本發(fā)明涉及網(wǎng)絡(luò)信息技術(shù)領(lǐng)域，且公開了一種網(wǎng)絡(luò)信息安全檢測(cè)系統(tǒng)，包括流程：當(dāng)網(wǎng)絡(luò)主機(jī)的信息狀態(tài)更改后，獲取更改后的主機(jī)信息狀態(tài)，從預(yù)生成的規(guī)則文件中查找與更改后的主機(jī)信息相對(duì)應(yīng)的特定檢測(cè)規(guī)則，規(guī)則文件中存儲(chǔ)有處于安全狀態(tài)的網(wǎng)絡(luò)主機(jī)的各個(gè)信息的檢測(cè)規(guī)則，每個(gè)檢測(cè)規(guī)則包括檢測(cè)對(duì)象、該檢測(cè)對(duì)象對(duì)應(yīng)的檢測(cè)內(nèi)容、檢測(cè)方法以及標(biāo)準(zhǔn)檢測(cè)結(jié)果，從特定檢測(cè)規(guī)則中查找與特定檢測(cè)對(duì)象對(duì)應(yīng)的特定檢測(cè)內(nèi)容、特定檢測(cè)方法和特定標(biāo)準(zhǔn)檢測(cè)結(jié)果。該網(wǎng)絡(luò)信息安全檢測(cè)系統(tǒng)及其檢測(cè)方法，避免了現(xiàn)有技術(shù)中采用不同安全檢測(cè)工具進(jìn)行檢測(cè)可能得到檢測(cè)結(jié)果沖突的現(xiàn)象，能夠使用戶獲得安全的主機(jī)信息。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)信息技術(shù)領(lǐng)域，具體為一種網(wǎng)絡(luò)信息安全檢測(cè)系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)信息資源是指以電子資源數(shù)據(jù)的形式，將文字、圖像、聲音和動(dòng)畫等多種形式的信息儲(chǔ)存在光、磁等非印刷質(zhì)的介質(zhì)中，利用計(jì)算機(jī)通過網(wǎng)絡(luò)進(jìn)行發(fā)布、傳遞和儲(chǔ)存的各類信息資源的總和。

由于信息存儲(chǔ)形式及數(shù)據(jù)結(jié)構(gòu)具有通用性、開放性和標(biāo)準(zhǔn)化的特點(diǎn)，網(wǎng)絡(luò)信息資源的復(fù)制、分發(fā)更容易，因此，在不考慮版權(quán)的情況下一分資源可以以無限多個(gè)復(fù)本同時(shí)服務(wù)于無限多的用戶，網(wǎng)絡(luò)打破了傳遞的時(shí)空界限，用戶可以在任何時(shí)間、任何地點(diǎn)獲取信息資源，使網(wǎng)絡(luò)信息資源傳播的時(shí)間和空間范圍得到了最大程度的延伸和擴(kuò)展。數(shù)位用戶可以同時(shí)共用同一份信息資源。

傳統(tǒng)方法是采用入侵檢測(cè)檢測(cè)，就是對(duì)入侵行為的發(fā)覺，通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息，并對(duì)其進(jìn)行關(guān)鍵字判斷，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，也可以通過對(duì)每個(gè)設(shè)備判斷流量，當(dāng)流量大于閾值時(shí)，則判斷為異常，并且對(duì)未知威脅的檢測(cè)手段無法檢測(cè)，傳統(tǒng)對(duì)未知威脅行為的檢測(cè)手段通常是基于系統(tǒng)、應(yīng)用權(quán)限或者某些重要屬性的變更判斷，存在誤報(bào)率很高，造成大量告警，后期人為排查工作量非常大，故而提出了一種網(wǎng)絡(luò)信息安全檢測(cè)系統(tǒng)及其檢測(cè)方法來解決上述所提出的問題。

發(fā)明內(nèi)容

（一）解決的技術(shù)問題

針對(duì)現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種網(wǎng)絡(luò)信息安全檢測(cè)系統(tǒng)及其檢測(cè)方法，具備檢測(cè)準(zhǔn)確度高和誤差小等優(yōu)點(diǎn)，解決了傳統(tǒng)檢測(cè)方法對(duì)未知威脅行為的檢測(cè)手段通常是基于系統(tǒng)、應(yīng)用權(quán)限或者某些重要屬性的變更判斷，導(dǎo)致誤報(bào)率很高，造成大量告警，后期人為排查工作量非常大，故而提出了一種網(wǎng)絡(luò)信息安全檢測(cè)系統(tǒng)及其檢測(cè)方法來解決上述所提出的問題。

（二）技術(shù)方案

為實(shí)現(xiàn)上述檢測(cè)準(zhǔn)確度高和誤差小目的，本發(fā)明提供如下技術(shù)方案：一種網(wǎng)絡(luò)信息安全檢測(cè)系統(tǒng)，包括流程：

當(dāng)網(wǎng)絡(luò)主機(jī)的信息狀態(tài)更改后，獲取更改后的主機(jī)信息狀態(tài)。

從預(yù)生成的規(guī)則文件中查找與更改后的主機(jī)信息相對(duì)應(yīng)的特定檢測(cè)規(guī)則。

規(guī)則文件中存儲(chǔ)有處于安全狀態(tài)的網(wǎng)絡(luò)主機(jī)的各個(gè)信息的檢測(cè)規(guī)則，每個(gè)檢測(cè)規(guī)則包括檢測(cè)對(duì)象、該檢測(cè)對(duì)象對(duì)應(yīng)的檢測(cè)內(nèi)容、檢測(cè)方法以及標(biāo)準(zhǔn)檢測(cè)結(jié)果。

從特定檢測(cè)規(guī)則中查找與特定檢測(cè)對(duì)象對(duì)應(yīng)的特定檢測(cè)內(nèi)容、特定檢測(cè)方法和特定標(biāo)準(zhǔn)檢測(cè)結(jié)果。

根據(jù)查找到的特定檢測(cè)內(nèi)容和特定檢測(cè)方法對(duì)所述更改后的主機(jī)信息狀態(tài)進(jìn)行檢測(cè)，得到實(shí)時(shí)檢測(cè)結(jié)果。

將設(shè)備數(shù)據(jù)流的空間信息與預(yù)設(shè)的正常數(shù)據(jù)流集合進(jìn)行匹配，若不匹配，則網(wǎng)絡(luò)異常，若匹配，則將設(shè)備數(shù)據(jù)流與指標(biāo)數(shù)據(jù)進(jìn)行比較。

若設(shè)備數(shù)據(jù)流屬于a指標(biāo)數(shù)據(jù)，則比較所述設(shè)備數(shù)據(jù)流是否符合預(yù)設(shè)特征基線，若不符合，則網(wǎng)絡(luò)異常，其中，特征基線包括閾值、關(guān)鍵字和閾值范圍。

若設(shè)備數(shù)據(jù)流屬于b指標(biāo)數(shù)據(jù)，則查詢?cè)撛O(shè)備數(shù)據(jù)流對(duì)應(yīng)的歷史設(shè)備數(shù)據(jù)流，根據(jù)歷史設(shè)備數(shù)據(jù)流確定設(shè)備數(shù)據(jù)流的周期性基線，若該設(shè)備數(shù)據(jù)流不符合周期波動(dòng)，則網(wǎng)絡(luò)異常。