本發明涉及一種內網安全專家分析方法及系統，包括：數據采集，收集目標網段上傳輸的數據；數據檢測，對來自內外網的行為進行實時跟蹤檢測；檢測的數據分為正常數據和異常數據，異常數據為與入侵行為的相關數據；數據分析及計算，對異常數據進行分析以建立多個有關入侵行為的分析項，對分析項進行層次分級，設定分析項所占的安全權重值A_i；對每個分析項進行分析，設定分析項的安全等級值B_i；計算每個分析項的安全等級總值C_i，C_i＝A_i×B_i；計算總分析值C，C＝C₁+C₂+…+C_i。可對內網的入侵行為進行分析，建立相關模型，分級并設定安全等級，便于對內網的入侵行為進行分析并明確防護方向，對內網的入侵行為進行有目的的抵御。

技術領域

本發明屬于網絡安全技術領域，具體涉及一種內網安全專家分析方法及系統。

背景技術

隨著網絡技術的快速發展，我們對網絡安全的關注越來越重視。然而，計算機和網絡攻擊的復雜性不斷上升，使用傳統的防火墻和入侵檢測系統越來越難以檢測和阻擋。隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫，內容層和網絡層的安全威脅正變得司空見慣。復雜的蠕蟲和郵件病毒諸如Slammer、Blaster、Sasser、Sober、MyDoom等會如何快速的傳播，通常在幾個小時之內就能席卷全球。為了對抗安全威脅，安全技術也在不斷進化，包括深度包檢測防火墻、應用網關防火墻、內容過濾、反垃圾郵件、SSL VPN、基于網絡的防病毒和IPS等新技術不斷被應用。

但是，防御軟件比如殺毒軟件不能解決當攻擊者用合法軟件進行攻擊的情況，并且防火墻主要是防御外網，當攻擊者是企業內部的情況下防御外網的防火墻就形同虛設。現有技術中，對內網的分析及等級劃分不清，無法明確的對入侵行為進行有目的的抵御。

發明內容

本發明的目的是提供一種內網安全專家分析方法及系統以解決現有的內網安全等級劃分不清的技術問題。

為了實現以上目的，本發明采取的技術方案為：內網安全專家分析方法，包括：

數據采集，收集目標網段上傳輸的數據；

數據檢測，對來自內外網的行為進行實時跟蹤檢測；檢測的數據分為正常數據和異常數據，異常數據為與入侵行為的相關數據；

數據分析及計算，對異常數據進行分析以建立多個有關入侵行為的分析項，對分析項進行層次分級，設定分析項所占的安全權重值A_i；對每個分析項進行分析，設定分析項的安全等級值B_i；

計算每個分析項的安全等級總值C_i，C_i＝A_i×B_i；

計算總分析值C，C＝C₁+C₂+…+C_i。

進一步地，設定所述總分析值C的閾值為N，判斷總分析值是否低于所述閾值N；若總分析值低于閾值，則記錄所述總分析值，若總分析值高于所述閾值，則進行告警。

進一步地，所述層次分級按照入侵行為所引起的破壞程度來區分。

進一步地，根據AHP方法確定各分析項的安全權重值：確定分析項的總權重為100分，之后按照層次分級的劃分時破壞程度所占比例確定個各分析項所占權重；按照AHP方法審核各分析項的安全權重值，在需要修改時進行修正，在不需要修改時輸出所述各分析項的安全權重值。

內網安全專家分析系統，包括以下部分：

數據采集模塊，用于收集目標網段上傳輸的數據；