本发明专利技术公开了一种网络监测方法及监测服务器,其中,网络监测方法包括:监测服务器获取被监测服务器的消息数据;监测服务器获取消息数据中交互方的网络标识;监测服务器根据网络标识查询本地的第一黑名单;第一黑名单是监测服务器从云端服务器的第二黑名单获得的;云端服务器的第二黑名单包括多个关联攻击行为的网络标识;在第一黑名单存在网络标识时,确定消息数据为威胁性消息数据。监测服务器的第一黑名单是从云端服务器的第二黑名单中获得的,由于第二黑名单中的网络标识是关联攻击行为的网络标识,因此即使该网络标识对应的交互方没有发起攻击监测服务器也可以发现交互方对被监测服务器的威胁,从而实现了对攻击行为的主动防御。
【技术实现步骤摘要】
一种网络监测方法及监测服务器
本专利技术涉及网络安全
,尤其涉及一种网络监测方法及监测服务器。
技术介绍
随着网络环境越来越复杂,不同的攻击行为更具产业化、团伙化,入侵手法也越来越多样化和复杂化,使得传统安全解决方案持续受到挑战。然而,传统的安全产品,如入侵防御系统(IntrusionPreventionSystem,IPS)、入侵检测系统(IntrusionDetectionSystems,IDS)、防火墙等通常都是根据特定的攻击行为做出相应的防护,因此,这些防护手段只能在攻击发生后被动进行防护。
技术实现思路
本专利技术提供一种网络监测方法及监测服务器,用以实现对攻击行为的主动防御。本专利技术实施例提供一种网络监测方法,包括:监测服务器获取被监测服务器的消息数据;所述监测服务器获取所述消息数据中交互方的网络标识;所述监测服务器根据所述网络标识查询本地的第一黑名单;所述第一黑名单是所述监测服务器从云端服务器的第二黑名单获得的;所述云端服务器的第二黑名单包括多个关联攻击行为的网络标识;在所述第一黑名单存在所述网络标识时,确定所述消息数据为威胁性消息数据。可选的,所述云端服务器的第二黑名单中还包括每一个网络标识所对应的信息记录;所述监测服务器确定所述消息数据为威胁性消息数据之后,还包括:将所述威胁性消息数据对应的威胁事件发送至所述云端服务器;以使所述云端服务器根据所述威胁事件中的网络标识更新所述第二黑名单中所述网络标识的信息记录。可选的,所述监测服务器还包括第一白名单;所述第一白名单是所述监测服务器从所述云端服务器的第二白名单获得的;所述监测服务器根据所述网络标识查询本地的第一黑名单之后,还包括:在所述第一黑名单不存在所述网络标识时,所述监测服务器根据所述网络标识查询所述第一白名单;在所述第一白名单不存在所述网络标识时,所述监测服务器将所述消息数据发送至所述云端服务器,以使所述云端服务器查询所述第二黑名单和所述第二白名单以确定所述消息数据是否为威胁性消息数据。可选的,还包括:所述监测服务器按照预设的第一时间间隔向所述云端服务器发送消息数据包;所述消息数据包中包括在预设的第一时间间隔内,所述被监测服务器的消息数据总量;所述云端服务器用于根据所述消息数据总量对所述被监测服务器进行统计分析。可选的,还包括:所述监测服务器接收所述云端服务器返回的分析报告;所述分析报告包括所述被监测服务器在预设的第二时间间隔内的威胁事件统计分析结果。本专利技术实施例提供一种监测服务器,包括:收发单元,用于获取被监测服务器的消息数据;处理单元,用于获取所述消息数据中交互方的网络标识;所述处理单元,还用于根据所述网络标识查询本地的第一黑名单;所述第一黑名单是所述处理单元通过所述收发单元从云端服务器的第二黑名单获得的;所述云端服务器的第二黑名单包括多个关联攻击行为的网络标识;所述处理单元,还用于在所述第一黑名单存在所述网络标识时,确定所述消息数据为威胁性消息数据。可选的,所述云端服务器的第二黑名单中还包括每一个网络标识所对应的信息记录;所述处理单元还用于:通过所述收发单元将所述威胁性消息数据对应的威胁事件发送至所述云端服务器;以使所述云端服务器根据所述威胁事件中的网络标识更新所述第二黑名单中所述网络标识的信息记录。可选的,所述监测服务器还包括第一白名单;所述第一白名单是所述处理单元通过所述收发单元从所述云端服务器的第二白名单获得的;所述处理单元还用于:在所述第一黑名单不存在所述网络标识时,根据所述网络标识查询所述第一白名单;在所述第一白名单不存在所述网络标识时,通过所述收发单元将所述消息数据发送至所述云端服务器,以使所述云端服务器查询所述第二黑名单和所述第二白名单以确定所述消息数据是否为威胁性消息数据。可选的,所述处理单元还用于:通过所述收发单元按照预设的第一时间间隔向所述云端服务器发送消息数据包;所述消息数据包中包括在预设的第一时间间隔内,所述被监测服务器的消息数据总量;所述云端服务器用于根据所述消息数据总量对所述被监测服务器进行统计分析。可选的,所述收发单元还用于:接收所述云端服务器返回的分析报告;所述分析报告包括所述被监测服务器在预设的第二时间间隔内的威胁事件统计分析结果。本专利技术实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述任一项所述的网络监测方法。本专利技术实施例提供一种计算设备,包括:存储器,用于存储程序指令;处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述任一项所述的网络监测方法。综上所述,本专利技术实施例提供一种网络监测方法及监测服务器,其中,网络监测方法包括:监测服务器获取被监测服务器的消息数据;监测服务器获取消息数据中交互方的网络标识;监测服务器根据网络标识查询本地的第一黑名单;第一黑名单是监测服务器从云端服务器的第二黑名单获得的;云端服务器的第二黑名单包括多个关联攻击行为的网络标识;在第一黑名单存在网络标识时,确定消息数据为威胁性消息数据。在本专利技术实施例中,监测服务器的第一黑名单是从云端服务器的第二黑名单中获得的,由于第二黑名单中的网络标识是关联攻击行为的网络标识,因此即使该网络标识对应的交互方没有发起攻击监测服务器也可以发现交互方对被监测服务器的威胁,从而实现了对攻击行为的主动防御。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供一种网络监测系统架构示意图;图2为本专利技术实施例提供的一种网络监测方法流程示意图;图3为本专利技术实施例提供的一种可行的网络监测方法流程示意图图4为本专利技术实施例提供的一种监测服务器结构示意图;图5为本专利技术实施例提供的一种计算设备结构示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。图1为本专利技术实施例提供一种网络监测系统架构示意图,如图1所示,云端服务器与监测服务器1、监测服务器2、……、监测服务器N等N台监测服务器通过网络连接,N大于等于1。对于任一监测服务器,其与一被监测服务器连接。监测服务器能够从被监测服务器获取被监测服务器的镜像消息数据,即被监测服务器所发送或接收的每一条消息数据都会传至监测服务器。可选的,被监测服务器可以是各机构的内部网关服务器,机构内网发送或接收的外界消息必须经过内部网关服务器。监测服务器镜像内部网关服务器的消息数据实际上镜像的是内网与外界交互的消息数据,从而实现了对内网的网络威胁的监测。监测服务器和被监测服务器可以是两台单独的服务器,二者之间通过网络进行数据传输,可选的,监测服务器和被监测服务器也可以集成于同一台服务器,例如,在被监测服务器上通过安装监测软件或功能模块使被监测服务器同时集成了监测服务器的功能。为了便于理解,本申请将监本文档来自技高网...
【技术保护点】
1.一种网络监测方法,其特征在于,包括:监测服务器获取被监测服务器的消息数据;所述监测服务器获取所述消息数据中交互方的网络标识;所述监测服务器根据所述网络标识查询本地的第一黑名单;所述第一黑名单是所述监测服务器从云端服务器的第二黑名单获得的;所述云端服务器的第二黑名单包括多个关联攻击行为的网络标识;在所述第一黑名单存在所述网络标识时,确定所述消息数据为威胁性消息数据。
【技术特征摘要】
1.一种网络监测方法,其特征在于,包括:监测服务器获取被监测服务器的消息数据;所述监测服务器获取所述消息数据中交互方的网络标识;所述监测服务器根据所述网络标识查询本地的第一黑名单;所述第一黑名单是所述监测服务器从云端服务器的第二黑名单获得的;所述云端服务器的第二黑名单包括多个关联攻击行为的网络标识;在所述第一黑名单存在所述网络标识时,确定所述消息数据为威胁性消息数据。2.如权利要求1所述的方法,其特征在于,所述云端服务器的第二黑名单中还包括每一个网络标识所对应的信息记录;所述监测服务器确定所述消息数据为威胁性消息数据之后,还包括:将所述威胁性消息数据对应的威胁事件发送至所述云端服务器;以使所述云端服务器根据所述威胁事件中的网络标识更新所述第二黑名单中所述网络标识的信息记录。3.如权利要求1所述的方法,其特征在于,所述监测服务器还包括第一白名单;所述第一白名单是所述监测服务器从所述云端服务器的第二白名单获得的;所述监测服务器根据所述网络标识查询本地的第一黑名单之后,还包括:在所述第一黑名单不存在所述网络标识时,所述监测服务器根据所述网络标识查询所述第一白名单;在所述第一白名单不存在所述网络标识时,所述监测服务器将所述消息数据发送至所述云端服务器,以使所述云端服务器查询所述第二黑名单和所述第二白名单以确定所述消息数据是否为威胁性消息数据。4.如权利要求2所述的方法,其特征在于,还包括:所述监测服务器按照预设的第一时间间隔向所述云端服务器发送消息数据包;所述消息数据包中包括在预设的第一时间间隔内,所述被监测服务器的消息数据总量;所述云端服务器用于根据所述消息数据总量对所述被监测服务器进行统计分析。5.如权利要求4所述的方法,其特征在于,还包括:所述监测服务器接收所述云端服务器返回的分析报告;所述分析报告包括所述被监测服务器在预设的第二时间间隔内的威胁事件统计分析结果。6.一种监测服务器,其特征在于,包括:收发单元,用于获取被监测服务器的消息数据;处理单元,用于获取所述消息数据中交互方的网络标识;所述处理单元,还用于根据所述网络标识...
【专利技术属性】
技术研发人员:周素华,黄帅,张宏斌,范敦球,曹建仓,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。