[發明專利]網絡安全監控方法及基于該監控方法的防御系統在審
| 申請號: | 202211528631.1 | 申請日: | 2022-11-30 |
| 公開(公告)號: | CN115883215A | 公開(公告)日: | 2023-03-31 |
| 發明(設計)人: | 馮淞耀;粟邈如;賀冠博;黃崢妍;黃安妮;潘俊冰;艾洲;宋駿豪;楊文杰 | 申請(專利權)人: | 廣西電網有限責任公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 廣州愛豆鼎盛知識產權代理事務所(普通合伙) 44763 | 代理人: | 袁翔 |
| 地址: | 530000 廣西*** | 國省代碼: | 廣西;45 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 網絡安全 監控 方法 基于 防御 系統 | ||
1.一種網絡安全監控方法,其特征在于,該方法包括以下步驟:
對網絡設備進行數據備案,所述數據備案包括對網絡設備的IP地址、網絡設備的MAC地址、網絡設備的應用信息、網絡設備的應用權限進行預存儲;
對網絡設備產生的網絡數據進行抓取;
對抓取到的網絡數據進行解析,獲取該網絡數據對應的流量信息,所述流量信息包括IP地址、MAC地址、對應的應用信息、數據量;
基于網絡設備的數據備案,對獲取的所述流量信息進行比對;
在所述流量信息與所述數據備案中的數據不匹配時,發出相應的告警信息。
2.根據權利要求1所述的網絡安全監控方法,其特征在于,所述的對網絡設備產生的數據進行抓取具體包括以下步驟:
網絡數據的監視:對發送了請求包的網絡設備進行識別,并對該網絡設備的數據端口處的網絡流量進行動態監控;
網絡設備的識別:將獲取的網絡設備識別結果與預存儲的網絡設備標識進行比對驗證,當驗證結果為該網絡設備識別結果中的標識與預存儲的網絡設備標識相同時,將該網絡設備的請求包和對應的響應包傳輸至第一消息隊列,當驗證結果為該網絡設備識別結果中的標識與預存儲的網絡設備標識不同時,將該網絡設備的請求包和對應的響應包傳輸至第二消息隊列;
漏洞的掃描:基于多線程掃描規則同時進行的方式對第一消息隊列中的請求包對應的網絡設備的網絡數據動態監視結果進行漏洞掃描,基于漏洞掃描規則依次進行的方式對第二消息隊列中的請求包對應的網絡設備的網絡數據動態監視結果進行漏洞掃描;
漏洞的判定:將漏洞的掃描結果與已知的漏洞特征進行比對,將所述第一消息隊列中未掃描到漏洞的網絡數據定義為抓取到的網絡數據,將所述第一消息隊列和所述第二消息隊列中掃描到的漏洞記錄為安全攻擊掃描結果,記錄并進行所述數據備案。
3.根據權利要求2所述的網絡安全監控方法,其特征在于,所述漏洞掃描規則至少包括Ping掃描、TCP掃描、UDP端口掃描、棧指紋分析。
4.根據權利要求1或2所述的網絡安全監控方法,其特征在于,在所述的對網絡設備進行數據備案中,還包括基于所述數據備案中的數據建立異常監控模
型,所述的建立異常監控模型具體包括:
采集網絡設備運行時的樣本數據,所述樣本數據包括樣本數據包、樣本網絡流量信息;
基于聚類算法對所述樣本數據包、所述樣本網絡流量信息進行聚類處理,得到異常監控模型。
5.根據權利要求4所述的網絡安全監控方法,其特征在于,在所述的對網絡設備進行數據備案中,還包括基于已知的網絡安全事件特征豐富異常監控模型的數據,所述的豐富異常監控模型的數據具體包括:
隨機抽取已知的網絡安全事件特征,將被抽取的網絡安全事件特征與所述樣本數據包和/或所述樣本網絡流量信息進行融合,獲取融合樣本;
所述網絡設備運行所述融合樣本,所述異常監控模型基于所述網絡設備的對于該融合樣本的響應結果進行數據豐富,并將融合樣本及獲取到的響應結果打包后存儲于特征存儲單元中。
6.根據權利要求5所述的網絡安全監控方法,其特征在于,所述的豐富異常監控模型的數據還包括:
基于聚類算法對所述融合樣本進行聚類處理,將得到的處理結果及網絡設備對應的響應結果打包后存儲于所述特征存儲單元中。
7.根據權利要求1所述的網絡安全監控方法,其特征在于,所述的對獲取的所述流量信息進行比對具體包括:
遍歷所述流量信息及所述數據備案中的數據,當所述流量信息中的任意一個數據出現比對不成功時,判斷該流量信息匹配不成功。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于廣西電網有限責任公司,未經廣西電網有限責任公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211528631.1/1.html,轉載請聲明來源鉆瓜專利網。
