一种网络行为安全检测的方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络安全领域,具体而言,涉及一种网络行为安全检测的方法和装置。
【背景技术】
[0002]目前Web信息系统访问安全主要依靠传统防火墙、安全路由器、CA身份认证、入侵检测系统等,这些技术对于防御外部网络安全效果明显,但无法对信息服务网络的内网进行有效的安全防御,从而使得内网很容易遭受到内网用户的攻击。
[0003]针对上述的问题,目前尚未提出有效的解决方案。
【发明内容】
[0004]本发明实施例提供了一种网络行为安全检测的方法和装置,以实现对信息服务网络的内网的安全进行检测。
[0005]根据本发明实施例的一个方面,提供了一种网络行为安全检测的方法,应用于检测服务器,包括:接收网络节点发送的通过监测网络行为采集的行为数据;判断所述行为数据是否符合预设行为规则;在所述行为数据符合所述预设行为规则时,确定所述网络行为正常;在所述行为数据不符合所述预设行为规则时,确定所述网络行为异常。
[0006]根据本发明实施例的另一方面,还提供了一种网络行为安全检测的方法,应用于网络节点,包括:监测网络行为,并采集所述网络行为产生的行为数据;将所述行为数据发送至检测服务器,以便所述检测服务器判断所述行为数据是否符合预设行为规则,在所述行为数据符合所述预设行为规则时,确定所述网络行为正常,在所述行为数据不符合所述预设行为规则时,确定所述网络行为异常。
[0007]根据本发明实施例的第三方面,还提供了一种网络行为安全检测的装置,应用于检测服务器,包括:接收单元,用于接收网络节点发送的通过监测网络行为采集的行为数据;判断单元,用于判断所述行为数据是否符合预设行为规则;在所述行为数据符合所述预设行为规则时,确定所述网络行为正常;在所述行为数据不符合所述预设行为规则时,确定所述网络行为异常。
[0008]根据本发明实施例的第四方面,还提供了一种网络行为安全检测的装置,应用于网络节点,包括:检测单元,用于监测网络行为,并采集所述网络行为产生的行为数据;发送单元,用于将所述行为数据发送至检测服务器,以便所述检测服务器判断所述行为数据是否符合预设行为规则,在所述行为数据符合所述预设行为规则时,确定所述网络行为正常,在所述行为数据不符合所述预设行为规则时,确定所述网络行为异常。
[0009]在本发明实施例中,接收网络节点发送的行为数据,判断该行为数据是否符合预设行为规则,在该行为数据符合该预设行为规则时,确定该行为数据正常;在该行为数据不符合该预设行为规则时,确定该行为数据异常。这样,通过检测网络节点在内网的行为,并根据得到的行为数据进行安全检测,从而实现了对信息服务网络的内网的安全进行检测。
【附图说明】
[0010]为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0011]图1是根据本发明实施例的一种可选的网络行为安全检测方法的流程示意图;
[0012]图2是根据本发明实施例的一种可选的网络行为安全检测的装置的结构示意图;
[0013]图3是根据本发明实施例的一种可选的网络行为安全检测的装置的结构示意图;
[0014]图4是根据本发明实施例的一种可选的网络行为安全检测的装置的结构示意图;
[0015]图5是根据本发明实施例的一种可选的网络行为安全检测的装置的结构示意图。
【具体实施方式】
[0016]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0017]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0018]根据本发明实施例,提供了一种网络安全检测的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0019]图1是根据本发明实施例的网络安全监测的方法,如图1所示,应用于检测服务器,该方法包括如下步骤:
[0020]SlOl、接收网络节点发送的通过监测网络行为采集的行为数据。
[0021]其中,网络行为可以包括登录、浏览、发文、上传、下载等行为。
[0022]在本步骤中,网络节点通过调用操作系统的命令监测服务器的状态,对操作系统进行文件监视、进程监视、注册表监视以及网络访问监视等得到监控数据,并通过解析监控数据,确定出登陆、浏览、发文、上传、下载等网络行为,并将网络行为对应的行为数据压缩后发送至检测服务器。
[0023]S102、判断该网络行为是否符合预设行为规则。
[0024]在本步骤中,确定与该网络节点匹配的预设规则模型,并判断该网络行为是否符合该预设规则模型对应的预设行为规则。
[0025]具体地,检测服务器可以设置检测任务,对需要被检测的网络节点可以制定预设规则模型,通过确定预设规则模型执行不同预设行为规则。
[0026]检测服务器在接收到行为数据后,按照该行为数据对应的数据类型分别存入数据库,并将数据库内存放的预设行为规则进行比对,确定是否存在异常的行为数据。
[0027]其中,该数据库可以采用通用关系型数据库(如MySQL5.6)。
[0028]S103、在该网络行为符合该预设行为规则时,确定该网络行为正常。
[0029]S104、在该网络行为不符合该预设行为规则时,确定该网络行为异常。
[0030]可选地,在该确定该网络行为异常后,生成告警信息,并通过告警界面展示该告警?目息O
[0031]在一种可能的实现方式中,对于异常的行为数据,单独存放在数据库内,并通过WEB页码进行告警显示。
[0032]安全管理员通过浏览器访问,集中查看所监管的WEB服务器的安全告警信息与用户访问记录分析。
[0033]需要说明的是,在本实施例中,检测服务器与网络节点使用一组事先约定的格式和规则通过消息形式进行通信。
[0034]另外,网络节点的软件升级可以由检测服务器统一下发升级程序,以达到对网络节点的升级目的,不需要逐个对网络节点进行升级。
[0035]采用上述实施例,通过检测网络节点在内网的行为,并根据得到的行为数据进行安全检测,从而实现了对信息服务网络的内网的安全进行检测。
[0036]图2是根据本发明实施例的网络安全监测的方法,如图2所示,应用于网络节点,该方法包括如下步骤:
[0037]S201、监测网络行为,并采集该网络行为产生的行为数据。
[0038]其中,网络行为可以包括登录、浏览、发文、上传、下载等行为。
[0039]在本步骤中,网络节点通过调用操作系统的命令监测服务器的状态,对操作系统进行文件监视、进程监视、注册表监视以及网络访问监视等得到监控数据,并通过解析监控数据,确定出登陆、浏览、发文、上传、下载等网络行为,并将网络行为对应的行为数据压缩后发送至