CN112653669A - 网络终端安全威胁预警方法、***及网络终端管理装置 - Google Patents

网络终端安全威胁预警方法、***及网络终端管理装置 Download PDF

Info

Publication number
CN112653669A
CN112653669A CN202011411519.0A CN202011411519A CN112653669A CN 112653669 A CN112653669 A CN 112653669A CN 202011411519 A CN202011411519 A CN 202011411519A CN 112653669 A CN112653669 A CN 112653669A
Authority
CN
China
Prior art keywords
network
terminal
vulnerability
network terminal
dangerous
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011411519.0A
Other languages
English (en)
Other versions
CN112653669B (zh
Inventor
徐远翔
付林
朱琪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Smart Net Anyun Wuhan Information Technology Co ltd
Original Assignee
Smart Net Anyun Wuhan Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Smart Net Anyun Wuhan Information Technology Co ltd filed Critical Smart Net Anyun Wuhan Information Technology Co ltd
Priority to CN202011411519.0A priority Critical patent/CN112653669B/zh
Publication of CN112653669A publication Critical patent/CN112653669A/zh
Application granted granted Critical
Publication of CN112653669B publication Critical patent/CN112653669B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种网络终端安全威胁预警方法、***及网络终端管理装置,该方法包括:监控各网络终端的网络流量数据,发现危险终端;获取该危险终端及同一社区内其余网络终端的漏洞情况或者/和行为数据;分别计算危险终端与同一社区内其余各网络终端的漏洞相似度或者/和行为相似度,若存在网络终端与危险终端的漏洞相似度达到预设第一阈值或者/和行为相似度达到预设第二阈值,则判断该网络终端存在安全风险。本方法发现了危险终端后能提前预警其余网络终端是否存在安全风险,能减少网络中安全威胁造成的损失,并且对用户访问位置来源文件的频次没有限制,用户体验佳。

Description

网络终端安全威胁预警方法、***及网络终端管理装置
技术领域
本发明涉及信息安全技术领域,特别涉及网络终端安全威胁预警方法、***及网络终端管理装置。
背景技术
网络终端在使用网络服务的时候,经常会遭受到来自外部网络的信息安全威胁,比如漏洞攻击、勒索软件攻击、病毒攻击等。现有的网络终端安全威胁应对手段包括:(1)对所有网络终端进行实时监控,若发现存在大流量异常访问,则判断可能存在风险;(2)阻止未经授权就访问数据的行为,对于未知来源的文件或者链接都避免随意点击打开;(3)部署好反恶意软件和安全程序,并及时保持软件的更新状态。
上述方法要么在安全威胁产生后才进行相应处理,无法完全避免安全威胁造成的损失,要么要求用户尽量减少对未知来源文件的访问,极大影响用户体验。
发明内容
鉴于上述问题,有必要提出一种网络终端安全威胁预警方法以解决或部分解决上述问题,本发明提出的技术方案如下:
一种网络终端安全威胁预警方法,包括以下步骤:
监控各网络终端的网络流量数据,发现危险终端;
获取该危险终端及同一社区内其余网络终端的漏洞情况或者/和行为数据;
分别计算危险终端与同一社区内其余各网络终端的漏洞相似度或者/和行为相似度,若存在网络终端与危险终端的漏洞相似度达到预设第一阈值TH1或者/和行为相似度达到预设第二阈值TH2,则判断该网络终端存在安全风险。
进一步的,发现危险终端后利用社区发现算法将各网络终端划归为不同社区;
或者,按预设时间间隔利用社区发现算法将各网络终端划归为不同社区。
进一步的,获取各网络终端的网络流量数据,当确定所述网络流量数据中包含预设恶意数据时,判断包含恶意数据的网络终端为危险终端。
进一步的,利用社区发现算法将各网络终端划分为不同社区的内容包括:
鲁汶算法,或标签传播算法,或连通组件算法,或强连通组件,或平衡三角算法。
进一步的,利用社区发现算法将各网络终端划分为不同社区的方法具体包括:
从从网络流量数据中提取预设属性信息,所述预设属性信息至少包括源IP地址、目的IP地址;
根据预设属性信息得到各网络终端的节点度,并计算网络终端两两访问的次数;
若根据两网络终端的节点度及两两访问次数得到的模块度范围值满足预设范围,则判断两网络终端属于同一社区。
进一步的,计算危险终端与其余各网络终端的漏洞相似度的内容包括:
根据漏洞扫描结果,将每个网络终端的漏洞情况分别生成一个漏洞集合;
将危险终端分别与一网络终端的漏洞集合进行交集处理、并集处理,得到危险终端与该网络终端的漏洞交集集合、漏洞并集集合;
将所述漏洞交集集合中漏洞数量除以漏洞并集集合中漏洞数量,得到危险终端与该网络终端漏洞相似度。
进一步的,获取该危险终端及同一社区内其余网络终端的漏洞情况时还对各漏洞情况按预设规则标记风险等级;
若得到的危险终端与一网络终端漏洞相似度小于预设第一阈值与一预设调整值的差值,且该网络终端中存在风险等级为高风险的漏洞,则判断该网络终端存在安全风险。
进一步的,所述行为数据至少包括行为维度及针对不同行为维度的访问习惯数据,所述行为维度至少包括预设时间段内的所有目的IP地址、源IP地址,所述访问习惯数据至少包括访问时长、访问频次、流量行为值中的一种,计算危险终端与其余各网络终端的行为相似度包括:
利用危险终端与其余任一网络终端的行为数据按预设规则计算相似度,所述预设规则为:
Figure BDA0002816371760000031
其中,A、B分别代表危险终端与其余任一网络终端,n代表行为数据的维度数量,Ai表示危险终端在各行为维度的访问***均值,Bi表示其余任一网络终端在各行为维度的访问***均值。
进一步的,所述网络终端安全威胁预警方法还包括:
当有网络终端存在安全风险时,将危险终端日志信息中所有目的IP地址、源IP地址判断为危险地址,利用防火墙阻止危险地址与该存在安全风险的网络终端的相互访问。
第二方面,本发明还公开了一种网络终端管理装置,包括:监控模块、社区发现模块、数据获取模块、安全威胁预警模块,其中:
监控模块,用于监控各网络终端的网络流量数据,发现危险终端;
数据获取模块,用于获取该危险终端及同一社区内其余网络终端的漏洞情况或者/和行为数据,所述行为数据至少包括预设时间段内的所有目的IP地址、源IP地址,以及针对不同目的IP地址、源IP地址的访问习惯数据,所述访问习惯数据至少包括访问时长、访问频次、流量行为值中的一种;
安全威胁预警模块,用于分别计算危险终端与同一社区内其余各网络终端的漏洞相似度或者/和行为相似度,若存在网络终端与危险终端的漏洞相似度达到预设第一阈值TH1或者/和行为相似度达到预设第二阈值TH2,则判断该网络终端存在安全风险。
第三方面,本发明还公开了一种网络终端安全威胁预警***,包括网络流量监测装置、上述的网络终端管理装置,所述网络流量监测装置用于获取各网络终端的网络流量数据并发送给网络终端管理装置,所述漏洞扫描装置用于按预设漏洞库扫描网络终端的漏洞数据并发送给网络终端管理装置。
本发明相对于现有技术的有益效果在于:本发明基于信息安全威胁在相关联的网络中更容易传播的思想,监控各网络终端的网络流量数据,若发现危险终端,则认为该危险终端所在社区可能还存在有安全风险的网络终端。通过获取该社区内所有网络终端的漏洞情况、行为数据来计算危险终端与其余各网络终端的漏洞相似度或者/和行为相似度,若漏洞相似度或行为相似度高,则可认为该网络终端与危险终端具有相同的特性,也容易受到安全风险,因此若存在网络终端与危险终端的漏洞相似度达到预设第一阈值或者/和行为相似度达到预设第二阈值,则判断该网络终端存在安全风险,并对该网络终端进行安全威胁预警。
本发明在发现了危险终端后能提前预警其余网络终端是否存在安全风险,能减少网络中安全威胁造成的损失,并且对用户访问位置来源文件的频次没有限制,用户体验佳。
附图说明
图1是本发明实施例一中,一种网络终端安全威胁预警方法的流程示意图;
图2是本发明实施例一中,将各网络终端划分为不同社区的方法的流程示意图;
图3是本发明实施例一中,网络终端的节点度概念的示意图;
图4是本发明实施例一中,计算危险终端与其余各网络终端的漏洞相似度的的方法的流程示意图;
图5是本发明实施例二中,一种网络终端安全威胁预警***的结构示意图;
图6是本发明实施例二中,网络终端管理装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一
在一些实施例中,一种网络终端安全威胁预警方法,如图1所示,包括以下步骤:
S01,监控各网络终端的网络流量数据,发现危险终端。
在本实施例中,网络终端可以为服务器或客户端,可以是PC机或移动终端设备。这些网络终端主要由一台网络终端管理设备管理,利用硬件探针、流量镜像分析仪或基于SNMP(简单网络管理协议)的流量分析仪监控网络流量数据。具体的,将硬件探针串接在需要捕获流量的链路中,通过分流链路上的数字信号而获取流量数据。流量镜像分析就是把网络终端的某个链路流量镜像给协议分析仪,通过7层协议解码对网络流量进行监测。基于SNMP(简单网络管理协议)的流量分析实质上是测试仪表通过提取网络设备代理提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。
根据监测得到的网络流量数据生成日志信息,并结合预设告警库、特征库(主要是恶意攻击类特征)、判断日志信息里否存包含预设恶意数据,如流量告警、数据流量特征值告警、恶意行为、恶意域名、恶意告警等,若存在则判断网络终端为危险终端。所述日志信息一般至少包括源IP地址、目的IP地址、原始端口、目的端口、通信协议、各类告警信息等。
S02,利用社区发现算法将各网络终端划分为不同社区。
可以理解的,步骤S01、S02的先后顺序可以调换,甚至可以同时执行,其目的就是为了找到跟危险终端关联性高的其他网络终端。具体的,比如可以在发现危险终端后才利用社区发现算法将各网络终端划归为不同社区。也可以按预设时间间隔利用社区发现算法将各网络终端划归为不同社区,再执行步骤S01、步骤S03、步骤S04。若各网络终端相互访问较频繁,容易产生不同社区发现的结果,则一般建议在发现危险终端后才利用社区发现算法将各网络终端划归为不同社区。
基于信息安全威胁在相关联的网络中更容易传播的思想,利用社区发现算法将各网络终端划分为不同社区,该社区内的其他网络终端存在安全威胁的风险较高。社区发现算法主要包括鲁汶算法,或标签传播算法,或连通组件算法,或强连通组件,或平衡三角算法。
鲁汶算法(Louvain Algorithm)是基于模块度的社区发现算法,该算法相比较于普通的模块度算法在效率和效果上都表现的比较好,并且能够发现层次性的社区结构,其优化的目标是最大化整个图结构的模块度。模块度Q是评估一个社区网络划分好坏的度量方法,它的物理含义是社区内节点的连边的权重之和与随机情况下的连边的权重之和的差距,它的取值范围是[-1/2,1),其定义如公式(1)所示:
Figure BDA0002816371760000061
其中,ki、kj表示节点i和节点j的度,Aij表示网络终端两两访问的次数(包括i访问j,或者j访问i,考虑了两种访问方向),m为节点的连边的权重之和,
Figure BDA0002816371760000062
δ(ci,cj)是用来判断节点i和节点j是否在同一个社区内,在同一个社区内δ(ci,cj)=1,否则δ(cv,cw)=0。
在本实施例中,结合图2所示,利用鲁汶算法将各网络终端划分为不同社区具体包括:
S021,从各网络终端的日志信息中提取预设属性信息,所述预设属性信息至少包括源IP地址、目的IP地址。当然,在一些实施例中,也可以考虑使用原始端口、目的端口。
S022,根据预设属性信息得到各网络终端的节点度,并计算网络终端两两访问的次数。
各网络终端的节点度即与该网络终端相关联的边的条数,网络终端两两访问的次数需要把两种访问方向的次数都计入。
结合图3所示,有四个节点甲、乙、丙、丁、戊,访问方向如箭头所示,节点甲的节点度为4,节点乙的节点度为3。
S023,若根据两网络终端的节点度及两两访问次数得到的模块度范围值满足预设范围,则判断两网络终端属于同一社区。
步骤S022中的各网络终端的节点度即为公式(1)中ki、kj,网络终端两两访问的次数为公式(1)中Aij。一般模块度Q的范围在0.3-0.7时聚类效果较好。模块度Q值越大,两网络终端关联性越强,越倾向于同一社区。
S03,获取该危险终端及同一社区内其余网络终端的漏洞情况或者/和行为数据。
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定计算机***的安全脆弱性进行检测,发现可利用的漏洞。可以直接利用现有漏洞扫描工具获取该危险终端及同一社区内其余网络终端的漏洞情况。常见的漏洞有:
Oracle MySQL远程安全漏洞(CVE-2016-5624)、Sendmail信息泄露漏洞(CVE-2014-3956)、Oracle MySQL Server远程安全漏洞(CVE-2016-3452)、PHP资源管理错误漏洞(CVE-2020-7068)、PHP释放后重用漏洞(CVE-2015-4116)、Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2797)、PHP Fileinfo组件远程拒绝服务漏洞(CVE-2014-3478)等。为了方便描述,后文中的漏洞均以Bug1、Bug2……代替。
行为数据至少包括行为维度及针对不同行为维度的访问***台类)等。当然,也可以分别统计Https协议、UDP协议、TCP协议的访问习惯数据。另外,行为数据维度还可以包括访问时间,比如讲访问时间分成0-12时,13-24时,或者按工作日、休息日等进行划分。
在一些实施例中,行为数据可以如表1所示,横向为具体的IP地址类型及访问时间,纵向为相应的访问习惯数据。
表1
Figure BDA0002816371760000071
S04,分别计算危险终端与同一社区内其余各网络终端的漏洞相似度或者/和行为相似度,若存在网络终端与危险终端的漏洞相似度达到预设第一阈值TH1或者/和行为相似度达到预设第二阈值TH2,则判断该网络终端存在安全风险。。
具体的,结合图4所示,计算危险终端与其余各网络终端的漏洞相似度的内容包括:
S041,根据漏洞扫描结果,将每个网络终端的漏洞情况分别生成一个漏洞集合。
基于预设漏洞数据库,通过扫描等手段发现各网络终端的漏洞数据。比如,已发现一危险终端A,在同一社区内还存在网络终端B、网络终端C,则生成的漏洞集合为:
危险终端的漏洞集合U1={Bug1、Bug2、Bug3、Bug4、Bug5、Bug6};
网络终端B的漏洞集合U2={Bug1、Bug2、Bug6、Bug7、Bug8、Bug9};
网络终端C的漏洞集合U3={Bug1、Bug2、Bug3、Bug4、Bug5、Bug7}。
S042,将危险终端分别与一网络终端的漏洞集合进行交集处理、并集处理,得到危险终端与该网络终端的漏洞交集集合、漏洞并集集合。
将危险终端A的漏洞集合与网络终端B的漏洞集合分别进行交集处理、并集处理,得到漏洞交集集合J1={Bug1、Bug2},漏洞并集集合J'1={Bug1、Bug2、Bug3、Bug4、Bug5、Bug6、Bug7、Bug8、Bug9}。
将危险终端的漏洞集合与网络终端C的漏洞集合分别进行交集处理、并集处理,得到漏洞交集集合J2={Bug1、Bug2、Bug3、Bug4、Bug5},漏洞并集集合J’2={Bug1、Bug2、Bug3、Bug4、Bug5、Bug6、Bug7、Bug8、Bug9}。
S043,将所述漏洞交集集合中漏洞数量除以漏洞并集集合中漏洞数量,得到危险终端与该网络终端漏洞相似度。。
危险终端A与网络终端B的漏洞相似度为:J1/B1=2/9=22.2%;
危险终端A与网络终端C的漏洞相似度为:J2/B2=5/9=55.6%。
若预设第一阈值TH1为50%,则判断网络终端C与危险终端A的漏洞相似度高,网络终端C受漏洞攻击的风险大,需要对网络终端C进行安全危险预警。
在另一些实施例中,通过大量实验可以发现,有时网络终端与危险终端的相似度达不到预设第一阈值TH1,但若网络终端存在高风险漏洞时,则其一般也存在极大的安全风险,因此需要将相似度阈值与漏洞风险等级相结合来判断网络终端的风险。具体的,在步骤S03中获取该危险终端及同一社区内其余网络终端的漏洞情况时还对各漏洞情况按预设规则标记风险等级。若步骤S043中得到的危险终端与某一网络终端漏洞相似度小于预设第一阈值TH1与一预设调整值a的差值,即漏洞相似度<(TH1-a),比如a为5%,且该网络终端中存在的漏洞为预先标记的高风险漏洞,则也判断该网络终端存在安全风险,需要向该网络终端进行安全威胁预警。
计算危险终端与同一社区内其余各网络终端的行为相似度的内容包括:利用危险终端与其余任一网络终端的行为数据按预设规则计算相似度,所述预设规则如公式(2)所示,即用危险终端与任一网络终端行为值协方差cov(A,B)除以两者行为值标准偏差的乘积σAσB
Figure BDA0002816371760000091
其中,A、B分别代表危险终端与其余任一网络终端,n代表行为数据的维度数量,Ai表示危险终端在各行为维度的访问***均值,Bi表示其余任一网络终端在各行为维度的访问***均值。
具体的,以表1所示行为数据为例进行说明,假设表1为一周内危险终端A的行为数据,主要包括“Https”、“UDP”、“TCP”、“社交”、“内容”、“游戏”、“工具”、“平台”、“白天”、“晚上”,共10个维度,有8个与IP地址有关,2个与访问时间段有关,因此公式(2)中的n=10。Ai表示危险终端访问及被访问上述8个IP地址以及2个访问时间段的访问时长值,
Figure BDA0002816371760000092
表示危险终端在各目的IP地址、源IP地址的、访问时间段的访问时长平均值,Bi表示其余任一终端访问及被访问上述8个IP地址以及2个访问时间段的访问时长值,
Figure BDA0002816371760000093
表示在各目的IP地址、源IP地址的、访问时间段的访问时长平均值。即危险终端A在一周内访问Https网站12min(记为A1),访问UDP网站20min(记为A2)……在晚上访问网站50min(记为A10),
Figure BDA0002816371760000094
Figure BDA0002816371760000101
同理,可以得到网络终端B在上述10个维度的访问时长Bi、访问时长平均值
Figure BDA0002816371760000102
将Ai
Figure BDA0002816371760000103
Bi
Figure BDA0002816371760000104
代入公式(2),计算危险终端A与网络终端B的行为相似度,若行为相似度达到预设第二阈值TH2,则判断该网络终端存在安全风险,并对该网络终端进行安全威胁预警。
为了提高判断的准确性,可以基于访问时长、访问频次、流量行为值对危险终端及任一网络终端分别进行相似度计算,若至少有两种行为相似度能达到预设第二阈值,则才判断网络终端存在风险,并对该网络终端进行安全威胁预警,可采用的安全危险预警手段可以包括弹出预警窗口、语音播报等。
由于安全威胁预警时相关工作人员可能不在现场无法及时采取相应的安全措施,因此优选当有网络终端存在安全风险时,将危险终端日志信息中所有目的IP地址、源IP地址判断为危险地址,利用防火墙先暂时阻止危险地址与该存在安全风险的网络终端的相互访问,尽可能保证该网络终端不会受到与危险终端一样的恶意攻击,直至工作人员修复安全风险。比如,危险终端A的日志信息中记录有目的IP1、目的IP2、目的IP3、源IP1、源IP2、源IP3,则利用防火墙阻止网络终端B与目的IP1、目的IP2、目的IP3、源IP1、源IP2、源IP3对应的网络终端间的相互访问。
在实际应用中,只要网络终端与危险终端的漏洞相似度或者行为相似度满足预设阈值即可判断该网络终端存在风险。若需要尽量提高预警准确性,则有时也可以在网络终端与危险终端的漏洞相似度、行为相似度同时满足预设阈值时才判断该网络终端存在风险。
本发明基于信息安全威胁在相关联的网络中更容易传播的思想,监控各网络终端的网络流量数据,若发现危险终端,则认为该危险终端所在社区可能还存在有安全风险的网络终端。通过获取该社区内所有网络终端的漏洞情况、行为数据来计算危险终端与其余各网络终端的漏洞相似度或者/和行为相似度,若漏洞相似度或行为相似度高,则可认为该网络终端与危险终端具有相同的特性,也容易受到安全风险,因此若存在网络终端与危险终端的漏洞相似度达到预设第一阈值TH1或者/和行为相似度达到预设第二阈值TH2,则判断该网络终端存在安全风险,并对该网络终端进行安全威胁预警。
本发明在发现了危险终端后能提前预警其余网络终端是否存在安全风险,能减少网络中安全威胁造成的损失,并且对用户访问位置来源文件的频次没有限制,用户体验佳。
实施例二
如图5所示,一种网络终端安全威胁预警***,包括若干网络流量监测装置300、漏洞扫描装置200、网络终端管理装置100、防火墙400,整个网络终端安全威胁预警***属于内网。所述网络流量监测装置300用于获取各网络终端的网络流量数据并发送给网络终端管理装置100,该网络流量监测装置300可以为硬件探针、流量镜像分析仪或基于简单网络管理协议的流量分析仪等。所述漏洞扫描装置200用于按预设漏洞库扫描网络终端的漏洞数据并发送给网络终端管理装置100。网络终端管理装置100还能控制防火墙400的工作,限制访问行为。
该网络终端管理装置100可以接收网络流量监测装置发来的网络流量数据,并按预设规则分析网络流量数据判断网络终端是否为危险终端;还能根据危险终端的情况判断网络拓扑中是否还存在有安全风险的网络终端,并在该网络终端遭到攻击前进行安全威胁预警,以减少网络中安全威胁造成的损失。
具体的,参见图6所示,一种网络终端管理装置100包括监控模块10、社区发现模块20、数据获取模块30、安全威胁预警模块40,其中:
监控模块10,用于监控各网络终端的网络流量数据,发现危险终端。
该监控模块10用于与外部网络流量监测装置相连,用于获取外部网络流量监测装置发来的网络流量数据,生成日志信息,并按预设规则分析网络流量数据判断网络终端是否为危险终端。
社区发现模块20,用于利用社区发现算法将各网络终端划分为不同社区。
基于信息安全威胁在相关联的网络中更容易传播的思想,利用社区发现算法将各网络终端划分为不同社区,该社区内的其他网络终端存在安全威胁的风险较高。社区发现算法主要包括鲁汶算法,或标签传播算法,或连通组件算法,或强连通组件,或平衡三角算法。本社区发现模块20可以在监控模块10发现危险终端后才利用社区发现算法将各网络终端划归为不同社区,并将社区划归结果发送给数据获取模块30。也可以在监控模块10正常工作时,同时按预设时间间隔利用社区发现算法将各网络终端划归为不同社区,并在监控模块10发现危险终端后才将最新的社区划归结果发送给数据获取模块30。
数据获取模块30,用于获取该危险终端及同一社区内其余网络终端的漏洞情况或者/和行为数据。
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定计算机***的安全脆弱性进行检测,发现可利用的漏洞。可以直接利用现有漏洞扫描工具获取该危险终端及同一社区内其余网络终端的漏洞情况。
行为数据至少包括行为维度及针对不同行为维度的访问***台类)等。当然,也可以分别统计Https协议、UDP协议、TCP协议的访问习惯数据。另外,行为数据还可以包括访问时间,比如讲访问时间分成0-12时,13-24时,或者按工作日、休息日等进行划分。
安全威胁预警模块40,用于分别计算危险终端与同一社区内其余各网络终端的漏洞相似度或者/和行为相似度,若存在网络终端与危险终端的漏洞相似度达到预设第一阈值TH1或者/和行为相似度达到预设第二阈值TH2,则判断该网络终端存在安全风险,并对该网络终端进行安全威胁预警。可采用的安全危险预警手段可以包括弹出预警窗口、语音播报等。
具体的,参见图3,安全威胁预警模块40计算危险终端与其余各网络终端的漏洞相似度的内容包括:
S041,根据漏洞扫描结果,将每个网络终端的漏洞情况分别生成一个漏洞集合。
比如,已发现一危险终端A,在同一社区内还存在网络终端B、网络终端C,其中危险终端的漏洞集合U1={Bug1、Bug2、Bug3、Bug4、Bug5、Bug6};
网络终端B的漏洞集合U2={Bug1、Bug2、Bug6、Bug7、Bug8、Bug9};
网络终端C的漏洞集合U3={Bug1、Bug2、Bug3、Bug4、Bug5、Bug7}。
S042,将危险终端分别与一网络终端的漏洞集合进行交集处理、并集处理,得到危险终端与该网络终端的漏洞交集集合、漏洞并集集合。
将危险终端A的漏洞集合与网络终端B的漏洞集合分别进行交集处理、并集处理,得到漏洞交集集合J1={Bug1、Bug2},漏洞并集集合J'1={Bug1、Bug2、Bug3、Bug4、Bug5、Bug6、Bug7、Bug8、Bug9}。
将危险终端的漏洞集合与网络终端C的漏洞集合分别进行交集处理、并集处理,得到漏洞交集集合J2={Bug1、Bug2、Bug3、Bug4、Bug5},漏洞并集集合J’2={Bug1、Bug2、Bug3、Bug4、Bug5、Bug6、Bug7、Bug8、Bug9}。
S043,将所述漏洞交集集合中漏洞数量除以漏洞并集集合中漏洞数量,得到危险终端与该网络终端漏洞相似度。
危险终端A与网络终端B的漏洞相似度为:J1/B1=2/9=22.2%;
危险终端A与网络终端C的漏洞相似度为:J2/B2=5/9=55.6%。
若预设第一阈值TH1为50%,则判断网络终端C与危险终端A的漏洞相似度高,网络终端C受漏洞攻击的风险大,需要对网络终端C进行安全危险预警。
在另一些实施例中,通过大量实验可以发现,有时网络终端与危险终端的相似度达不到预设第一阈值TH1,但若网络终端存在高风险漏洞时,则其一般也存在极大的安全风险,因此需要将相似度阈值与漏洞风险等级相结合来判断网络终端的风险。具体的,安全威胁预警模块40获取该危险终端及同一社区内其余网络终端的漏洞情况时,还用于对各漏洞情况按预设规则标记风险等级。若得到的危险终端与某一网络终端漏洞相似度小于预设第一阈值TH1与一预设调整值a的差值,即漏洞相似度<(TH1-a),比如a为5%,且该网络终端中存在的漏洞为预先标记的高风险漏洞,则也判断该网络终端存在安全风险,需要向该网络终端进行安全威胁预警。
安全威胁预警模块40计算危险终端与同一社区内其余各网络终端的行为相似度的内容包括:利用危险终端与其余任一网络终端的行为数据按预设规则计算相似度,所述预设规则如公式(2)所示,即用危险终端与任一网络终端行为值协方差cov(A,B)除以两者行为值标准偏差的乘积σAσB
Figure BDA0002816371760000141
其中,A、B分别代表危险终端与其余任一网络终端,n代表行为数据的维度数量,Ai表示危险终端在各行为维度的访问***均值,Bi表示其余任一网络终端在各行为维度的访问***均值。
具体的,以表1所示行为数据为例进行说明,假设表1为一周内危险终端A的行为数据,主要包括“Https”、“UDP”、“TCP”、“社交”、“内容”、“游戏”、“工具”、“平台”、“白天”、“晚上”,共10个维度,有8个与IP地址有关,2个与访问时间段有关,因此公式(2)中的n=10。Ai表示危险终端访问及被访问上述8个IP地址以及2个访问时间段的访问时长值,
Figure BDA0002816371760000142
表示危险终端在各目的IP地址、源IP地址的、访问时间段的访问时长平均值,Bi表示其余任一终端访问及被访问上述8个IP地址以及2个访问时间段的访问时长值,
Figure BDA0002816371760000143
表示在各目的IP地址、源IP地址的、访问时间段的访问时长平均值。即危险终端A在一周内访问Https网站12min(记为A1),访问UDP网站20min(记为A2)……在晚上访问网站50min(记为A10),
Figure BDA0002816371760000144
Figure BDA0002816371760000145
同理,可以得到网络终端B在上述10个维度的访问时长Bi、访问时长平均值
Figure BDA0002816371760000146
将Ai
Figure BDA0002816371760000147
Bi
Figure BDA0002816371760000148
代入公式(2),计算危险终端A与网络终端B的行为相似度,若行为相似度达到预设第二阈值TH2,则判断该网络终端存在安全风险,并对该网络终端进行安全威胁预警。
在一些实施例中,网络终端管理装置100还包括处理模块50,所述处理模块50用于当安全威胁预警模块40判断网络终端存在安全风险时,将危险终端日志信息中所有目的IP地址、源IP地址判断为危险地址,利用防火墙先暂时阻止危险地址与该存在安全风险的网络终端的相互访问,尽可能保证该网络终端不会受到与危险终端一样的恶意攻击。
该网络终端管理装置100的具体工作流程可以参考实施例一,在此不再赘述。
本发明在发现了危险终端后能提前预警其余网络终端是否存在安全风险,能减少网络中安全威胁造成的损失,并且对用户访问位置来源文件的频次没有限制,用户体验佳。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式级似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。

Claims (10)

1.一种网络终端安全威胁预警方法,其特征在于,包括以下步骤:
监控各网络终端的网络流量数据,发现危险终端;
获取该危险终端及同一社区内其余网络终端的漏洞情况或者/和行为数据;
分别计算危险终端与同一社区内其余各网络终端的漏洞相似度和/或行为相似度,若存在网络终端与危险终端的漏洞相似度达到预设第一阈值或者/和行为相似度达到预设第二阈值,则判断该网络终端存在安全风险。
2.如权利要求1所述的网络终端安全威胁预警方法,其特征在于,还包括:
发现危险终端后利用社区发现算法将各网络终端划归为不同社区;
或者,按预设时间间隔利用社区发现算法将各网络终端划归为不同社区。
3.如权利要求1所述的网络终端安全威胁预警方法,其特征在于,监控各网络终端的网络流量数据,发现危险终端具体包括:
获取各网络终端的网络流量数据,当确定所述网络流量数据中包含预设恶意数据时,判断包含恶意数据的网络终端为危险终端。
4.如权利要求2所述的网络终端安全威胁预警方法,其特征在于,利用社区发现算法将各网络终端划分为不同社区具体包括:
从从网络流量数据中提取预设属性信息,所述预设属性信息至少包括源IP地址、目的IP地址;
根据预设属性信息得到各网络终端的节点度,并计算网络终端两两访问的次数;
若根据两网络终端的节点度及两两访问次数得到的模块度范围值满足预设范围,则判断两网络终端属于同一社区。
5.如权利要求1所述的网络终端安全威胁预警方法,其特征在于,计算危险终端与其余各网络终端的漏洞相似度具体包括:
根据漏洞扫描结果,将每个网络终端的漏洞情况分别生成一个漏洞集合;
将危险终端分别与一网络终端的漏洞集合进行交集处理、并集处理,得到危险终端与该网络终端的漏洞交集集合、漏洞并集集合;
将所述漏洞交集集合中漏洞数量除以漏洞并集集合中漏洞数量,得到危险终端与该网络终端漏洞相似度。
6.如权利要求1所述的网络终端安全威胁预警方法,其特征在于,获取该危险终端及同一社区内其余网络终端的漏洞情况后,还包括:对各漏洞情况按预设规则标记风险等级;
若得到的危险终端与一网络终端漏洞相似度小于预设第一阈值与一预设调整值的差值,且该网络终端中存在风险等级为高风险的漏洞,则判断该网络终端存在安全风险。
7.如权利要求1所述的网络终端安全威胁预警方法,其特征在于,所述行为数据至少包括行为维度及针对不同行为维度的访问习惯数据,所述行为维度至少包括预设时间段内的所有目的IP地址、源IP地址,所述访问习惯数据至少包括访问时长、访问频次、流量行为值中的一种,计算危险终端与其余各网络终端的行为相似度包括:
利用危险终端与其余任一网络终端的行为数据按预设规则计算相似度,所述预设规则为:
Figure FDA0002816371750000021
其中,A、B分别代表危险终端与其余任一网络终端,n代表行为数据的维度数量,Ai表示危险终端在各行为维度的访问***均值,Bi表示其余任一网络终端在各行为维度的访问***均值。
8.如权利要求1所述的网络终端安全威胁预警方法,其特征在于,所述网络终端安全威胁预警方法还包括:
当有网络终端存在安全风险时,将危险终端日志信息中所有目的IP地址、源IP地址判断为危险地址,利用防火墙阻止所述危险地址与该网络终端的相互访问,所述日志信息由网络终端的网络流量数据生成。
9.一种网络终端管理装置,其特征在于,包括监控模块、数据获取模块、安全威胁预警模块,其中:
监控模块,用于监控各网络终端的网络流量数据,发现危险终端;
数据获取模块,用于获取该危险终端及同一社区内其余网络终端的漏洞情况或者/和行为数据;
安全威胁预警模块,用于分别计算危险终端与同一社区内其余各网络终端的漏洞相似度或者/和行为相似度,若存在网络终端与危险终端的漏洞相似度达到预设第一阈值或者/和行为相似度达到预设第二阈值,则判断该网络终端存在安全风险。
10.一种网络终端安全威胁预警***,其特征在于,包括网络流量监测装置、漏洞扫描装置以及如权利要求9所述的网络终端管理装置,所述网络流量监测装置用于获取各网络终端的网络流量数据并发送给网络终端管理装置,所述漏洞扫描装置用于按预设漏洞库扫描网络终端的漏洞数据并发送给网络终端管理装置。
CN202011411519.0A 2020-12-04 2020-12-04 网络终端安全威胁预警方法、***及网络终端管理装置 Active CN112653669B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011411519.0A CN112653669B (zh) 2020-12-04 2020-12-04 网络终端安全威胁预警方法、***及网络终端管理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011411519.0A CN112653669B (zh) 2020-12-04 2020-12-04 网络终端安全威胁预警方法、***及网络终端管理装置

Publications (2)

Publication Number Publication Date
CN112653669A true CN112653669A (zh) 2021-04-13
CN112653669B CN112653669B (zh) 2022-08-12

Family

ID=75350248

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011411519.0A Active CN112653669B (zh) 2020-12-04 2020-12-04 网络终端安全威胁预警方法、***及网络终端管理装置

Country Status (1)

Country Link
CN (1) CN112653669B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113411302A (zh) * 2021-05-11 2021-09-17 银雁科技服务集团股份有限公司 局域网设备网络安全预警方法及装置
CN113987515A (zh) * 2021-11-02 2022-01-28 长春嘉诚信息技术股份有限公司 一种基于智能匹配的漏洞威胁发现方法及***
CN114143075A (zh) * 2021-11-29 2022-03-04 国网北京市电力公司 安全漏洞预警方法、其装置及电子设备
CN114598513A (zh) * 2022-02-24 2022-06-07 烽台科技(北京)有限公司 工控威胁事件的响应方法、装置、工控设备及介质
CN114598514A (zh) * 2022-02-24 2022-06-07 烽台科技(北京)有限公司 工控威胁检测方法及装置
WO2023083153A1 (zh) * 2021-11-11 2023-05-19 华为技术有限公司 获取安全分级结果的方法及通信装置
CN116455672A (zh) * 2023-05-25 2023-07-18 南京天谷电气科技有限公司 一种新能源场站网络安全监控预警***

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105868638A (zh) * 2016-03-23 2016-08-17 南京中科龙脉物联网技术有限公司 一种智能终端漏洞挖掘与恶意行为检测方法
EP3215944A4 (en) * 2014-11-03 2017-09-13 Vectra Networks, Inc. A system for implementing threat detection using daily network traffic community outliers
CN107438050A (zh) * 2016-05-26 2017-12-05 北京京东尚科信息技术有限公司 识别网站的潜在恶意用户的方法和***
CN107590504A (zh) * 2017-07-31 2018-01-16 阿里巴巴集团控股有限公司 异常主体识别方法和装置、服务器
US9998484B1 (en) * 2016-03-28 2018-06-12 EMC IP Holding Company LLC Classifying potentially malicious and benign software modules through similarity analysis
US10116680B1 (en) * 2016-06-21 2018-10-30 Symantec Corporation Systems and methods for evaluating infection risks based on profiled user behaviors
CN111091385A (zh) * 2019-12-13 2020-05-01 南京三百云信息科技有限公司 基于权重的对象识别方法、装置以及电子设备
CN111565390A (zh) * 2020-07-16 2020-08-21 深圳市云盾科技有限公司 一种基于设备画像的物联网设备风险控制方法及***
CN111767571A (zh) * 2020-06-25 2020-10-13 物鼎安全科技(武汉)有限公司 一种医疗数据泄露的检测方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3215944A4 (en) * 2014-11-03 2017-09-13 Vectra Networks, Inc. A system for implementing threat detection using daily network traffic community outliers
CN105868638A (zh) * 2016-03-23 2016-08-17 南京中科龙脉物联网技术有限公司 一种智能终端漏洞挖掘与恶意行为检测方法
US9998484B1 (en) * 2016-03-28 2018-06-12 EMC IP Holding Company LLC Classifying potentially malicious and benign software modules through similarity analysis
CN107438050A (zh) * 2016-05-26 2017-12-05 北京京东尚科信息技术有限公司 识别网站的潜在恶意用户的方法和***
US10116680B1 (en) * 2016-06-21 2018-10-30 Symantec Corporation Systems and methods for evaluating infection risks based on profiled user behaviors
CN107590504A (zh) * 2017-07-31 2018-01-16 阿里巴巴集团控股有限公司 异常主体识别方法和装置、服务器
CN111091385A (zh) * 2019-12-13 2020-05-01 南京三百云信息科技有限公司 基于权重的对象识别方法、装置以及电子设备
CN111767571A (zh) * 2020-06-25 2020-10-13 物鼎安全科技(武汉)有限公司 一种医疗数据泄露的检测方法
CN111565390A (zh) * 2020-07-16 2020-08-21 深圳市云盾科技有限公司 一种基于设备画像的物联网设备风险控制方法及***

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113411302A (zh) * 2021-05-11 2021-09-17 银雁科技服务集团股份有限公司 局域网设备网络安全预警方法及装置
CN113987515A (zh) * 2021-11-02 2022-01-28 长春嘉诚信息技术股份有限公司 一种基于智能匹配的漏洞威胁发现方法及***
CN113987515B (zh) * 2021-11-02 2022-04-01 长春嘉诚信息技术股份有限公司 一种基于智能匹配的漏洞威胁发现方法及***
WO2023083153A1 (zh) * 2021-11-11 2023-05-19 华为技术有限公司 获取安全分级结果的方法及通信装置
CN114143075A (zh) * 2021-11-29 2022-03-04 国网北京市电力公司 安全漏洞预警方法、其装置及电子设备
CN114143075B (zh) * 2021-11-29 2024-05-28 国网北京市电力公司 安全漏洞预警方法、其装置及电子设备
CN114598513A (zh) * 2022-02-24 2022-06-07 烽台科技(北京)有限公司 工控威胁事件的响应方法、装置、工控设备及介质
CN114598514A (zh) * 2022-02-24 2022-06-07 烽台科技(北京)有限公司 工控威胁检测方法及装置
CN116455672A (zh) * 2023-05-25 2023-07-18 南京天谷电气科技有限公司 一种新能源场站网络安全监控预警***
CN116455672B (zh) * 2023-05-25 2023-12-01 南京天谷电气科技有限公司 一种新能源场站网络安全监控预警***

Also Published As

Publication number Publication date
CN112653669B (zh) 2022-08-12

Similar Documents

Publication Publication Date Title
CN112653669B (zh) 网络终端安全威胁预警方法、***及网络终端管理装置
CN112651006B (zh) 一种电网安全态势感知***
CN110149350B (zh) 一种告警日志关联的网络攻击事件分析方法及装置
EP2953298B1 (en) Log analysis device, information processing method and program
CN107579956B (zh) 一种用户行为的检测方法和装置
CN110210213A (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
CN116451215A (zh) 关联分析方法及相关设备
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及***
CN114666101B (zh) 一种攻击溯源检测***及方法
CN114598506B (zh) 工控网络安全风险溯源方法、装置、电子设备及存储介质
CN115795330A (zh) 一种基于ai算法的医疗信息异常检测方法及***
CN111030887B (zh) web服务器发现方法、装置和电子设备
CN116389099A (zh) 威胁检测方法、装置、电子设备及存储介质
US11159548B2 (en) Analysis method, analysis device, and analysis program
CN117478433A (zh) 一种网络与信息安全动态预警***
CN110912933B (zh) 一种基于被动测量的设备识别方法
CN110881016B (zh) 一种网络安全威胁评估方法及装置
Protic et al. WK-FNN design for detection of anomalies in the computer network traffic
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN110784483B (zh) 一种基于dga异常域名的事件检测***及方法
JP2006115129A (ja) ネットワーク異常検出システム
CN111565187B (zh) 一种dns异常检测方法、装置、设备及存储介质
CN118432859A (zh) 网络靶场流量数据分析方法、装置、设备和存储介质
Werling Behavioral profiling of SCADA network traffic using machine learning algorithms
CN117375957A (zh) 工业控制流量分析***及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Network terminal security threat warning method, system and network terminal management device

Effective date of registration: 20230223

Granted publication date: 20220812

Pledgee: Bank of China Limited Wuhan provincial branch

Pledgor: Smart net Anyun (Wuhan) Information Technology Co.,Ltd.

Registration number: Y2023420000071

PE01 Entry into force of the registration of the contract for pledge of patent right