[发明专利]一种网络风险监控方法、系统及安全网络系统

权利要求书

1.一种网络风险监控方法，其特征在于，包括：

对预先设置在企业内部网络中的未被企业内部终端和企业外部终端知晓的诱捕节点进行实时监视，所述诱捕节点为能够被非法访问请求发起终端访问到但无法被合法访问请求发起终端访问到的节点；

若监视到所述诱捕节点受到攻击扫描，则将相应的网络流量牵引至预设的蜜场网络，并通过所述蜜场网络的漏洞系统和虚拟服务中的无价值数据对攻击扫描事件进行响应；

对所述蜜场网络中的网络流量进行实时数据采集，得到相应的网络风险数据。

2.根据权利要求1所述的网络风险监控方法，其特征在于，还包括：

对所述网络风险数据展开数据分析，得到相应的网络风险特征。

3.根据权利要求2所述的网络风险监控方法，其特征在于，所述对所述蜜场网络中的网络流量进行实时数据采集，得到相应的网络风险数据，对所述网络风险数据展开数据分析，得到相应的网络风险特征的过程，包括：

对所述蜜场网络中的攻击流量进行实时数据采集，得到相应的攻击数据流，然后对所述攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取，得到相应的攻击特征信息；

和/或，

对所述蜜场网络中的病毒样本流量进行实时数据采集，得到相应的病毒样本，然后对所述病毒样本中的恶意软件特征和/或CC通信特征进行提取，得到相应的病毒特征信息。

4.根据权利要求3所述的网络风险监控方法，其特征在于，还包括：

判断当前时刻是否为预设的报告推送时刻，若是，则通过SaaS安全服务模块对攻击链关联分析报告进行推送处理。

5.根据权利要求2所述的网络风险监控方法，其特征在于，所述若监视到所述诱捕节点受到攻击扫描，则将相应的网络流量牵引至预设的蜜场网络的过程，包括：

若监视所述诱捕节点受到企业外部攻击事件或企业内部攻击事件的攻击扫描，则将相应的网络流量牵引至所述蜜场网络。

6.根据权利要求2至5任一项所述的网络风险监控方法，其特征在于，还包括：

利用预先设置在企业边界网络上的NGFW安全设备，对来自互联网的访问流量进行初步的安全防御。

7.根据权利要求6所述的网络风险监控方法，其特征在于，所述对所述网络风险数据展开数据分析，得到相应的网络风险特征的过程之后，还包括：

将所述网络风险特征实时传输至所述NGFW安全设备的规则库中进行保存，以对所述规则库进行更新。

8.一种网络风险监控系统，其特征在于，包括：

预先设置在企业内部网络中的未被企业内部终端和企业外部终端知晓的诱捕节点，所述诱捕节点为能够被非法访问请求发起终端访问到但无法被合法访问请求发起终端访问到的节点；

数据重定向模块，用于对所述诱捕节点进行实时监视，若监视到所述诱捕节点受到攻击扫描，则将相应的网络流量牵引至预设的蜜场网络；

数据采集模块，用于对所述蜜场网络中的网络流量进行实时数据采集，得到相应的网络风险数据；

并且，所述监控系统还用于通过所述蜜场网络的漏洞系统和虚拟服务中的无价值数据对攻击扫描事件进行响应。

9.根据权利要求8所述的网络风险监控系统，其特征在于，还包括：

数据分析模块，用于对所述网络风险数据展开数据分析，得到相应的网络风险特征。