一种安全监控方法及系统技术方案

一种安全监控方法及系统，包括：采集网络交换设备中的网络流量数据并转换为网络流量事件；基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析，当出现异常后生成告警事件和资产访问关系；所述预先定义的暴露面访问基线，为根据网络交换设备非故障情况下网络流量事件的统计值计算得到。本发明专利技术根据资产访问关系与告警事件，为外部网络攻击的路径、攻击方式进一步地进行分析提供了依据。

A security monitoring method and system

A security monitoring method and system, including: collecting network traffic data in a network switching device and converting to network traffic events; analysis of the network traffic events based on a pre defined exposure surface access baseline and pre registered exposure surface information on the described network traffic events, and generate alarm events when an exception occurs and to generate alarm events. The asset access relationship; the predefined exposure surface access baseline is calculated based on the statistical value of network traffic events under the non fault condition of the network switching device. The invention provides a basis for further analysis of the path and attack mode of external network attacks according to the relationship between assets and alarm events.

【技术实现步骤摘要】
一种安全监控方法及系统
本专利技术涉及网络安全监控相关领域，具体涉及一种安全监控方法及系统。
技术介绍
系统能够从外部访问的资源集合定义为系统的暴露面。当前，随着互联网技术的快速发展及互联网+理念的迅速推广，越来越多的企业将自己的信息资产接入互联网，这些资产都可以统称为暴露面。伴随暴露面的增加而来的是企业网络安全监测设备的增加及遭受网络攻击风险的加剧。常规网络安全监测方式对一般性的攻击具有较强的防护能力，能够对攻击进行防护与告警。目前网络安全监测系统将主要精力集中在对于网络中流量或网络安全设备日志中异常部分检测上。例如：网络应用入侵防御系统WAF、IDS等系统主要分析流量中的异常特征，来判定外界对系统内网络资产的攻击；通过采集网络安全设备的日志信息，并通过实时或离线分析发现高级持续性威胁。但是关注具体的攻击或发现网络中的某台资产受到的攻击与风险，如果网络访问策略配置不当或外围暴露面被入侵，入侵者会基于一个暴露面不断地向系统内部渗透，从而形成一个暴露链，最终导致核心资产设备的暴露，造成难以估量的后果。
技术实现思路
为了解决现有技术中所存在的上述不足，本专利技术提供一种安全监控方法及系统。本专利技术提供的技术方案是：一种安全监控方法，包括：采集网络交换设备中的网络流量数据并转换为网络流量事件；基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析，当出现异常后生成告警事件和资产访问关系；所述预先定义的暴露面访问基线，为根据网络交换设备非故障情况下网络流量事件的统计值计算得到。优选的，所述预先定义的暴露面访问基线，包括：暴露面服务端口活动基线、暴露服务访问互联网基线和暴露面流量协议分析基线；所述暴露面服务端口活动基线为根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期分组得到的统计值计算得到；所述暴露服务访问互联网基线为根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到；所述暴露面流量协议分析基线为根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到。优选的，所述采集网络交换设备中的网络流量数据并转换为网络流量事件，包括：采集交换设备的网络流量数据；基于面向对象的方式将所述网络流量数据转换为网络流量事件；所述网络流量事件包括：数据库访问事件、网络连接事件和HTTP访问事件。优选的，所述数据库访问事件为数据库操作产生的网络流量信息；所述网络连接事件为网络连接操作产生的网络流量信息；所述HTTP访问事件为HTTP协议操作产生的网络流量信息。优选的，在所述网络流量数据转换为网络流量事件后，所述安全监控方法，还包括：对所述网络流量事件进行丰富化处理；所述丰富化处理包括：IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析和超文本传输协议解析。优选的，所述告警事件包括：暴露面不当暴露告警与暴露面过度暴露告警；所述当出现异常后生成告警事件，包括：当存在非法的访问或恶意访问时，生成所述暴露面不当暴露告警；将当前网络流量事件与所述暴露面访问基线对比，在规定时间内的网络连接事件条数远大于所述暴露面访问基线时，生成暴露面过度暴露告警。优选的，所述出现异常后生成资产访问关系包括：分析实时的网络流量事件中的源IP与目的IP信息；在两个资产IP之间有网络流量事件生成时，生成资产访问关系，并记录资产之间的访问次数，同时标注访问方向；以及对非法的访问进行标记。优选的，所述预先登记的暴露面的基本信息，包括：网域信息、资产信息、服务信息和漏洞信息；对所述网域信息的登记，包括：以IP地址段‐所属网域的格式录入内网不同的网域信息；对所述资产信息的登记，包括：以输入框或文件的方式录入或批量导入网络资产名称、网络资产编号、网络资产使用者、网络资产IP地址和网络使用的操作系统信息；对所述服务信息的登记，包括：以输入框的方式录入网络资产所属的服务名称、服务类型、服务URL和服务使用软件信息；对所述漏洞信息的登记，包括：通过漏洞扫描或查阅漏洞知识库，采集操作系统漏洞、软件漏洞及相关的漏洞级别，以输入框或文件的方式录入或批量导入。优选的，所述网络流量数据，包括：基于网络的数据源与基于主机的数据源；所述基于网络的数据源包括：完整的数据包、会话数据、吞吐量统计数据和安全设备告警数据；所述基于主机的数据源包括：操作系统事件日志和主机防护系统告警数据。基于同一专利技术构思，本专利技术还提供了一种安全监控系统，包括：流量采集模块：用于采集网络交换设备中的网络流量数据并转换为网络流量事件；离线分析模块：用于预先根据网络交换设备对非故障情况下网络流量事件的统计值进行计算，得到暴露面访问基线；暴露面登记模块，用于预先登记暴露面的基本信息；实时分析模块：用于基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析，当出现异常后生成告警事件和资产访问关系。优选的，所述离线分析模块，包括：暴露面服务端口活动基线单元：用于根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期进行分组得到的统计值计算得到暴露面服务端口活动基线；暴露服务访问互联网基线单元：用于根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到暴露服务访问互联网基线；暴露面流量协议分析基线单元：用于根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到暴露面流量协议分析基线。优选的，所述流量采集模块，包括：数据库访问事件单元、网络连接事件单元和HTTP访问事件单元；所述数据库访问事件单元：用于将不同主机之间数据库操作在网络中产生的网络流量信息转化为数据库访问事件；所述网络连接事件单元：用于将网络连接操作产生的网络流量信息转化为网络连接事件；所述HTTP访问事件单元：用于将主机之间通过HTTP协议进行交互过程中产生的网络流量信息转化为HTTP访问事件。优选的，所述安全监控系统，还包括：网络流量事件丰富化模块；所述网络流量事件丰富化模块：用于在所述网络流量数据转换为网络流量事件后，对所述网络流量事件进行IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析和超文本传输协议解析。优选的，所述实时分析模块，包括：暴露面不当暴露告警单元、暴露面过度暴露告警单元和资产访问关系单元；所述暴露面不当暴露告警单元：用于在出现非法的访问或恶意访问时，生成暴露面不当暴露告警；所述暴露面过度暴露告警单元：用于将当前网络流量事件与所述暴露面访问基线对比，在规定时间内的网络连接事件条数远大于所述暴露面访问基线时，生成暴露面过度暴露告警；所述资产访问关系单元：用于通过分析实时的网络流量事件中的源IP与目的IP信息，每当在两个资产IP之间有网络流量事件生成时，则生成资产访问关系并记录资产之间的访问次数，同时标注访问方向；同时对非法的访问进行标记。优选的，所述暴露面登记模块，包括：网域信息登记单元、资产信息登记单元、服务信息登记单元和漏本文档来自技高网...

【技术保护点】
一种安全监控方法，其特征在于，包括：采集网络交换设备中的网络流量数据并转换为网络流量事件；基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析，当出现异常后生成告警事件和资产访问关系；所述预先定义的暴露面访问基线，为根据网络交换设备非故障情况下网络流量事件的统计值计算得到。

【技术特征摘要】
1.一种安全监控方法，其特征在于，包括：采集网络交换设备中的网络流量数据并转换为网络流量事件；基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析，当出现异常后生成告警事件和资产访问关系；所述预先定义的暴露面访问基线，为根据网络交换设备非故障情况下网络流量事件的统计值计算得到。2.如权利要求1所述的安全监控方法，其特征在于，所述预先定义的暴露面访问基线，包括：暴露面服务端口活动基线、暴露服务访问互联网基线和暴露面流量协议分析基线；所述暴露面服务端口活动基线为根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期分组得到的统计值计算得到；所述暴露服务访问互联网基线为根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到；所述暴露面流量协议分析基线为根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到。3.如权利要求1所述的安全监控方法，其特征在于，所述采集网络交换设备中的网络流量数据并转换为网络流量事件，包括：采集交换设备的网络流量数据；基于面向对象的方式将所述网络流量数据转换为网络流量事件；所述网络流量事件包括：数据库访问事件、网络连接事件和HTTP访问事件。4.如权利要求3所述的安全监控方法，其特征在于，所述数据库访问事件为数据库操作产生的网络流量信息；所述网络连接事件为网络连接操作产生的网络流量信息；所述HTTP访问事件为HTTP协议操作产生的网络流量信息。5.如权利要求1所述的安全监控方法，其特征在于，在所述网络流量数据转换为网络流量事件后，所述安全监控方法，还包括：对所述网络流量事件进行丰富化处理；所述丰富化处理包括：IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析和超文本传输协议解析。6.如权利要求1所述的安全监控方法，其特征在于，所述告警事件包括：暴露面不当暴露告警与暴露面过度暴露告警；所述当出现异常后生成告警事件，包括：当存在非法的访问或恶意访问时，生成所述暴露面不当暴露告警；将当前网络流量事件与所述暴露面访问基线对比，在规定时间内的网络连接事件条数远大于所述暴露面访问基线时，生成暴露面过度暴露告警。7.如权利要求1所述的安全监控方法，其特征在于，所述出现异常后生成资产访问关系包括：分析实时的网络流量事件中的源IP与目的IP信息；在两个资产IP之间有网络流量事件生成时，生成资产访问关系，并记录资产之间的访问次数，同时标注访问方向；以及对非法的访问进行标记。8.如权利要求1所述的安全监控方法，其特征在于，所述预先登记的暴露面的基本信息，包括：网域信息、资产信息、服务信息和漏洞信息；对所述网域信息的登记，包括：以IP地址段‐所属网域的格式录入内网不同的网域信息；对所述资产信息的登记，包括：以输入框或文件的方式录入或批量导入网络资产名称、网络资产编号、网络资产使用者、网络资产IP地址和网络使用的操作系统信息；对所述服务信息的登记，包括：以输入框的方式录入网络资产所属的服务名称、服务类型、服务URL和服务使用软件信息；对所述漏洞信息的登记，包括：通过漏洞扫描或查阅漏洞知识库，采集操作系统漏洞、软件漏洞及相关的漏洞级别，以输入框或文件的方式录入或批量导入。9.如权利要求1所述的安全监控方法，其特征在于，所述网络流量数据，包括：基于网络的数据源与基于主机的数据源；所述基于网络的数据源...

【专利技术属性】
技术研发人员：郭昊，张英杰，马铁军，何小芸，
申请(专利权)人：全球能源互联网研究院有限公司，
类型：发明
国别省市：北京,11