一种基于流量感知的网络资产符合性分析方法与流程

本发明涉及网络资产信息安全技术领域，尤其涉及一种基于流量感知的网络资产符合性分析方法。

背景技术：

信息系统网络空间是由无数节点构成，每个节点都是一个接入网络的it资产(或称信息资产)，信息资产包括主机操作系统、网络设备、安全设备、数据库、中间件、应用组件。信息资产是信息安全管理中最基础最重要的载体。随着企业内部业务的不断壮大，业务信息化的高速发展，各种业务支撑平台和管理系统越来越复杂，信息资产如服务器、存储设备、网络设备、安全设备数量越积越多，类型也越来越丰富，带给管理员的资产管理工作也愈发困难，使得信息资产存在较多的已知漏洞及配置违规；为此，本申请中提出一种基于流量感知的网络资产符合性分析方法。

技术实现要素：

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种基于流量感知的网络资产符合性分析方法，本发明可以不受任何网络流量类型、任何类型应用场景的限制，并且能在网络流量加密的情况对网络资产存在漏洞进行检测，大大提高网络资产的安全性。

(二)技术方案

为解决上述问题，本发明提供了一种基于流量感知的网络资产符合性分析方法，包括以下具体步骤：

s1、收集网络资产的资产信息，获得数据信息；

s2、获取网络资产中每组网络流量的各类特征，将同组网络流量的各类特征的多个特征值以及数据信息整理合成为一个图样，以得到的图样为训练数据进行机器学习；

s3、对获得的网络流量对应的图样，通过机器学习寻找该图样对应的网络资产中可能存在的漏洞。

优选的，数据信息与保存在资产数据库中经过确认的资产属性信息进行对比分析，以实现对资产数据库中的联网主机的资产信息的自动更新。

优选的，数据信息的获取是通过进行基于web服务、服务端语言、web开发框架、web应用、前端库及第三方组件识别中的一种或多种来收集获得。

优选的，数据信息至少包括网络资产标识、当前时间周期的网络资产的攻击事件和攻击事件对应的攻击结果、当前时间周期的网络资产的资产受攻击状态、当前时间周期的网络资产的攻击源网络协议ip地址的个数、当前时间周期的前n个时间周期的网络资产的攻击源ip地址的个数以及当前时间周期的网络资产的漏洞。

优选的，机器学习通过独立的机器学习子系统进行，以图样为训练数据根据设置的规则进行机器学习包括：

接收外部输入的规则和训练数据，通过训练和自我学习生成新的训练数据，每条训练数据包括网络流量的图样和数据信息，选取最优的图样和对应的数据信息作为知识存入知识库。

优选的，机器学习判断漏洞存在的方法，包括以下步骤：

s51、根据获得的网络流量对应的图样，从知识库中得到所有与该图样对应的网络资产作为结果；

s52、根据设置从网络资产中选择与该图样最接近的一个作为输出。

优选的，机器学习判断漏洞存在的方法，还包括以下步骤：

s53、根据资产信息确定当前时间周期的网络资产的风险评分，以及从网络资产阻断信息列表中获取网络资产对应的预设阈值；

s54、网络资产的风险评分大于等于预设阈值时，对输出的网络资产进行阻断。

优选的，设置的规则包括输入信息、决策信息和状态信息，输入信息为网络流量、网络流量的特征或图样，决策信息包括网络流量类型，状态信息表示图样识别为某种网络流量类型的准确率。

优选的，基于流量感知的网络资产符合性分析系统，包括

数据收集模块，用于收集网络资产的资产信息，获得数据信息；

图样合成模块，用于获取网络资产中每组网络流量的各类特征，将同组网络流量的各类特征的多个特征值以及数据信息整理合成为一个图样；

设定模块，用于机器学习模块提供规则、训练数据和输入信息；

机器学习模块，用于根据得到的图样为训练数据进行机器学习，以及对获得的网络流量对应的图样，寻找该图样对应的网络资产中可能存在的漏洞。

优选的，基于流量感知的网络资产符合性分析系统，还包括

自动更新模块，用于将数据信息与保存在资产数据库中经过确认的资产属性信息进行对比分析，以实现对资产数据库中的联网主机的资产信息的自动更新。

本发明的上述技术方案具有如下有益的技术效果：

本发明中，对网络资产中的网络流量进行综合性的特征分析，将每组网络流量的特征值以及数据信息整理合成为一个类似于位图的图样，进行机器学习，然后对获得的网络流量对应的图样，通过机器学习寻找该图样对应的网络资产中可能存在的漏洞，通过图样，使本发明可以不受任何网络流量类型、任何类型应用场景的限制，并且能在网络流量加密的情况对网络资产存在漏洞进行检测，大大提高网络资产的安全性。

附图说明

图1为本发明提出的一种基于流量感知的网络资产符合性分析方法的流程图图。

图2为本发明提出的一种基于流量感知的网络资产符合性分析方法中机器学习判断漏洞存在的方法的结构示意图。

图3为本发明提出的一种基于流量感知的网络资产符合性分析方法中基于流量感知的网络资产符合性分析系统的原理框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

如图1-3所示，本发明提出的一种基于流量感知的网络资产符合性分析方法，包括以下具体步骤：

s1、收集网络资产的资产信息，获得数据信息；

s2、获取网络资产中每组网络流量的各类特征，将同组网络流量的各类特征的多个特征值以及数据信息整理合成为一个图样，以得到的图样为训练数据进行机器学习；

s3、对获得的网络流量对应的图样，通过机器学习寻找该图样对应的网络资产中可能存在的漏洞。

本发明中，对网络资产中的网络流量进行综合性的特征分析，将每组网络流量的特征值以及数据信息整理合成为一个类似于位图的图样，进行机器学习，然后对获得的网络流量对应的图样，通过机器学习寻找该图样对应的网络资产中可能存在的漏洞，通过图样，使本发明可以不受任何网络流量类型、任何类型应用场景的限制，并且能在网络流量加密的情况对网络资产存在漏洞进行检测，大大提高网络资产的安全性。

在一个可选的实施例中，数据信息与保存在资产数据库中经过确认的资产属性信息进行对比分析，以实现对资产数据库中的联网主机的资产信息的自动更新，资产数据库具有自动更新功能，动态地掌握资产信息及其变化，提高对资产漏洞的掌握情况以及快速处理能力。

在一个可选的实施例中，数据信息的获取是通过进行基于web服务、服务端语言、web开发框架、web应用、前端库及第三方组件识别中的一种或多种来收集获得。

在一个可选的实施例中，数据信息至少包括网络资产标识、当前时间周期的网络资产的攻击事件和攻击事件对应的攻击结果、当前时间周期的网络资产的资产受攻击状态、当前时间周期的网络资产的攻击源网络协议ip地址的个数、当前时间周期的前n个时间周期的网络资产的攻击源ip地址的个数以及当前时间周期的网络资产的漏洞，其中，n为大于等于1的整数，n的取值可以根据实际需要自行设置，例如可以将1天(00：00～24:00)划分为一个时间周期，本发明实施例对此不作限定。

在一个可选的实施例中，机器学习通过独立的机器学习子系统进行，以图样为训练数据根据设置的规则进行机器学习包括：

接收外部输入的规则和训练数据，通过训练和自我学习生成新的训练数据，每条训练数据包括网络流量的图样和数据信息，选取最优的图样和对应的数据信息作为知识存入知识库；

机器学习的一般应用模型是将机器学习算法与当前系统有机结合，得到具有机器学习功能的新系统；采用机器学习方法，对网络流量和数据信息进行综合性的特征分析，考虑多个维度的网络流量特征，可以分析出网络流量的潜在规律，将网络流量的本质挖掘出来，从而对网络流量进行分类，并依据分类进行不同的处理，则可不受任何网络流量类型、任何类型应用场景的限制。

在一个可选的实施例中，机器学习判断漏洞存在的方法，包括以下步骤：

s51、根据获得的网络流量对应的图样，从知识库中得到所有与该图样对应的网络资产作为结果；

s52、根据设置从网络资产中选择与该图样最接近的一个作为输出。

在一个可选的实施例中，机器学习判断漏洞存在的方法，还包括以下步骤：

s53、根据资产信息确定当前时间周期的网络资产的风险评分，以及从网络资产阻断信息列表中获取网络资产对应的预设阈值；

s54、网络资产的风险评分大于等于预设阈值时，对输出的网络资产进行阻断；

需要说明是，大数据安全分析平台预先设置一个网络资产阻断信息列表，网络资产阻断信息列表中包含需要阻断的网络资产的预设阈值以及解除阻断方式的对应关系，解除阻断方式包括手动解除方式和定时解除方式，当解除阻断方式为定时解除方式时，网络资产阻断信息列表中还包括需要阻断的网络资产标识对应的预设时长，预设时长也就是定时解除方式对应的定时时长。

在一个可选的实施例中，设置的规则包括输入信息、决策信息和状态信息，输入信息为网络流量、网络流量的特征或图样，决策信息包括网络流量类型，状态信息表示图样识别为某种网络流量类型的准确率。

在一个可选的实施例中，基于流量感知的网络资产符合性分析系统，包括数据收集模块，用于收集网络资产的资产信息，获得数据信息；

图样合成模块，用于获取网络资产中每组网络流量的各类特征，将同组网络流量的各类特征的多个特征值以及数据信息整理合成为一个图样；

设定模块，用于机器学习模块提供规则、训练数据和输入信息；

机器学习模块，用于根据得到的图样为训练数据进行机器学习，以及对获得的网络流量对应的图样，寻找该图样对应的网络资产中可能存在的漏洞。

在一个可选的实施例中，基于流量感知的网络资产符合性分析系统，还包括

自动更新模块，用于将数据信息与保存在资产数据库中经过确认的资产属性信息进行对比分析，以实现对资产数据库中的联网主机的资产信息的自动更新。

本发明提供的基于流量感知的网络资产符合性分析系统能够准确可靠地发现联网信息系统的安全漏洞，实现系统漏洞快速修复，保证网络资产的安全提供了有利条件和良好的保障。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。