本發明提供了一種網絡安全保護方法、裝置及電子設備，該方法包括：網絡安全保護裝置發送數據采集請求至被保護設備，進而接收被保護設備根據數據采集請求返回的數據響應信息；然后將其中的流量數據和安全事件數據與標準信息進行對比分析，得到對比分析結果；并在對比分析結果為存在異常事件時，對異常事件的通信進行阻斷。本發明的網絡安全保護裝置能夠能夠主動的進行數據采集，另外，返回得到的數據響應信息中包含流量數據，即能夠對流量異常進行監測，提高了監測的精度，同時，在確定得到存在異常事件時，能夠對異常事件的通信進行阻斷，緩解了現有的網絡安全保護方式只能被動接受數據，誤報率高以及缺少安全防護的技術問題。

技術領域

本發明涉及網絡通信的技術領域，尤其是涉及一種網絡安全保護方法、裝置及電子設備。

背景技術

如圖1所示，現有的網絡安全管理系統中，網絡安全監測裝置就地部署在站控層，實現對本區域(包括調控機構、廠站配電以及負控等監控系統)相關設備網絡安全數據的采集與處理，同時把處理的結果通過通信手段，按照設定好的通信規約送至調度機構部署的網絡安全監管平臺。

具體實現的過程如下：在每臺被保護設備(包括：主機設備，網絡設備，安防設備，防火墻等)上安裝監控系統客戶端程序，基于該監控系統客戶端程序被保護設備向網絡安全監測裝置發起建立連接請求，如此被保護設備與網絡安全監測裝置建立TCP連接，進而被保護設備向網絡安全監測裝置發送網絡安全數據，如，主機設備向網絡安全監測裝置發送操作系統層面所有的用戶登錄、操作信息、外設設備(鍵盤、鼠標以及多有移動存儲設備)接入信息及網絡外聯等網絡安全數據；網絡設備向網絡安全監測裝置發送交換機相關的配置變更、流量信息、網口狀態等網絡安全數據；安防設備向網絡安全監測裝置發送橫向隔離裝置的運行狀態、安全事件及配置變更等網絡安全數據；防火墻向網絡安全監測裝置發送廠站防火墻的運行狀態、安全事件、策略變更及設備異常等網絡安全數據。網絡安全監測裝置接收到上述網絡安全數據后，對上述網絡安全數據進行簡單處理，把處理后的網絡安全數據發送至網絡安全監管平臺，由網絡安全監管平臺對上述處理后的網絡安全數據進行進一步地安全分析(比如，對主機關鍵文件變更、用戶權限變更、危險操作等事件進行安全性分析)，并在分析得到存在安全事件時，進行安全預警(包括主機設備非法網絡外聯告警、縱向加密、隔離、防火墻設備攔截到的不符合安全策略的訪問、CPU利用率越限告警、非法設備接入告警、外設設備配置告警、用戶異常操作告警等)。

通過對現有的網絡安全管理系統的描述可知，在進行網絡安全數據采集時，采用了包捕獲機制的方法(即在每臺被保護設備上安裝監控系統客戶端程序的方式)，該方法存在以下兩個問題，一是被動接受被保護設備發送的網絡安全數據，缺乏監測的主動性，并且在被保護設備上安裝監控系統客戶端程序會造成被保護設備額外的負擔，被保護設備升級維護不便，安全性差；二是數據分析效率低(通常采用模式匹配算法或者快速模式匹配算法，對特征字符串的匹配非常耗時)。另外，在進行安全分析時，沒有考慮得到流量異常，誤報率高；此外，整個過程中只進行了安全預警，無法實現有效的安全防護。

綜上，現有的網絡安全保護方式存在被動接受，誤報率高以及缺少安全防護的技術問題。

發明內容

有鑒于此，本發明的目的在于提供一種網絡安全保護方法、裝置及電子設備，以緩解現有的網絡安全保護方式存在被動接受，誤報率高以及缺少安全防護的技術問題。

第一方面，本發明實施例提供了一種網絡安全保護方法，應用于網絡安全保護裝置，包括：

發送數據采集請求至被保護設備，其中，所述數據采集請求中攜帶有待采集網絡安全數據的信息；

接收所述被保護設備根據所述數據采集請求返回的數據響應信息，其中，所述數據響應信息包括：所述被保護設備采集的網絡安全數據和響應狀態信息，所述網絡安全數據包括：流量數據和安全事件數據；

將所述流量數據和所述安全事件數據與標準信息進行對比分析，得到對比分析結果；