网络安全监控方法及基于该监控方法的防御系统与流程

1.本技术涉及互联网技术领域，具体是网络安全监控方法及基于该监控方法的防御系统。


背景技术：

2.网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。但是随着网络技术和攻击技术的快速发展，网络数据的安全问题变得越来越重要。在传统的网络数据安全监测及防御技术中，检测过程完整性不足，对于网络安全事件的检测力度不够，无法准确地检测出网络系统中的网络威胁，导致后续的安全防御出现防御压力大、防御耗时久的情况，进而造成整个网络系统的安全等级较差。


技术实现要素：

3.本技术的目的在于提供一种网络安全监控方法及基于该监控方法的防御系统，以解决上述背景技术中提出的传统网络数据安全监测及防御技术存在检测过程完整性和检测力度不足的问题。
4.为实现上述目的，本技术公开了以下技术方案：一种网络安全监控方法，该方法包括以下步骤：
5.对网络设备进行数据备案，所述数据备案包括对网络设备的ip地址、网络设备的mac地址、网络设备的应用信息、网络设备的应用权限进行预存储；
6.对网络设备产生的网络数据进行抓取；
7.对抓取到的网络数据进行解析，获取该网络数据对应的流量信息，所述流量信息包括ip地址、mac地址、对应的应用信息、数据量；
8.基于网络设备的数据备案，对获取的所述流量信息进行比对；
9.在所述流量信息与所述数据备案中的数据不匹配时，发出相应的告警信息。
10.作为优选，所述的对网络设备产生的数据进行抓取具体包括以下步骤：
11.网络数据的监视：对发送了请求包的网络设备进行识别，并对该网络设备的数据端口处的网络流量进行动态监控；
12.网络设备的识别：将获取的网络设备识别结果与预存储的网络设备标识进行比对验证，当验证结果为该网络设备识别结果中的标识与预存储的网络设备标识相同时，将该网络设备的请求包和对应的响应包传输至第一消息队列，当验证结果为该网络设备识别结果中的标识与预存储的网络设备标识不同时，将该网络设备的请求包和对应的响应包传输至第二消息队列；
13.漏洞的扫描：基于多线程扫描规则同时进行的方式对第一消息队列中的请求包对应的网络设备的网络数据动态监视结果进行漏洞扫描，基于漏洞扫描规则依次进行的方式对第二消息队列中的请求包对应的网络设备的网络数据动态监视结果进行漏洞扫描；
14.漏洞的判定：将漏洞的扫描结果与已知的漏洞特征进行比对，将所述第一消息队列中未扫描到漏洞的网络数据定义为抓取到的网络数据，将所述第一消息队列和所述第二消息队列中扫描到的漏洞记录为安全攻击扫描结果，记录并进行所述数据备案。
15.作为优选，所述漏洞扫描规则至少包括ping扫描、tcp扫描、udp端口扫描、栈指纹分析。
16.作为优选，在所述的对网络设备进行数据备案中，还包括基于所述数据备案中的数据建立异常监控模型，所述的建立异常监控模型具体包括：
17.采集网络设备运行时的样本数据，所述样本数据包括样本数据包、样本网络流量信息；
18.基于聚类算法对所述样本数据包、所述样本网络流量信息进行聚类处理，得到异常监控模型。
19.作为优选，在所述的对网络设备进行数据备案中，还包括基于已知的网络安全事件特征丰富异常监控模型的数据，所述的丰富异常监控模型的数据具体包括：
20.随机抽取已知的网络安全事件特征，将被抽取的网络安全事件特征与所述样本数据包和/或所述样本网络流量信息进行融合，获取融合样本；
21.所述网络设备运行所述融合样本，所述异常监控模型基于所述网络设备的对于该融合样本的响应结果进行数据丰富，并将融合样本及获取到的响应结果打包后存储于特征存储单元中。
22.作为优选，，所述的丰富异常监控模型的数据还包括：
23.基于聚类算法对所述融合样本进行聚类处理，将得到的处理结果及网络设备对应的响应结果打包后存储于所述特征存储单元中。
24.作为优选，所述的对获取的所述流量信息进行比对具体包括：
25.遍历所述流量信息及所述数据备案中的数据，当所述流量信息中的任意一个数据出现比对不成功时，判断该流量信息匹配不成功。
26.本技术还公开了一种适用于上述的网络安全监控方法的防御系统，包括：
27.配置为对网络设备进行数据备案的数据备案模块，所述数据备案包括对网络设备的ip地址、网络设备的mac地址、网络设备的应用信息、网络设备的应用权限进行预存储；
28.配置为对网络设备产生的网络数据进行抓取的数据抓取模块；
29.配置为对抓取到的网络数据进行解析的数据解析模块，所述数据解析模块获取该数据对应的流量信息，所述流量信息包括ip地址、mac地址、对应的应用信息、数据量；
30.配置为基于网络设备的数据备案对获取的所述流量信息进行比对的数据比对模块；
31.配置为在所述流量信息与所述数据备案中的数据不匹配时发出相应告警信息的告警模块；
32.配置为基于所述告警模块发出的告警信息进行主动防御的防御模块，所述防御模块包括配置为提取所述网络数据中的数据特征的特征提取单元、配置为将提取到的数据特征与网络攻击特征进行匹配的攻击分析单元、配置为存储网络攻击特征及其防御策略的特征存储单元、配置为基于网络攻击特征的匹配结果进行策略执行的攻击防御单元。
33.作为优选，所述数据抓取模块包括配置为对发送了请求包的网络设备进行识别并
对该网络设备的数据端口处的网络流量进行动态监控的网络数据监控单元、将获取的网络设备识别结果与预存储的网络设备标识进行比对验证的设备识别单元、用于对网络设备识别结果进行漏洞扫描的漏洞扫描单元、用于对漏洞扫描结果进行判定的漏洞判定单元。
34.作为优选，所述数据备案模块还配置为基于备案的数据进行异常监控模型的建立，所述异常监控模型的建立具体包括：采集网络设备运行时的样本数据，所述样本数据包括样本数据包、样本网络流量信息；基于聚类算法对所述样本数据包、所述样本网络流量信息进行聚类处理，得到异常监控模型；所述数据备案模块与所述漏洞判定单元相连，所述数据备案模块接收所述漏洞判定单元判定的漏洞信息，基于聚类算法和镜像模拟方法对网络设备应对漏洞信息的响应结构进行聚类处理和模拟攻击，将聚类处理得到的漏洞数据和应对模拟攻击的策略存储于所述特征存储单元内。
35.有益效果：本技术的网络安全监控方法及基于该监控方法的防御系统，基于网络设备的数据备案以及网络数据的抓取和解析，全面的分析网络数据的安全性，避免具有安全威胁的网络数据进入到目标系统中。同时，在安全监控过程中，通过漏洞扫描、异常监控模型的建立，完善异常数据的监测，实现在大数据的基础上，全面的进行数据检测，确保网络数据的安全性。并且，在发现异常数据时，及时地做出告警以及进一步地主动防御策略，且基于完善的漏洞分析、模拟攻击获取的防御策略，实现高效、及时的安全事件防御行为，确保网络安全。
附图说明
36.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅是本技术的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
37.图1为本技术实施例中网络安全监控方法的流程示意图。
具体实施方式
38.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
39.在本文中，术语“包括”意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
40.实施例
41.参考图1所示的一种网络安全监控方法，该方法包括以下步骤：
42.s101-对网络设备进行数据备案，所述数据备案包括对网络设备的ip地址、网络设备的mac地址、网络设备的应用信息、网络设备的应用权限进行预存储。
43.s102-对网络设备产生的网络数据进行抓取。在本实施例中，对网络设备产生的数据进行抓取具体包括以下步骤：
44.t1-网络数据的监视：对发送了请求包的网络设备进行识别，并对该网络设备的数据端口处的网络流量进行动态监控；
45.t2-网络设备的识别：将获取的网络设备识别结果与预存储的网络设备标识进行比对验证，当验证结果为该网络设备识别结果中的标识与预存储的网络设备标识相同时，将该网络设备的请求包和对应的响应包传输至第一消息队列，当验证结果为该网络设备识别结果中的标识与预存储的网络设备标识不同时，将该网络设备的请求包和对应的响应包传输至第二消息队列；
46.t3-漏洞的扫描：基于多线程扫描规则同时进行的方式对第一消息队列中的请求包对应的网络设备的网络数据动态监视结果进行漏洞扫描，基于漏洞扫描规则依次进行的方式对第二消息队列中的请求包对应的网络设备的网络数据动态监视结果进行漏洞扫描，所述漏洞扫描规则至少包括ping扫描、tcp扫描、udp端口扫描、栈指纹分析；
47.t4-漏洞的判定：将漏洞的扫描结果与已知的漏洞特征进行比对，将所述第一消息队列中未扫描到漏洞的网络数据定义为抓取到的网络数据，将所述第一消息队列和所述第二消息队列中扫描到的漏洞记录为安全攻击扫描结果，记录并进行所述数据备案。
48.t5-在抓取网络数据和判定漏洞后，再次进行数据备案，在本次数据备案中，基于所述数据备案中的数据建立异常监控模型，所述的建立异常监控模型具体包括：
49.采集网络设备运行时的样本数据，所述样本数据包括样本数据包、样本网络流量信息；
50.基于聚类算法对所述样本数据包、所述样本网络流量信息进行聚类处理，得到异常监控模型。
51.t6-然后，再一次进行数据备案，在本次数据备案中，基于已知的网络安全事件特征丰富异常监控模型的数据，所述的丰富异常监控模型的数据具体包括：
52.随机抽取已知的网络安全事件特征，将被抽取的网络安全事件特征与所述样本数据包和/或所述样本网络流量信息进行融合，获取融合样本；
53.所述网络设备运行所述融合样本，所述异常监控模型基于所述网络设备的对于该融合样本的响应结果进行数据丰富，并将融合样本及获取到的响应结果打包后存储于特征存储单元中。
54.进一步地，所述的丰富异常监控模型的数据还包括：
55.基于聚类算法对所述融合样本进行聚类处理，将得到的处理结果及网络设备对应的响应结果打包后存储于所述特征存储单元中。
56.s103-对抓取到的网络数据进行解析，获取该网络数据对应的流量信息，所述流量信息包括ip地址、mac地址、对应的应用信息、数据量。
57.s104-基于网络设备的数据备案，对获取的所述流量信息进行比对。
58.s105-在所述流量信息与所述数据备案中的数据不匹配时，发出相应的告警信息。
59.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该计算机可读存储介质可以是只读存储器、磁盘或光盘等。
60.基于上述的网络安全监控方法，本实施例公开了一种基于上述方法的防御系统，包括：数据备案模块、数据抓取模块、数据解析模块、数据比对模块、告警模块、防御模块。
61.具体的
62.数据备案模块配置为对网络设备进行数据备案，运行方法及功能对应于步骤s101的内容。所述数据备案包括对网络设备的ip地址、网络设备的mac地址、网络设备的应用信息、网络设备的应用权限进行预存储。
63.在本实施例中，所述数据备案模块还配置为基于备案的数据进行异常监控模型的建立，运行方法及功能对应于步骤t5和步骤t6的内容。所述异常监控模型的建立具体包括：采集网络设备运行时的样本数据，所述样本数据包括样本数据包、样本网络流量信息；基于聚类算法对所述样本数据包、所述样本网络流量信息进行聚类处理，得到异常监控模型；所述数据备案模块与所述漏洞判定单元相连，所述数据备案模块接收所述漏洞判定单元判定的漏洞信息，基于聚类算法和镜像模拟方法对网络设备应对漏洞信息的响应结构进行聚类处理和模拟攻击，将聚类处理得到的漏洞数据和应对模拟攻击的策略存储于所述特征存储单元内
64.数据抓取模块配置为对网络设备产生的网络数据进行抓取，运行方法及功能对应于步骤t1和步骤t4的内容。所述数据抓取模块包括配置为对发送了请求包的网络设备进行识别并对该网络设备的数据端口处的网络流量进行动态监控的网络数据监控单元、将获取的网络设备识别结果与预存储的网络设备标识进行比对验证的设备识别单元、用于对网络设备识别结果进行漏洞扫描的漏洞扫描单元、用于对漏洞扫描结果进行判定的漏洞判定单元。
65.数据解析模块配置为对抓取到的网络数据进行解析，运行方法及功能对应于步骤s103的内容。所述数据解析模块获取该数据对应的流量信息，所述流量信息包括ip地址、mac地址、对应的应用信息、数据量。
66.在本实施例中，所述数据抓取模块包括配置为对发送了请求包的网络设备进行识别并对该网络设备的数据端口处的网络流量进行动态监控的网络数据监控单元、将获取的网络设备识别结果与预存储的网络设备标识进行比对验证的设备识别单元、用于对网络设备识别结果进行漏洞扫描的漏洞扫描单元、用于对漏洞扫描结果进行判定的漏洞判定单元。
67.数据比对模块配置为基于网络设备的数据备案对获取的所述流量信息进行比对，运行方法及功能对应于步骤s104的内容。
68.告警模块配置为在所述流量信息与所述数据备案中的数据不匹配时发出相应告警信息，运行方法及功能对应于步骤s105的内容。
69.防御模块配置为基于所述告警模块发出的告警信息进行主动防御，所述防御模块包括配置为提取所述网络数据中的数据特征的特征提取单元、配置为将提取到的数据特征与网络攻击特征进行匹配的攻击分析单元、配置为存储网络攻击特征及其防御策略的特征存储单元、配置为基于网络攻击特征的匹配结果进行策略执行的攻击防御单元。
70.在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或
者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性、机械或其它的形式。
71.最后应说明的是：以上所述仅为本技术的优选实施例而已，并不用于限制本技术，尽管参照前述实施例对本技术进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。