[发明专利]一种网络异常行为的处置方法及装置

说明书

本发明提出一种网络异常行为的处置方法及装置，该方法包括从安全预警设备日志中提取不信任网络访问行为的关键信息；依据设定的网络异常行为匹配规则，对提取的关键信息进行匹配，识别出网络异常行为；针对网络异常行为联动安全防御设备，下发防御策略命令。本发明根据安全防护要求，可灵活设定精确匹配规则，实现对电力物联网终端设备的精确访问控制；在节省人力资源的同时，也提高了网络安全应急响应的速度和能力。

技术领域

本发明属于网络安全技术领域，具体的说是一种网络异常行为的处置方法及装置。

背景技术

网络异常行为是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备，利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何计算机的数据，都会被视为于计算机和计算机网络中的异常行为。

在日常工作中防御网络异常行为的方式多种多样。总结来说，监控人员通过对安全监控预警设备不信任的网络访问行为进行分析和识别判断，使用防毒、防黑等安全防御设备控制网络进/出两个方向通信的门槛，针对发现的网络异常行为，设置针对性的防御策略，保证可疑行为不能访问内部网络，从而有效保护内部网络安全。

上述的防护异常行为的方法具有一定的局限性，在网络区域广，安全预警设备多的情况下，产生了大量的不信任的网络访问行为，需要更多的人力去进行分析、判断和设定防御策略，也会导致从网络异常行为发现到设定针对性防御策略的时间较长，不能快速有效的应急响应网络异常访问行为。

发明内容

本发明的目的在于提供一种网络异常行为的处置方法及装置，该方法将从网络异常行为发现到安全防御处置的过程，进行自动化识别、分析和处置，在节省人力的情况下同时也提高了网络安全应急响应的速度和能力。

为达到上述目的，本发明采用的技术方案如下：

本发明一方面提供一种网络异常行为的处置方法，包括：

从安全预警设备日志中提取不信任网络访问行为的关键信息；

依据设定的网络异常行为匹配规则，对提取的关键信息进行匹配，识别出网络异常行为；

针对网络异常行为联动安全防御设备，下发防御策略命令。

进一步的，所述从安全预警设备日志中提取不信任网络访问行为的关键信息，包括：

采集安全预警设备日志；

识别日志中被判断为不信任的网络访问行为数据；

从不信任的网络访问行为数据中提取关键信息，其中所述关键信息至少包括：源IP、目的IP、攻击方式、预警级别、攻击结果和攻击时间。

进一步的，还包括，

将设定时间内同源IP、同目的IP和同攻击方式的关键信息归并成一条数据；

将关键信息中攻击方式、预警级别和攻击结果的数字指标转化为具体文字内容，将攻击时间转化为字符时间格式，以及根据源IP查询本地IP归属地库获取源IP归属地；

将格式转换后的关键信息存储在关系型数据库中，其中未处置状态的网络访问行为关键信息存储到预警数据库中。

进一步的，所述对提取的关键信息进行匹配，包括：

扫描预警数据库，对未处置状态的网络访问行为关键信息，根据预设的网络异常行为匹配规则进行匹配；

对于匹配成功的关键信息，判定对应的网络访问行为是网络异常行为。

进一步的，所述网络异常行为匹配规则包括：