【技术实现步骤摘要】
一种网络威胁检测方法及系统
[0001]本专利技术涉及一种网络威胁检测方法与系统,尤其涉及一种基于日志审计和配置基线相关联的网络威胁检测方法与系统。
技术介绍
[0002]现有安全产品中,应对网络威胁的问题时,通常采用审查日志,将审查日志进行统一留存和归档,用于问题查询和应对审计;并且通常对于配置进行统一备份,用于系统灾备和版本比较。没有更加深度的加以利用。
[0003]现有技术大多基于已知攻击方法的特征库进行判断,当审查日志未匹到特征库时,攻击行为已造成实质性破坏,业务已造成影响,安全事故已经发生,对于系统配置的备份也仅用于系统遭受攻击后的恢复,缺少及时应对的能力。
技术实现思路
[0004]针对现有安全产品存在的各种问题,结合当下技术发展,本专利技术提供一种网络威胁检测方法,包括:
[0005]步骤S1,系统执行网络威胁检测过程,随后采集一系统当前的日志文件以及所述系统当前的配置文件;
[0006]步骤S2,根据所述系统当前的所述配置文件处理得到所述系统的配置变更信息;
[...
【技术保护点】
【技术特征摘要】
1.一种网络威胁检测方法,其特征在于,包括:步骤S1,系统执行网络威胁检测过程,随后采集一系统当前的日志文件以及所述系统当前的配置文件;步骤S2,根据所述系统当前的所述配置文件处理得到所述系统的配置变更信息;步骤S3,将所述系统当前的所述日志文件和所述配置变更信息进行比较:若不符合,则表示配置变更异常,随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程;若符合,则表示配置变更正常,随后返回所述步骤S1,以等待系统执行下一次所述网络威胁检测过程。2.如权利要求1所述的网络威胁检测方法,其特征在于,所述步骤S1中,当系统检测到所述配置文件发生变更时,系统开始执行所述网络威胁检测过程;或者系统以一预设时间间隔周期性地执行所述网络威胁检测过程;或者系统根据外部输入的检测指令开始执行所述网络威胁检测过程。3.如权利要求1所述的网络威胁检测方法,其特征在于,预设一配置基线;则所述步骤S2中,将当前的所述配置文件与所述配置基线进行比较,以得到所述配置变更信息。4.如权利要求3所述的网络威胁检测方法,其特征在于,所述配置基线为人为确认的标准配置文件。5.如权利要求3所述的网络威胁检测方法,其特征在于,预先设置一标准配置文件并作为所述配置基线,并在每次所述配置文件变更正常后,采用当前的所述配置文件对所述配置基线进行变更。6.如权利要求3所述的网络威胁检测方法,其特征在于,预先设置一标准配置文件并作为所述配置基线,并在连续多次所述配置文件变更正常后,采用当前的所述配置文件对所述配置基线进行变更。7.如权利要求3所述的网络威胁检测方法,其特征在于,所述配置变更信息中包括配置变更...
【专利技术属性】
技术研发人员:陈昌杰,陈磊,
申请(专利权)人:中国福利会国际和平妇幼保健院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。