本发明属于网络安全技术领域,具体涉及一种内网安全专家分析方法及系统。
背景技术:
随着网络技术的快速发展,我们对网络安全的关注越来越重视。然而,计算机和网络攻击的复杂性不断上升,使用传统的防火墙和入侵检测系统越来越难以检测和阻挡。随着病毒、蠕虫、木马、后门和混合威胁的泛滥,内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如slammer、blaster、sasser、sober、mydoom等会如何快速的传播,通常在几个小时之内就能席卷全球。为了对抗安全威胁,安全技术也在不断进化,包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、sslvpn、基于网络的防病毒和ips等新技术不断被应用。
但是,防御软件比如杀毒软件不能解决当攻击者用合法软件进行攻击的情况,并且防火墙主要是防御外网,当攻击者是企业内部的情况下防御外网的防火墙就形同虚设。现有技术中,对内网的分析及等级划分不清,无法明确的对入侵行为进行有目的的抵御。
技术实现要素:
本发明的目的是提供一种内网安全专家分析方法及系统以解决现有的内网安全等级划分不清的技术问题。
为了实现以上目的,本发明采取的技术方案为:内网安全专家分析方法,包括:
数据采集,收集目标网段上传输的数据;
数据检测,对来自内外网的行为进行实时跟踪检测;检测的数据分为正常数据和异常数据,异常数据为与入侵行为的相关数据;
数据分析及计算,对异常数据进行分析以建立多个有关入侵行为的分析项,对分析项进行层次分级,设定分析项所占的安全权重值ai;对每个分析项进行分析,设定分析项的安全等级值bi;
计算每个分析项的安全等级总值ci,ci=ai×bi;
计算总分析值c,c=c1+c2+…+ci。
进一步地,设定所述总分析值c的阈值为n,判断总分析值是否低于所述阈值n;若总分析值低于阈值,则记录所述总分析值,若总分析值高于所述阈值,则进行告警。
进一步地,所述层次分级按照入侵行为所引起的破坏程度来区分。
进一步地,根据ahp方法确定各分析项的安全权重值:确定分析项的总权重为100分,之后按照层次分级的划分时破坏程度所占比例确定个各分析项所占权重;按照ahp方法审核各分析项的安全权重值,在需要修改时进行修正,在不需要修改时输出所述各分析项的安全权重值。
内网安全专家分析系统,包括以下部分:
数据采集模块,用于收集目标网段上传输的数据;
数据检测模块,用于对来自内外网的入侵行为进行实时跟踪检测;
数据分析及计算模块,用于对异常数据进行分析并计算总分析指。
进一步地,所述数据分析及计算模块包括主机分析模块、链路分析模块、应用分析模块、协议字段模块、总体分析模块、历史分析和预测分析模。
进一步地,所述数据采集模块包括本地采集模块、远程采集模块。
本发明的有益效果:
本发明的内网安全专家分析方法及内网安全专家分析系统,可对内网的入侵行为进行分析,建立相关模型,分级并设定安全等级,便于对内网的入侵行为进行分析并明确防护方向,对内网的入侵行为进行有目的的抵御。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本实施例的内网安全专家分析方法,包括:数据采集,收集目标网段上传输的数据。数据检测,对来自内外网的行为进行实时跟踪检测;检测的数据分为正常数据和异常数据,异常数据为与入侵行为的相关数据。数据分析及计算,对异常数据进行分析以建立多个有关入侵行为的分析项,对分析项进行层次分级,设定分析项所占的安全权重值ai。层次分级按照入侵行为所引起的破坏程度来区分。在其他实施例中,层次分级也可以采用其他方法来区分。
对每个分析项进行分析,设定分析项的安全等级值bi。计算每个分析项的安全等级总值ci,ci=ai×bi。计算总分析值c,c=c1+c2+…+ci。设定总分析值c的阈值为n,判断总分析值是否低于阈值n;若总分析值低于阈值,则记录所述总分析值,若总分析值高于阈值,则进行告警。
根据ahp方法确定各分析项的安全权重值:确定分析项的总权重为100分,之后按照层次分级的划分时破坏程度所占比例确定个各分析项所占权重;按照ahp方法审核各分析项的安全权重值,在需要修改时进行修正,在不需要修改时输出所述各分析项的安全权重值。
本实施例的内网安全专家分析系统,包括以下部分:数据采集模块,用于收集目标网段上传输的数据。数据采集模块包括本地采集模块、远程采集模块。数据检测模块,用于对来自内外网的入侵行为进行实时跟踪检测。数据分析及计算模块,用于对异常数据进行分析并计算总分析指。数据分析及计算模块包括主机分析模块、链路分析模块、应用分析模块、协议字段模块、总体分析模块、历史分析和预测分析模。