一种网络威胁检测方法及系统技术方案

一种网络威胁检测方法，适用于网络威胁的检测，其特征在于，步骤S1，系统执行网络威胁检测过程，随后采集一系统当前的日志文件以及所述系统当前的配置文件；步骤S2，根据所述系统当前的所述配置文件处理得到所述系统的配置变更信息；步骤S3，将所述系统当前的所述日志文件和所述配置变更信息进行比较：若不符合，则表示配置变更异常，随后返回所述步骤S1，以等待系统执行下一次所述网络威胁检测过程；若符合，则表示配置变更正常，随后返回所述步骤S1，以等待系统执行下一次所述网络威胁检测过程。本发明专利技术通过日志和配置相关联的自动化处理的方法，不仅可以有效发现网络威胁、并且可以提高运维的安全性，加强配置的基线和规范管理。理。理。

【技术实现步骤摘要】
一种网络威胁检测方法及系统


[0001]本专利技术涉及一种网络威胁检测方法与系统，尤其涉及一种基于日志审计和配置基线相关联的网络威胁检测方法与系统。

技术介绍

[0002]现有安全产品中，应对网络威胁的问题时，通常采用审查日志，将审查日志进行统一留存和归档，用于问题查询和应对审计；并且通常对于配置进行统一备份，用于系统灾备和版本比较。没有更加深度的加以利用。
[0003]现有技术大多基于已知攻击方法的特征库进行判断，当审查日志未匹到特征库时，攻击行为已造成实质性破坏，业务已造成影响，安全事故已经发生，对于系统配置的备份也仅用于系统遭受攻击后的恢复，缺少及时应对的能力。

技术实现思路

[0004]针对现有安全产品存在的各种问题，结合当下技术发展，本专利技术提供一种网络威胁检测方法，包括：
[0005]步骤S1，系统执行网络威胁检测过程，随后采集一系统当前的日志文件以及所述系统当前的配置文件；
[0006]步骤S2，根据所述系统当前的所述配置文件处理得到所述系统的配置变更信息；
[0007]步骤S3，将所述系统当前的所述日志文件和所述配置变更信息进行比较：
[0008]若不符合，则表示配置变更异常，随后返回所述步骤S1，以等待系统执行下一次所述网络威胁检测过程；
[0009]若符合，则表示配置变更正常，随后返回所述步骤S1，以等待系统执行下一次所述网络威胁检测过程。
[0010]优选的，其中，所述步骤S1中，当系统检测到所述配置文件发生变更时，系统开始执行所述网络威胁检测过程；或者
[0011]系统以一预设时间间隔周期性地执行所述网络威胁检测过程；或者
[0012]系统根据外部输入的检测指令开始执行所述网络威胁检测过程。
[0013]优选的，其中，预设一配置基线；
[0014]则所述步骤S2中，将当前的所述配置文件与所述配置基线进行比较，以得到所述配置变更信息。
[0015]优选的，其中，所述配置基线为人为确认的标准配置文件。
[0016]优选的，其中，预先设置一标准配置文件并作为所述配置基线，并在每次所述配置文件变更正常后，采用当前的所述配置文件对所述配置基线进行变更。
[0017]优选的，其中，预先设置一标准配置文件并作为所述配置基线，并在连续多次所述配置文件变更正常后，采用当前的所述配置文件对所述配置基线进行变更。
[0018]优选的，其中，所述配置变更信息中包括配置变更内容；
[0019]则所述步骤S2中，将当前的所述配置文件和所述配置基线进行比较以得到所述配置变更内容。
[0020]优选的，其中，所述配置变更信息中包括操作时间和/或执行人；
[0021]则所述步骤S2中，从当前的所述配置文件中解析得到所述操作时间和/或所述执行人。
[0022]优选的，其中，预设一威胁模型，所述威胁模型的输入数据为将所述系统当前的所述日志文件和所述配置变更信息进行比较得到的比较结果，所述威胁模型的输出数据为所述配置文件变更异常的异常等级；
[0023]则所述步骤S3中，若不符合，则首先执行下述步骤：
[0024]将所述比较结果输入至所述威胁模型中，以得到对应的所述异常等级并输出；
[0025]随后返回所述步骤S1，以等待系统执行下一次所述网络威胁检测过程。
[0026]本专利技术的技术方案还提供一种一种网络威胁检测系统，其特征在于，应用上述任意一项所述的网络威胁检测方法，并包括：
[0027]第一采集单元，用于在系统执行网络威胁检测过程时，采集系统当前的日志文件；
[0028]第二采集单元，用于在系统执行所述网络威胁检测过程时，采集系统当前的配置文件；
[0029]变更处理单元，连接所述第二采集单元，用于根据系统当前的所述配置文件处理得到相应的配置变更信息；
[0030]比较单元，分别连接所述第一采集单元和所述变更处理单元，用于将系统当前的所述日志文件和当前的所述配置变更信息进行比较，并输出相应的比较结果；
[0031]当所述比较结果表示系统当前的所述日志文件和当前的所述配置变更信息不符合时，则表示配置变更异常；以及
[0032]当所述比较结果表示系统当前的所述日志文件和当前的所述配置变更信息符合时，则表示配置变更正常。
[0033]有益效果：本专利技术通过日志和配置相关联的自动化处理的方法，不仅可以有效发现网络威胁、并且可以提高运维的安全性，加强配置的基线和规范管理。
附图说明
[0034]图1为本专利技术的总体流程图；
[0035]图2为本专利技术的系统结构图。
具体实施方式
[0036]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0037]需要说明的是，在不冲突的情况下，本专利技术中的实施例及实施例中的特征可以相互组合。
[0038]下面结合附图和具体实施例对本专利技术作进一步说明，但不作为本专利技术的限定。
[0039]本专利技术提供一种网络威胁检测方法，适用于网络威胁的检测，包括：
[0040]步骤S1，系统执行网络威胁检测过程，随后采集一系统当前的日志文件以及系统当前的配置文件；
[0041]步骤S2，根据系统当前的配置文件处理得到系统的配置变更信息；
[0042]步骤S3，将系统当前的日志文件和配置变更信息进行比较：
[0043]若不符合，则表示配置变更异常，随后返回步骤S1，以等待系统执行下一次网络威胁检测过程；
[0044]若符合，则表示配置变更正常，随后返回步骤S1，以等待系统执行下一次网络威胁检测过程。
[0045]具体的，本实施例中，采集系统当前日志，用于检查日志中是否存在变更操作，变更操作是否存在非人为操作痕迹，用以作为系统判断当前是否存在网络安全隐患的要素，采集系统当前的配置文件，用于检查配置文件是否的变更是否与上述日志中记录的一致，若表示配置变身异常，则作为系统判断当前是否存在网络安全隐患的要素，可以通过系统内置的规则判断输出结论，根据结论生成不同级别的相应警报，供操作人员做出相应地处理措施。
[0046]本专利技术较佳的实施例中，步骤S1中，当系统检测到配置文件发生变更时，系统开始执行网络威胁检测过程；或者
[0047]系统以一预设时间间隔周期性地执行网络威胁检测过程；或者
[0048]系统根据外部输入的检测指令开始执行网络威胁检测过程。
[0049]上述动态基线为在上述静态基线的基础上，每经过一次合理的系统变更，将其新的各种配置进行保存与备份，作为下一次比对的配置基线。
[0050]具体的，本实施例中，系统周期性的执行网络威胁检测作为没有人为操作下的网本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络威胁检测方法，其特征在于，包括：步骤S1，系统执行网络威胁检测过程，随后采集一系统当前的日志文件以及所述系统当前的配置文件；步骤S2，根据所述系统当前的所述配置文件处理得到所述系统的配置变更信息；步骤S3，将所述系统当前的所述日志文件和所述配置变更信息进行比较：若不符合，则表示配置变更异常，随后返回所述步骤S1，以等待系统执行下一次所述网络威胁检测过程；若符合，则表示配置变更正常，随后返回所述步骤S1，以等待系统执行下一次所述网络威胁检测过程。2.如权利要求1所述的网络威胁检测方法，其特征在于，所述步骤S1中，当系统检测到所述配置文件发生变更时，系统开始执行所述网络威胁检测过程；或者系统以一预设时间间隔周期性地执行所述网络威胁检测过程；或者系统根据外部输入的检测指令开始执行所述网络威胁检测过程。3.如权利要求1所述的网络威胁检测方法，其特征在于，预设一配置基线；则所述步骤S2中，将当前的所述配置文件与所述配置基线进行比较，以得到所述配置变更信息。4.如权利要求3所述的网络威胁检测方法，其特征在于，所述配置基线为人为确认的标准配置文件。5.如权利要求3所述的网络威胁检测方法，其特征在于，预先设置一标准配置文件并作为所述配置基线，并在每次所述配置文件变更正常后，采用当前的所述配置文件对所述配置基线进行变更。6.如权利要求3所述的网络威胁检测方法，其特征在于，预先设置一标准配置文件并作为所述配置基线，并在连续多次所述配置文件变更正常后，采用当前的所述配置文件对所述配置基线进行变更。7.如权利要求3所述的网络威胁检测方法，其特征在于，所述配置变更信息中包括配置变更...

【专利技术属性】
技术研发人员：陈昌杰，陈磊，
申请(专利权)人：中国福利会国际和平妇幼保健院，
类型：发明
国别省市：