基于预测的网络安全验证方法、装置及系统制造方法及图纸

本发明专利技术提供了一种基于预测的网络安全验证方法、装置及系统，涉及网络安全技术领域。所述处理方法包括步骤：采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点未针对前述访问操作行为做出相应的安全防御行为时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。本发明专利技术通过对离群点的验证和预防御，从而节约网络安全监管时的计算资源，避免更为严重的告警事件的发生。件的发生。件的发生。

【技术实现步骤摘要】
基于预测的网络安全验证方法、装置及系统


[0001]本专利技术涉及网络安全
，尤其涉及基于预测的网络安全验证方法。

技术介绍

[0002]在现有技术中，网络安全管理系统，又叫网管系统，是一个软硬件结合以软件为主的分布式网络应用系统，其目的是管理网络，使网络高效正常运行。为保证网络环境的安全稳定运行，以及减少网络安全管理系统对资源计算的消耗，网管运维人员可以通过网管系统中的安全防御行为对网络环境中潜在的威胁项、异常项、故障项等进行事前防御和处理，以节约网络安全监管时的计算资源。
[0003]但是在实际应用中，所述安全防御行为的低准确率存在多个复杂原因，主要原因有安全防御行为的对象错误、未能对安全防御行为的操作的进行进一步的验证等，而未对安全防御行为的操作在相应的执行前进行验证，又进一步导致安全防御行为的防御对象错误，成为了一个恶性循环。
[0004]综上，提供一种基于预测的网络安全验证方法、装置及系统，通过提取系统日志信息中的访问操作行为信息的数据头信息，并在数据头信息进行聚类分析之后，找到离群点，再进一步确定离群点所述访问操作行为对应的网络节点，并验证前述访问操作行为做出相应的安全防御行为，从而达到节约网络安全监管时的计算资源，避免更为严重的告警事件发生的技术效果，是当前亟需解决的技术问题。

技术实现思路

[0005]本专利技术的目的在于：克服现有技术的不足，提供一种基于预测的网络安全验证方法、装置及系统，本专利技术能够采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
[0006]为解决现有的技术问题，本专利技术提供了如下技术方案：一种基于预测的网络安全验证方法，其特征在于包括步骤,采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未
做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
[0007]进一步，所述数据头信息包括HTTP数据包头信息、IP数据报头部信息和数据文件头信息。
[0008]进一步，所述验证的对象包括前述网络节点的通信协议、数据传输协议和安全防御配置信息。
[0009]进一步，所述验证还包括对前述数据头信息对应的网络节点的数据信息进行数据完整性验证；所述数据完整性验证包括验证前述网络节点的通信协议、数据传输协议和该网络节点存储的数据信息。
[0010]进一步，所述访问操作行为对应的网络节点包括发出前述访问操作行为的网络节点或者接收前述访问操作行为的网络节点；当网络节点为发出前述访问操作行为的网络节点时，对待访问的目标网络节点进行预防御；当网络节点为接收前述访问操作行为的网络节点时，对发出访问的目标网络节点进行预防御。
[0011]进一步，验证前述离群点的网络节点和关联网络节点间的访问操作行为的步骤如下，提取前述离群点后，获得该离群点对应的数据头信息，确定所述数据头信息所属的访问操作行为；采集关联网络节点的日志信息，获取与前述所属的访问操作行为对应的日志信息段；得到前述网络节点与关联网络节点间的访问操作行为信息；判定前述网络节点与关联网络节点间的访问操作行为与前述离群点分析中针对网络节点的分析结果有无关联；判定无关联时，完成验证操作；判定有关联时，获取前述网络节点和关联网络节点在网络环境中的异常情形，采取相对应的网络安全预防御措施。
[0012]进一步，所述验证信息存储在验证信息数据库中，该数据库中存储有不可更改的多个验证信息，每个被使用过的验证信息都会生成对应的验证日志，用于排查和追溯。
[0013]进一步，对前述验证信息的使用情况进行记录，设置前述验证信息的使用次数，当前述验证信息达到预设的使用次数时，对前述验证信息进行更新，并将更新后的验证信息存储在验证信息数据库中。
[0014]一种基于预测的网络安全验证装置，其特征在于包括结构：信息采集单元，用以采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；信息分析单元，用以提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；信息获取单元，用以基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；信息验证单元，用以验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行
预防御。
[0015]一种基于预测的网络安全验证系统，其特征在于包括：网络节点，用于收发数据；网络安全管理系统，定期检测前述离群点的网络节点，并对前述网络节点的日志信息进行安全分析；系统服务器，所述系统服务器连接网络节点和网络安全管理系统；所述系统服务器被配置为：采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
[0016]基于上述优点和积极效果，本专利技术的优势在于：采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
[0017]进一步，所述验证还包括对前述数据头信息对应的网络节点的数据信息进行数据完整性验证；所述数据完整性验证包括验证前述网络节点的通信协议、数据传输协议和该网络节点存储的数据信息。
[0018]进一步，所述访问操作行为对应的网络节点包括发出前述访问操作行为的网络节点或者接收前述访问操作行为的网络节点；当网络节点为发出前述访问操作行为的网络节点本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于预测的网络安全验证方法，其特征在于包括步骤,采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。2.根据权利要求1所述的方法，其特征在于，所述数据头信息包括HTTP数据包头信息、IP数据报头部信息和数据文件头信息。3.根据权利要求1所述的方法，其特征在于，所述验证的对象包括前述网络节点的通信协议、数据传输协议和安全防御配置信息。4.根据权利要求1所述的方法，其特征在于，所述验证还包括对前述数据头信息对应的网络节点的数据信息进行数据完整性验证；所述数据完整性验证包括验证前述网络节点的通信协议、数据传输协议和该网络节点存储的数据信息。5.根据权利要求1所述的方法，其特征在于，所述访问操作行为对应的网络节点包括发出前述访问操作行为的网络节点或者接收前述访问操作行为的网络节点；当网络节点为发出前述访问操作行为的网络节点时，对待访问的目标网络节点进行预防御；当网络节点为接收前述访问操作行为的网络节点时，对发出访问的目标网络节点进行预防御。6.根据权利要求1所述的方法，其特征在于，验证前述离群点的网络节点和关联网络节点间的访问操作行为的步骤如下，提取前述离群点后，获得该离群点对应的数据头信息，确定所述数据头信息所属的访问操作行为；采集关联网络节点的日志信息，获取与前述所属的访问操作行为对应的日志信息段；得到前述网络节点与关联网络节点间的访问操作行为信息；判定前述网络节点与关联网络节点间的访问操作行为与前述离群点分析中针对网络节点的分析结果有无关联；判定无关联时，完成验证操作；判定有关联时，获取前述网络节点和关联...

【专利技术属性】
技术研发人员：杨腾霄，肖铮，李晓翔，
申请(专利权)人：上海纽盾科技股份有限公司，
类型：发明
国别省市：