[发明专利]一种网络信息安全检测系统及其检测方法

说明书

本发明涉及网络信息技术领域，且公开了一种网络信息安全检测系统，包括流程：当网络主机的信息状态更改后，获取更改后的主机信息状态，从预生成的规则文件中查找与更改后的主机信息相对应的特定检测规则，规则文件中存储有处于安全状态的网络主机的各个信息的检测规则，每个检测规则包括检测对象、该检测对象对应的检测内容、检测方法以及标准检测结果，从特定检测规则中查找与特定检测对象对应的特定检测内容、特定检测方法和特定标准检测结果。该网络信息安全检测系统及其检测方法，避免了现有技术中采用不同安全检测工具进行检测可能得到检测结果冲突的现象，能够使用户获得安全的主机信息。

技术领域

本发明涉及网络信息技术领域，具体为一种网络信息安全检测系统。

背景技术

网络信息资源是指以电子资源数据的形式，将文字、图像、声音和动画等多种形式的信息储存在光、磁等非印刷质的介质中，利用计算机通过网络进行发布、传递和储存的各类信息资源的总和。

由于信息存储形式及数据结构具有通用性、开放性和标准化的特点，网络信息资源的复制、分发更容易，因此，在不考虑版权的情况下一分资源可以以无限多个复本同时服务于无限多的用户，网络打破了传递的时空界限，用户可以在任何时间、任何地点获取信息资源，使网络信息资源传播的时间和空间范围得到了最大程度的延伸和扩展。数位用户可以同时共用同一份信息资源。

传统方法是采用入侵检测检测，就是对入侵行为的发觉，通过对计算机网络或计算机系统中若干关键点收集信息，并对其进行关键字判断，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，也可以通过对每个设备判断流量，当流量大于阈值时，则判断为异常，并且对未知威胁的检测手段无法检测，传统对未知威胁行为的检测手段通常是基于系统、应用权限或者某些重要属性的变更判断，存在误报率很高，造成大量告警，后期人为排查工作量非常大，故而提出了一种网络信息安全检测系统及其检测方法来解决上述所提出的问题。

发明内容

（一）解决的技术问题

针对现有技术的不足，本发明提供了一种网络信息安全检测系统及其检测方法，具备检测准确度高和误差小等优点，解决了传统检测方法对未知威胁行为的检测手段通常是基于系统、应用权限或者某些重要属性的变更判断，导致误报率很高，造成大量告警，后期人为排查工作量非常大，故而提出了一种网络信息安全检测系统及其检测方法来解决上述所提出的问题。

（二）技术方案

为实现上述检测准确度高和误差小目的，本发明提供如下技术方案：一种网络信息安全检测系统，包括流程：

当网络主机的信息状态更改后，获取更改后的主机信息状态。

从预生成的规则文件中查找与更改后的主机信息相对应的特定检测规则。

规则文件中存储有处于安全状态的网络主机的各个信息的检测规则，每个检测规则包括检测对象、该检测对象对应的检测内容、检测方法以及标准检测结果。

从特定检测规则中查找与特定检测对象对应的特定检测内容、特定检测方法和特定标准检测结果。

根据查找到的特定检测内容和特定检测方法对所述更改后的主机信息状态进行检测，得到实时检测结果。

将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据进行比较。

若设备数据流属于a指标数据，则比较所述设备数据流是否符合预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字和阈值范围。

若设备数据流属于b指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常。