本发明专利技术属于网络安全领域,提供了一种网络全态势智能预警方法及系统。该系统包括,探针、服务器和监控终端,所述监控终端远程连接服务器,所述服务器与探针之间设有数据链,所述服务器获取探针的配置,并将调整后的配置下发到探针;根据探针获取的数据,判断是否达到预设的报警阀值,实现对网络异常流量行为实时报警。警。警。
【技术实现步骤摘要】
一种网络全态势智能预警方法及系统
[0001]本专利技术属于网络安全领域,具体涉及一种网络全态势智能预警方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
[0003]传统网络安全防护体系存在以下问题:
[0004]1、利用“永恒之蓝”漏洞的新型变种病毒,传统防御系统在掌握流量特征之前,是无法识别该威胁的。
[0005]2、通过“社工”手段盗取管理员密码后,通过“僵尸网络”控制交换设备等,从而打开防御缺口的行为,传统网络安全设备是无法识别的。
[0006]可见,现有的网络行为的异常由于只掌握局部各节点的常态特征,局部的常态通讯图谱,使得网络安全仍受到威胁。
技术实现思路
[0007]本专利技术为了解决上述问题,提出了一种网络全态势智能预警方法及系统,本专利技术通过建立网络中各终端的流量行为基线,为网络安全主动防御奠定坚实基础。
[0008]根据一些实施例,本专利技术采用如下技术方案:
[0009]第一个方面,本专利技术提供了一种网络全态势智能预警系统。
[0010]一种网络全态势智能预警系统,包括:探针、服务器和监控终端,所述监控终端远程连接服务器,所述服务器与探针之间设有数据链,所述服务器获取探针的配置,并将调整后的配置下发到探针;根据探针获取的数据,判断是否达到预设的报警阀值,实现对网络异常流量行为实时报警。
[0011]进一步地,所述网络全态势智能预警系统设有Restful接口,用于接收网络状态数据和基线系统的查询,包括IP地址的常态通信地址列表、IP的常态网络应用列表、使用网络的时段分布。
[0012]进一步地,所述网络全态势智能预警系统以WebSocket形式将产生的报警信息实时推送到第三方。
[0013]进一步地,所述服务器采用WEB形式,以图表方式将分析结果和告警呈现。
[0014]进一步地,所述数据链,用于实现对不同采集接口的数据单独监控并进行数据采集。
[0015]进一步地,所述根据探针获取的数据,判断是否达到预设的报警阀值具体包括:将实时通信行为与常态通信行为基线进行比对,判断是异常通信行为还是非常态通信行为,若至少满足一个,则报警。
[0016]更进一步地,所述异常通信行为包括IP地址扫描、端口探测、网络广播风暴、段内组播风暴、连接非内网IP地址或互联网地址。
[0017]更进一步地,所述非常态通信行为包括:与常态行为通信基线比对后,发现的新的通信行为,并以此为线索,跟踪行为并自动汇总,根据阈值差生不同级别的告警,并区分告警触发源。
[0018]进一步地,所述服务器兼容linux操作系统。
[0019]第二个方面,本专利技术提供了一种网络全态势智能预警方法。
[0020]一种网络全态势智能预警方法,采用第一个方面所述的网络全态势智能预警系统,包括:
[0021]建立网络全流量行为基线模型;
[0022]获取访问控制策略的基线行为数据;
[0023]基于访问控制策略的基线行为数据,采用网络全流量行为基线模型,判断基线行为数据是否异常,若是,将匹配此访问控制策略的流量推送给探针,以使探针对流量行为特征进行分析,判断造成异常流量的原因,并进行报警。
[0024]与现有技术相比,本专利技术的有益效果为:
[0025]1、本专利技术实现了网络安全全态势智能预警功能,创新性结合全流量回溯分析系统,具备高效、准确的建立流量行为基线模型的能力以及具备对攻击行为进行应用层的准确判断分析能力,形成优势互补实现网络安全的主动防御。
[0026]2、本专利技术实现了IP在线感知:学习内网的实际存活IP及在线特征、在线事件范围、各时段在线频率,创建在线特征基线,定时检查全网IP离线时长,发现长期离线IP。
[0027]3、本专利技术实现了网络应用态势感知:学习各时段网络应用的使用频率,建立常态基线,针对不同时段下使用不同应用的IP建立基线,掌握各节点使用网络应用的规律,了解各应用的主要用户,研判各节点使用网络应用的行为是否属于常态。
[0028]4、本专利技术实现了IP会话态势感知:区分内网通信和外网通信,区分各通信会话特征,学习各节点的内外网网络会话基线,发现非常态的通信行为,根据阈值发出不同等级的告警。
[0029]5、本专利技术实现了网络状态基线感知:全流量的数据包采集和数据挖掘,掌握网络流量的级别形态和关键参数,反映网络的基本状况,统计一天中各时段网络运行的基线,实时掌握网络动态参数。
[0030]6、本专利技术形成“常态的”安全行为基准线;通过深度学习,收集所有可达节点的网络行为信息并分析其目的和结果信息,通过沉浸式自我学习和建模的方式不断自我完善,结合系统内置的高质量模型数据,针对各类场景创建出“常态的”安全行为基准线。
[0031]7、本专利技术具有普适性,可以面向多个行业进行应用推广,能够优化网络安全预警模式,降低人员消耗、提高工作效率,有效促进全行业网络安全态势感知和预警模式的变革。
附图说明
[0032]构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。
[0033]图1是本专利技术示出的网络全态势智能预警系统的框架图。
具体实施方式
[0034]下面结合附图与实施例对本专利技术作进一步说明。
[0035]应该指出,以下详细说明都是示例性的,旨在对本专利技术提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本专利技术所属
的普通技术人员通常理解的相同含义。
[0036]需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本专利技术的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
[0037]本专利技术中,术语如“连接”等应做广义理解,表示可以是固定连接,也可以是一体地连接或可拆卸连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的相关科研或技术人员,可以根据具体情况确定上述术语在本专利技术中的具体含义,不能理解为对本专利技术的限制。
[0038]实施例一
[0039]如图1所示,本实施例提供了一种网络全态势智能预警系统,本实施所述的系统需要满足四个关键功能需求,一是降低网络流量分析的技术难度,充分发挥网络流量分析的作用,将网络运行的关键状态数据以图表的形式予以展现;二是通过智能系统掌握网路运行的状态基线,在基线的基础上对网络运行状态进行预警,降低对运维监控室一线人员的技术要求;三是针对未知威胁、入侵探测提供预警、回查功能,并提供可靠的事件回溯和完整的数据证据链;四是提供链路全流量实时深度监测、数据回溯分析功能。
[0040]1、降低网络分析技术难度,图形化本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络全态势智能预警系统,其特征在于,包括:探针、服务器和监控终端,所述监控终端远程连接服务器,所述服务器与探针之间设有数据链,所述服务器获取探针的配置,并将调整后的配置下发到探针;根据探针获取的数据,判断是否达到预设的报警阀值,实现对网络异常流量行为实时报警。2.根据权利要求1所述的网络全态势智能预警系统,其特征在于,所述网络全态势智能预警系统设有Restful接口,用于接收网络状态数据和基线系统的查询,包括IP地址的常态通信地址列表、IP的常态网络应用列表、使用网络的时段分布。3.根据权利要求1所述的网络全态势智能预警系统,其特征在于,所述网络全态势智能预警系统以WebSocket形式将产生的报警信息实时推送到第三方。4.根据权利要求1所述的网络全态势智能预警系统,其特征在于,所述服务器采用WEB形式,以图表方式将分析结果和告警呈现。5.根据权利要求1所述的网络全态势智能预警系统,其特征在于,所述数据链,用于实现对不同采集接口的数据单独监控并进行数据采集。6.根据权利要求1所述的网络全态势智能预警系统,其特征在于,所述根据探针获取的数据,判断是否达到预设的报警阀值...
【专利技术属性】
技术研发人员:程辉,甘滨,孙雨欣,刘同同,魏振,纪永尚,
申请(专利权)人:国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。