CN115460023B - 一种用于网络安全整体保障的方法及系统 - Google Patents

Abstract

本申请实施例公开了一种用于网络安全整体保障的方法及系统，属于数据处理技术领域，其中，所述系统包括：终端验证模块，用于获取用户终端的登陆行为的特征，并基于登陆行为的特征判断是否允许用户终端登陆；数据采集模块，包括威胁监测引擎、资产扫描引擎及安全日志采集引擎，其中，威胁监测引擎用于采集用户操作行为的特征，资产扫描引擎用于对IT资产进行扫描，还用于对扫描后的IT资产预处理以提取IT资产的特征；攻击监测模块，用于基于用户操作行为的特征和/或IT资产的特征，判断是否发生攻击行为；数据采集模块还包括追踪溯源引擎，用于在攻击监测模块判断发生攻击行为时，根据安全日志对攻击行为进行溯源，具有提高网络安全的优点。

Description

一种用于网络安全整体保障的方法及系统

技术领域

本发明主要涉及数据处理技术领域，具体地说，涉及一种用于网络安全整体保障的方法及系统。

背景技术

近年来，随着网络技术的发展，互联网应用给用户的生活、工作带来很大的便利。然而，随着互联网应用越来越多，网络中存在层出不穷的攻击事件和漏洞等，对用户资产带来威胁，重要资料丢失事件也越来越频繁。

因此，需要一种用于网络安全整体保障的方法及系统，用于提高网络安全。

发明内容

本说明书实施例之一提供一种用于网络安全整体保障的系统，包括：终端验证模块，用于获取用户终端的登陆行为的特征，还用于基于所述用户终端的登陆行为的特征判断是否允许所述用户终端登陆；数据采集模块，包括威胁监测引擎、资产扫描引擎及安全日志采集引擎，其中，所述威胁监测引擎用于采集用户操作行为的特征，所述资产扫描引擎用于对IT资产进行扫描，还用于对扫描后的所述IT资产预处理以提取所述IT资产的特征，所述安全日志采集引擎用于生成安全日志；攻击监测模块，用于基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为；所述数据采集模块还包括追踪溯源引擎，所述追踪溯源引擎用于在所述攻击监测模块判断发生攻击行为时，根据所述安全日志对所述攻击行为进行溯源。

在一些实施例中，所述获取用户终端的登陆行为的特征，还用于基于所述用户终端的登陆行为的特征判断是否允许所述用户终端登陆，包括：至少获取所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息；基于所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息，判断是否允许所述用户终端登陆。

在一些实施例中，所述攻击监测模块基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为，包括：通过机器学习模型基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为。

在一些实施例中，所述系统还包括安全学习模块，用于获取用户对网络安全的认知情况，并根据所述用户对网络安全的认知情况生成学习资料，还用于将所述学习资料发送至所述用户使用的用户终端。

在一些实施例中，所述系统还包括态势分析模块，包括资产安全态势分析单元、漏洞态势分析单元、安全事件态势分析单元及态势可视化单元；所述资产安全态势分析单元用于确定网络对象安全态势、网站类应用系统安全态势、非网站类应用系统安全态势以及服务器安全态势；所述漏洞态势分析单元用于对各类漏洞信息的分析处理，确定漏洞态势；所述安全事件态势分析单元用于对攻击相关信息进行整合分析，从发起攻击维度、遭受攻击维度、攻击关系维度、攻击类型维度、攻击结果维度和攻击趋势维度，确定专项事件态势、攻击来源态势、遭受攻击分布态势及攻击规律；所述态势可视化单元用于对所述网络对象安全态势、所述网站类应用系统安全态势、所述非网站类应用系统安全态势、所述服务器安全态势、所述漏洞态势、所述专项事件态势、所述攻击来源态势、所述遭受攻击分布态势及所述攻击规律进行可视化。

本说明书实施例之一提供一种用于网络安全整体保障的方法，包括：获取用户终端的登陆行为的特征；基于所述用户终端的登陆行为的特征判断是否允许所述用户终端登陆；所述用户终端登陆后，启动威胁监测引擎采集所述用户终端的用户操作行为的特征，启动资产扫描引擎对所述用户终端的上传的IT资产进行扫描，对扫描后的所述IT资产预处理以提取所述IT资产的特征，安全日志采集引擎根据所述用户终端的用户操作行为生成安全日志；基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为；在判断发生攻击行为时，根据所述安全日志对所述攻击行为进行溯源。

在一些实施例中，所述基于所述用户终端的登陆行为的特征判断是否允许所述用户终端登陆，包括：至少获取所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息；基于所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息，判断是否允许所述用户终端登陆。

在一些实施例中，所述基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为，包括：通过机器学习模型基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为。

在一些实施例中，所述方法还包括：获取用户对网络安全的认知情况，并根据所述用户对网络安全的认知情况生成学习资料，还用于将所述学习资料发送至所述用户使用的用户终端。

在一些实施例中，所述方法还包括：确定网络对象安全态势、网站类应用系统安全态势、非网站类应用系统安全态势以及服务器安全态势；对各类漏洞信息的分析处理，确定漏洞态势；对攻击相关信息进行整合分析，从发起攻击维度、遭受攻击维度、攻击关系维度、攻击类型维度、攻击结果维度和攻击趋势维度，确定专项事件态势、攻击来源态势、遭受攻击分布态势及攻击规律；对所述网络对象安全态势、所述网站类应用系统安全态势、所述非网站类应用系统安全态势、所述服务器安全态势、所述漏洞态势、所述专项事件态势、所述攻击来源态势、所述遭受攻击分布态势及所述攻击规律进行可视化。

本说明书提供的一种用于网络安全整体保障的方法及系统，至少具有以下有益效果：

1、基于用户终端的登陆行为的特征判断是否允许用户终端登陆，可以有效避免异常用户终端进行登陆，提高网络安全，基于用户操作行为的特征和/或IT资产的特征，判断是否发生攻击行为，实现对攻击行为的监控，提高网络安全；

2、通过机器学习模型基于用户操作行为的特征和/或IT资产的特征，可以较为准确地判断是否发生攻击行为，利用机器学习算法训练生成可靠性评估模型，可以挖掘各种维度的数据（例如，用户操作行为的特征和/或IT资产的特征与攻击行为等）之间的关系。这种关系往往包括其他确定攻击行为的方法难以获得的深层关系，因此使用机器学习模型可以提高判断是否发生攻击行为的准确度。

附图说明

本申请将以示例性实施例的方式进一步说明，这些示例性实施例将通过附图进行详细描述。这些实施例并非限制性的，在这些实施例中，相同的编号表示相同的结构，其中：

图1是根据本申请一些实施例所示的一种用于网络安全整体保障的系统的模块示意图；

图2是根据本申请一些实施例所示的一种用于网络安全整体保障的方法的示例性流程图。

具体实施方式

为了更清楚地说明本申请的实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。应当理解，给出这些示例性的实施例仅仅是为了使相关领域的技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。除非从语言环境中显而易见或另做说明，图中相同标号代表相同结构或操作。

应当理解，本文使用的“系统”、“装置”、“单元”和/或“模块”是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而，如果其他词语可实现相同的目的，则可通过其他表达来替换所述词语。

如本申请和权利要求书中所示，除非上下文明确提示例外情形，“一”、“一个”、“一种”和/或“该”等词并非特指单数，也可包括复数。一般说来，术语“包括”与“包含”仅提示包括已明确标识的步骤和元素，而这些步骤和元素不构成一个排它性的罗列，方法或者设备也可能包含其它的步骤或元素。

虽然本申请对根据本申请的实施例的系统中的某些模块或单元做出了各种引用，然而，任何数量的不同模块或单元可以被使用并运行在客户端和/或服务器上。所述模块仅是说明性的，并且所述系统和方法的不同方面可以使用不同模块。

本申请中使用了流程图用来说明根据本申请的实施例的系统所执行的操作。应当理解的是，前面或后面操作不一定按照顺序来精确地执行。相反，可以按照倒序或同时处理各个步骤。同时，也可以将其他操作添加到这些过程中，或从这些过程移除某一步或数步操作。

图1是根据本申请一些实施例所示的一种用于网络安全整体保障的系统的模块示意图。如图1所示，用于网络安全整体保障的系统可以包括。

终端验证模块可以用于获取用户终端的登陆行为的特征。

其中，用户终端可以为PC、服务器、移动笔记本、交换机终端等，用户终端的登陆行为的特征可以包括用户终端的IP地址、用户终端的登陆行为的发生时间、用户终端的设备信息及使用用户终端的用户个人信息，用户个人信息可以包括包含有深度信息的用户的面部图像。

终端验证模块还可以用于基于用户终端的登陆行为的特征判断是否允许用户终端登陆。

在一些实施例中，终端验证模块可以基于用户终端的登陆行为的IP地址、用户终端的登陆行为的发生时间、用户终端的设备信息及使用用户终端的用户个人信息，判断是否允许用户终端登陆。

设备信息可以包括补丁信息、病毒库版本信息及非法软件信息等。

在一些实施例中，终端验证模块可以基于方向梯度直方图（HOG）特征、局部二值模式（LBP）特征、Haar-like特征等算法提取包含有深度信息的用户的面部图像中的颜色特征、纹理特征、形状特征和空间关系特征，确定用户的面部的特征。

在一些实施例中，终端验证模块判断用户终端的登陆行为的IP地址是否为允许的IP地址、用户终端的登陆行为的发生时间是否位于允许的登陆时间段、用户终端的设备信息是否符合预设设备要求及根据用户的面部的特征是否为已验证的用户，判断是否允许用户终端登陆。

仅作为示例的，若用户终端的登陆行为的IP地址为允许的IP地址、用户终端的登陆行为的发生时间位于允许的登陆时间段、用户终端的设备信息符合预设设备要求及根据用户的面部的特征为已验证的用户，终端验证模块可以判断允许用户终端登陆。

数据采集模块可以用于进行数据采集，数据采集模块可以支持SYSLOG、SNMP、WMI、Agent等主流数据采集方式。

数据采集模块可以包括威胁监测引擎、资产扫描引擎及安全日志采集引擎，其中，威胁监测引擎用于采集用户操作行为的特征。

资产扫描引擎可以用于对IT资产进行扫描，还用于对扫描后的IT资产预处理以提取IT资产的特征，安全日志采集引擎用于生成安全日志。

攻击监测模块可以用于基于用户操作行为的特征和/或IT资产的特征，判断是否发生攻击行为。

在一些实施例中，攻击监测模块可以通过机器学习模型基于用户操作行为的特征和/或IT资产的特征，判断是否发生攻击行为。其中，机器学习模型可以为卷积神经网络（CNN）、深度神经网络（DNN）、循环神经网络（RNN）、多层神经网络（MLP）、对抗神经网络（GAN）等一种或其任意组合。例如，机器学习模型可以为卷积神经网络和深度神经网络组合形成的模型。

在一些实施例中，攻击监测模块可以包括特征检测单元，特征检测单元主要包括反病毒检测、入侵检测、信誉库检测、DDOS攻击检测和高级逃逸检测等。反病毒检测主要利用第三方病毒库，对还原的样本文件进行特征检测，识别病毒、木马、蠕虫、僵尸等恶意代码程序；入侵检测主要对还原的会话数据进行攻击特征检测，识别各种嗅探扫描和漏洞攻击等；信誉库监测主要基于恶意IP、恶意网址和域名进行信誉检测，实时识别恶意的IP攻击和恶意网址访问。

在一些实施例中，攻击监测模块还可以包括行为检测单元，行为检测单元主要通过虚拟化技术，对可疑样本进行行为仿真分析，通过行为分析和威胁评分的方法识别未知的恶意代码程序。行为检测子系统主要分为API系统调用层和指令层的监控。前者通过拦截记录所有样本的系统调用行为，然后集中分析样本行为特征（如文件、注册表、进程、服务、网络、其它行为）实现动态行为检测；后者则通过指令流（如内核状态、寄存器读写、IO操作、内存读写执行、CPU状态等）分析样本行为特征，涉及技术包括虚拟机自省机制，程序控制流分析等。

攻击监测模块可以通过动静结合，从而实现对未知漏洞、特种木马等未知威胁活动进行实时监测和预警。同时，高级威胁监测系统将自身发现的高级威胁事件实时同步给态势感知与监测预警平台，经平台大数据分析后，得到高级威胁态势呈现。此外，高级威胁监测系统的检测结果也会同步给下一代防火墙，使下一代防火墙具备高级威胁防护阻断能力，共同组成高级威胁实施防御系统，彻底解决高级威胁、未知威胁、恶意攻击、异常行为、病毒、蠕虫、木马、僵尸网络等安全问题。

在一些实施例中，攻击监测模块判断IT资产不存在攻击行为时，数据采集模块可以利用大数据分析技术对存储层中的数据进行分析，通过数据预处理，对数据进行去噪、范式化处理、日志归并，之后采用关联分析、机器学习、神经网络等大数据分析技术对预处理后的数据进行数据挖掘分析，之后结合业务场景分析、威胁情报分析，将海量低价值的数据提炼，为态势发布系统提供数据支撑。

数据采集模块还可以包括追踪溯源引擎，追踪溯源引擎用于在攻击监测模块判断发生攻击行为时，根据安全日志对攻击行为进行溯源。

在一些实施例中，攻击监测模块可以通过APT高级威胁监测系统的建设，并与原有威胁监测手段结合，形成全方位高级威胁监测体系；打通态势感知平台与高级威胁监测数据流，纵向组建高级威胁监测态势子系统；协同下一代防火墙，打造高级威胁实时管控防线，最终形成高级威胁深度识别发现、实时管控过滤和态势感知呈现的综合高级威胁监测解决方案。

APT攻击往往采用定向攻击手段的方式，利用多种恶意文件攻击目标，APT高级威胁监测系统能够基于被保护网络中的IT资产情况，开展行为仿真分析，对捕捉的文件样本进行网络行为、文件行为等的动态检测，以指令级的分析粒度，强化在本地对未知威胁的快速识别能力，从而大大缩短对未知威胁的响应处置时间。在APT攻击过程中攻击者会采用诱导用户、渗入系统、安装后门、建立隐蔽通道、尝试窃取机密等多种隐蔽手段，传统的检测手段极难发现这类攻击。针对比较隐蔽的这种攻击方式，攻击监测模块可以提供了异常行为检测的功能，利用DNS异常解析模型、DGA检测模型、HTTP隐蔽流量模型等机器学习手段，结合基于通讯的现有高级威胁监测手段对采集到的信息进行综合分析，识别发现业务中可能存在的异常流量与异常操作行为，发现APT攻击的蛛丝马迹。当内部主机完全被攻陷之后，攻击者获取到主机的最高权限，通常会使用远程控制的方式进行控制。攻击监测模块可以通过对远程控制协议的解析，对远程控制行为进行分析，通过设置连接IP白名单、时间段设置等，对登录的用户进行判断。通过该方法可判断用户的登录是否正常。如有异常的登录行为，可结合其他行为判断服务器是否被控。劫持是攻击者通过劫持网络连接，加入恶意代码来达到木马植入的目的。攻击监测模块可以内置劫持行为检测系统，通过对域名请求数据和TCP数据进行劫持检测，检测其中是否有域名和TCP连接被劫持，并且对检测结果进行实时报警。

攻击监测模块还可以包括云端情报平台，云端情报平台以态势感知威胁情报中心为核心，通过开源情报采集、情报共享互换、人工情报导入三种方式来采集获取网络安全威胁情报。通过情报协同实现多维度、全方位的还原网络空间已发生攻击事件。

攻击监测模块可以通过防御系统与监测系统的联动，实时同步检测到的恶意命令控制通道（c&c），木马活动等威胁、智能生成防御规则，阻断威胁连接，实现对已知与未知威胁的快速处置。

在一些实施例中，用于网络安全整体保障的系统还可以包括态势分析模块，包括资产安全态势分析单元、漏洞态势分析单元、安全事件态势分析单元及态势可视化单元。

资产安全态势分析单元用于确定网络对象安全态势、网站类应用系统安全态势、非网站类应用系统安全态势以及服务器安全态势。

网络对象安全态势可以呈现网元节点设备的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势。

网站类应用安全态势可以呈现网站类应的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势。

非网站类应用系统安全态势可以呈现非网站类应用的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势。

服务器安全态势可以呈现服务器的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势。

漏洞态势分析单元用于对各类漏洞信息的分析处理，确定漏洞态势。

在一些实施例中，漏洞态势可以包括：

漏洞概要统计信息，包括当前发现漏洞的总数量、高危漏洞数量、新增漏洞数、漏洞影响的资产范围以及长期未处理的漏洞情况；

高危漏洞监视，通过高危系统漏洞、高危应用漏洞和高危配置弱点几个方面监视高危漏洞情况；

漏洞发现态势，包括系统漏洞的发现率、配置弱点的发现率以及扫描发现漏洞最多的资产情况；

漏洞总体安全态势，以漏洞风险矩阵的形式，分别从资产类型、安全域、业务系统的视角呈现漏洞的整体安全态势；

漏洞分布态势，包括漏洞和配置弱点在资产类型上的分布态势，漏洞和配置弱点在安全域上的分布态势，漏洞和配置弱点在业务系统上的分布态势；

漏洞数量趋势，反映一定时间范围内全网安全漏洞的数量变化趋势，也可展示不同等级漏洞的数量变化趋势；

细粒度监视，分别从资产类型、安全域、业务系统的视角，通过更丰富的信息呈现较为详细的漏洞统计信息，包括各类严重等级的漏洞数量、出现漏洞的资产占比以及漏洞存在的时间等；

漏洞处置态势，从处置过程中各漏洞状态视角呈现漏洞的处置态势，包括漏洞消除的态势、新发现漏洞的态势、遗留未处理漏洞的态势和复现漏洞的态势。

安全事件态势分析单元用于对攻击相关信息进行整合分析，从发起攻击维度、遭受攻击维度、攻击关系维度、攻击类型维度、攻击结果维度和攻击趋势维度，确定专项事件态势、攻击来源态势、遭受攻击分布态势及攻击规律。

其中，发起攻击维度可以感知攻击来源的分布，包括外部发起的攻击或是内部安全域发起的攻击，遭受攻击维度可以感知攻击目标在内部区域的分布，攻击关系维度可以感知攻击来源和目的之间的关系，感知攻击类型与安全域的关系，攻击类型维度可以感知攻击类型在安全域的分布，在业务系统的分布和在资产类型的分布，攻击趋势维度可以感知网络层、主机层、业务层以及数据层的攻击趋势。

专项事件态势可以包括：针对诸如造成重大影响的拒绝服务类、勒索病毒类、APT攻击类等重大网络安全事件提供专题态势展示。包括的主要专项事件有：APT攻击类态势感知：根据APT专项分析研判结果，直观呈现特定APT组织的攻击态势，攻击链条；

攻击来源态势可以包括：通过攻击来源态势，首先可以了解网络中所遭受的攻击来自于外部或内部。对于来自外部的攻击，可进一步了解哪些是被监测到的具体攻击行为，哪些是基于威胁情报感知到的外部攻击威胁。对于来自内部的攻击，可进一步了解发起的攻击在安全域或具体资产上的分布。

遭受攻击分布态势可以包括：在遭受攻击分布态势中，可以从多个维度了解掌握各类攻击行为所针对目标对象的分布。从对象集合的维度来看，可以呈现被攻击目标在安全域、资产类型和业务系统上的分布；从网络分层的维度来看，可以呈现被攻击目标在网络层、主机层、业务层以及数据层的分布。

攻击规律可以包括：通过攻击规律和趋势态势，可以综合各类攻击信息从多个方面了解攻击的规律和趋势情况。攻击规律方面，可以了解攻击源与攻击目标的汇总抽象关系，监视安全域、攻击类型、资产类型之间的对应关系及规律，以及掌握当前受攻击最严重的安全域、资产类型和具体资产等信息。趋势态势方面，可以从网络、主机、业务、数据四个维度了解攻击数量的发生趋势。

在一些实施例中，态势分析模块还可以包括综合安全态势分析单元，用于对安全态势进行整体评估。整体评估可以包括资产运行要素评估、主要安全威胁态势、主要安全漏洞态势、主要安全风险态势及主要安全事件态势。

资产运行要素评估可以包括：从设施规模、数据规模、连续性要求、关联影响、资产价值、政治影响、应用性质等方面进行综合分析评估。

主要安全威胁态势可以包括：安全威胁态势主要评价重要信息系统面临的整体网络安全威胁，可以对特定重要信息系统面临的安全威胁进行分析和展示，如网站类安全威胁态势、平台类安全威胁态势、生产业务类安全威胁态势、专项事件安全威胁态势。

主要安全漏洞态势可以包括：安全漏洞态势主要评价重要信息系统存在的安全漏洞情况，可以对重要信息系统存在的安全漏洞态势进行分析展示。如通用型漏洞态势、业务型漏洞态势等。

主要安全风险态势可以包括：安全风险态势主要评价重要信息系统存在的安全风险情况，可以对重要信息系统面临的安全风险态势进行分析和展示。

主要安全事件态势可以包括：安全事件态势主要评价重要信息系统发生的安全事件情况，可以对重要信息系统面临的安全事件态势进行分析和展示，如有害程序事件态势、网络攻击事件态势、信息破坏事件态势、信息内容安全事件态势、软硬件故障事件态势、灾害性事件态势等。

态势可视化单元用于对网络对象安全态势、网站类应用系统安全态势、非网站类应用系统安全态势、服务器安全态势、漏洞态势、专项事件态势、攻击来源态势、遭受攻击分布态势及攻击规律进行可视化。

在一些实施例中，态势可视化单元还可以用于通报概览、日常工作通报、突发事件通报、安全事件通报、漏洞预警通报及应急处置。

通报概览主要提供给管理人员使用，对通报情况和通报的处置能够整体把控，包括监测概况、今日通报、未处置事件、通报预警总数类型分布、通报预警数量趋势、事件通报数TOP10、事件通报处置情况、最新通报预警、最新安全资讯等。

日常工作通报主要用于运营工作人员对于网站安全运营的总结、安全建议、运营日报、运营周报、运营月报等内容下发的通报。

突发事件通报主要用于运营工作人员对于重点时期安全检查、防网站篡改、防信息泄露等安全专项工作的通报。通过对突发事件的提前重视、提前演练、提前设防，提高关键基础设施面对突发事件的防御效果。

安全事件通报主要用于运营工作人员对于检测引擎发现的安全事件下发的通报，根据检测引擎和大数据分析的结果再分类分级预警，通报后形成应急处置任务，持续跟踪处置情况，直到处置完成。

漏洞预警通报主要用于运营工作人员收集到严重漏洞后下发的通报，漏洞主要来源于专业团队挖掘的漏洞库、官方漏洞库等。帮助用户及时打补丁，提升系统安全性。

应急处置主要用于用户处置通报、运营人员跟踪通报处置情况，主要包括事件总数、未完成事件通报TOP10、事件通报处置情况、事件通报处置详情、事件处置工具等。

在一些实施例中，用于网络安全整体保障的系统还可以包括安全学习模块，用于获取用户对网络安全的认知情况，并根据用户对网络安全的认知情况生成学习资料，还用于将学习资料发送至用户使用的用户终端。在一些实施例中，安全学习模块可以通过问卷调查等方式获取用户对网络安全的认知情况。

在一些实施例中，安全管理工作离不开全体员工的参与和专业安全技术人员的执行，为加强员工和安全岗位相关人员的安全意识和技能，学习资料可以包括但不限于以下内容：常见攻击方式介绍与案例分析、UNIX/WINDOWS系统安全配置和管理、常用安全工具、网络设备安全建议、国内外信息安全管理标准和体系介绍、IDS、IPS、安全审计、DDOS等流行安全技术和产品介绍、安全事件应急处理与分析、风险评估培训、等级保护培训等。

在一些实施例中，用于网络安全整体保障的系统可以选择适合虚拟环境的软件防火墙，选择NAT技术作为虚拟机的接入广域网技术，每个虚拟机在宿主机上都有其对应的一个虚拟网卡，所有的虚拟机网卡通过NAT技术连接在一起，选择宿主机的虚拟网卡与虚拟机的网卡连接的主干道作为关键路径，并在该路径上布置防火墙。在云平台和云桌面服务器集群区域部署防火墙，可实现安全域的微隔离、虚拟化业务区域流量可视及业务间应用层风险的检测与阻断，能够有效检测和防护虚拟化环境内的安全风险，打造安全可视可控的虚拟化数据中心。

在一些实施例中，用于网络安全整体保障的系统可以部署IPS入侵检测系统，该系统采用先进的协议分析检测引擎，通过优化机制，能够快速处理网络数据，准确发现各种攻击行为，具有较高的入侵检出率和较低的误报率。采用智能应用检测引擎，能够实时监控网络传输，通过对网络上的数据包快速捕获，进行深入的协议分析，结合特征库进行相应的模式匹配，通过对行为和事件的统计分析，能及时发现非法或攻击行为。可准确、高效的识别各种已知攻击。签名特征库为用户提供了详细的签名参数配置，通过参数的设置和调整，用户可以得到非常准确的报警信息，同时也使用户非常容易的定义或者修正这些参数。

图2是根据本申请一些实施例所示的一种用于网络安全整体保障的方法的示例性流程图。如图2所示，用于网络安全整体保障的方法可以包括如下步骤。在一些实施例中，用于网络安全整体保障的方法可以由用于网络安全整体保障的系统执行。

获取用户终端的登陆行为的特征；

基于用户终端的登陆行为的特征判断是否允许用户终端登陆；

用户终端登陆后，启动威胁监测引擎采集用户终端的用户操作行为的特征，启动资产扫描引擎对用户终端的上传的IT资产进行扫描，对扫描后的IT资产预处理以提取IT资产的特征，安全日志采集引擎根据用户终端的用户操作行为生成安全日志；

基于用户操作行为的特征和/或IT资产的特征，判断是否发生攻击行为；

在判断发生攻击行为时，根据安全日志对攻击行为进行溯源。

在一些实施例中，基于用户终端的登陆行为的特征判断是否允许用户终端登陆，包括：

至少获取用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息；

基于用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息，判断是否允许用户终端登陆。

在一些实施例中，基于用户操作行为的特征和/或IT资产的特征，判断是否发生攻击行为，包括：

通过机器学习模型基于用户操作行为的特征和/或IT资产的特征，判断是否发生攻击行为。

在一些实施例中，所述方法还包括：

获取用户对网络安全的认知情况，并根据用户对网络安全的认知情况生成学习资料，还用于将学习资料发送至用户使用的用户终端。

在一些实施例中，所述方法还包括：

确定网络对象安全态势、网站类应用系统安全态势、非网站类应用系统安全态势以及服务器安全态势；

对各类漏洞信息的分析处理，确定漏洞态势；

对攻击相关信息进行整合分析，从发起攻击维度、遭受攻击维度、攻击关系维度、攻击类型维度、攻击结果维度和攻击趋势维度，确定专项事件态势、攻击来源态势、遭受攻击分布态势及攻击规律；

对网络对象安全态势、网站类应用系统安全态势、非网站类应用系统安全态势、服务器安全态势、漏洞态势、专项事件态势、攻击来源态势、遭受攻击分布态势及攻击规律进行可视化。

上文已对基本概念做了描述，显然，对于本领域技术人员来说，上述详细披露仅仅作为示例，而并不构成对本申请的限定。虽然此处并没有明确说明，本领域技术人员可能会对本申请进行各种修改、改进和修正。该类修改、改进和修正在本申请中被建议，所以该类修改、改进、修正仍属于本申请示范实施例的精神和范围。

同时，本申请使用了特定词语来描述本申请的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本申请至少一个实施例相关的某一特征、结构或特点。因此，应强调并注意的是，本说明书中在不同位置两次或多次提及的“一实施例”或“一个实施例”或“一个替代性实施例”并不一定是指同一实施例。此外，本申请的一个或多个实施例中的某些特征、结构或特点可以进行适当的组合。

此外，本领域技术人员可以理解，本申请的各方面可以通过若干具有可专利性的种类或情况进行说明和描述，包括任何新的和有用的工序、机器、产品或物质的组合，或对他们的任何新的和有用的改进。相应地，本申请的各个方面可以完全由硬件执行、可以完全由软件（包括固件、常驻软件、微码等）执行、也可以由硬件和软件组合执行。以上硬件或软件均可被称为“数据块”、“模块”、“引擎”、“单元”、“组件”或“系统”。此外，本申请的各方面可能表现为位于一个或多个计算机可读介质中的计算机产品，该产品包括计算机可读程序编码。

计算机存储介质可能包含一个内含有计算机程序编码的传播数据信号，例如在基带上或作为载波的一部分。该传播信号可能有多种表现形式，包括电磁形式、光形式等，或合适的组合形式。计算机存储介质可以是除计算机可读存储介质之外的任何计算机可读介质，该介质可以通过连接至一个指令执行系统、装置或设备以实现通讯、传播或传输供使用的程序。位于计算机存储介质上的程序编码可以通过任何合适的介质进行传播，包括无线电、电缆、光纤电缆、RF、或类似介质，或任何上述介质的组合。

本申请各部分操作所需的计算机程序编码可以用任意一种或多种程序语言编写，包括面向对象编程语言如Java、Scala、Smalltalk、Eiffel、JADE、Emerald、C++、C#、VB.NET、Python等，常规程序化编程语言如C语言、Visual Basic、Fortran 2003、Perl、COBOL 2002、PHP、ABAP，动态编程语言如Python、Ruby和Groovy，或其他编程语言等。该程序编码可以完全在用户计算机上运行、或作为独立的软件包在用户计算机上运行、或部分在用户计算机上运行部分在远程计算机运行、或完全在远程计算机或服务器上运行。在后种情况下，远程计算机可以通过任何网络形式与用户计算机连接，比如局域网（LAN）或广域网（WAN），或连接至外部计算机（例如通过因特网），或在云计算环境中，或作为服务使用如软件即服务（SaaS）。

此外，除非权利要求中明确说明，本申请处理元素和序列的顺序、数字字母的使用、或其他名称的使用，并非用于限定本申请流程和方法的顺序。尽管上述披露中通过各种示例讨论了一些目前认为有用的发明实施例，但应当理解的是，该类细节仅起到说明的目的，附加的权利要求并不仅限于披露的实施例，相反，权利要求旨在覆盖所有符合本申请实施例实质和范围的修正和等价组合。例如，虽然以上所描述的系统组件可以通过硬件设备实现，但是也可以只通过软件的解决方案得以实现，如在现有的服务器或移动设备上安装所描述的系统。

同理，应当注意的是，为了简化本申请披露的表述，从而帮助对一个或多个发明实施例的理解，前文对本申请实施例的描述中，有时会将多种特征归并至一个实施例、附图或对其的描述中。但是，这种披露方法并不意味着本申请对象所需要的特征比权利要求中提及的特征多。实际上，实施例的特征要少于上述披露的单个实施例的全部特征。

最后，应当理解的是，本申请中所述实施例仅用以说明本申请实施例的原则。其他的变形也可能属于本申请的范围。因此，作为示例而非限制，本申请实施例的替代配置可视为与本申请的教导一致。相应地，本申请的实施例不仅限于本申请明确介绍和描述的实施例。

Claims (10)

1.一种用于网络安全整体保障的系统，其特征在于，包括：

终端验证模块，用于获取用户终端的登陆行为的特征，还用于基于所述用户终端的登陆行为的特征判断是否允许所述用户终端登陆；

数据采集模块，包括威胁监测引擎、资产扫描引擎及安全日志采集引擎，其中，所述威胁监测引擎用于采集用户操作行为的特征，所述资产扫描引擎用于对IT资产进行扫描，还用于对扫描后的所述IT资产预处理以提取所述IT资产的特征，所述安全日志采集引擎用于生成安全日志；

攻击监测模块，用于基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为；

所述数据采集模块还包括追踪溯源引擎，所述追踪溯源引擎用于在所述攻击监测模块判断发生攻击行为时，根据所述安全日志对所述攻击行为进行溯源；

态势分析模块，包括资产安全态势分析单元、漏洞态势分析单元、安全事件态势分析单元及态势可视化单元；

所述资产安全态势分析单元用于确定网络对象安全态势、网站类应用系统安全态势、非网站类应用系统安全态势以及服务器安全态势；

所述漏洞态势分析单元用于对各类漏洞信息的分析处理，确定漏洞态势；

所述安全事件态势分析单元用于对攻击相关信息进行整合分析，从发起攻击维度、遭受攻击维度、攻击关系维度、攻击类型维度、攻击结果维度和攻击趋势维度，确定专项事件态势、攻击来源态势、遭受攻击分布态势及攻击规律；

所述态势可视化单元用于对所述网络对象安全态势、所述网站类应用系统安全态势、所述非网站类应用系统安全态势、所述服务器安全态势、所述漏洞态势、所述专项事件态势、所述攻击来源态势、所述遭受攻击分布态势及所述攻击规律进行可视化；

网络对象安全态势呈现网元节点设备的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势；

网站类应用安全态势呈现网站类应用的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势；

非网站类应用系统安全态势呈现非网站类应用的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势；

服务器安全态势呈现服务器的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势；

漏洞态势分析单元用于对各类漏洞信息的分析处理，确定漏洞态势；

漏洞态势包括：漏洞概要统计信息，包括当前发现漏洞的总数量、高危漏洞数量、新增漏洞数、漏洞影响的资产范围以及长期未处理的漏洞情况；

高危漏洞监视，通过高危系统漏洞、高危应用漏洞和高危配置弱点几个方面监视高危漏洞情况；

漏洞发现态势，包括系统漏洞的发现率、配置弱点的发现率以及扫描发现漏洞最多的资产情况；

漏洞总体安全态势，以漏洞风险矩阵的形式，分别从资产类型、安全域、业务系统的视角呈现漏洞的整体安全态势；

漏洞分布态势，包括漏洞和配置弱点在资产类型上的分布态势，漏洞和配置弱点在安全域上的分布态势，漏洞和配置弱点在业务系统上的分布态势；

漏洞数量趋势，反映一定时间范围内全网安全漏洞的数量变化趋势，展示不同等级漏洞的数量变化趋势；

细粒度监视，分别从资产类型、安全域、业务系统的视角，通过更丰富的信息呈现较为详细的漏洞统计信息，包括各类严重等级的漏洞数量、出现漏洞的资产占比以及漏洞存在的时间；

漏洞处置态势，从处置过程中各漏洞状态视角呈现漏洞的处置态势，包括漏洞消除的态势、新发现漏洞的态势、遗留未处理漏洞的态势和复现漏洞的态势；

安全事件态势分析单元用于对攻击相关信息进行整合分析，从发起攻击维度、遭受攻击维度、攻击关系维度、攻击类型维度、攻击结果维度和攻击趋势维度，确定专项事件态势、攻击来源态势、遭受攻击分布态势及攻击规律；

其中，发起攻击维度感知攻击来源的分布，包括外部发起的攻击或是内部安全域发起的攻击，遭受攻击维度感知攻击目标在内部区域的分布，攻击关系维度感知攻击来源和目的之间的关系，感知攻击类型与安全域的关系，攻击类型维度感知攻击类型在安全域的分布，在业务系统的分布和在资产类型的分布，攻击趋势维度感知网络层、主机层、业务层以及数据层的攻击趋势；

专项事件态势包括：针对诸如造成重大影响的拒绝服务类、勒索病毒类、APT攻击类重大网络安全事件提供专题态势展示；包括的主要专项事件有：APT攻击类态势感知：根据APT专项分析研判结果，直观呈现特定APT组织的攻击态势，攻击链条；

攻击来源态势包括：通过攻击来源态势，首先了解网络中所遭受的攻击来自于外部或内部；对于来自外部的攻击，进一步了解哪些是被监测到的具体攻击行为，哪些是基于威胁情报感知到的外部攻击威胁；对于来自内部的攻击，进一步了解发起的攻击在安全域或具体资产上的分布；

遭受攻击分布态势包括：在遭受攻击分布态势中，从多个维度了解掌握各类攻击行为所针对目标对象的分布；从对象集合的维度来看，呈现被攻击目标在安全域、资产类型和业务系统上的分布；从网络分层的维度来看，呈现被攻击目标在网络层、主机层、业务层以及数据层的分布；

攻击规律包括：通过攻击规律和趋势态势，综合各类攻击信息从多个方面了解攻击的规律和趋势情况；攻击规律方面，了解攻击源与攻击目标的汇总抽象关系，监视安全域、攻击类型、资产类型之间的对应关系及规律，以及掌握当前受攻击最严重的安全域、资产类型和具体资产信息；趋势态势方面，从网络、主机、业务、数据四个维度了解攻击数量的发生趋势。

2.根据权利要求1所述的一种用于网络安全整体保障的系统，其特征在于，所述获取用户终端的登陆行为的特征，还用于基于所述用户终端的登陆行为的特征判断是否允许所述用户终端登陆，包括：

至少获取所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息；

基于所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息，判断是否允许所述用户终端登陆。

3.根据权利要求1所述的一种用于网络安全整体保障的系统，其特征在于，所述攻击监测模块基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为，包括：

通过机器学习模型基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为。

4.根据权利要求1-3任意一项所述的一种用于网络安全整体保障的系统，其特征在于，还包括安全学习模块，用于获取用户对网络安全的认知情况，并根据所述用户对网络安全的认知情况生成学习资料，还用于将所述学习资料发送至所述用户使用的用户终端。

5.根据权利要求2所述的一种用于网络安全整体保障的系统，其特征在于，所述基于所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息，判断是否允许所述用户终端登陆，包括：

基于方向梯度直方图（HOG）特征、局部二值模式（LBP）特征、Haar-like特征算法提取包含有深度信息的用户的面部图像中的颜色特征、纹理特征、形状特征和空间关系特征，确定用户的面部的特征；

判断用户终端的登陆行为的IP地址是否为允许的IP地址、用户终端的登陆行为的发生时间是否位于允许的登陆时间段、用户终端的设备信息是否符合预设设备要求及根据用户的面部的特征是否为已验证的用户；

若所述用户终端的登陆行为的IP地址为允许的IP地址、用户终端的登陆行为的发生时间位于允许的登陆时间段、用户终端的设备信息符合预设设备要求及根据用户的面部的特征为已验证的用户，判断允许用户终端登陆。

6.一种用于网络安全整体保障的方法，其特征在于，包括：

获取用户终端的登陆行为的特征；

基于所述用户终端的登陆行为的特征判断是否允许所述用户终端登陆；

所述用户终端登陆后，启动威胁监测引擎采集所述用户终端的用户操作行为的特征，启动资产扫描引擎对所述用户终端的上传的IT资产进行扫描，对扫描后的所述IT资产预处理以提取所述IT资产的特征，安全日志采集引擎根据所述用户终端的用户操作行为生成安全日志；

基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为；

在判断发生攻击行为时，根据所述安全日志对所述攻击行为进行溯源；

确定网络对象安全态势、网站类应用系统安全态势、非网站类应用系统安全态势以及服务器安全态势；

网络对象安全态势呈现网元节点设备的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势；

网站类应用安全态势呈现网站类应用的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势；

非网站类应用系统安全态势呈现非网站类应用的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势；

服务器安全态势呈现服务器的总体安全态势情况，包括运行态势、遭受攻击态势、漏洞分布态势和综合安全态势；

对各类漏洞信息的分析处理，确定漏洞态势；

漏洞态势包括：漏洞概要统计信息，包括当前发现漏洞的总数量、高危漏洞数量、新增漏洞数、漏洞影响的资产范围以及长期未处理的漏洞情况；

高危漏洞监视，通过高危系统漏洞、高危应用漏洞和高危配置弱点几个方面监视高危漏洞情况；

漏洞发现态势，包括系统漏洞的发现率、配置弱点的发现率以及扫描发现漏洞最多的资产情况；

漏洞总体安全态势，以漏洞风险矩阵的形式，分别从资产类型、安全域、业务系统的视角呈现漏洞的整体安全态势；

漏洞分布态势，包括漏洞和配置弱点在资产类型上的分布态势，漏洞和配置弱点在安全域上的分布态势，漏洞和配置弱点在业务系统上的分布态势；

漏洞数量趋势，反映一定时间范围内全网安全漏洞的数量变化趋势，展示不同等级漏洞的数量变化趋势；

细粒度监视，分别从资产类型、安全域、业务系统的视角，通过更丰富的信息呈现较为详细的漏洞统计信息，包括各类严重等级的漏洞数量、出现漏洞的资产占比以及漏洞存在的时间；

漏洞处置态势，从处置过程中各漏洞状态视角呈现漏洞的处置态势，包括漏洞消除的态势、新发现漏洞的态势、遗留未处理漏洞的态势和复现漏洞的态势；

对攻击相关信息进行整合分析，从发起攻击维度、遭受攻击维度、攻击关系维度、攻击类型维度、攻击结果维度和攻击趋势维度，确定专项事件态势、攻击来源态势、遭受攻击分布态势及攻击规律；

其中，发起攻击维度感知攻击来源的分布，包括外部发起的攻击或是内部安全域发起的攻击，遭受攻击维度感知攻击目标在内部区域的分布，攻击关系维度感知攻击来源和目的之间的关系，感知攻击类型与安全域的关系，攻击类型维度感知攻击类型在安全域的分布，在业务系统的分布和在资产类型的分布，攻击趋势维度感知网络层、主机层、业务层以及数据层的攻击趋势；

专项事件态势包括：针对诸如造成重大影响的拒绝服务类、勒索病毒类、APT攻击类重大网络安全事件提供专题态势展示；包括的主要专项事件有：APT攻击类态势感知：根据APT专项分析研判结果，直观呈现特定APT组织的攻击态势，攻击链条；

攻击来源态势包括：通过攻击来源态势，首先了解网络中所遭受的攻击来自于外部或内部；对于来自外部的攻击，进一步了解哪些是被监测到的具体攻击行为，哪些是基于威胁情报感知到的外部攻击威胁；对于来自内部的攻击，进一步了解发起的攻击在安全域或具体资产上的分布；

遭受攻击分布态势包括：在遭受攻击分布态势中，从多个维度了解掌握各类攻击行为所针对目标对象的分布；从对象集合的维度来看，呈现被攻击目标在安全域、资产类型和业务系统上的分布；从网络分层的维度来看，呈现被攻击目标在网络层、主机层、业务层以及数据层的分布；

攻击规律包括：通过攻击规律和趋势态势，综合各类攻击信息从多个方面了解攻击的规律和趋势情况；攻击规律方面，了解攻击源与攻击目标的汇总抽象关系，监视安全域、攻击类型、资产类型之间的对应关系及规律，以及掌握当前受攻击最严重的安全域、资产类型和具体资产信息；趋势态势方面，从网络、主机、业务、数据四个维度了解攻击数量的发生趋势。

7.根据权利要求6所述的一种用于网络安全整体保障的方法，其特征在于，所述基于所述用户终端的登陆行为的特征判断是否允许所述用户终端登陆，包括：

至少获取所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息；

基于所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息，判断是否允许所述用户终端登陆。

8.根据权利要求6所述的一种用于网络安全整体保障的方法，其特征在于，所述基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为，包括：

通过机器学习模型基于所述用户操作行为的特征和/或所述IT资产的特征，判断是否发生攻击行为。

9.根据权利要求6-8任意一项所述的一种用于网络安全整体保障的方法，其特征在于，还包括：

获取用户对网络安全的认知情况，并根据所述用户对网络安全的认知情况生成学习资料，还用于将所述学习资料发送至所述用户使用的用户终端。

10.根据权利要求7所述的一种用于网络安全整体保障的方法，其特征在于，所述基于所述用户终端的登陆行为的IP地址、发生时间、设备信息及用户个人信息，判断是否允许所述用户终端登陆，包括：

基于方向梯度直方图（HOG）特征、局部二值模式（LBP）特征、Haar-like特征算法提取包含有深度信息的用户的面部图像中的颜色特征、纹理特征、形状特征和空间关系特征，确定用户的面部的特征；

判断用户终端的登陆行为的IP地址是否为允许的IP地址、用户终端的登陆行为的发生时间是否位于允许的登陆时间段、用户终端的设备信息是否符合预设设备要求及根据用户的面部的特征是否为已验证的用户；

若所述用户终端的登陆行为的IP地址为允许的IP地址、用户终端的登陆行为的发生时间位于允许的登陆时间段、用户终端的设备信息符合预设设备要求及根据用户的面部的特征为已验证的用户，判断允许用户终端登陆。

Images