本发明专利技术适用于网络安全技术领域,提供了一种风险的感知方法及装置、监控系统,所述感知方法包括:获取原始网络流量;对所述原始网络流量进行还原,得到还原网络流量数据;从所述还原网络流量数据提取关键数据;调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。本发明专利技术中,基于原始网络流量调用威胁检测平台来进行风险感知,可提高风险感知的准确性。
【技术实现步骤摘要】
风险的感知方法及装置、监控系统
本专利技术属于网络安全
,尤其涉及一种风险的感知方法及装置、监控系统。
技术介绍
随着技术的发展,互联网技术的应用越来越广泛,开放的互联网环境,以及企业对于互联网的依赖,互联网上存在大量极具价值的数据和信息以供需要的用户通过合法手段获取,但这存在一定的风险。例如:网络黑客通过各种攻击手段获取这些数据信息,就能获取直接或间接的经济利益,但这给数据提供方带来损失,甚至使得数据变得不安全。因此需要对网络攻击行为进行风险感知;现有技术中有两种方式来进行风险感知:一种是通过在需要进行网络攻击检测的区域通过串联或旁路的方式部署IPS(入侵防御系统)或IDS(入侵检测系统);另一种是直接旁路部署一台流量还原分析系统,通过流量还原分析系统自身来实现攻击识别和风险感知。但上述感知方式都依赖于设备或系统自身的攻击规则库,由于单一设备厂商其用户覆盖面及部署环境的局限性,设备自身攻击规则库往往并不准确且难以及时更新,在当前网络攻击变种多且变种快速的情况下,前述风险感知并不准确。
技术实现思路
本专利技术实施例提供了一种风险的感知方法及装置、监控系统,旨在解决现有技术的由于依赖于自身攻击规则库的局限性影响风险感知的准确性的问题。一种风险的感知方法,包括:获取原始网络流量;对所述原始网络流量进行还原,得到还原网络流量数据;从所述还原网络流量数据提取关键数据;调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。优选地,从所述还原网络流量数据提取关键数据包括:对所述还原网络流量数据进行预处理,得到处理后的网络数据;将所述网络数据转为JSON格式;从经过格式转换的网络数据中提取关键数据。优选地,调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果包括:调用所述威胁检测平台的API接口;接收到所述API接口基于所述关键数据进行查询的结果;基于所述查询的结果进行风险感知,得到感知结果。优选地,基于所述查询的结果进行风险感知,得到感知结果包括:分析所述查询的结果携带的字段,得到分析结果;基于所述分析结果进行风险感知,得到感知结果。优选地,当所述感知结果为存在风险时,所述调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果之后还包括:发出安全警告。本专利技术还提供一种风险的感知装置,包括:获取单元,用于获取原始网络流量;还原单元,用于对所述原始网络流量进行还原,得到还原网络流量数据;提取单元,用于从所述还原网络流量数据提取关键数据;感知单元,用于调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。优选地,所述提取单元具体包括:预处理子单元,用于对所述还原网络流量数据进行预处理,得到处理后的网络数据;格式转换子单元,用于将所述网络数据转为JSON格式;提取子单元,用于从经过格式转换的网络数据中提取关键数据。优选地,所述感知单元具体包括:调用子单元,用于调用所述威胁检测平台的API接口及接收到所述API接口基于所述关键数据进行查询的结果;感知子单元,用于基于所述查询的结果进行风险感知,得到感知结果。本专利技术还提供一种监控系统,包括一种风险的感知装置,所述感知装置包括:获取单元,用于获取原始网络流量;还原单元,用于对所述原始网络流量进行还原,得到还原网络流量数据;提取单元,用于从所述还原网络流量数据提取关键数据;感知单元,用于调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。优选地,所述监控系统还包括:与所述感知装置连接的威胁检测平台,其中:威胁检测平台,用于基于提取数据进行风险感知,得到感知结果。本专利技术还提供一种存储器,所述存储器存储有计算机程序,所述计算机程序被处理器执行如下步骤:获取原始网络流量;对所述原始网络流量进行还原,得到还原网络流量数据;从所述还原网络流量数据提取关键数据;调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。本专利技术还提供一种监控终端,包括存储器、处理器及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:获取原始网络流量;对所述原始网络流量进行还原,得到还原网络流量数据;从所述还原网络流量数据提取关键数据;调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。本专利技术实施例中,基于原始网络流量调用威胁检测平台来进行风险感知,可提高风险感知的准确性。附图说明图1为本专利技术第一实施例提供的一种风险的感知方法的流程图;图2为本专利技术第一实施例提供的一种风险的感知方法的步骤S3的具体流程图;图3为本专利技术第一实施例提供的一种风险的感知方法的步骤S4的具体流程图;图4为本专利技术第二实施例提供的一种风险的感知装置的结构图;图5为本专利技术第三实施例提供的一种监控终端的结构图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。本专利技术实施例中,一种风险的感知方法,包括:获取原始网络流量;对所述原始网络流量进行还原,得到还原网络流量数据;从所述还原网络流量数据提取关键数据;调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。为了说明本专利技术所述的技术方案,下面通过具体实施例来进行说明。实施例一:图1示出了本专利技术第一实施例提供的一种风险的感知方法的流程图,该感知方法包括:步骤S1,获取原始网络流量;具体地,首先获取原始网络流量数据,本实施例以企业为例,首先获取该企业的原始网络流量。步骤S2,对原始网络流量进行还原,得到还原网络流量数据;具体地,直接将原始网络流量导入流量还原单元中,例如:在企业的OA环境的核心交换机上,指定一个交换机物理端口作为镜像流量目的端口,如xGE6/0/6,并将通往互联网的端口作为镜像流量的数据源端口,例如xGE6/0/48,然后将镜像流量的目的端口(本例中为xGE6/0/6),与流量还原单元的数据接收端口通过光纤或RJ45以太网线直联。通过这种方式,就能将OA原始流量导入到流量还原系统;优选地,得到的还原网络流量数据采用syslog或者api方式输出的。进一步地,在syslog的输出方式中,可将需要的数据流量(例如DNS流量),输出到开启syslog服务的指定syslogserver,而只需要在流量还原单元上配置该syslogserver的ip地址和监听端口即可。进一步地,在api输出方式中,通过访问指本文档来自技高网...
【技术保护点】
1.一种风险的感知方法,其特征在于,包括:/n获取原始网络流量;/n对所述原始网络流量进行还原,得到还原网络流量数据;/n从所述还原网络流量数据提取关键数据;/n调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。/n
【技术特征摘要】
1.一种风险的感知方法,其特征在于,包括:
获取原始网络流量;
对所述原始网络流量进行还原,得到还原网络流量数据;
从所述还原网络流量数据提取关键数据;
调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。
2.根据权利要求1所述的感知方法,其特征在于,从所述还原网络流量数据提取关键数据包括:
对所述还原网络流量数据进行预处理,得到处理后的网络数据;
将所述网络数据转为JSON格式;
从经过格式转换的网络数据中提取关键数据。
3.根据权利要求2所述的感知方法,其特征在于,调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果包括:
调用所述威胁检测平台的API接口;
接收到所述API接口基于所述关键数据进行查询的结果;
基于所述查询的结果进行风险感知,得到感知结果。
4.根据权利要求3所述的感知方法,其特征在于,基于所述查询的结果进行风险感知,得到感知结果包括:
分析所述查询的结果携带的字段,得到分析结果;
基于所述分析结果进行风险感知,得到感知结果。
5.根据权利要求4所述的感知方法,其特征在于,当所述感知结果为存在风险时,所述调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果之后还包括:
发出安全警告。
6.一种风险的感知装置,其特征在于,包括:
获取单元,用于获取原始网络流量;
还原单元,用于对所述原始网络流量进行还原,得到还原网络流量数据;
提取单元,用于从所述还原网络流量数据提取关键数据;
感知...
【专利技术属性】
技术研发人员:徐伟鹏,
申请(专利权)人:千寻位置网络有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。