CN114285605A - 一种网络威胁检测方法及系统 - Google Patents
一种网络威胁检测方法及系统 Download PDFInfo
- Publication number
- CN114285605A CN114285605A CN202111489184.9A CN202111489184A CN114285605A CN 114285605 A CN114285605 A CN 114285605A CN 202111489184 A CN202111489184 A CN 202111489184A CN 114285605 A CN114285605 A CN 114285605A
- Authority
- CN
- China
- Prior art keywords
- configuration
- current
- threat detection
- file
- cyber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 53
- 230000008859 change Effects 0.000 claims abstract description 97
- 238000000034 method Methods 0.000 claims abstract description 44
- 230000008569 process Effects 0.000 claims abstract description 30
- 230000002159 abnormal effect Effects 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 15
- 230000005856 abnormality Effects 0.000 claims description 2
- 238000012423 maintenance Methods 0.000 abstract description 2
- 238000012550 audit Methods 0.000 description 10
- 230000003068 static effect Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000010485 coping Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
一种网络威胁检测方法,适用于网络威胁的检测,其特征在于,步骤S1,系统执行网络威胁检测过程,随后采集一系统当前的日志文件以及所述系统当前的配置文件;步骤S2,根据所述系统当前的所述配置文件处理得到所述系统的配置变更信息;步骤S3,将所述系统当前的所述日志文件和所述配置变更信息进行比较:若不符合,则表示配置变更异常,随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程;若符合,则表示配置变更正常,随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程。本发明通过日志和配置相关联的自动化处理的方法,不仅可以有效发现网络威胁、并且可以提高运维的安全性,加强配置的基线和规范管理。
Description
技术领域
本发明涉及一种网络威胁检测方法与系统,尤其涉及一种基于日志审计和配置基线相关联的网络威胁检测方法与系统。
背景技术
现有安全产品中,应对网络威胁的问题时,通常采用审查日志,将审查日志进行统一留存和归档,用于问题查询和应对审计;并且通常对于配置进行统一备份,用于系统灾备和版本比较。没有更加深度的加以利用。
现有技术大多基于已知攻击方法的特征库进行判断,当审查日志未匹到特征库时,攻击行为已造成实质性破坏,业务已造成影响,安全事故已经发生,对于系统配置的备份也仅用于系统遭受攻击后的恢复,缺少及时应对的能力。
发明内容
针对现有安全产品存在的各种问题,结合当下技术发展,本发明提供一种网络威胁检测方法,包括:
步骤S1,系统执行网络威胁检测过程,随后采集一系统当前的日志文件以及所述系统当前的配置文件;
步骤S2,根据所述系统当前的所述配置文件处理得到所述系统的配置变更信息;
步骤S3,将所述系统当前的所述日志文件和所述配置变更信息进行比较:
若不符合,则表示配置变更异常,随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程;
若符合,则表示配置变更正常,随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程。
优选的,其中,所述步骤S1中,当系统检测到所述配置文件发生变更时,系统开始执行所述网络威胁检测过程;或者
系统以一预设时间间隔周期性地执行所述网络威胁检测过程;或者
系统根据外部输入的检测指令开始执行所述网络威胁检测过程。
优选的,其中,预设一配置基线;
则所述步骤S2中,将当前的所述配置文件与所述配置基线进行比较,以得到所述配置变更信息。
优选的,其中,所述配置基线为人为确认的标准配置文件。
优选的,其中,预先设置一标准配置文件并作为所述配置基线,并在每次所述配置文件变更正常后,采用当前的所述配置文件对所述配置基线进行变更。
优选的,其中,预先设置一标准配置文件并作为所述配置基线,并在连续多次所述配置文件变更正常后,采用当前的所述配置文件对所述配置基线进行变更。
优选的,其中,所述配置变更信息中包括配置变更内容;
则所述步骤S2中,将当前的所述配置文件和所述配置基线进行比较以得到所述配置变更内容。
优选的,其中,所述配置变更信息中包括操作时间和/或执行人;
则所述步骤S2中,从当前的所述配置文件中解析得到所述操作时间和/或所述执行人。
优选的,其中,预设一威胁模型,所述威胁模型的输入数据为将所述系统当前的所述日志文件和所述配置变更信息进行比较得到的比较结果,所述威胁模型的输出数据为所述配置文件变更异常的异常等级;
则所述步骤S3中,若不符合,则首先执行下述步骤:
将所述比较结果输入至所述威胁模型中,以得到对应的所述异常等级并输出;
随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程。
本发明的技术方案还提供一种一种网络威胁检测系统,其特征在于,应用上述任意一项所述的网络威胁检测方法,并包括:
第一采集单元,用于在系统执行网络威胁检测过程时,采集系统当前的日志文件;
第二采集单元,用于在系统执行所述网络威胁检测过程时,采集系统当前的配置文件;
变更处理单元,连接所述第二采集单元,用于根据系统当前的所述配置文件处理得到相应的配置变更信息;
比较单元,分别连接所述第一采集单元和所述变更处理单元,用于将系统当前的所述日志文件和当前的所述配置变更信息进行比较,并输出相应的比较结果;
当所述比较结果表示系统当前的所述日志文件和当前的所述配置变更信息不符合时,则表示配置变更异常;以及
当所述比较结果表示系统当前的所述日志文件和当前的所述配置变更信息符合时,则表示配置变更正常。
有益效果:本发明通过日志和配置相关联的自动化处理的方法,不仅可以有效发现网络威胁、并且可以提高运维的安全性,加强配置的基线和规范管理。
附图说明
图1为本发明的总体流程图;
图2为本发明的系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
本发明提供一种网络威胁检测方法,适用于网络威胁的检测,包括:
步骤S1,系统执行网络威胁检测过程,随后采集一系统当前的日志文件以及系统当前的配置文件;
步骤S2,根据系统当前的配置文件处理得到系统的配置变更信息;
步骤S3,将系统当前的日志文件和配置变更信息进行比较:
若不符合,则表示配置变更异常,随后返回步骤S1,以等待系统执行下一次网络威胁检测过程;
若符合,则表示配置变更正常,随后返回步骤S1,以等待系统执行下一次网络威胁检测过程。
具体的,本实施例中,采集系统当前日志,用于检查日志中是否存在变更操作,变更操作是否存在非人为操作痕迹,用以作为系统判断当前是否存在网络安全隐患的要素,采集系统当前的配置文件,用于检查配置文件是否的变更是否与上述日志中记录的一致,若表示配置变身异常,则作为系统判断当前是否存在网络安全隐患的要素,可以通过系统内置的规则判断输出结论,根据结论生成不同级别的相应警报,供操作人员做出相应地处理措施。
本发明较佳的实施例中,步骤S1中,当系统检测到配置文件发生变更时,系统开始执行网络威胁检测过程;或者
系统以一预设时间间隔周期性地执行网络威胁检测过程;或者
系统根据外部输入的检测指令开始执行网络威胁检测过程。
上述动态基线为在上述静态基线的基础上,每经过一次合理的系统变更,将其新的各种配置进行保存与备份,作为下一次比对的配置基线。
具体的,本实施例中,系统周期性的执行网络威胁检测作为没有人为操作下的网络威胁检测应对方式,通过周期检测可以避免执行人没有操作时系统收到网络威胁,进一步地,当执行人发现操作变更存在异常,也可以主动发出指令,运行网络威胁检测过程。
本发明较佳的实施例中,预设一配置基线;
则步骤S2中,将当前的配置文件与配置基线进行比较,以得到配置变更信息。
具体的,本实施例中,通过比对当前配置文件与配置基线,得到的信息才可以作为配置变更信息,上述配置变更信息包含日志信息变更与操作信息变更。
本发明较佳的实施例中,配置基线为人为确认的标准配置文件。
具体的,本实施例中,标准配置文件作为网络威胁检测装置的静态配置基线存在,可以是初始化之后首次存在的静态配置,也可以是经过一段时间后运行无异常,人工重新设定的配置,通过标准配置文件与动态配置文件的比对可以提高对网络威胁辨识的精度。
本发明较佳的实施例中,预先设置一标准配置文件并作为配置基线,并在每次配置文件变更正常后,采用当前的配置文件对配置基线进行变更。
具体的,本实施例中,每一次经过变更但是都被确认为无威胁的操作,都被用来覆盖上一次的配置基线,这种操作保证了基线更新的连续性,基线作为检测网络威胁的标本,连续性是保证配置基线本身不存在问题的保证,确定无误后,才能保证利用基线作为比对的配置文件变更不存在异常。
本发明较佳的实施例中,预先设置一标准配置文件并作为配置基线,并在连续多次配置文件变更正常后,采用当前的配置文件对配置基线进行变更。
具体的,本实施例中,也可以不采用每一次变更后都进行基线的覆盖更新,因为当系统处理网络数据时,基线的变更需要占用运行内存,当系统处理较多甚至大量网络数据时,动态基线的变更就会极大的影响系统工作的效率,在这样的情况下,可以通过内置一判断子程序,用于判断动态配置基线是否需要调整为多次配置文件变更无误后才进行依次基线变更备份的操作。
本发明较佳的实施例中,配置变更信息中包括配置变更内容;
则步骤S2中,将当前的配置文件和配置基线进行比较以得到配置变更内容。
具体的,本实施例中,变更内容包括但不限于,
文件的内容:用于与系统配置日志所记录的信息进行比对,判断文件内容变更是否存在异常;
文件的版本:用于与系统配置日志所记录的信息进行比对,判断文件版本的变更与配置基线存在差异;
文件创建时间:用于与系统配置日志所记录的信息进行比对,判断文件创建时间是否与配置基线存在差异;
文件修改时间:用于与系统配置日志所记录的信息进行比对,判断文件修改时间是否与配置基线存在差异;
文件哈希:用于与系统配置日志所记录的信息进行比对,判断文件哈希是否与配置基线存在差异;
上述文件的内容,文件的版本,文件的创建时间与修改时间以及文件哈希等参数,与上述系统配置日志进行比对后,若存在出入,则可认为操作后所存储的文件与配置基线存储的文件不一致,则可以证明配置出现变更,
本发明较佳的实施例中,配置变更信息中包括操作时间和/或执行人;
则步骤S2中,从当前的配置文件中解析得到操作时间和/或执行人。
具体的,本实施例中,通过解析得到操作时间和执行人,系统可以进行以下操作,
静态基线的操作员鉴别:通过确认当前操作账户为安全的管理账户而非其他访问者,保证后续操作是有权限的操作员操作的;
静态基线的操作授权复核:通过确认当前操作账户、操作时间与工单指定的账户和时间相符,而非其他操作者,保证后续操作是授权操作员操作的;
静态基线的账户安全鉴别:通过确认账户的允许登录的地点、允许登录的时间、认证失败次数,保证账户安全的可信度;
通过系统配置变更信息,可以查看系统被哪些人员登录访问过,若上述人员不属于安全的操作员,则管理员可以查看到系统有被攻击的风险,管理日志可以查看系统的操作过程,文件更改的操作是否正常安全,有没有操作部分与改变部分不一致的情况,系统日志可以强制性在每一条操作后注释操作完成的时间,经过记录可以保存并为后续进行当前系统安全性的判断提供依据,上述配置日志可以查看系统的配置过程,配置的变动是否合理,包括是否存在已经操作但是配置完全没有改变的情况,经过记录可以供当前系统进行安全性的判断。
本发明较佳的实施例中,预设一威胁模型,威胁模型的输入数据为将系统当前的日志文件和配置变更信息进行比较得到的比较结果,威胁模型的输出数据为配置文件变更异常的异常等级;
则步骤S3中,若不符合,则首先执行下述步骤:
将比较结果输入至威胁模型中,以得到对应的异常等级并输出;
随后返回步骤S1,以等待系统执行下一次网络威胁检测过程。
具体的,本实施例中,有如下判断规则,
a.若日志审计中有变更操作,但配置文件无实际变化,则判定为低等风险需要管理员确认行为是否有异常;
b.若日志审计中有变更操作,但操作变更部分与配置文件中实际变更不符,则判定为有中等风险;
c.若日志审计中无变更操作,但配置文件有实际变更,则判定为有重大风险。
若日志审计中存在变化,但是配置文件无实际变化,表明可能操作没有被执行,但是因为配置文件无实际变化,不影响系统的正常工作,所以判定为并不存在较大风险,若存在变更操作但变更操作与时间变更不符合,则可能存在路径被篡改的风险,是一种中等风险,若无变更操作,但是配置文件存在变更,则系统很可能已经被入侵,所以判定为重大风险,通过不同的风险等级,操作人员可以选择不同的解决方案来解决当前系统安全问题。
本发明还提供一种网络威胁检测系统,其特征在于,应用如上述中任意一项的网络威胁检测方法,并包括:
第一采集单元1,用于在系统执行网络威胁检测过程时,采集系统当前的日志文件;
第二采集单元2,用于在系统执行网络威胁检测过程时,采集系统当前的配置文件;
变更处理单元3,连接第二采集单元2,用于根据系统当前的配置文件处理得到相应的配置变更信息;
比较单元4,分别连接第一采集单元1和变更处理单元3,用于将系统当前的日志文件和当前的配置变更信息进行比较,并输出相应的比较结果;
当比较结果表示系统当前的日志文件和当前的配置变更信息不符合时,则表示配置变更异常;以及
当比较结果表示系统当前的日志文件和当前的配置变更信息符合时,则表示配置变更正常。
具体的,本实施例中,比较单元4生成一判断结论,将判断结论作为一触发条件,生成一个报警级别的表格,当出现不同的判断结论时可以根据上述判断结论所对应的报警级别进行报警,当出现多个判断结论时,选择当前报警级别最高的结论进行报警,相当于为操作人员提供了危险的优先级区分,当通过比对,排除了所有的威胁后,将当前的所有配置存储,作为下一次系统变更的基线,保证了系统连续变更依然可以确定系统的安全。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (10)
1.一种网络威胁检测方法,其特征在于,包括:
步骤S1,系统执行网络威胁检测过程,随后采集一系统当前的日志文件以及所述系统当前的配置文件;
步骤S2,根据所述系统当前的所述配置文件处理得到所述系统的配置变更信息;
步骤S3,将所述系统当前的所述日志文件和所述配置变更信息进行比较:
若不符合,则表示配置变更异常,随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程;
若符合,则表示配置变更正常,随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程。
2.如权利要求1所述的网络威胁检测方法,其特征在于,所述步骤S1中,当系统检测到所述配置文件发生变更时,系统开始执行所述网络威胁检测过程;或者
系统以一预设时间间隔周期性地执行所述网络威胁检测过程;或者
系统根据外部输入的检测指令开始执行所述网络威胁检测过程。
3.如权利要求1所述的网络威胁检测方法,其特征在于,预设一配置基线;
则所述步骤S2中,将当前的所述配置文件与所述配置基线进行比较,以得到所述配置变更信息。
4.如权利要求3所述的网络威胁检测方法,其特征在于,所述配置基线为人为确认的标准配置文件。
5.如权利要求3所述的网络威胁检测方法,其特征在于,预先设置一标准配置文件并作为所述配置基线,并在每次所述配置文件变更正常后,采用当前的所述配置文件对所述配置基线进行变更。
6.如权利要求3所述的网络威胁检测方法,其特征在于,预先设置一标准配置文件并作为所述配置基线,并在连续多次所述配置文件变更正常后,采用当前的所述配置文件对所述配置基线进行变更。
7.如权利要求3所述的网络威胁检测方法,其特征在于,所述配置变更信息中包括配置变更内容;
则所述步骤S2中,将当前的所述配置文件和所述配置基线进行比较以得到所述配置变更内容。
8.如权利要求3所述的网络威胁检测方法,其特征在于,所述配置变更信息中包括操作时间和/或执行人;
则所述步骤S2中,从当前的所述配置文件中解析得到所述操作时间和/或所述执行人。
9.如权利要求3所述的网络威胁检测方法,其特征在于,预设一威胁模型,所述威胁模型的输入数据为将所述系统当前的所述日志文件和所述配置变更信息进行比较得到的比较结果,所述威胁模型的输出数据为所述配置文件变更异常的异常等级;
则所述步骤S3中,若不符合,则首先执行下述步骤:
将所述比较结果输入至所述威胁模型中,以得到对应的所述异常等级并输出;
随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程。
10.一种网络威胁检测系统,其特征在于,应用如权利要求1-9中任意一项所述的网络威胁检测方法,并包括:
第一采集单元,用于在系统执行网络威胁检测过程时,采集系统当前的日志文件;
第二采集单元,用于在系统执行所述网络威胁检测过程时,采集系统当前的配置文件;
变更处理单元,连接所述第二采集单元,用于根据系统当前的所述配置文件处理得到相应的配置变更信息;
比较单元,分别连接所述第一采集单元和所述变更处理单元,用于将系统当前的所述日志文件和当前的所述配置变更信息进行比较,并输出相应的比较结果;
当所述比较结果表示系统当前的所述日志文件和当前的所述配置变更信息不符合时,则表示配置变更异常;以及
当所述比较结果表示系统当前的所述日志文件和当前的所述配置变更信息符合时,则表示配置变更正常。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111489184.9A CN114285605A (zh) | 2021-12-07 | 2021-12-07 | 一种网络威胁检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111489184.9A CN114285605A (zh) | 2021-12-07 | 2021-12-07 | 一种网络威胁检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114285605A true CN114285605A (zh) | 2022-04-05 |
Family
ID=80871218
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111489184.9A Withdrawn CN114285605A (zh) | 2021-12-07 | 2021-12-07 | 一种网络威胁检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114285605A (zh) |
-
2021
- 2021-12-07 CN CN202111489184.9A patent/CN114285605A/zh not_active Withdrawn
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101902366B (zh) | 一种业务行为异常检测方法和系统 | |
US8621624B2 (en) | Apparatus and method for preventing anomaly of application program | |
CN110830470B (zh) | 一种失陷主机检测方法、装置、设备及可读存储介质 | |
CN111881452B (zh) | 一种面向工控设备的安全测试系统及其工作方法 | |
EP2893447B1 (en) | Systems and methods for automated memory and thread execution anomaly detection in a computer network | |
CN102684944B (zh) | 入侵检测方法和装置 | |
CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
KR101880162B1 (ko) | 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법 | |
CN113392409B (zh) | 一种风险自动化评估预测方法及终端 | |
US11893110B2 (en) | Attack estimation device, attack estimation method, and attack estimation program | |
KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
JP2006330864A (ja) | サーバ計算機システムの制御方法 | |
CN112733147A (zh) | 设备安全管理方法及系统 | |
CN114050937A (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
CN106899977B (zh) | 异常流量检验方法和装置 | |
CN111159051B (zh) | 死锁检测方法、装置、电子设备及可读存储介质 | |
CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
CN111309584B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN114285605A (zh) | 一种网络威胁检测方法及系统 | |
CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
CN111103003B (zh) | 实验仪器监控数据的甄别方法、装置、设备及存储介质 | |
CN115174144A (zh) | 零信任网关自安全检测方法及装置 | |
KR102111136B1 (ko) | 대응지시서를 생성하고, 적용 결과를 분석하는 방법, 감시장치 및 프로그램 | |
CN110647771B (zh) | 一种mysql数据库存储完整性校验保护方法及装置 | |
CN113570255A (zh) | 批处理文件的质量检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220405 |