[发明专利]一种安全监控方法及系统

说明书

一种安全监控方法及系统，包括：采集网络交换设备中的网络流量数据并转换为网络流量事件；基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析，当出现异常后生成告警事件和资产访问关系；所述预先定义的暴露面访问基线，为根据网络交换设备非故障情况下网络流量事件的统计值计算得到。本发明根据资产访问关系与告警事件，为外部网络攻击的路径、攻击方式进一步地进行分析提供了依据。

技术领域

本发明涉及网络安全监控相关领域，具体涉及一种安全监控方法及系统。

背景技术

系统能够从外部访问的资源集合定义为系统的暴露面。当前，随着互联网技术的快速发展及互联网+理念的迅速推广，越来越多的企业将自己的信息资产接入互联网，这些资产都可以统称为暴露面。伴随暴露面的增加而来的是企业网络安全监测设备的增加及遭受网络攻击风险的加剧。常规网络安全监测方式对一般性的攻击具有较强的防护能力，能够对攻击进行防护与告警。目前网络安全监测系统将主要精力集中在对于网络中流量或网络安全设备日志中异常部分检测上。例如：网络应用入侵防御系统WAF、IDS等系统主要分析流量中的异常特征，来判定外界对系统内网络资产的攻击；通过采集网络安全设备的日志信息，并通过实时或离线分析发现高级持续性威胁。

但是关注具体的攻击或发现网络中的某台资产受到的攻击与风险，如果网络访问策略配置不当或外围暴露面被入侵，入侵者会基于一个暴露面不断地向系统内部渗透，从而形成一个暴露链，最终导致核心资产设备的暴露，造成难以估量的后果。

发明内容

为了解决现有技术中所存在的上述不足，本发明提供一种安全监控方法及系统。

本发明提供的技术方案是：一种安全监控方法，包括：

采集网络交换设备中的网络流量数据并转换为网络流量事件；

基于预先定义的暴露面访问基线与预先登记的所述暴露面的基础信息对所述网络流量事件进行分析，当出现异常后生成告警事件和资产访问关系；

所述预先定义的暴露面访问基线，为根据网络交换设备非故障情况下网络流量事件的统计值计算得到。

优选的，所述预先定义的暴露面访问基线，包括：暴露面服务端口活动基线、暴露服务访问互联网基线和暴露面流量协议分析基线；

所述暴露面服务端口活动基线为根据对非故障暴露的服务端口中访问流量字节数、平均流量包大小、访问次数的均值和方差数据按照预设的第一时间周期分组得到的统计值计算得到；

所述暴露服务访问互联网基线为根据对非故障暴露的可访问互联网的服务器访问次数的均值和方差按照预设的第二时间周期分组得到的统计值计算得到；

所述暴露面流量协议分析基线为根据对非故障暴露的协议中访问流量字节数的均值和方差以及在总流量中的百分比按照预设的第三时间周期分组得到的统计值计算得到。

优选的，所述采集网络交换设备中的网络流量数据并转换为网络流量事件，包括：

采集交换设备的网络流量数据；

基于面向对象的方式将所述网络流量数据转换为网络流量事件；

所述网络流量事件包括：数据库访问事件、网络连接事件和HTTP访问事件。

优选的，所述数据库访问事件为数据库操作产生的网络流量信息；

所述网络连接事件为网络连接操作产生的网络流量信息；

所述HTTP访问事件为HTTP协议操作产生的网络流量信息。

优选的，在所述网络流量数据转换为网络流量事件后，所述安全监控方法，还包括：

对所述网络流量事件进行丰富化处理；