CN114338372B - 网络信息安全监控方法及系统 - Google Patents
网络信息安全监控方法及系统 Download PDFInfo
- Publication number
- CN114338372B CN114338372B CN202011021030.2A CN202011021030A CN114338372B CN 114338372 B CN114338372 B CN 114338372B CN 202011021030 A CN202011021030 A CN 202011021030A CN 114338372 B CN114338372 B CN 114338372B
- Authority
- CN
- China
- Prior art keywords
- equipment
- security
- level
- safety
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 45
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000005856 abnormality Effects 0.000 claims abstract description 26
- 238000005336 cracking Methods 0.000 claims abstract description 10
- 230000002159 abnormal effect Effects 0.000 claims description 30
- 238000012216 screening Methods 0.000 claims description 19
- 238000004458 analytical method Methods 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000011156 evaluation Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 101100060894 Schizosaccharomyces pombe (strain 972 / ATCC 24843) ctp1 gene Proteins 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 101150033934 nip1 gene Proteins 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种网络信息安全监控方法及系统,该方法对网络结构进行拆分,根据各设备的流量日志得到存在文件访问异常或暴力破解异常的设备,将网络拓扑结构拆分成子图,基于子图得到各设备的安全系数,进而得到各设备的安全值,基于安全值进行预警。由于安全值不仅基于网络复杂情况,还基于设备本身的安全特性,还考虑了流量日志所反映的文件访问异常或暴力破解异常,使得安全值更准确的反应设备的安全情况,使得预警更加准确。
Description
【技术领域】
本申请涉及网络信息安全技术领域,尤其涉及一种网络信息安全监控方法及系统。
【背景技术】
随着网络技术的不断发展,网络已成为现实生活的一部分,目前用户通过网络来完成各种需求,而在实现这些需求的同时需要提供自己的一些隐密的信息,比如身份证、银行信息等等,这些信息都属于隐秘的信息,而网络作为用户实现这些需求和交流的常用平台,若是对这些信息不能形成很好的保护,则会导致这些信息被泄露,若给不法分子获取到,则会导致很严重的后果。因此,网络信息安全成为了目前网络通讯的一大开发点,尤其是针对于网络攻击的监控和保护,而网络信息安全的实现有别于传统的安全领域威胁形式,具有形式多变,不易察觉等特点。
在信息安全建设的初级阶段,网络安全产品开始广泛应用。传统的信息安全事件处理方法在信息安全事件发生时无法准确进行预警。
信息安全已经越来越受到各级政府和各行业的高度重视,信息安全事件应急响应作为信息安全包装工作的最后手段也因此变得越来越重要,在信息安全建设的初级阶段,网络安全产品开始广泛应用。传统的信息安全事件处理方法在信息安全事件发生时无法准确的判断出安全事件的类型,无法第一时间知道安全事件的发生,从而不便于对安全事件进行有效的处理。
【发明内容】
有鉴于此,本申请实施例提供了一种网络信息安全监控方法及系统,用以解决现有技术存在的判断类型不准确、对安全事件响应不及时导致的无法有效处理安全时间的技术问题。
第一方面,本申请实施例提供了一种网络信息安全监控方法,所述方法包括:
获取网络中每个设备之间的流量日志、所述网络的拓扑结构及每个所述设备的安全等级和风险等级;
根据所述拓扑结构和每个所述设备的安全等级确定每个所述设备的安全系数;
根据所述流量日志对在每个所述设备之间传输的流量进行监控,在所有设备中筛选出存在异常的异常设备;
根据所述风险等级、所述安全系数及所述异常设备计算每个设备的安全值,并对安全值大于预设阈值的设备进行安全报警。
通过本实施例提供的方案,
在一种优选的实施方案中,所述根据所述拓扑结构和每个所述设备的安全等级确定每个所述设备的安全系数的步骤,包括:
基于所述拓扑结构得到具有多个节点的无向图;其中,每个节点对应一设备;
基于所述设备的安全等级将所述无向图拆分成多个子图;其中,每个子图具有至少一个安全等级为高级的设备对应的节点;
基于设备的安全等级设备所对应的节点数以及子图的总边数,计算子图中每个节点所对应的设备的安全系数。
在一种优选的实施方案中,所述根据所述流量日志对在每个所述设备之间传输的流量进行监控,在所有设备中筛选出存在异常的异常设备的步骤,包括:
对文件的访问频率进行监测,将访问频率超过预设的访问频率阈值的设备作为存在文件访问异常的异常设备筛选出来;
对服务的解析频率进行监控,将解析频率超过预设的解析频率阈值的设备作为存在暴力破解异常的异常设备筛选出来。
在一种优选的实施方案中,所述预设的访问频率阈值的设置流程包括:
获取在一历史时间段内,该文件被访问的访问时间和访问地址;
以日为单位统计每个单日内该文件被访问的每日总次数,以时为单位统计每个单日内该文件每小时被访问的每小时次数,以及每个访问地址在该日内访问该文件的每地址次数和时间分布;
根据每个文件的每日总次数、每小时次数以及每地址次数和时间分布,设置访问频率阈值。
在一种优选的实施方案中,所述安全值Q=(风险等级的级数×安全系数×设备总数/异常设备总数)W,其中,W为设备的异常系数值。
在一种优选的实施方案中,设备的安全等级的确定流程包括:
判断该设备所处网络为内网还是外网;
若该设备处于内网中,则该设备的安全等级设定为高级;
若该设备处于外网中,则判断该设备中是否存储有保密信息;
若该设备中存储有保密信息,则该设备的安全等级设定为高级;
若该设备中未存储有保密信息,则判断与该设备连接的设备数量;
若数量多于预设台数,则该设备的安全等级设定为中级;
若数量不多于预设台数,则该设备的安全等级设定为低级。
在一种优选的实施方案中,设备的风险等级的确定流程包括:
基于设备的类型及设备中存在的漏洞情况确定该设备的被攻击概率;
读取安全软件对设备的安全状态评估值;
基于设备的被攻击概率及安全状态评估值确定风险等级。
第二方面,本申请实施例提供了一种网络信息安全监控系统,所述系统包括:
获取模块,用于获取网络中每个设备之间的流量日志、所述网络的拓扑结构及每个所述设备的安全等级和风险等级;
确定模块,用于根据所述拓扑结构和每个所述设备的安全等级确定每个所述设备的安全系数;
筛选模块,用于根据所述流量日志对在每个所述设备之间传输的流量进行监控,在所有设备中筛选出存在异常的异常设备;
计算模块,用于根据所述风险等级、所述安全系数及所述异常设备计算每个设备的安全值,并对安全值大于预设阈值的设备进行安全报警。
第三方面,本申请实施例提供了一种终端设备,包括:存储器和处理器:
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述存储器中存储的计算机程序,以使所述终端设备执行如第一方面所述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其特征在于,包括程序或指令,当所述程序或指令在计算机上运行时,如第一方面所述的方法被执行。
与现有技术相比,本技术方案至少具有如下有益效果:
本申请实施例所公开的网络信息安全监控方法及系统中,该方法对网络结构进行拆分,根据各设备的流量日志得到存在文件访问异常或暴力破解异常的设备,将网络拓扑结构拆分成子图,基于子图得到各设备的安全系数,进而得到各设备的安全值,基于安全值进行预警。由于安全值不仅基于网络复杂情况,还基于设备本身的安全特性,还考虑了流量日志所反映的文件访问异常或暴力破解异常,使得安全值更准确的反应设备的安全情况,使得预警更加准确。
【附图说明】
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本申请实施例1所提供的网络信息安全监控方法的步骤示意图;
图2是本申请实施例1所提供的网络信息安全监控方法中安全等级的确定流程;
图3是本申请实施例1所提供的网络信息安全监控方法中风险等级的确定流程;
图4是本申请实施例1所提供的网络信息安全监控方法中拓扑结构的节点示意图;
图5是本申请实施例1所提供的网络信息安全监控方法中每个设备的安全系数的计算流程;
图6a和图6b是本申请实施例1所提供的网络信息安全监控方法中将拓扑结构由无向图拆分成若干子图的示意图;
图7是本申请实施例1所提供的网络信息安全监控方法中筛选出存在异常的异常设备的步骤示意图;
图8是本申请实施例1所提供的网络信息安全监控方法中访问频率阈值的设置流程;
图9是本申请实施例2所提供的网络信息安全监控系统的结构示意图。
附图标记:
10-获取模块;20-确定模块;30-筛选模块;40-计算模块。
【具体实施方式】
为了更好的理解本申请的技术方案,下面结合附图对本申请实施例进行详细描述。
应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
实施例1
如图1所示,本申请实施例1公开了一种网络信息安全监控方法。该方法能够解决现有技术中存在的,在信息安全事件发生时,无法准确的判断出安全事件的类型,无法第一时间知道安全事件的发生,从而不便于对安全事件进行有效的处理的问题。
该方法具体包括以下步骤:
Step100:获取网络中每个设备之间的流量日志、网络的拓扑结构及每个设备的安全等级和风险等级。
在网络中的每台设备均对其上行、下行流量进行24小时的监控。在监控的同时,会以流量日志的形式记录该设备每天的流量数据。在该步骤Step100中即读取该流量日志。
如图2所示,在步骤Step100中,对于任一设备A,其安全等级的确定流程包括:
Step110:判断该设备所处网络为内网还是外网。
若该设备处于内网中,则执行步骤Step111:将该设备的安全等级设定为高级。
若该设备处于外网中,则执行步骤step112:判断该设备中是否存储有保密信息。
若该设备中存储有保密信息,则执行步骤Step111:将该设备的安全等级设定为高级。
若该设备中未存储有保密信息,则执行步骤Step113:判断与该设备连接的设备数量。
若数量多于预设台数,则执行步骤Step114:将该设备的安全等级设定为中级。
若数量不多于预设台数,则执行步骤Step115:将该设备的安全等级设定为低级。
其中,预设台数可以根据实际情况确定,比如在一些场景中,与该设备连接的设备数量为6台,此时预设台数为5台,则该设备的安全等级设定为中级。在另一些场景中,与该设备连接的设备数量为6台,但此时预设台数为7台,则该设备的安全等级设定为低级。
如图3所示,在步骤Step100中,为确定每个设备的风险等级,需要执行如下流程:
Step120:基于设备的类型及设备中存在的漏洞情况确定该设备的被攻击概率。
Step130:读取安全软件对设备的安全状态评估值。
Step140:基于设备的被攻击概率及安全状态评估值确定风险等级。
在步骤Step120中,被攻击概率描述了该设备被攻击的可能,可基于每台设备的类型,以及设备中的漏洞情况确定。
在步骤Step130中,可以直接读取安全软件对该设备的安全状态评估值,将其转化为风险等级。
在步骤Step140中所确定的设备的风险等级表现为级数,如1,2,3,级数越高表示安全风险越大。
在网络拓扑中每个节点为网络中的一台设备,若两台设备之间存在连接,则该两台设备所对应的节点之间存在一条线,如图4所示,其中,T,T1,T2,C1分别为节点。
Step200:根据拓扑结构和每个设备的安全等级确定每个设备的安全系数。
具体来说,根据步骤Step100中得到的拓扑结构,确定每个设备的安全系数。如图5所示,具体实现方案如下:
Step201:基于拓扑结构得到具有多个节点的无向图;其中,每个节点对应一设备。
Step202:基于设备的安全等级将无向图拆分成多个子图;其中,每个子图具有至少一个安全等级为高级的设备对应的节点。
Step203:基于设备的安全等级设备所对应的节点数以及子图的总边数,计算子图中每个节点所对应的设备的安全系数。
具体来说,在执行步骤Step201和Step202时,在拆分的时候基于节点对应的设备的安全等级拆分,保证每个子图中最多存在一个安全等级为高级的设备。
例如,若无向图中存在至少一个安全等级为高级的设备对应的节点时(如图6a所示,节点A的安全等级为中级,节点B、C的安全等级均为高级),任选一个安全等级为高级的设备对应的节点B,确定与节点B连接的所有节点,若与节点B连接的节点中存在安全等级为高级的设备对应的节点C(如图6a所示),则断开节点B和节点C之间的连接,将节点B和节点C分别作为两个子图中的中心节点(如图6b所示)。在与节点B连接的所有节点中确定是否存在安全等级为中级的设备对应的节点(如图6a中的节点A),若有,则确定中级节点的度(如图6a中节点A的度为2),若该中级节点的度大于节点B的度,则断开该中级节点与节点B的连接,将该中级节点作为一个准中心节点。若与节点B连接的所有节点中不存在安全等级为中级的设备对应的节点,或者,存在安全等级为中级的设备对应的节点,但其度不大于节点B的度(图6a中节点B的度也为2,则中级节点的度不大于节点B的度),则分别针对每一个与节点B连接的节点,在于该节点连接的所有节点中,寻找是否有安全等级为高级的设备对应的节点等,此处的执行方案与上述对节点B的相关描述相同,不再赘述。
执行至此,会把每个安全等级为高级的设备作为一个中心节点,形成一个子图。另外,还会存在准中心节点,若准中心节点位于某个高级节点为中心节点的子图中,则该准中心节点作为普通节点,否则,该准中心节点作为中心节点。
若无向图中不存在安全等级为高级的设备对应的节点时,则不再拆分该无向图。
在执行步骤Step203时,针对任一节点,其对应设备的安全系数WS=(安全等级为高级的设备对应的节点数+0.5×安全等级为中级的设备对应的节点数+0.1×安全等级为低级的设备对应的节点数)×子图中的总边数。
如果一个子图,其边数越多,则该图越复杂,任一节点被攻击之后通过边攻击其他节点的可能性就会增加,因此设备的安全系数与总边数成正比。另外,安全等级越高的设备被攻击之后对网络信息安全造成的影响越大,因此,不同等级的设备其攻击影响不同。安全系数计算方案即考虑到子图复杂性,又考虑到了节点本身的攻击影响。
Step300:根据流量日志对在每个设备之间传输的流量进行监控,在所有设备中筛选出存在异常的异常设备。
具体来说,存在异常的异常设备,通常具有两种情况,其一是文件访问异常,其二是暴力破解异常。如图7所示,具体包括以下步骤:
Step310:对文件的访问频率进行监测,将访问频率超过预设的访问频率阈值的设备作为存在文件访问异常的异常设备筛选出来。
具体来说,步骤Step310是对重点文件的访问频率(例如上传频率,下载频率)进行监测,如果访问频率超过预设的访问频率阈值,则确定网络流量异常。
其中,访问频率阈值的设置是与重点文件及监测时间对应的,即不同的文件对应不同的访问频率阈值,且同一文件在不同时间段监测时对应的访问频率阈值也不同。
如图8所示,访问频率阈值的设置方式如下:
Step311:获取在一历史时间段内,该文件被访问的访问时间和访问地址。
Step312:以日为单位统计每个单日内该文件被访问的每日总次数,以时为单位统计每个单日内该文件每小时被访问的每小时次数,以及每个访问地址在该日内访问该文件的每地址次数和时间分布。
例如,文件A,在2019.6.1日被访问4次,分别为IP1下午2点访问,IP2晚上10点访问,IP2晚上10点5分访问,IP2晚上10点半访问。则文件A总访问次数NTA=4,2-3点访问次数NH2-3=1,10-11点访问次数NH10-11=3,IP1在该日访问文件A的次数NIP1=1,IP2在该日访问文件A的次数NIP2=3,IP1时间分布于2-3点,IP2时间分布于10-11点。
Step313:根据每个文件的每日总次数、每小时次数以及每地址次数和时间分布,设置访问频率阈值。
具体做法为,根据每日访问总次数确定平均日访问次数=各日访问总次数之和/访问总天数。
根据每日每小时被访问的次数确定各小时的平均访问次数=各日同一时间段的访问总次数之和/访问总天数。
根据每个IP地址在该日访问该文件的次数,确定每个IP平均访问次数=每个IP所有日访问总次数之和/访问总天数。
根据每个IP地址在该日访问的时间分布,确定最可能访问时间=所有天内所有IP访问时间分布中,最常访问的时间段。
对于任何一个非最常访问时间段(如时间段T1,时间段跨度为1小时,例如1点-2点,11点-12点等),其访问频率阈值=平均日访问次数×T1时间段的平均访问次数/(12×每个IP平均访问次数)。
对于最常访问时间段(如时间段T2),其访问频率阈值=max{平均日访问次数/12,T2时间段的平均访问次数}。
上述访问频率阈值的计算,不仅考虑了历史访问数量,而且从时间(小时)维度考虑了各时间段的历史访问情况,以及,访问者的访问规律,使得访问频率阈值更加准确。
Step320:对服务的解析频率进行监控,将解析频率超过预设的解析频率阈值的设备作为存在暴力破解异常的异常设备筛选出来。
步骤Step320是对SSH(Secure Shell,安全外壳协议)服务,Tomcat(汤姆猫)服务,MySQL(数据库管理系统)服务等服务的解析频率进行监控,若解析频率过快,则确定网络流量异常。
步骤Step320采用现有方案,例如,设定频率阈值为X,若解析频率大于该阈值X,则确定网络流量异常。
Step400:根据风险等级、安全系数及异常设备计算每个设备的安全值,并对安全值大于预设阈值的设备进行安全报警。
其中,安全值Q=(风险等级的级数×安全系数×设备总数/异常设备总数)W,其中,W为设备的异常系数值,该异常系数值表示该设备为文件访问异常或暴力破解异常的设备的系数值。
若该设备为文件访问异常和暴力破解异常的设备,则W=3.5。
若该设备仅为文件访问异常设备,或,仅为暴力破解异常的设备,则W=2。
若该设备非文件访问异常,以及非暴力破解异常的设备,则W=1。
实施例2
如图9所示,在本申请实施例2公开了一种网络信息安全监控系统,所述系统包括:获取模块10、确定模块20、筛选模块30及计算模块40。
其中,获取模块10用于获取网络中每个设备之间的流量日志、所述网络的拓扑结构及每个所述设备的安全等级和风险等级;确定模块20用于根据所述拓扑结构和每个所述设备的安全等级确定每个所述设备的安全系数;筛选模块30用于根据所述流量日志对在每个所述设备之间传输的流量进行监控,在所有设备中筛选出存在异常的异常设备;计算模块40用于根据所述风险等级、所述安全系数及所述异常设备计算每个设备的安全值,并对安全值大于预设阈值的设备进行安全报警。
实施例3
本申请实施例3还提供了一种电子设备,包括:存储器和处理器:
存储器,用于存储计算机程序;
处理器,用于执行存储器中存储的计算机程序,以使电子设备执行本申请实施例1所公开的网络信息安全监控方法。
实施例4
本申请实施例4提供了一种计算机可读存储介质,包括程序或指令,当所述程序或指令在计算机上运行时,如本申请实施例1所述的网络信息安全监控方法被执行。
本申请实施例1至实施例4所公开的网络信息安全监控方法及系统中,该方法对网络结构进行拆分,根据各设备的流量日志得到存在文件访问异常或暴力破解异常的设备,将网络拓扑结构拆分成子图,基于子图得到各设备的安全系数,进而得到各设备的安全值,基于安全值进行预警。由于安全值不仅基于网络复杂情况,还基于设备本身的安全特性,还考虑了流量日志所反映的文件访问异常或暴力破解异常,使得安全值更准确的反应设备的安全情况,使得预警更加准确。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(Digital Video Disc,DVD))、或者半导体介质(例如,固态硬盘(Solid State Disk,SSD))等。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (9)
1.一种网络信息安全监控方法,其特征在于,所述方法包括:
获取网络中每个设备之间的流量日志、所述网络的拓扑结构及每个所述设备的安全等级和风险等级;
根据所述拓扑结构和每个所述设备的安全等级确定每个所述设备的安全系数;
根据所述流量日志对在每个所述设备之间传输的流量进行监控,在所有设备中筛选出存在异常的异常设备;
根据所述风险等级、所述安全系数及所述异常设备计算每个设备的安全值,并对安全值大于预设阈值的设备进行安全报警;
所述根据所述拓扑结构和每个所述设备的安全等级确定每个所述设备的安全系数的步骤,包括:
基于所述拓扑结构得到具有多个节点的无向图;其中,每个节点对应一设备;
基于所述设备的安全等级将所述无向图拆分成多个子图;其中,每个子图具有至少一个安全等级为高级的设备对应的节点;
基于设备的安全等级设备所对应的节点数以及子图的总边数,计算子图中每个节点所对应的设备的安全系数。
2.根据权利要求1所述的网络信息安全监控方法,其特征在于,所述根据所述流量日志对在每个所述设备之间传输的流量进行监控,在所有设备中筛选出存在异常的异常设备的步骤,包括:
对文件的访问频率进行监测,将访问频率超过预设的访问频率阈值的设备作为存在文件访问异常的异常设备筛选出来;
对服务的解析频率进行监控,将解析频率超过预设的解析频率阈值的设备作为存在暴力破解异常的异常设备筛选出来。
3.根据权利要求2所述的网络信息安全监控方法,其特征在于,所述预设的访问频率阈值的设置流程包括:
获取在一历史时间段内,该文件被访问的访问时间和访问地址;
以日为单位统计每个单日内该文件被访问的每日总次数,以时为单位统计每个单日内该文件每小时被访问的每小时次数,以及每个访问地址在该日内访问该文件的每地址次数和时间分布;
根据每个文件的每日总次数、每小时次数以及每地址次数和时间分布,设置访问频率阈值。
4.根据权利要求3所述的网络信息安全监控方法,其特征在于,所述安全值Q=(风险等级的级数×安全系数×设备总数/异常设备总数)W,其中,W为设备的异常系数值。
5.根据权利要求1所述的网络信息安全监控方法,其特征在于,设备的安全等级的确定流程包括:
判断该设备所处网络为内网还是外网;
若该设备处于内网中,则该设备的安全等级设定为高级;
若该设备处于外网中,则判断该设备中是否存储有保密信息;
若该设备中存储有保密信息,则该设备的安全等级设定为高级;
若该设备中未存储有保密信息,则判断与该设备连接的设备数量;
若数量多于预设台数,则该设备的安全等级设定为中级;
若数量不多于预设台数,则该设备的安全等级设定为低级。
6.根据权利要求1所述的网络信息安全监控方法,其特征在于,设备的风险等级的确定流程包括:
基于设备的类型及设备中存在的漏洞情况确定该设备的被攻击概率;
读取安全软件对设备的安全状态评估值;
基于设备的被攻击概率及安全状态评估值确定风险等级。
7.一种网络信息安全监控系统,其特征在于,所述系统包括:
获取模块,用于获取网络中每个设备之间的流量日志、所述网络的拓扑结构及每个所述设备的安全等级和风险等级;
确定模块,用于根据所述拓扑结构和每个所述设备的安全等级确定每个所述设备的安全系数;所述确定模块具体用于基于所述拓扑结构得到具有多个节点的无向图;其中,每个节点对应一设备;基于所述设备的安全等级将所述无向图拆分成多个子图;其中,每个子图具有至少一个安全等级为高级的设备对应的节点;基于设备的安全等级设备所对应的节点数以及子图的总边数,计算子图中每个节点所对应的设备的安全系数;
筛选模块,用于根据所述流量日志对在每个所述设备之间传输的流量进行监控,在所有设备中筛选出存在异常的异常设备;
计算模块,用于根据所述风险等级、所述安全系数及所述异常设备计算每个设备的安全值,并对安全值大于预设阈值的设备进行安全报警。
8.一种终端设备,其特征在于,包括:存储器和处理器:
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述存储器中存储的计算机程序,以使所述终端设备执行如权利要求1至6任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,包括程序或指令,当所述程序或指令在计算机上运行时,如权利要求1至6中任一项所述的方法被执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011021030.2A CN114338372B (zh) | 2020-09-25 | 2020-09-25 | 网络信息安全监控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011021030.2A CN114338372B (zh) | 2020-09-25 | 2020-09-25 | 网络信息安全监控方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338372A CN114338372A (zh) | 2022-04-12 |
| CN114338372B true CN114338372B (zh) | 2024-03-12 |
Family
ID=81010610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011021030.2A Active CN114338372B (zh) | 2020-09-25 | 2020-09-25 | 网络信息安全监控方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338372B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115659341B (zh) * | 2022-12-23 | 2023-03-10 | 中国计量大学现代科技学院 | 一种软件信息安全监控系统 |
| CN117081864A (zh) * | 2023-10-17 | 2023-11-17 | 天津市职业大学 | 网络信息安全防御检测方法及系统 |
| CN117439825B (zh) * | 2023-12-21 | 2024-03-01 | 江苏禾冠信息技术有限公司 | 面向家庭路由器的网络入侵防护方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330532A (zh) * | 2016-08-16 | 2017-01-11 | 汉柏科技有限公司 | 网络信息处理方法及系统、网络管理设备、网络监控设备 |
| CN107070952A (zh) * | 2017-05-27 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种网络节点流量异常分析方法及系统 |
| CN110034956A (zh) * | 2019-03-27 | 2019-07-19 | 广州供电局有限公司 | 网络数据监控方法、装置、计算机设备和存储介质 |
| CN110890977A (zh) * | 2019-10-15 | 2020-03-17 | 平安科技(深圳)有限公司 | 云平台的主机节点监控方法、装置和计算机设备 |
-
2020
- 2020-09-25 CN CN202011021030.2A patent/CN114338372B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330532A (zh) * | 2016-08-16 | 2017-01-11 | 汉柏科技有限公司 | 网络信息处理方法及系统、网络管理设备、网络监控设备 |
| CN107070952A (zh) * | 2017-05-27 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种网络节点流量异常分析方法及系统 |
| CN110034956A (zh) * | 2019-03-27 | 2019-07-19 | 广州供电局有限公司 | 网络数据监控方法、装置、计算机设备和存储介质 |
| CN110890977A (zh) * | 2019-10-15 | 2020-03-17 | 平安科技(深圳)有限公司 | 云平台的主机节点监控方法、装置和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338372A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114338372B (zh) | 网络信息安全监控方法及系统 | |
| WO2022048168A1 (zh) | 一种用于故障预测神经网络模型的训练方法与设备 | |
| CN112822143B (zh) | 一种ip地址的评估方法、系统及设备 | |
| TWI595375B (zh) | 使用適應性行爲輪廓之異常檢測技術 | |
| US8191149B2 (en) | System and method for predicting cyber threat | |
| CN108667856B (zh) | 一种网络异常检测方法、装置、设备及存储介质 | |
| RU2017118317A (ru) | Система и способ автоматического расчета кибер-риска в бизнес-критических приложениях | |
| CN111309565B (zh) | 告警处理方法、装置、电子设备以及计算机可读存储介质 | |
| CN112385196B (zh) | 用于报告计算机安全事故的系统和方法 | |
| CN113518057A (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
| CN114598506B (zh) | 工控网络安全风险溯源方法、装置、电子设备及存储介质 | |
| EP2357757B1 (en) | System and method for capacity planning on a high speed data network | |
| CN117201188B (zh) | 基于大数据的it安全运行风险预测方法、系统和介质 | |
| CN111654405B (zh) | 通信链路的故障节点方法、装置、设备及存储介质 | |
| CN116319014A (zh) | 基于云端的多业务异常行为检测方法及装置 | |
| CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和系统 | |
| CN114050941A (zh) | 一种基于核密度估计的失陷账号检测方法及系统 | |
| CN113806753A (zh) | 一种基于标签计算的内网主机威胁预测方法及系统 | |
| CN110120893B (zh) | 一种定位网络系统安全问题的方法及装置 | |
| CN114039837A (zh) | 告警数据处理方法、装置、系统、设备和存储介质 | |
| US20240036963A1 (en) | Multi-contextual anomaly detection | |
| US10318367B1 (en) | Systems and methods for computer infrastructure monitoring and maintenance | |
| CN116777220B (zh) | 一种企业风控管理方法及系统 | |
| CN113596051B (zh) | 检测方法、检测装置、电子设备、介质和计算机程序 | |
| CN106657150B (zh) | 网络攻击结构的获取方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |