应时延和下载速度;进而,根据时序确定攻击路线;所述预警规则是以实现预测告警功能而预设的规则,用以得到预测告警信息;所述预警规则中包含多条子规则,每条子规则能够用于处理一种或多种预警情形;
获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标;
对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
2.根据权利要求1所述的方法,其特征在于,所述告警包括紧急告警和非紧急告警;
判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至网管系统进行安全分析。
3.根据权利要求1所述的方法,其特征在于,分析前述告警的原因时,对采集和获取到的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
4.根据权利要求1所述的方法,其特征在于,采集前述告警日志信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
5.根据权利要求1所述的方法,其特征在于,针对发生告警的网络节点,通过网管系统对前述网络节点中未触发告警的端口和/或IP网段进行监控,所述端口和/或IP网段采取多路复用方式进行通信。
6.根据权利要求1所述的方法,其特征在于,对所述网络节点中未触发告警的输入/输出端口进行数据监控,在网络环境发生异常变化时,通过网管系统对在前述网络节点的执行的操作进行标注和追溯。
7.一种基于威胁情报的网络安全预测装置,其特征在于包括结构:
信息采集单元,用以采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;所述历史告警信息隶属于告警信息,所述告警信息包括历史告警信息、预测告警信息和实时告警信息,当预测告警判断准确时,所述实时告警体现与前述预测告警无关的告警信息;所述预测告警信息能够通过分析前述历史告警信息之间存在的因果关系或递进关系得到;在分析前述因果关系或递进关系时,考虑时间因素和事件关联程度,针对前述历史告警信息依照时间顺序或事件发展顺序进行梳理,预测得到预测告警信息;在前述预测告警判断错误时,对所述实时告警依据网络安全数据库的防御方案进行安全防御;同时,对比前述预测告警,分析前述预测告警判断错误的原因;
第一信息获取单元,用以对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项;所述威胁情报分析规则能够从网络安全数据库的威胁情报数据库中自动获取;所述威胁情报分析规则中包含多条子规则,每条子规则能够用于处理一种或多种威胁;然后,提取服务器里面相关的日志和流量得到监测指标,所述监测指标包括响应时延和下载速度;进而,根据时序确定攻击路线;所述预警规则是以实现预测告警功能而预设的规则,用以得到预测告警信息;所述预警规则中包含多条子规则,每条子规则能够用于处理一种或多种预警情形;
第二信息获取单元,用以获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标;
信息防御单元,用以对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
8.一种基于威胁情报的网络安全预测系统,其特征在于包括:
网络节点,用于收发数据;
网管系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和网管系统;
所述系统服务器被配置为:采集历史告警信息,和触发前述告警的网络节点的日志信息,以及,与前述告警相关的威胁情报信息;所述历史告警信息隶属于告警信息,所述告警信息包括历史告警信息、预测告警信息和实时告警信息,当预测告警判断准确时,所述实时告警体现与前述预测告警无关的告警信息;所述预测告警信息能够通过分析前述历史告警信息之间存在的因果关系或递进关系得到;在分析前述因果关系或递进关系时,考虑时间因素和事件关联程度,针对前述历史告警信息依照时间顺序或事件发展顺序进行梳理,预测得到预测告警信息;在前述预测告警判断错误时,对所述实时告警依据网络安全数据库的防御方案进行安全防御;同时,对比前述预测告警,分析前述预测告警判断错误的原因;对上述采集的信息,依据预设的威胁情报分析规则获取威胁源,基于预设的预警规则,获取上述采集的信息的异常项;所述威胁情报分析规则能够从网络安全数据库的威胁情报数据库中自动获取;所述威胁情报分析规则中包含多条子规则,每条子规则能够用于处理一种或多种威胁;然后,提取服务器里面相关的日志和流量得到监测指标,所述监测指标包括响应时延和下载速度;进而,根据时序确定攻击路线;所述预警规则是以实现预测告警功能而预设的规则,用以得到预测告警信息;所述预警规则中包含多条子规则,每条子规则能够用于处理一种或多种预警情形;获取预设的网络安全评价指标,所述网络安全评价指标包括威胁源的评价指标和异常项的评价指标;对前述威胁源和异常项的评价指标的数值进行比较,当前述威胁源的评价指标的数值高于异常项的评价指标的数值时,基于网络安全数据库中的威胁情报防御方案对威胁源进行安全防御;否则,基于网络安全数据库中异常项的防御方案对威胁源进行安全防御。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111076496.7A CN114006723B (zh) | 2021-09-14 | 2021-09-14 | 基于威胁情报的网络安全预测方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111076496.7A CN114006723B (zh) | 2021-09-14 | 2021-09-14 | 基于威胁情报的网络安全预测方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114006723A CN114006723A (zh) | 2022-02-01 |
CN114006723B true CN114006723B (zh) | 2023-08-18 |
Family
ID=79921431
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111076496.7A Active CN114006723B (zh) | 2021-09-14 | 2021-09-14 | 基于威胁情报的网络安全预测方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114006723B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115037561B (zh) * | 2022-08-10 | 2022-11-22 | 杭州悦数科技有限公司 | 一种网络安全检测方法和系统 |
CN115567323B (zh) * | 2022-11-22 | 2023-11-07 | 合肥市贵谦信息科技有限公司 | 一种改进型神经网络模型的网络信息分析方法 |
CN116527323B (zh) * | 2023-04-04 | 2024-01-30 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
CN116861419B (zh) * | 2023-09-05 | 2023-12-08 | 国网江西省电力有限公司信息通信分公司 | 一种ssr上主动防御日志告警方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105223514A (zh) * | 2015-10-14 | 2016-01-06 | 中国南方电网有限责任公司调峰调频发电公司 | 大容量储能设备的可靠性判断方法 |
CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
JP2019125267A (ja) * | 2018-01-18 | 2019-07-25 | 富士通株式会社 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
CN110381090A (zh) * | 2019-08-23 | 2019-10-25 | 新华三信息安全技术有限公司 | 终端异常检测方法、装置、检测设备及机器可读存储介质 |
CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
CN112269316A (zh) * | 2020-10-28 | 2021-01-26 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
-
2021
- 2021-09-14 CN CN202111076496.7A patent/CN114006723B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105223514A (zh) * | 2015-10-14 | 2016-01-06 | 中国南方电网有限责任公司调峰调频发电公司 | 大容量储能设备的可靠性判断方法 |
JP2019125267A (ja) * | 2018-01-18 | 2019-07-25 | 富士通株式会社 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护系统 |
CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
CN110381090A (zh) * | 2019-08-23 | 2019-10-25 | 新华三信息安全技术有限公司 | 终端异常检测方法、装置、检测设备及机器可读存储介质 |
CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
CN112269316A (zh) * | 2020-10-28 | 2021-01-26 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
Non-Patent Citations (1)
Title |
---|
荣晓燕 ; 宋丹娃 ; .基于大数据和威胁情报的网络攻击防御体系研究.信息安全研究.(第05期),全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN114006723A (zh) | 2022-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
CN1643876B (zh) | 用于降低网络入侵检测系统的误报率的方法和系统 | |
US8161554B2 (en) | System and method for detection and mitigation of network worms | |
CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
US11258825B1 (en) | Computer network monitoring with event prediction | |
CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
Pradhan et al. | Intrusion detection system (IDS) and their types | |
Debar et al. | Intrusion detection: Introduction to intrusion detection and security information management | |
CN111327601A (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
Yu et al. | TRINETR: an intrusion detection alert management systems | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
CN113904920B (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
JP2005202664A (ja) | 不正アクセス統合対応システム | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |