CN113835954A - 一种动态网络安全监测方法、装置及设备 - Google Patents

一种动态网络安全监测方法、装置及设备 Download PDF

Info

Publication number
CN113835954A
CN113835954A CN202111083140.6A CN202111083140A CN113835954A CN 113835954 A CN113835954 A CN 113835954A CN 202111083140 A CN202111083140 A CN 202111083140A CN 113835954 A CN113835954 A CN 113835954A
Authority
CN
China
Prior art keywords
monitored
address
service object
port number
white list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111083140.6A
Other languages
English (en)
Inventor
刘冯政
余顺怀
刘生寒
钱扬
梁运德
李雪武
尚艳伟
仇实
徐梦
屈碧莹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Electric Power Information Technology Co Ltd
Original Assignee
Guangdong Electric Power Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Electric Power Information Technology Co Ltd filed Critical Guangdong Electric Power Information Technology Co Ltd
Priority to CN202111083140.6A priority Critical patent/CN113835954A/zh
Publication of CN113835954A publication Critical patent/CN113835954A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种动态网络安全监测方法、装置及设备,所述方法包括,通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,所述白名单中包括待监测服务对象的端口号和/或IP地址;动态扫描待监测服务对象,获取所述待监测服务对象的端口号和/或IP地址;判断所述白名单中是否包含除白名单以外的端口号和/或IP地址;如果是,则此端口号和/或IP地址拟认定为疑似漏洞。提升安全设备的协同防御能力,减轻运维人员的负担。

Description

一种动态网络安全监测方法、装置及设备
技术领域
本发明实施例涉及网络安全领域,具体涉及一种动态网络安全监测方法、装置及设备。
背景技术
随着通信技术的发展,通信网络安全成为不可忽视的问题,内部及各城域网已经部署了大量的软件硬件安全设备,这些设备每天都将产生大量的安全日志,除安全设备外,服务器与应用***也将会产生大量的安全日志,现阶段并没有对这些日志进行统一的采集存储与融合。
现有的网络结构、软硬件环境、总体安全态势,存在的威胁与风险、安全策略、各类已有安全攻击、制度规范和防御能力等,识别需要采集的信息安全设备、网络设备、主机、应用***、中间件、数据库等与之相关的信息资产,无法对恶意代码和黑客渗透等各类型攻击进行检测和定位的现状,从整体上优化信息安全设备策略,提升安全设备的协同防御能力,减轻运维人员的负担。
发明内容
本申请的目的在于克服现有技术中存在的技术问题。
第一方面,本申请实施例提供了一种动态网络安全监测方法,包括,通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,所述白名单中包括待监测服务对象的端口号和/或IP地址;
动态扫描待监测服务对象,获取所述待监测服务对象的端口号和/或IP地址;
判断所述白名单中是否包含除白名单以外的端口号和/或IP地址;
如果是,则此端口号和/或IP地址拟认定为疑似漏洞。
作为本申请的优选实施例,所述通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,包括,
获取待训练的待监测服务对象;
在预设时间内,统计待监测服务对象的端口号和/或IP地址出现的几率,当所述几率达到预设阈值时,将此端口号和/或IP地址录入白名单。
作为本申请的优选实施例,所述方法,还包括,
当动态扫描待监测服务对象时,如果扫描到除白名单以外的端口号和/或IP地址,则发出报警信息。
作为本申请的优选实施例,所述方法还包括,
如果待监测服务对象中的端口号和/或IP地址拟认定为疑似漏洞,则将所述端口号和/或IP地址对应的应用进行下线处理。
作为本申请的优选实施例,所述方法还包括,
如果待监测服务对象已下线,将白名单中与所述待监测服务对象相关的端口号和/或IP地址删除。
作为本申请的优选实施例,所述方法还包括,监测是否有新上线的应用,如果有,获取新上线应用的端口号和IP地址以便更新所述白名单。
与现有技术相比,本申请实施例提供的动态网络安全监测方法,通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,所述白名单中包括待监测服务对象的端口号和/或IP地址;动态扫描待监测服务对象,获取所述待监测服务对象的端口号和/或IP地址;判断所述白名单中是否包含除白名单以外的端口号和/或IP地址;如果是,则此端口号和/或IP地址拟认定为疑似漏洞,可以实现各类型攻击进行检测和定位的现状,从整体上优化信息安全设备策略,提升安全设备的协同防御能力,减轻运维人员的负担。
第二方面,本申请实施例还提供了一种动态网络安全监测装置,包括,
建立模块,用于通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,所述白名单中包括待监测服务对象的端口号和/或IP地址;
获取模块,用于动态扫描待监测服务对象,获取所述待监测服务对象的端口号和/或IP地址;
判断模块,用于判断所述白名单中是否包含除白名单以外的端口号和/或IP地址;
认定模块,如果是,则此端口号和/或IP地址拟认定为疑似漏洞。
作为本申请的优选实施例,建立模块具体用于获取待训练的待监测服务对象;在预设时间内,统计待监测服务对象的端口号和/或IP地址出现的几率,当所述几率达到预设阈值时,将此端口号和/或IP地址录入白名单。
作为本申请的优选实施例,报警模块,用于当动态扫描待监测服务对象时,如果扫描到除白名单以外的端口号和/或IP地址,则发出报警信息。
第三方面,本申请实施例还提供了一种动态网络安全监测设备,所述设备包括:处理器和存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行上述任一项所述的一种动态网络安全监测方法的步骤。
与现有技术相比,本发明实施例第二方面和第三方面提供技术方案的有益效果与上述任一项技术方案一种动态网络安全监测方法的有益效果相同,在此不再赘述。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分,本领域技术人员应该理解的是,这些附图未必是按比例绘制的,在附图中:
图1为本发明一个实施例中公开的一种动态网络安全监测方法流程图;
图2为本发明又一个实施例中公开的一种动态网络安全监测方法流程图;
图3为本发明又一个实施例中公开的一种动态网络安全监测方法流程图;
图4为本发明又一个实施例中公开的一种动态网络安全监测装置结构框图;
图5为本发明又一个实施例中公开的一种一种动态网络安全监测设备结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
如图1所示,本申请实施例提供了一种动态网络安全监测方法,包括,
步骤S01,通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,所述白名单中包括待监测服务对象的端口号和/或IP地址;
需要说明的是,因为每个待监测服务的端口号,IP地址都是固定的,所以如果出现陌生的端口号和IP地址,则说明有异常,所以本申请通过建立一白名单,此白名单中包括一些需要监测的对象,白名单通过在预设时间内训练学习,统计待监测服务对象的端口号和/或IP地址出现的几率,当所述几率达到预设阈值时,将此端口号和/或IP地址录入白名单。
步骤S01还包括,监测是否有新上线的应用,如果有,获取新上线应用的端口号和IP地址以便更新所述白名单。
需要说明的是,为了及时更新白名单,避免漏掉被监测对象,所以在有新应用上线时,会通过手动方式将新应用的端口号和IP地址录入所述白名单以便更新白名单。
步骤S02,动态扫描待监测服务对象,获取所述待监测服务对象的端口号和/或IP地址;
需要说明的是,通过特定的扫描仪,对待监测服务对象进行扫描,待监测服务对象可以为主机,服务器等等,通过扫描仪扫描获取待监测对象的端口号和/或IP地址,以便后续执行步骤S03。
步骤S03,判断所述白名单中是否包含除白名单以外的端口号和/或IP地址;
需要说明的是,白名单中包含正在正常的带监测服务对象的端口号和/或IP地址,如果经扫描仪进行扫描后,获取服务的端口号和/或IP地址,以便将此与白名单中的端口号和/或IP地址进行对比,判断是否包含除白名单以外的端口号和/或IP地址。
步骤S04,如果是,则此端口号和/或IP地址拟认定为疑似漏洞。
需要说明的是,如果包含除白名单以外的端口号和/或IP地址,则将除白名单以外的端口号和/或IP地址拟认定为疑似漏洞,如果出现疑似漏洞以便进行后续的防御处理。
如图2所示,本申请实施例提供的一种动态网络安全监测方法,还包括,
步骤S05,当动态扫描待监测服务对象时,如果扫描到除白名单以外的端口号和/或IP地址,则发出报警信息。
需要说明的是,为了及时告知运维人员有漏洞,则当扫描到除白名单以外的端口号和/或IP地址时,则会发出报警信息,以便告知运维人员及时处理。
如图3所示,本申请实施例提供的一种动态网络安全监测方法,还包括,
步骤S06,如果待监测服务对象中的端口号和/或IP地址拟认定为疑似漏洞,则将所述端口号和/或IP地址对应的应用进行下线处理。
步骤S07,如果待监测服务对象已下线,将白名单中与所述待监测服务对象相关的端口号和/或IP地址删除。
需要说明的是,当发现有疑似漏洞时,会强制将将所述端口号和/或IP地址对应的应用进行下线处理,避免造成网络安全事件发生,同时在白名单中将下线的应用删除以便占用网络资源。
本申请上述实施例可以实现各类型攻击进行检测和定位的现状,从整体上优化信息安全设备策略,提升安全设备的协同防御能力,减轻运维人员的负担。
如图4所示,第二方面,本申请实施例提供了一种动态网络安全监测装置4,包括,
建立模块41,用于通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,所述白名单中包括待监测服务对象的端口号和/或IP地址;
获取模块42,用于动态扫描待监测服务对象,获取所述待监测服务对象的端口号和/或IP地址;
判断模块43,用于判断所述白名单中是否包含除白名单以外的端口号和/或IP地址;
认定模块44,如果是,则此端口号和/或IP地址拟认定为疑似漏洞。
建立模块41,具体用于获取待训练的待监测服务对象;在预设时间内,统计待监测服务对象的端口号和/或IP地址出现的几率,当所述几率达到预设阈值时,将此端口号和/或IP地址录入白名单。
本申请实施例中一种动态网络安全监测装置,还包括,报警模块45,用于当动态扫描待监测服务对象时,如果扫描到除白名单以外的端口号和/或IP地址,则发出报警信息。
本申请实施例提供了一种动态网络安全监测装置的执行步骤与第一方面相同,在此不在赘述。
第三方面,本申请实施例提供了一种动态网络安全监测设备,所述设备包括:处理器和存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行上述任一种一种动态网络安全监测方法的步骤。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种动态网络安全监测方法,其特征在于,包括,
通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,所述白名单中包括待监测服务对象的端口号和/或IP地址;
动态扫描待监测服务对象,获取所述待监测服务对象的端口号和/或IP地址;
判断所述白名单中是否包含除白名单以外的端口号和/或IP地址;
如果是,则此端口号和/或IP地址拟认定为疑似漏洞。
2.如权利要求1所述的一种动态网络安全监测方法,其特征在于,所述通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,包括,
获取待训练的待监测服务对象;
在预设时间内,统计待监测服务对象的端口号和/或IP地址出现的几率,当所述几率达到预设阈值时,将此端口号和/或IP地址录入白名单。
3.如权利要求1所述的一种动态网络安全监测方法,其特征在于,所述方法,还包括,
当动态扫描待监测服务对象时,如果扫描到除白名单以外的端口号和/或IP地址,则发出报警信息。
4.如权利要求1所述的一种动态网络安全监测方法,其特征在于,所述方法还包括,
如果待监测服务对象中的端口号和/或IP地址拟认定为疑似漏洞,则将所述端口号和/或IP地址对应的应用进行下线处理。
5.如权利要求1所述的一种动态网络安全监测方法,其特征在于,所述方法还包括,
如果待监测服务对象已下线,将白名单中与所述待监测服务对象相关的端口号和/或IP地址删除。
6.如权利要求1所述的一种动态网络安全监测方法,其特征在于,所述方法还包括,监测是否有新上线的应用,如果有,获取新上线应用的端口号和IP地址以便更新所述白名单。
7.一种动态网络安全监测装置,其特征在于,包括,
建立模块,用于通过预设时间内训练待监测服务对象,以建立待监测服务对象的白名单,所述白名单中包括待监测服务对象的端口号和/或IP地址;
获取模块,用于动态扫描待监测服务对象,获取所述待监测服务对象的端口号和/或IP地址;
判断模块,用于判断所述白名单中是否包含除白名单以外的端口号和/或IP地址;
认定模块,如果是,则此端口号和/或IP地址拟认定为疑似漏洞。
8.如权利要求7所述的一种动态网络安全监测装置,其特征在于,建立模块具体用于获取待训练的待监测服务对象;在预设时间内,统计待监测服务对象的端口号和/或IP地址出现的几率,当所述几率达到预设阈值时,将此端口号和/或IP地址录入白名单。
9.如权利要求7所述的一种动态网络安全监测装置,其特征在于,报警模块,用于当动态扫描待监测服务对象时,如果扫描到除白名单以外的端口号和/或IP地址,则发出报警信息。
10.一种动态网络安全监测设备,其特征在于,所述设备包括:处理器和存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行如权利要求1至6任一项所述的一种一种动态网络安全监测方法的步骤。
CN202111083140.6A 2021-09-15 2021-09-15 一种动态网络安全监测方法、装置及设备 Pending CN113835954A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111083140.6A CN113835954A (zh) 2021-09-15 2021-09-15 一种动态网络安全监测方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111083140.6A CN113835954A (zh) 2021-09-15 2021-09-15 一种动态网络安全监测方法、装置及设备

Publications (1)

Publication Number Publication Date
CN113835954A true CN113835954A (zh) 2021-12-24

Family

ID=78959577

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111083140.6A Pending CN113835954A (zh) 2021-09-15 2021-09-15 一种动态网络安全监测方法、装置及设备

Country Status (1)

Country Link
CN (1) CN113835954A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115051905A (zh) * 2022-07-19 2022-09-13 广东泓胜科技股份有限公司 一种端口安全监控分析方法、装置及相关设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115051905A (zh) * 2022-07-19 2022-09-13 广东泓胜科技股份有限公司 一种端口安全监控分析方法、装置及相关设备

Similar Documents

Publication Publication Date Title
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及***
CN108683687B (zh) 一种网络攻击识别方法及***
EP4027604A1 (en) Security vulnerability defense method and device
CN110881043B (zh) 一种web服务器漏洞的检测方法及装置
CN112184091B (zh) 工控***安全威胁评估方法、装置和***
CN105306445A (zh) 用于检测服务器的漏洞的***和方法
CN107566394B (zh) 一种云平台实例主机的新增自动发现并快速漏洞扫描方法
CN112953971B (zh) 一种网络安全流量入侵检测方法和***
CN107682361B (zh) 网站漏洞扫描方法、装置、计算机设备及存储介质
CN110708315A (zh) 资产漏洞的识别方法、装置和***
CN109063486B (zh) 一种基于plc设备指纹识别的安全渗透测试方法与***
CN115632878B (zh) 基于网络隔离的数据传输方法、装置、设备及存储介质
CN112395597A (zh) 网站应用漏洞攻击的检测方法及装置、存储介质
CN115550049A (zh) 一种物联网设备的漏洞检测方法及***
CN107977576A (zh) 一种基于应用指纹的主机漏洞检测***及方法
CN113835954A (zh) 一种动态网络安全监测方法、装置及设备
CN112615848B (zh) 漏洞修复状态检测方法及***
US11334665B2 (en) Systems and methods for automated detection and analysis of security threats
CN114726607B (zh) 一种基于交换机监视网络数据的网络安全监测***
CN109768949B (zh) 一种端口扫描处理***、方法及相关装置
KR101022167B1 (ko) 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치
CN112699369A (zh) 一种通过栈回溯检测异常登录的方法及装置
CN107864057B (zh) 一种基于联网状态的联机自动检查及告警方法
CN113110980A (zh) 暴力破解行为的识别与拦截方法及装置
CN117473485B (zh) 密码检测方法、密码检测设备和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination