CN112291280A - 一种网络流量监控审计方法及*** - Google Patents
一种网络流量监控审计方法及*** Download PDFInfo
- Publication number
- CN112291280A CN112291280A CN202011621565.3A CN202011621565A CN112291280A CN 112291280 A CN112291280 A CN 112291280A CN 202011621565 A CN202011621565 A CN 202011621565A CN 112291280 A CN112291280 A CN 112291280A
- Authority
- CN
- China
- Prior art keywords
- flow
- host
- data
- switch
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络流量监控审计方法及***,属于网络安全技术领域,能够解决现有计算机比赛***中对于比赛监控全过程部署复杂度较高,运维部署难度较大的问题。所述方法包括:在主机和交换机上部署动态探针;利用动态探针获取主机和交换机端口的流量数据;判断流量数据是否正常;当流量数据异常时,发出告警信息。本发明用于计算机实训竞赛下的监控审计。
Description
技术领域
本发明涉及一种网络流量监控审计方法及***,属于网络安全技术领域。
背景技术
随着工业信息化及物联网技术高速发展,导致工业控制***越来越开放,越来越多的工业控制***暴露于互联网上,并且与企业内网,甚至是与互联网产生了数据交换。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制***扩散。
面对如此情况,我国的工控网络安全行业除了进行整体安全防护建设外,还需要通过安全培训提高安全意识和相关岗位人员的知识、技能水平。这就导致了需要在网络安全行业举行各种比武竞赛来检验相关人员水平。而比赛环境构建和比赛过程的监控要求快速可靠,并能展示比赛过程和复盘比赛过程,并对训练过程进行全方位评估,为提高安防人员水平提供数据支撑。
在现有技术中,从当前网络环境的真实环境可以构建审计监控,采用企业级别的监控需要强大的IT运维团队,并且需要大量人员的实施部署,实施成本过高,不适合在训练比赛过程使用。此外,在比赛过程中需要在短时间内判断选手的攻击操作和防护措施是否真实有效,并且判断是否有相关选手真实有效提交得分,是否存在作弊提供技术数据支撑。
发明内容
本发明提供了一种网络流量监控审计方法及***,能够解决现有计算机比赛***中对于比赛监控全过程部署复杂度较高,运维部署难度较大的问题。
一方面,本发明提供了一种网络流量监控审计方法,所述方法包括:在主机和交换机上部署动态探针;利用所述动态探针获取主机和交换机端口的流量数据;判断所述流量数据是否正常;当所述流量数据异常时,发出告警信息。
可选的,所述利用所述动态探针获取主机和交换机端口的流量数据,具体包括:对主机端口流量和交换机端口流量进行镜像设置;利用所述动态探针获取主机和交换机端口的镜像流量;所述判断所述流量数据是否正常,具体包括:对所述镜像流量进行数据分析;根据所述数据分析的结果判断所述流量数据是否正常。
可选的,所述对所述镜像流量进行数据分析,具体为:对所述镜像流量进行协议分析和流量监视分析。
可选的,在发出告警信息之后,所述方法还包括:对主机进行状态重置。
另一方面,本发明提供了一种网络流量监控审计***,所述***包括:探针部署单元,用于在主机和交换机上部署动态探针;流量获取单元,用于利用所述动态探针获取主机和交换机端口的流量数据;流量分析单元,用于判断所述流量数据是否正常;告警单元,用于当所述流量数据异常时,发出告警信息。
可选的,所述流量获取单元,具体用于:对主机端口流量和交换机端口流量进行镜像设置;利用所述动态探针获取主机和交换机端口的镜像流量;所述流量分析单元具体用于:对所述镜像流量进行数据分析;根据所述数据分析的结果判断所述流量数据是否正常。
可选的,所述流量分析单元具体用于:对所述镜像流量进行协议分析和流量监视分析。
可选的,所述***还包括:状态重置单元,用于对主机进行状态重置。
本发明能产生的有益效果包括:
本发明提供的网络流量监控审计方法,能够解决现有计算机比赛***中对于比赛监控全过程的部署复杂度,减少运维部署难度,并能快速构建***用于训练。在比赛过程中,通过流量监控和内置审计、外置检查主机服务的方式对比赛过程的机器进行监控。比赛场景的构建分钟级别,按需构建,减轻运维负担,并能够做到多次比赛重复利用。同时对于比赛过程中的数据进行全程监控,减轻运维和裁判负担,为裁判的最终判定提供强力有效的数据链支撑。
附图说明
图1为本发明实施例提供的网络流量监控审计方法流程图;
图2为本发明实施例提供的网络流量监控审计***结构框图。
具体实施方式
下面结合实施例详述本发明,但本发明并不局限于这些实施例。
本发明实施例提供了一种网络流量监控审计方法,如图1所示,所述方法包括:
步骤11、在主机和交换机上部署动态探针;
步骤12、利用动态探针获取主机和交换机端口的流量数据;
步骤13、判断流量数据是否正常;
步骤14、当流量数据异常时,发出告警信息。
动态的探针部署方案主要包括在物理主机和虚拟化环境下的探针主机审计功能部署。这样可以对动态的场景端口流量进行采集,从而进行流量数据的分析。
通过采集主机和交换机端口的流量数据,对比赛过程数据进行流量分析,判断攻击方进行的行为。比如,攻击方进行的扫描探测,DDOS攻击等;在攻击一些病毒木马等,该过程在流量分析中均能展示,用于工具教学复盘,以及判定攻击过程行为是否有异常;如相关用户未扫描,直接对相关指定端口直接攻击,还能一次攻击成功,这基本就属于问题行为。
本发明虚机针对不同主机,动态注入探针,在比赛过程中采集物理和虚拟化平台下的流量,在流量审计中对流量行为记录审计。本发明提供的对计算机竞赛***进行动态部署和动态监控的方案,能对比赛全程进行监控,对竞赛组织者提供数据链上的证据支撑。
本发明能够解决现有计算机比赛***中对于比赛监控全过程的部署复杂度,减少运维部署难度,并能快速构建***用于训练。在比赛过程中,通过流量监控和内置审计、外置检查主机服务的方式对比赛过程的机器进行监控。比赛场景的构建分钟级别,按需构建,减轻运维负担,并能够做到多次比赛重复利用。同时对于比赛过程中的数据进行全程监控,减轻运维和裁判负担,为裁判的最终判定提供强力有效的数据链支撑。
进一步的,利用动态探针获取主机和交换机端口的流量数据,具体包括:对主机端口流量和交换机端口流量进行镜像设置;利用动态探针获取主机和交换机端口的镜像流量;判断流量数据是否正常,具体包括:对镜像流量进行数据分析;根据数据分析的结果判断流量数据是否正常。其中,对镜像流量进行数据分析,具体为:对镜像流量进行协议分析和流量监视分析。
通过对物理网络流量和云平台下的端口流量实施镜像,对镜像流量进行数据分析;***通过镜像方式进行协议分析和流量监视分析发现操作主机和目标主机间的攻防行为,收发的报文数据是否满足比赛过程的正常步骤行为,出现攻击情况时,在日志展示中心进行数据统计分析,流量审计能分析相关流量的行为动作,通过流量转发的时间轨迹为后续比赛在目标靶机上的操作行为和结果有效性判定提供支撑。流量审计进行流量数据分析,发现目标主机收发的协议端口数据出现情况异常时,在控制中心输出异常告警。
本发明实施例中,在发出告警信息之后,所述方法还包括:对主机进行状态重置。在对目标机器进行状态监控时,对于异常情况实施告警后,还可以对主机进行状态重置。
本发明另一实施例提供一种网络流量监控审计***,如图2所示,所述***包括:
探针部署单元21,用于在主机和交换机上部署动态探针;
流量获取单元22,用于利用动态探针获取主机和交换机端口的流量数据;
流量分析单元23,用于判断流量数据是否正常;
告警单元24,用于当流量数据异常时,发出告警信息。
进一步的,流量获取单元22具体用于:对主机端口流量和交换机端口流量进行镜像设置;利用动态探针获取主机和交换机端口的镜像流量。
流量分析单元23具体用于:对镜像流量进行数据分析;根据数据分析的结果判断流量数据是否正常。
进一步的,流量分析单元23具体用于:对镜像流量进行协议分析和流量监视分析。
进一步的,所述***还包括:状态重置单元,用于对主机进行状态重置。
本发明通过过程数据动态展示攻击和操作过程,用于培训和判断操作人员的攻击有效性和训练大纲执行的合理性;整个***闭环监控的主要流程包括:根据用户提交的攻击结果,结合流量分析,证明用户操作的合规合理性,数据值真实攻击获取而非其他第三方手段获取,审计相关人员操作的合法合规性;竞赛过程审计***根据流量审计结果对整个比赛流程进行审计;其中控制中心与网络流量审计***进行审计结果的联动,识别攻防竞赛双方的操作行为。
以上所述,仅是本申请的几个实施例,并非对本申请做任何形式的限制,虽然本申请以较佳实施例揭示如上,然而并非用以限制本申请,任何熟悉本专业的技术人员,在不脱离本申请技术方案的范围内,利用上述揭示的技术内容做出些许的变动或修饰均等同于等效实施案例,均属于技术方案范围内。
Claims (8)
1.一种网络流量监控审计方法,其特征在于,所述方法包括:
在主机和交换机上部署动态探针;
利用所述动态探针获取主机和交换机端口的流量数据;
判断所述流量数据是否正常;
当所述流量数据异常时,发出告警信息。
2.根据权利要求1所述的方法,其特征在于,所述利用所述动态探针获取主机和交换机端口的流量数据,具体包括:
对主机端口流量和交换机端口流量进行镜像设置;
利用所述动态探针获取主机和交换机端口的镜像流量;
所述判断所述流量数据是否正常,具体包括:
对所述镜像流量进行数据分析;
根据所述数据分析的结果判断所述流量数据是否正常。
3.根据权利要求2所述的方法,其特征在于,所述对所述镜像流量进行数据分析,具体为:
对所述镜像流量进行协议分析和流量监视分析。
4.根据权利要求1所述的方法,其特征在于,在发出告警信息之后,所述方法还包括:对主机进行状态重置。
5.一种网络流量监控审计***,其特征在于,所述***包括:
探针部署单元,用于在主机和交换机上部署动态探针;
流量获取单元,用于利用所述动态探针获取主机和交换机端口的流量数据;
流量分析单元,用于判断所述流量数据是否正常;
告警单元,用于当所述流量数据异常时,发出告警信息。
6.根据权利要求5所述的***,其特征在于,所述流量获取单元,具体用于:
对主机端口流量和交换机端口流量进行镜像设置;
利用所述动态探针获取主机和交换机端口的镜像流量;
所述流量分析单元具体用于:
对所述镜像流量进行数据分析;
根据所述数据分析的结果判断所述流量数据是否正常。
7.根据权利要求6所述的***,其特征在于,所述流量分析单元具体用于:
对所述镜像流量进行协议分析和流量监视分析。
8.根据权利要求5所述的***,其特征在于,所述***还包括:
状态重置单元,用于对主机进行状态重置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011621565.3A CN112291280A (zh) | 2020-12-31 | 2020-12-31 | 一种网络流量监控审计方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011621565.3A CN112291280A (zh) | 2020-12-31 | 2020-12-31 | 一种网络流量监控审计方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112291280A true CN112291280A (zh) | 2021-01-29 |
Family
ID=74426357
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011621565.3A Pending CN112291280A (zh) | 2020-12-31 | 2020-12-31 | 一种网络流量监控审计方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112291280A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114760094A (zh) * | 2022-03-09 | 2022-07-15 | 中国人民解放军63891部队 | 一种计算机网络攻防实验平台监控审计装置*** |
CN116455679A (zh) * | 2023-06-16 | 2023-07-18 | 杭州美创科技股份有限公司 | 异常数据库运维流量监控方法、装置及计算机设备 |
CN116471125A (zh) * | 2023-06-19 | 2023-07-21 | 杭州美创科技股份有限公司 | 加密数据库流量审计方法、装置、计算机设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468504A (zh) * | 2014-10-22 | 2015-03-25 | 南京绿云信息技术有限公司 | 虚拟化网络动态信息安全的监控方法及*** |
CN105376110A (zh) * | 2015-10-26 | 2016-03-02 | 上海华讯网络***有限公司 | 以大数据流式技术实现网络数据包的分析方法及*** |
CN107172127A (zh) * | 2017-04-21 | 2017-09-15 | 北京理工大学 | 基于多代理的信息安全技术竞赛过程监控方法 |
US10462190B1 (en) * | 2018-12-11 | 2019-10-29 | Counter Link LLC | Virtual ethernet tap |
CN111786983A (zh) * | 2020-06-24 | 2020-10-16 | 国家计算机网络与信息安全管理中心 | 一种虚拟化攻防对抗环境构建方法 |
-
2020
- 2020-12-31 CN CN202011621565.3A patent/CN112291280A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468504A (zh) * | 2014-10-22 | 2015-03-25 | 南京绿云信息技术有限公司 | 虚拟化网络动态信息安全的监控方法及*** |
CN105376110A (zh) * | 2015-10-26 | 2016-03-02 | 上海华讯网络***有限公司 | 以大数据流式技术实现网络数据包的分析方法及*** |
CN107172127A (zh) * | 2017-04-21 | 2017-09-15 | 北京理工大学 | 基于多代理的信息安全技术竞赛过程监控方法 |
US10462190B1 (en) * | 2018-12-11 | 2019-10-29 | Counter Link LLC | Virtual ethernet tap |
CN111786983A (zh) * | 2020-06-24 | 2020-10-16 | 国家计算机网络与信息安全管理中心 | 一种虚拟化攻防对抗环境构建方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114760094A (zh) * | 2022-03-09 | 2022-07-15 | 中国人民解放军63891部队 | 一种计算机网络攻防实验平台监控审计装置*** |
CN116455679A (zh) * | 2023-06-16 | 2023-07-18 | 杭州美创科技股份有限公司 | 异常数据库运维流量监控方法、装置及计算机设备 |
CN116455679B (zh) * | 2023-06-16 | 2023-09-08 | 杭州美创科技股份有限公司 | 异常数据库运维流量监控方法、装置及计算机设备 |
CN116471125A (zh) * | 2023-06-19 | 2023-07-21 | 杭州美创科技股份有限公司 | 加密数据库流量审计方法、装置、计算机设备及存储介质 |
CN116471125B (zh) * | 2023-06-19 | 2023-09-08 | 杭州美创科技股份有限公司 | 加密数据库流量审计方法、装置、计算机设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112291280A (zh) | 一种网络流量监控审计方法及*** | |
CN109818985B (zh) | 一种工控***漏洞趋势分析与预警方法及*** | |
KR101534194B1 (ko) | 침입자 행동패턴을 반영한 사이버보안 교육훈련시스템 및 방법 | |
CN108040070A (zh) | 一种网络安全测试平台及方法 | |
CN110839019A (zh) | 一种面向电力监控***的网络安全威胁溯源方法 | |
CN106027559A (zh) | 基于网络会话统计特征的大规模网络扫描检测方法 | |
JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
JP2004030286A (ja) | 侵入検知システムおよび侵入検知プログラム | |
CN113055335A (zh) | 用于检测通信异常的方法、装置、网络***和存储介质 | |
Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
CN112311815A (zh) | 一种在实训竞赛下的监控审计防作弊方法及*** | |
CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
KR102381277B1 (ko) | 사이버 공격을 방어하기 위한 보안 방법 및 장치 | |
CN116866078A (zh) | 一种网络安全评价方法 | |
Dressler et al. | Flow-based worm detection using correlated honeypot logs | |
CN115396167A (zh) | 基于大数据的网络信息安全防护方法 | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
US11108800B1 (en) | Penetration test monitoring server and system | |
CN112287347A (zh) | 一种目标机器行为审计方法及*** | |
Nagarajan et al. | SCIT and IDS architectures for reduced data ex-filtration | |
Maciel et al. | Impact assessment of multi-threats in computer systems using attack tree modeling | |
TWI663523B (zh) | 資安攻防規劃之管理系統 | |
CN114760094A (zh) | 一种计算机网络攻防实验平台监控审计装置*** | |
CN113141274A (zh) | 基于网络全息图实时检测敏感数据泄露的方法、***和存储介质 | |
CN112104674A (zh) | 攻击检测召回率自动测试方法、装置和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210129 |
|
RJ01 | Rejection of invention patent application after publication |