一种网络安全防护方法和网络安全防护系统技术方案

本发明专利技术公开了一种网络安全防护方法和系统，所述网络安全防护方法包括：获取多维度数据；对获取到的所述多维度数据进行预处理，生成待分析数据；对所述待分析数据进行分析并生成预警报告，所述预警报告用于预告威胁；对所述待分析数据分析并生成预警报告至少包括：态势感知、实时分析预警或网络入侵攻击路径及威胁溯源分析；所述态势感知包括使用机器学习从所述待分析数据中提取正常网络状态下的流量上限，根据所述流量上限从所述待分析数据中划分出信任的流量数据，根据所述信任的流量数据建立流量评估模型，根据所述流量评估模型评估网络流量，如果监测到异常流量则生成所述预警报告；所述实时分析预警用于对异常数据进行预警。

A Network Security Protection Method and Network Security Protection System

The invention discloses a network security protection method and system. The network security protection method includes: acquiring multi-dimensional data; preprocessing the acquired multi-dimensional data to generate data to be analyzed; analyzing the data to be analyzed and generating early warning reports, which are used to predict threats; analyzing the data to be analyzed and generating early warning reports. The report includes at least situational awareness, real-time analysis and early warning, or network intrusion attack path and threat traceability analysis; the situational awareness includes extracting the traffic cap of normal network state from the data to be analyzed by machine learning, dividing the traffic data of trust from the data to be analyzed according to the traffic cap, and establishing traffic evaluation based on the traffic data of trust. The evaluation model evaluates network traffic according to the traffic evaluation model, generates the early warning report if abnormal traffic is detected, and the real-time analysis early warning is used for early warning of abnormal data.

【技术实现步骤摘要】
一种网络安全防护方法和网络安全防护系统
本专利技术涉及网络安全领域，特别是指一种网络安全防护方法和网络安全防护系统。
技术介绍
在网络安全防护方法中，异常检测是防护手段之一，但是由于技术条件的限制，普通的异常检测方法面临如下问题：模型粒度问题，普通的异常检测方法计算能力有限，很难建立对异常行为较为敏感的细粒度模型，从而导致较高的漏报率。以异常流量检测为例，建模对象往往基于安全域间的流量，这就使得个体间的攻击流量淹没在大量背景流量中，很难进行有效检测。特征数量问题，普通的异常检测方法计算能力有限，难建立从不同维度描述网络行为的高维模型，从而导致较高的误报率。特征数量选取的限制，使得只能基于低维的特征判断网络行为的异常度。模型训练问题，由于存储容量有限，很难基于长期的数据对模型进行充分的训练，从而导致模型的准确度不足。因此，面对日益复杂的网络结构，需要优化异常检测方法，提升对网络的安全防护效果。
技术实现思路
有鉴于此，本专利技术的目的在于提出一种提升网络安全防护效果的网络安全防护方法和网络安全防护装置。基于上述目的本专利技术提供的一种网络安全防护方法包括：获取多维度数据；对获取到的所述多维度数据进行预处理，生成待分析数据；对所述待分析数据进行分析并生成预警报告，所述预警报告用于预告威胁；对所述待分析数据分析并生成预警报告至少包括：态势感知、实时分析预警或网络入侵攻击路径及威胁溯源分析；所述态势感知包括使用机器学习从所述待分析数据中提取正常网络状态下的流量上限，根据所述流量上限从所述待分析数据中划分出信任的流量数据，根据所述信任的流量数据建立流量评估模型，根据所述流量评估模型评估网络流量，如果监测到异常流量则生成所述预警报告；所述实时分析预警用于对所述待分析数据中的异常数据进行预警。在一些实施方式中，所述使用机器学习从所述待分析数据中提取正常网络状态下的流量上限包括记录网络的流量变化特征，根据所述流量变化特征进行基础数据建模；所述根据所述信任的流量数据建立流量评估模型包括设置时间点，针对不同时间点下的所述信任的流量数据进行学习建模。在一些实施方式中，所述态势感知还包括蠕虫态势感知、木马态势感知；使用防病毒引擎监控网络流量，从而发现蠕虫病毒或木马；使用所述防病毒引擎监控蠕虫态势和木马态势。在一些实施方式中，所述态势感知还包括APT攻击态势感知，所述APT攻击态势感知包括部署未知威胁态势感知传感器，利用所述未知威胁态势传感器检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知恶意软件；至少利用应用层即文件层解码、智能ShellCode检测、动态沙箱检检测或基于漏洞的静态检测对未知威胁感知和检测。在一些实施方式中，所述态势感知还包括入侵意图识别，所述入侵意图识别包括利用动态贝叶斯网络模型、基于三层攻击图的入侵意图的自动识别模型及基于概率推理的入侵意图模型分析所述待分析数据中的不确定信息，预测攻击规划和攻击目标，生成所述预警报告。在一些实施方式中，所述实时分析预警至少包括阈值预警、趋势预警或关联预警；所述阈值预警包括预先设置指标数据的阈值参数，如果所述待分析数据中的指标数据超出阈值范围，则预警所述待分析数据中的指标数据异常；所述趋势预警包括预先建立趋势预警模型和算法，根据当前时间内的指标数据后推预设时间范围内的指标数据，对后推出的所述预设时间范围内的指标数据进行趋势分析，如果所述预设范围内的指标数据的趋势符合所述趋势预警模型，则预警当前时间内的指标数据异常；所述关联预警包括对多个指标数据进行关联，分析关联后的多个指标数据，根据对所述关联后的多个指标数据的分析结果评估故障影响、查找故障源。在一些实施方式中，所述网络入侵攻击路径及威胁溯源分析包括构建覆盖全网络的监测点，对检测到异常流量进行可视化；存储流经路由器的所有数据包，如果受到攻击，则查询所述流经所有路由器的所有数据包，进而确定攻击路径。在一些实施方式中，所述网络入侵攻击路径及威胁溯源分析还包括根据确定的攻击路径确定攻击源，对确定的攻击源进行拦截或隔离；根据所述攻击源制定防御建议，然后将所述防御建议写入所述预警报告。在一些实施方式中，所述多维度数据的获取方式至少包括日志采集、流量采集、情境数据采集或外部支持数据；所述对获取到的所述多维度数据进行预处理包括结构化处理或非结构化处理；所述对所述待分析数据进行分析至少包括特征提取、统计分析、模型训练、取证溯源或全文检索。本专利技术的实施例还提供一种网络安全防护系统，包括：数据获取模块，用于获取多维度数据；预处理模块，用于接收获取到的所述多维度数据并进行预处理，生成待分析数据并发送至分析单元；所述分析单元用于对所述待分析数据进行分析并生成预警报告，所述预警报告用于预告威胁；所述分析单元至少包括态势感知模块、实时分析预警模块或网络入侵攻击路径及威胁溯源分析模块；所述态势感知模块通过机器学习从所述待分析数据中提取正常网络状态下的流量上限，根据所述流量上限从所述分析数据中划分出信任的的流量数据，根据所述信任的流量数据建立流量评估模型，根据所述流量评估模型评估网络流量，如果监测到异常流量则生成所述预警报告；所述实时分析预警模块用于对所述待分析数据中的异常数据进行预警；所述网络入侵攻击路径及威胁溯源分析模块用于确定攻击源，对确定的攻击源进行拦截或隔离。从上面所述可以看出，本专利技术提供的网络安全防护方法，对于威胁的分析和预测准确性高，可以较好地实现网络防护。而且，该方法对多个维度的数据进行分析，可以应对复杂的网络攻击。进一步，通过使用防病毒引擎，对网络流量监控，发现蠕虫病毒、木马的传播，并通过对蠕虫病毒、木马态势监控，实现对僵尸网络的发现、打击及效果评估。进一步通过APT攻击态势感知，可以发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。附图说明图1是本专利技术实施例的一种网络安全防护方法的流程示意图；图2是本专利技术实施例的网络安全防护系统的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本专利技术进一步详细说明。需要说明的是，本专利技术实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本专利技术实施例的限定，后续实施例对此不再一一说明。本专利技术的实施例提供一种网络安全防护方法，如图1所示，图1是本专利技术实施例的一种网络安全防护方法的流程示意图，该方法至少包括如下步骤：步骤A01：获取多维度数据。需要说明的是，多维度数据是指通过各种方式获取的各种类型的数据。以丰富多样的数据作为分析基础，提升对可能的威胁预测的准确性。多维度数据可以包括网络流量、病毒数量、木马数量、受攻击端口等。步骤A02：对获取到的多维度数据进行预处理，生成待分析数据。在一些实施方式中，对多维度数据的处理为结构化处理或非结构化处理。对多维度数据的结构化处理可以增加数据的可读性，使得数据在后期易于分析。对多维度数据的非结构化处理可以用于处理不适于使用二维逻辑来表达的数据，例如图像、视频等。步骤A03：对待分析数据进行分析并生成预警报告，此预警报告用于预告威胁。步骤A03中本文档来自技高网...

【技术保护点】
1.一种网络安全防护方法，其特征在于，包括：获取多维度数据；对获取到的所述多维度数据进行预处理，生成待分析数据；对所述待分析数据进行分析并生成预警报告，所述预警报告用于预告威胁；对所述待分析数据分析并生成预警报告至少包括：态势感知、实时分析预警或网络入侵攻击路径及威胁溯源分析；所述态势感知包括使用机器学习从所述待分析数据中提取正常网络状态下的流量上限，根据所述流量上限从所述待分析数据中划分出信任的流量数据，根据所述信任的流量数据建立流量评估模型，根据所述流量评估模型评估网络流量，如果监测到异常流量则生成所述预警报告；所述实时分析预警用于对所述待分析数据中的异常数据进行预警。

【技术特征摘要】
1.一种网络安全防护方法，其特征在于，包括：获取多维度数据；对获取到的所述多维度数据进行预处理，生成待分析数据；对所述待分析数据进行分析并生成预警报告，所述预警报告用于预告威胁；对所述待分析数据分析并生成预警报告至少包括：态势感知、实时分析预警或网络入侵攻击路径及威胁溯源分析；所述态势感知包括使用机器学习从所述待分析数据中提取正常网络状态下的流量上限，根据所述流量上限从所述待分析数据中划分出信任的流量数据，根据所述信任的流量数据建立流量评估模型，根据所述流量评估模型评估网络流量，如果监测到异常流量则生成所述预警报告；所述实时分析预警用于对所述待分析数据中的异常数据进行预警。2.根据权利要求1所述的网络安全防护方法，其特征在于，所述使用机器学习从所述待分析数据中提取正常网络状态下的流量上限包括记录网络的流量变化特征，根据所述流量变化特征进行基础数据建模；所述根据所述信任的流量数据建立流量评估模型包括设置时间点，针对不同时间点下的所述信任的流量数据进行学习建模。3.根据权利要求1所述的网络安全防护方法，其特征在于，所述态势感知还包括蠕虫态势感知、木马态势感知；使用防病毒引擎监控网络流量，从而发现蠕虫病毒或木马；使用所述防病毒引擎监控蠕虫态势和木马态势。4.根据权利要求1所述的网络安全防护方法，其特征在于，所述态势感知还包括APT攻击态势感知，所述APT攻击态势感知包括部署未知威胁态势感知传感器，利用所述未知威胁态势传感器检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知恶意软件；至少利用应用层即文件层解码、智能ShellCode检测、动态沙箱检检测或基于漏洞的静态检测对未知威胁感知和检测。5.根据权利要求1所述的网络安全防护方法，其特征在于，所述态势感知还包括入侵意图识别，所述入侵意图识别包括利用动态贝叶斯网络模型、基于三层攻击图的入侵意图的自动识别模型及基于概率推理的入侵意图模型分析所述待分析数据中的不确定信息，预测攻击规划和攻击目标，生成所述预警报告。6.根据权利要求1所述的网络安全防护方法，其特征在于，所述实时分析预警至少包括阈值预警、趋势预警或关联预警；所述阈值预警包括预先设置指标数据的阈值参数，如果所述待分析数据中的指标数据超出阈值范...

【专利技术属性】
技术研发人员：来骥，张实君，彭柏，许大卫，万莹，刘昀，陈重韬，王海峰，李贤，孟德，聂正璞，李信，吴佳，王艺霏，辛霆麟，肖娜，徐相森，
申请(专利权)人：国网冀北电力有限公司信息通信分公司，国家电网有限公司，
类型：发明
国别省市：北京,11