网络安全检测方法以及装置的制造方法

网络安全检测方法以及装置的制造方法
【技术领域】
[0001]本发明涉及一种信息安全技术领域，特别是涉及一种网络安全检测方法及装置。
【背景技术】
[0002]随着信息技术的不断发展，人类社会的信息化程度越来越高，整个社会对网络信息的依赖程度也越来越高，从而网络安全的重要性也越来越高。然而目前各种对网络安全造成威胁的攻击也越来越多，例如，APT (Advanced Persistent Threat，高级持续性威胁)攻击，其采用先进的攻击手段对特定目标进行长期持续性网络攻击，是对网络安全构成很大威胁的一种攻击方式之一。
[0003]为了能够保证网络的安全性，目前当发现网络中存在一个攻击或可疑攻击之后，需要查找网络日志，并且分析网络日志中与该攻击相关的各个字段，从而造成现有网络安全的分析效率较低，工作量非常大。随着网络规模的扩大，各种日志是海量的，在大数据时代按照传统的方法进行关联性分析几乎是无法完成的。

【发明内容】

[0004]有鉴于此，本发明提供一种网络安全检测方法及装置，主要目的在于当检测当有网络威胁时，能够快速并且准确的确定网络威胁所涉及的范围。
[0005]依据本发明一个方面，提供了一种网络安全检测方法，包括:
[0006]确定进行网络安全分析的网络元素；
[0007]获取网络数据，将网络数据中所包含的所有所述网络元素进行关联，得到网络元素关联关系网；
[0008]根据所述网络元素关联关系网进行网络安全检测。
[0009]依据本发明另一个方面，提供了一种网络安全检测装置，包括:
[0010]确定单元，用于确定进行网络安全分析的网络元素；
[0011]获取单元，用于获取网络数据；
[0012]关联单元，用于将网络数据中所包含的所有所述网络元素进行关联，得到网络元素关联关系网；
[0013]安全检测单元，用于根据所述网络元素关联关系网进行网络安全检测。借由上述技术方案，本发明实施例提供的技术方案至少具有下列优点:
[0014]本发明提供的网络安全检测方法及装置，将获取的网络数据中涉及的预先设定的所有进行网络安全分析的网络元素进行关联，形成关联关系网，在对网络的安全进行检测时，直接到形成的关联关系网中去查询网络行为异常或者不安全的网络元素，由于该关联关系网中的各个网络元素相互关联，一旦查出一个网络行为异常或者不安全的网络元素，与该网络元素相关联的其他网络元素将被迅速并且准确的查出，进而准确并快速的确定网络威胁所涉及的范围。
[0015]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
【附图说明】
[0016]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0017]图1示出了本发明实施例提供的一种网络安全检测方法的流程图；
[0018]图2示出了本发明实施例提供的网络元素关联关系网的示意图；
[0019]图3示出了本发明实施例提供的生成网络元素关联关系网的方法流程图；
[0020]图4示出了本发明实施例提供的一种根据网络元素关联关系网进行网络安全检测的方法流程图；
[0021]图5示出了本发明实施例提供的另一种根据网络元素关联关系网进行网络安全检测的方法流程图；
[0022]图6示出了本发明实施例提供的一种网络安全检测装置的组成框图；
[0023]图7示出了本发明实施例提供的一种网络安全检测装置的组成框图；
[0024]图8示出了本发明实施例提供的一种网络安全检测装置的组成框图；
[0025]图9示出了本发明实施例提供的一种网络安全检测装置的组成框图。
【具体实施方式】
[0026]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0027]本发明实施例提供一种网络安全检测方法，如图1所示，该方法包括:
[0028]11、确定进行网络安全分析的网络元素。
[0029]在对网络安全进行检测分析时，由于网络安全威胁的类型不一样，故导致针对不同类型网络威胁需要确定不同的网络元素对网络安全进行分析。目前进行网络安全分析的网络元素一般包括但不局限于域名、邮件、IP、文件等，具体的本发明实施例对此不进行限制，还可以是日常网络安全分析所涉及的其他元素，例如移动存储设备等。
[0030]其中，在确定进行网络安全分析的网络元素时，可以采用但不局限于以下的方法实现，具体为:
[0031]根据网络安全检测需求定义进行网络安全分析的网络元素；或者根据网络安全检测需求从已知网络元素中选择预定网络元素作为进行网络安全分析的网络元素，例如可以选择域名、邮件、IP、文件中的一种或几种。在具体实施时采用哪种方式，本发明实施例对此不进行限定，用户可以根据自己的需求进行选择。
[0032]102、获取网络数据，将网络数据中所包含的所有所述网络元素进行关联，得到网络兀素关联关系网。
[0033]在对网络进行安全分析的时候，获取的网络数据可以是历史网络数据，也可以是实时网络数据，例如，一些用户对网络安全不敏感，其一般会很长一段时间才会对其所在网络进行安全检测，这样获取的网络数据一般都是历史数据。相反，一些用户对网络完全很敏感，其一般会实时检测自己所处网络的安全性，这样一般获取的网络数据是实时数据。在具体实施时，本发明实施例对此不进行限制，其会根据网络安全检测的周期进行对应数据的获取。所述网络数据可以包括域名、邮件、IP、文件的所有相关数据，这些数据是海量的，在此可使用非结构化的大数据存储技术，数据例如包括IP(192.168.1.2)访问域名A、B、C，域名 A 又被 ΙΡ(192.168.1.100)和 ΙΡ(192.168.1.101)访问，ΙΡ(192.168.1.100)登录过邮箱lbOabc.com,邮箱lbOabc.com收到过邮箱aaOabc.com和邮箱bbOabc.com的邮件，并且曾发送邮件至ccOabc.com,邮箱aaOabc.com曾在IP(192.168.1.102)登录过，IP(192.168.1.102)曾经访问过IP(192.168.1.100)的共享文件夹等等。
[0034]该关联关系网是针对网络数据中所包含的所有网络元素进行关联的关系网，其是一个多维度的网，例如，如图2所示，不同类型的网络元素使用不同图形表示，圆形代表IP访问，三角形代表邮箱文件发送等等。
[0035]103、根据所述网络元素关联关系网进行网络安全检测。
[0036]本发明提供的网络安全检测方法及装置，将获取的网络数据中涉及的预先设定的所有进行网络安全分析的网络元素进行关联，形成关联关系网，在对网络的安全进行检测时，直接到形成的关联关系网中去查询网络行为异常或者不安全的网络元素，由于该关联关系网中的各个网络元素相互关联，一旦查出一个网络行为异常或者不安全的网络元素，与该网络元素相关联的其他网络元素将被迅速并且准确的查出，进而准确并快速的确定网络威胁所涉及的范围。
[0037]进一步的，在执行102获取网络数据，并将网络数据中所包含的所有所述网络元素进行关联，得到网络元素关联关系网时，其可以此采用但不局限于以下的方法实现，如图3所示，该方法包括:
[0038]201、获取所述网络数据中所包含的网络元素。
[0039]在获取所述网络数据中所包含的网络元素时，可以采用对获取的网络数据进行解析；以确定的进行网络安全分析的网络元素为关键字，查询解析后的网络数据，得到网络数据中所包含的网络元素。
[0040]202、确定各个所述网络元素关联的关联网络元素。
[0041]在201得到各个网络元素后，根据各个网络元素的传输路径确定各个所述网络元素关联的关联网络元素。例如，网络元素为文件，可以根据文件由哪个邮箱发送到过哪些邮箱、此文件存在过哪些IP、此文件可从哪些域名下载等传输路径确定各个网络元素关联的网络元素。
[0042]203、建立所述各个网络元素与对应的网络元素之间的对应关系，得到网络元素关联关系网。
[0043]进一步的，在对网络安全进行检测是，有些网络行为根据预定的检测方法可以直接确定该网络行为为不安全行为，但也有些网络行为不能明确的确定其是否不安全行为，只能确定其网络行为为异常网络行为，针对该两种网络行为的判断，在执行103根据所述网络元素关联关系网进行网络安全