CN114268452A - 一种网络安全防护方法及系统 - Google Patents
一种网络安全防护方法及系统 Download PDFInfo
- Publication number
- CN114268452A CN114268452A CN202111360789.8A CN202111360789A CN114268452A CN 114268452 A CN114268452 A CN 114268452A CN 202111360789 A CN202111360789 A CN 202111360789A CN 114268452 A CN114268452 A CN 114268452A
- Authority
- CN
- China
- Prior art keywords
- network
- partition
- attack
- virtual
- partitions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种网络安全防护方法及系统,涉及网络安全技术领域。该方法包括:将影子系统部署至网络防护平台,建立虚拟网络。按照预设分区方法对虚拟网络进行安全分区,以得到多个分区。实时检测每个分区的网络状态,若任一分区存在数据异常,则获取分区的异常数据和对应的网络流量。基于异常数据和对应分区,生成虚拟蜜罐,并将对应网络流量引入虚拟蜜罐,得到攻击行为。将攻击行为输入至对应分区相匹配的攻击行为分析模型,得到攻击特点。根据攻击特点确定对应的安全防御策略。从而针对不同分区攻击行为的攻击特点确定安全防御策略,使得安全防御策略与攻击行为更加适配,也就根据不同攻击特点按需配置防护资源,达到了较好的防护效果。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网络安全防护方法及系统。
背景技术
伴随着网络技术的拓展及普及,网络在人们学习、教育、工作和生活等多方面起到了不容忽视的作用,逐渐成为人们生活的必需品,人们对于网络的依赖性与日俱增。而网络技术的发展,造成网络安全技术问题也日益凸显。人们对信息安全的需求也随之越来越高,故而网络安全技术的发展得到了广泛的关注。
虽然利用现有网络安全技术可以对一些攻击手段进行防护,但是现有网络安全无法根据攻击手段的特点按需配置防护资源,达不到较好的防护效果。因此,通过现有网络安全技术进行安全防护,依旧存在网络安全防护效果较差的问题。
发明内容
本发明的目的在于提供一种网络安全防护方法及系统,其能够针对不同分区攻击行为的攻击特点确定安全防御策略,使得安全防御策略与攻击行为更加适配,不仅不会造成资源浪费,而且也能根据不同攻击特点按需配置防护资源,进而实现了精确处理各分区的攻击行为的目的,达到了较好的防护效果。
本发明的实施例是这样实现的:
第一方面,本申请实施例提供一种网络安全防护方法,应用于网络防护平台,其包括如下步骤:将影子系统部署至网络防护平台,建立虚拟网络。按照预设分区方法对虚拟网络进行安全分区,以得到多个分区。实时检测每个分区的网络状态,若任一分区存在数据异常,则获取分区的异常数据和对应的网络流量。基于异常数据和对应分区,生成虚拟蜜罐,并将对应网络流量引入虚拟蜜罐,得到攻击行为。将攻击行为输入至对应分区相匹配的攻击行为分析模型,得到攻击特点。根据攻击特点确定对应的安全防御策略。
在本发明的一些实施例中,上述按照预设分区方法对虚拟网络进行安全分区,以得到多个分区的步骤之后,该方法还包括:根据不同分区特点,制定白名单。基于白名单技术,收集并分析各分区的网络流量历史数据和软件运行状态历史数据,建立由正常运行的设备、软件和命令组成的白名单安全工作模型。
在本发明的一些实施例中,上述基于白名单技术,收集并分析各分区的网络流量和软件运行状态的步骤包括:基于白名单技术,对任一分区中所有应用程序进行认证。若任一应用程序不存在于白名单上,则屏蔽应用程序。
在本发明的一些实施例中,上述实时检测每个分区的网络状态的步骤包括:基于白名单安全工作模型,对恶意程序进行拦截。
在本发明的一些实施例中,上述若任一分区存在数据异常,则获取分区的异常数据和对应的网络流量的步骤之前,该方法还包括:设定每个分区的各项数据的阈值。若任一网络数据超过对应阈值,则网络数据为异常数据。
在本发明的一些实施例中,上述根据攻击特点确定对应的安全防御策略的步骤包括:基于攻击特点,评估对应分区的网络安全态势。
在本发明的一些实施例中,上述按照预设分区方法对虚拟网络进行安全分区,以得到多个分区的步骤包括:根据虚拟网络中应用程序的业务逻辑和安全程度,将虚拟网络划分为多个分区。
第二方面,本申请实施例提供一种网络安全防护系统,其包括:虚拟网络建立模块,用于将影子系统部署至网络防护平台,建立虚拟网络。安全分区模块,用于按照预设分区方法对虚拟网络进行安全分区,以得到多个分区。网络状态检测模块,用于实时检测每个分区的网络状态,若任一分区存在数据异常,则获取分区的异常数据和对应的网络流量。攻击行为得到模块,用于基于异常数据和对应分区,生成虚拟蜜罐,并将对应网络流量引入虚拟蜜罐,得到攻击行为。攻击行为分析模块,用于将攻击行为输入至对应分区相匹配的攻击行为分析模型,得到攻击特点。安全防御策略确定模块,用于根据攻击特点确定对应的安全防御策略。
在本发明的一些实施例中,上述网络安全防护系统还包括:白名单制定模块,用于根据不同分区特点,制定白名单。白名单安全工作模型建立模块,用于基于白名单技术,收集并分析各分区的网络流量历史数据和软件运行状态历史数据,建立由正常运行的设备、软件和命令组成的白名单安全工作模型。
在本发明的一些实施例中,上述白名单安全工作模型建立模块包括:应用程序认证单元,用于基于白名单技术,对任一分区中所有应用程序进行认证。应用程序屏蔽单元,用于若任一应用程序不存在于白名单上,则屏蔽应用程序。
在本发明的一些实施例中,上述网络状态检测模块包括:恶意程序拦截单元,用于基于白名单安全工作模型,对恶意程序进行拦截。
在本发明的一些实施例中,上述网络安全防护系统还包括:阈值设定模块,用于设定每个分区的各项数据的阈值。异常数据模块,用于若任一网络数据超过对应阈值,则网络数据为异常数据。
在本发明的一些实施例中,上述安全防御策略确定模块包括:网络安全态势评估单元,用于基于攻击特点,评估对应分区的网络安全态势。
在本发明的一些实施例中,上述安全分区模块包括:分区划分单元,用于根据虚拟网络中应用程序的业务逻辑和安全程度,将虚拟网络划分为多个分区。
第三方面,本申请实施例提供一种电子设备,其包括存储器,用于存储一个或多个程序;处理器。当一个或多个程序被处理器执行时,实现如上述第一方面中任一项的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面中任一项的方法。
相对于现有技术,本发明的实施例至少具有如下优点或有益效果:
本发明提供一种网络安全防护方法及系统,应用于网络防护平台,其包括如下步骤:将影子系统部署至网络防护平台,建立虚拟网络。按照预设分区方法对虚拟网络进行安全分区,以得到多个分区。实时检测每个分区的网络状态,若任一分区存在数据异常,则获取分区的异常数据和对应的网络流量。基于异常数据和对应分区,生成虚拟蜜罐,并将对应网络流量引入虚拟蜜罐,得到攻击行为。将攻击行为输入至对应分区相匹配的攻击行为分析模型,得到攻击特点。根据攻击特点确定对应的安全防御策略。该方法及系统利用影子系统建立虚拟网络,可以有效保护真实操作系统的使用安全。并且将虚拟网络细化为多个分区,针对不同分区检测到的不同攻击行为生成对应不同漏洞的虚拟蜜罐,以最大程度收集对应分区的攻击数据,以使根据攻击数据得到攻击行为更为准确。将利用蜜罐技术分析得到的攻击行为输入至对应的攻击行为分析模型进行分析,以较为准确地获得该攻击行为的攻击特点,从而针对不同分区攻击行为的攻击特点确定安全防御策略,使得安全防御策略与攻击行为更加适配,不仅不会造成资源浪费,而且也能根据不同攻击特点按需配置防护资源,进而实现了精确处理各分区的攻击行为的目的,达到了较好的防护效果。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种网络安全防护方法的流程图;
图2为本发明实施例提供的一种网络安全防护系统的结构框图;
图3为本发明实施例提供的一种电子设备的示意性结构框图。
图标:100-网络安全防护系统;110-虚拟网络建立模块;120-安全分区模块;130-网络状态检测模块;140-攻击行为得到模块;150-攻击行为分析模块;160-安全防御策略确定模块;101-存储器;102-处理器;103-通信接口。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,若出现术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,若出现由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在本申请的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该申请产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,若出现术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的各个实施例及实施例中的各个特征可以相互组合。
实施例
请参照图1,图1所示为本申请实施例提供的一种网络安全防护方法的流程图。一种网络安全防护方法,应用于网络防护平台,其包括如下步骤:
S110:将影子系统部署至网络防护平台,建立虚拟网络;
其中,影子系统是隔离保护Windows操作系统,同时创建一个和真实操作系统一模一样的虚拟化影像系统。进入影子系统后,所有操作都是虚拟的,所有的病毒和流氓软件都无法感染真正的操作系统。
具体的,将影子系统部署至网络防护平台建立的虚拟网络可以有效保护真实操作系统的使用安全。
S120:按照预设分区方法对虚拟网络进行安全分区,以得到多个分区;
具体的,在虚拟网络配置完成并正常运行的基础上,对虚拟网络进行安全分区,基于虚拟网络中所有应用程序的业务逻辑和安全程度,将虚拟网络划分为若干区域。从而可以针对每个分区使用各种安全技术进行防护。
其中,将虚拟网络划分为多个分区后,可以限制不同分区之间的连通,防止攻击者在实现入侵后,扩大入侵范围。同时虚拟网络分区提供的入侵遏制也使得攻击事件清理成本显著降低。从而使虚拟网络成为一个可防范的环境。
S130:实时检测每个分区的网络状态,若任一分区存在数据异常,则获取分区的异常数据和对应的网络流量;
具体的,同时检测各个分区的网络流量,可以减少每个分区的检测时间,减小检测误差。
S140:基于异常数据和对应分区,生成虚拟蜜罐,并将对应网络流量引入虚拟蜜罐,得到攻击行为;
具体的,针对异常数据和该异常数据的对应分区,生成具有相应漏洞的虚拟蜜罐,并将对应网络流量引入虚拟蜜罐,将虚拟蜜罐作为诱饵,进而最大程度采集攻击数据,从而使得根据攻击数据得到攻击行为更为准确。
其中,虚拟蜜罐本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁。
S150:将攻击行为输入至对应分区相匹配的攻击行为分析模型,得到攻击特点;
具体的,每个分区都有一个与其对应的攻击行为分析模型,攻击行为分析模型可以分析对应分区的攻击行为,较为准确地获得该攻击行为的攻击特点。
S160:根据攻击特点确定对应的安全防御策略。
具体的,将虚拟网络细化为多个分区,再将各分区检测到的攻击行为输入至对应攻击行为分析模型进行分析,使得得到的攻击特点更为准确,从而针对不同分区攻击行为的攻击特点确定安全防御策略,使得安全防御策略与攻击行为更加适配,不仅不会造成资源浪费,而且也能根据不同攻击特点按需配置防护资源,进而实现了精确处理各分区的攻击行为的目的,达到了较好的防护效果。
在本实施例的一些实施方式,上述将攻击行为输入至对应分区相匹配的攻击行为分析模型之前,该方法还包括:获取样本,样本包括各分区的历史攻击行为和对应攻击特点,建立各分区的攻击行为初始分析模型。利用各分区的样本训练对应的攻击行为初始分析模型,以得到各分区对应的攻击行为分析模型。
在本实施例的一些实施方式中,上述按照预设分区方法对虚拟网络进行安全分区,以得到多个分区的步骤之后,该方法还包括:根据不同分区特点,制定白名单。基于白名单技术,收集并分析各分区的网络流量历史数据和软件运行状态历史数据,建立由正常运行的设备、软件和命令组成的白名单安全工作模型。具体的,每个分区都有对应的白名单,在白名单中的应用程序会优先通过,不会当成垃圾程序拒收,安全性和便捷性都大大提高。利用白名单技术,监控每个分区的网络流量和软件运行状态,并收集并分析各分区的网络流量历史数据和软件运行状态历史数据,从而建立白名单安全工作模型,白名单安全工作模型可以检测和阻止恶意程序的执行。
在本实施例的一些实施方式中,上述基于白名单技术,收集并分析各分区的网络流量和软件运行状态的步骤包括:基于白名单技术,对任一分区中所有应用程序进行认证。若任一应用程序不存在于白名单上,则屏蔽应用程序。具体的,利用各分区的白名单对对应分区中所有应用程序进行认证,不存在于白名单上的应用程序则表明其在黑名单上,也就说明该应用程序需要被屏蔽,从而保证收集到的各分区的网络流量历史数据和软件运行状态历史数据都是准确的,也就保证了白名单安全工作模型识别的准确性。
在本实施例的一些实施方式中,上述实时检测每个分区的网络状态的步骤包括:基于白名单安全工作模型,对恶意程序进行拦截。从而在一定程度上,保证了各分区的正常工作。
在本实施例的一些实施方式中,上述若任一分区存在数据异常,则获取分区的异常数据和对应的网络流量的步骤之前,该方法还包括:设定每个分区的各项数据的阈值。若任一网络数据超过对应阈值,则网络数据为异常数据。从而利用网络数据与对应阈值的比较,实现排查出异常数据的目的。
在本实施例的一些实施方式中,上述根据攻击特点确定对应的安全防御策略的步骤包括:基于攻击特点,评估对应分区的网络安全态势。具体的,网络安全态势可以方便用户得知当前网络情况。
在本实施例的一些实施方式中,上述按照预设分区方法对虚拟网络进行安全分区,以得到多个分区的步骤包括:根据虚拟网络中应用程序的业务逻辑和安全程度,将虚拟网络划分为多个分区。从而可以针对每个分区使用各种安全技术进行防护。
请参照图2,图2所示为本发明实施例提供的一种网络安全防护系统100的结构框图。本申请实施例提供一种网络安全防护系统100,其包括:虚拟网络建立模块110,用于将影子系统部署至网络防护平台,建立虚拟网络。安全分区模块120,用于按照预设分区方法对虚拟网络进行安全分区,以得到多个分区。网络状态检测模块130,用于实时检测每个分区的网络状态,若任一分区存在数据异常,则获取分区的异常数据和对应的网络流量。攻击行为得到模块140,用于基于异常数据和对应分区,生成虚拟蜜罐,并将对应网络流量引入虚拟蜜罐,得到攻击行为。攻击行为分析模块150,用于将攻击行为输入至对应分区相匹配的攻击行为分析模型,得到攻击特点。安全防御策略确定模块160,用于根据攻击特点确定对应的安全防御策略。
具体的,该系统利用影子系统建立虚拟网络,可以有效保护真实操作系统的使用安全。并且将虚拟网络细化为多个分区,针对不同分区检测到的不同攻击行为生成对应不同漏洞的虚拟蜜罐,以最大程度收集对应分区的攻击数据,以使根据攻击数据得到攻击行为更为准确。将利用蜜罐技术分析得到的攻击行为输入至对应的攻击行为分析模型进行分析,以较为准确地获得该攻击行为的攻击特点,从而针对不同分区攻击行为的攻击特点确定安全防御策略,使得安全防御策略与攻击行为更加适配,不仅不会造成资源浪费,而且也能根据不同攻击特点按需配置防护资源,进而实现了精确处理各分区的攻击行为的目的,达到了较好的防护效果。
在本实施例的一些实施方式中,上述网络安全防护系统100还包括:白名单制定模块,用于根据不同分区特点,制定白名单。白名单安全工作模型建立模块,用于基于白名单技术,收集并分析各分区的网络流量历史数据和软件运行状态历史数据,建立由正常运行的设备、软件和命令组成的白名单安全工作模型。具体的,每个分区都有对应的白名单,在白名单中的应用程序会优先通过,不会当成垃圾程序拒收,安全性和便捷性都大大提高。利用白名单技术,监控每个分区的网络流量和软件运行状态,并收集并分析各分区的网络流量历史数据和软件运行状态历史数据,从而建立白名单安全工作模型,白名单安全工作模型可以检测和阻止恶意程序的执行。
在本实施例的一些实施方式中,上述白名单安全工作模型建立模块包括:应用程序认证单元,用于基于白名单技术,对任一分区中所有应用程序进行认证。应用程序屏蔽单元,用于若任一应用程序不存在于白名单上,则屏蔽应用程序。具体的,利用各分区的白名单对对应分区中所有应用程序进行认证,不存在于白名单上的应用程序则表明其在黑名单上,也就说明该应用程序需要被屏蔽,从而保证收集到的各分区的网络流量历史数据和软件运行状态历史数据都是准确的,也就保证了白名单安全工作模型识别的准确性。
在本实施例的一些实施方式中,上述网络状态检测模块130包括:恶意程序拦截单元,用于基于白名单安全工作模型,对恶意程序进行拦截。从而在一定程度上,保证了各分区的正常工作。
在本实施例的一些实施方式中,上述网络安全防护系统100还包括:阈值设定模块,用于设定每个分区的各项数据的阈值。异常数据模块,用于若任一网络数据超过对应阈值,则网络数据为异常数据。从而利用网络数据与对应阈值的比较,实现排查出异常数据的目的。
在本实施例的一些实施方式中,上述安全防御策略确定模块160包括:网络安全态势评估单元,用于基于攻击特点,评估对应分区的网络安全态势。具体的,网络安全态势可以方便用户得知当前网络情况。
在本实施例的一些实施方式中,上述安全分区模块120包括:分区划分单元,用于根据虚拟网络中应用程序的业务逻辑和安全程度,将虚拟网络划分为多个分区。从而可以针对每个分区使用各种安全技术进行防护。
请参阅图3,图3为本申请实施例提供的电子设备的一种示意性结构框图。电子设备包括存储器101、处理器102和通信接口103,该存储器101、处理器102和通信接口103相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器101可用于存储软件程序及模块,如本申请实施例所提供的一种网络安全防护系统100对应的程序指令/模块,处理器102通过执行存储在存储器101内的软件程序及模块,从而执行各种功能应用以及数据处理。该通信接口103可用于与其他节点设备进行信令或数据的通信。
其中,存储器101可以是但不限于,随机存取存储器101(Random Access Memory,RAM),只读存储器101(Read Only Memory,ROM),可编程只读存储器101(ProgrammableRead-Only Memory,PROM),可擦除只读存储器101(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器101(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。
处理器102可以是一种集成电路芯片,具有信号处理能力。该处理器102可以是通用处理器102,包括中央处理器102(Central Processing Unit,CPU)、网络处理器102(Network Processor,NP)等;还可以是数字信号处理器102(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器101(ROM,Read-Only Memory)、随机存取存储器101(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
综上所述,本申请实施例提供的一种网络安全防护方法及系统,应用于网络防护平台,其包括如下步骤:将影子系统部署至网络防护平台,建立虚拟网络。按照预设分区方法对虚拟网络进行安全分区,以得到多个分区。实时检测每个分区的网络状态,若任一分区存在数据异常,则获取分区的异常数据和对应的网络流量。基于异常数据和对应分区,生成虚拟蜜罐,并将对应网络流量引入虚拟蜜罐,得到攻击行为。将攻击行为输入至对应分区相匹配的攻击行为分析模型,得到攻击特点。根据攻击特点确定对应的安全防御策略。该方法及系统利用影子系统建立虚拟网络,可以有效保护真实操作系统的使用安全。并且将虚拟网络细化为多个分区,针对不同分区检测到的不同攻击行为生成对应不同漏洞的虚拟蜜罐,以最大程度收集对应分区的攻击数据,以使根据攻击数据得到攻击行为更为准确。将利用蜜罐技术分析得到的攻击行为输入至对应的攻击行为分析模型进行分析,以较为准确地获得该攻击行为的攻击特点,从而针对不同分区攻击行为的攻击特点确定安全防御策略,使得安全防御策略与攻击行为更加适配,不仅不会造成资源浪费,而且也能根据不同攻击特点按需配置防护资源,进而实现了精确处理各分区的攻击行为的目的,达到了较好的防护效果。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种网络安全防护方法,其特征在于,应用于网络防护平台,包括如下步骤:
将影子系统部署至所述网络防护平台,建立虚拟网络;
按照预设分区方法对所述虚拟网络进行安全分区,以得到多个分区;
实时检测每个所述分区的网络状态,若任一所述分区存在数据异常,则获取所述分区的异常数据和对应的网络流量;
基于所述异常数据和对应所述分区,生成虚拟蜜罐,并将对应所述网络流量引入所述虚拟蜜罐,得到攻击行为;
将所述攻击行为输入至对应分区相匹配的攻击行为分析模型,得到攻击特点;
根据所述攻击特点确定对应的安全防御策略。
2.根据权利要求1所述的网络安全防护方法,其特征在于,所述按照预设分区方法对所述虚拟网络进行安全分区,以得到多个分区的步骤之后,还包括:
根据不同分区特点,制定白名单;
基于白名单技术,收集并分析各所述分区的网络流量历史数据和软件运行状态历史数据,建立由正常运行的设备、软件和命令组成的白名单安全工作模型。
3.根据权利要求2所述的网络安全防护方法,其特征在于,基于白名单技术,收集并分析各所述分区的网络流量和软件运行状态的步骤包括:
基于白名单技术,对任一所述分区中所有应用程序进行认证;
若任一所述应用程序不存在于所述白名单上,则屏蔽所述应用程序。
4.根据权利要求2所述的网络安全防护方法,其特征在于,所述实时检测每个所述分区的网络状态的步骤包括:
基于所述白名单安全工作模型,对恶意程序进行拦截。
5.根据权利要求1所述的网络安全防护方法,其特征在于,若任一所述分区存在数据异常,则获取所述分区的异常数据和对应的网络流量的步骤之前,还包括:
设定每个所述分区的各项数据的阈值;
若任一网络数据超过对应所述阈值,则所述网络数据为异常数据。
6.根据权利要求1所述的网络安全防护方法,其特征在于,根据所述攻击特点确定对应的安全防御策略的步骤包括:
基于所述攻击特点,评估对应分区的网络安全态势。
7.根据权利要求1所述的网络安全防护方法,其特征在于,所述按照预设分区方法对所述虚拟网络进行安全分区,以得到多个分区的步骤包括:
根据虚拟网络中应用程序的业务逻辑和安全程度,将所述虚拟网络划分为多个分区。
8.一种网络安全防护系统,其特征在于,包括:
虚拟网络建立模块,用于将影子系统部署至网络防护平台,建立虚拟网络;
安全分区模块,用于按照预设分区方法对所述虚拟网络进行安全分区,以得到多个分区;
网络状态检测模块,用于实时检测每个所述分区的网络状态,若任一所述分区存在数据异常,则获取所述分区的异常数据和对应的网络流量;
攻击行为得到模块,用于基于所述异常数据和对应所述分区,生成虚拟蜜罐,并将对应所述网络流量引入所述虚拟蜜罐,得到攻击行为;
攻击行为分析模块,用于将所述攻击行为输入至对应分区相匹配的攻击行为分析模型,得到攻击特点;
安全防御策略确定模块,用于根据所述攻击特点确定对应的安全防御策略。
9.一种电子设备,其特征在于,包括:
存储器,用于存储一个或多个程序;
处理器;
当所述一个或多个程序被所述处理器执行时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111360789.8A CN114268452A (zh) | 2021-11-17 | 2021-11-17 | 一种网络安全防护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111360789.8A CN114268452A (zh) | 2021-11-17 | 2021-11-17 | 一种网络安全防护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114268452A true CN114268452A (zh) | 2022-04-01 |
Family
ID=80825076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111360789.8A Withdrawn CN114268452A (zh) | 2021-11-17 | 2021-11-17 | 一种网络安全防护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114268452A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114944961A (zh) * | 2022-07-01 | 2022-08-26 | 广东瑞普科技股份有限公司 | 网络安全防护方法、装置、系统和电子设备 |
| CN115550065A (zh) * | 2022-11-25 | 2022-12-30 | 国网四川省电力公司信息通信公司 | 基于大规模多数据源的一体化网络安全分析系统及方法 |
| CN116055159A (zh) * | 2023-01-09 | 2023-05-02 | 北京华境安技术有限公司 | 一种安全防御方法、装置及计算机设备 |
-
2021
- 2021-11-17 CN CN202111360789.8A patent/CN114268452A/zh not_active Withdrawn
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114944961A (zh) * | 2022-07-01 | 2022-08-26 | 广东瑞普科技股份有限公司 | 网络安全防护方法、装置、系统和电子设备 |
| CN115550065A (zh) * | 2022-11-25 | 2022-12-30 | 国网四川省电力公司信息通信公司 | 基于大规模多数据源的一体化网络安全分析系统及方法 |
| CN115550065B (zh) * | 2022-11-25 | 2023-03-03 | 国网四川省电力公司信息通信公司 | 基于大规模多数据源的一体化网络安全分析系统及方法 |
| CN116055159A (zh) * | 2023-01-09 | 2023-05-02 | 北京华境安技术有限公司 | 一种安全防御方法、装置及计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US10893059B1 (en) | Verification and enhancement using detection systems located at the network periphery and endpoint devices | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| Ho et al. | Statistical analysis of false positives and false negatives from real traffic with intrusion detection/prevention systems | |
| CN114268452A (zh) | 一种网络安全防护方法及系统 | |
| EP3639504A2 (en) | Cyber warning receiver | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN110495138A (zh) | 工业控制系统及其网络安全的监视方法 | |
| JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN110933101A (zh) | 安全事件日志处理方法、装置及存储介质 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN109167794B (zh) | 一种面向网络系统安全度量的攻击检测方法 | |
| KR20080047261A (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| EP3172692A1 (en) | Remedial action for release of threat data | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| KR101889503B1 (ko) | 비행자료 보호 장치 및 비행자료 보호 방법 | |
| CN112347484A (zh) | 软件漏洞检测方法、装置、设备及计算机可读存储介质 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| CN114006772B (zh) | 一种反制黑客攻击的方法、装置、电子设备及存储介质 | |
| CN114124560A (zh) | 一种失陷主机的检测方法、装置、电子设备及存储介质 | |
| CN106993005A (zh) | 一种网络服务器的预警方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220401 |