[发明专利]一种安全监控方法及系统

权利要求书

1.一种安全监控方法，其特征在于，包括：

采集网络交换设备中的网络流量数据并转换为网络流量事件；

基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析，当出现异常后生成告警事件和资产访问关系；

所述预先定义的暴露面访问基线，为根据网络交换设备非故障情况下网络流量事件的统计值计算得到；

所述预先定义的暴露面访问基线，包括：暴露面服务端口活动基线、暴露服务访问互联网基线和暴露面流量协议分析基线；

所述暴露面服务端口活动基线为根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期分组得到的统计值计算得到；

所述暴露服务访问互联网基线为根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到；

所述暴露面流量协议分析基线为根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到；

所述采集网络交换设备中的网络流量数据并转换为网络流量事件，包括：

采集交换设备的网络流量数据；

基于面向对象的方式将所述网络流量数据转换为网络流量事件；

所述网络流量事件包括：数据库访问事件、网络连接事件和HTTP访问事件;

所述告警事件包括：暴露面不当暴露告警与暴露面过度暴露告警；所述当出现异常后生成告警事件，包括：

当存在非法的访问或恶意访问时，生成所述暴露面不当暴露告警；

将当前网络流量事件与所述暴露面访问基线对比，在规定时间内的网络连接事件条数远大于所述暴露面访问基线时，生成暴露面过度暴露告警；

所述预先登记的暴露面的基本信息，包括：网域信息、资产信息、服务信息和漏洞信息；

对所述网域信息的登记，包括：以IP地址段-所属网域的格式录入内网不同的网域信息；

对所述资产信息的登记，包括：以输入框或文件的方式录入或批量导入网络资产名称、网络资产编号、网络资产使用者、网络资产IP地址和网络使用的操作系统信息；

对所述服务信息的登记，包括：以输入框的方式录入网络资产所属的服务名称、服务类型、服务URL和服务使用软件信息；

对所述漏洞信息的登记，包括：通过漏洞扫描或查阅漏洞知识库，采集操作系统漏洞、软件漏洞及相关的漏洞级别，以输入框或文件的方式录入或批量导入。

2.如权利要求1所述的安全监控方法，其特征在于，所述数据库访问事件为数据库操作产生的网络流量信息；

所述网络连接事件为网络连接操作产生的网络流量信息；

所述HTTP访问事件为HTTP协议操作产生的网络流量信息。

3.如权利要求1所述的安全监控方法，其特征在于，在所述网络流量数据转换为网络流量事件后，所述安全监控方法，还包括：

对所述网络流量事件进行丰富化处理；

所述丰富化处理包括：IP地理位置回填、资产信息回填、服务信息回填、数据库访问协议解析和超文本传输协议解析。

4.如权利要求1所述的安全监控方法，其特征在于，出现异常后生成资产访问关系包括：

分析实时的网络流量事件中的源IP与目的IP信息；

在两个资产IP之间有网络流量事件生成时，生成资产访问关系，并记录资产之间的访问次数，同时标注访问方向；以及对非法的访问进行标记。

5.如权利要求1所述的安全监控方法，其特征在于，所述网络流量数据，包括：基于网络的数据源与基于主机的数据源；

所述基于网络的数据源包括：完整的数据包、会话数据、吞吐量统计数据和安全设备告警数据；

所述基于主机的数据源包括：操作系统事件日志和主机防护系统告警数据。