风险的感知方法及装置、监控系统与流程
本发明属于网络安全技术领域,尤其涉及一种风险的感知方法及装置、监控系统。
背景技术:
随着技术的发展,互联网技术的应用越来越广泛,开放的互联网环境,以及企业对于互联网的依赖,互联网上存在大量极具价值的数据和信息以供需要的用户通过合法手段获取,但这存在一定的风险。例如:网络黑客通过各种攻击手段获取这些数据信息,就能获取直接或间接的经济利益,但这给数据提供方带来损失,甚至使得数据变得不安全。因此需要对网络攻击行为进行风险感知;
现有技术中有两种方式来进行风险感知:一种是通过在需要进行网络攻击检测的区域通过串联或旁路的方式部署ips(入侵防御系统)或ids(入侵检测系统);另一种是直接旁路部署一台流量还原分析系统,通过流量还原分析系统自身来实现攻击识别和风险感知。但上述感知方式都依赖于设备或系统自身的攻击规则库,由于单一设备厂商其用户覆盖面及部署环境的局限性,设备自身攻击规则库往往并不准确且难以及时更新,在当前网络攻击变种多且变种快速的情况下,前述风险感知并不准确。
技术实现要素:
本发明实施例提供了一种风险的感知方法及装置、监控系统,旨在解决现有技术的由于依赖于自身攻击规则库的局限性影响风险感知的准确性的问题。
一种风险的感知方法,包括:
获取原始网络流量;
对所述原始网络流量进行还原,得到还原网络流量数据;
从所述还原网络流量数据提取关键数据;
调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。
优选地,从所述还原网络流量数据提取关键数据包括:
对所述还原网络流量数据进行预处理,得到处理后的网络数据;
将所述网络数据转为json格式;
从经过格式转换的网络数据中提取关键数据。
优选地,调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果包括:
调用所述威胁检测平台的api接口;
接收到所述api接口基于所述关键数据进行查询的结果;
基于所述查询的结果进行风险感知,得到感知结果。
优选地,基于所述查询的结果进行风险感知,得到感知结果包括:
分析所述查询的结果携带的字段,得到分析结果;
基于所述分析结果进行风险感知,得到感知结果。
优选地,当所述感知结果为存在风险时,所述调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果之后还包括:
发出安全警告。
本发明还提供一种风险的感知装置,包括:
获取单元,用于获取原始网络流量;
还原单元,用于对所述原始网络流量进行还原,得到还原网络流量数据;
提取单元,用于从所述还原网络流量数据提取关键数据;
感知单元,用于调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。
优选地,所述提取单元具体包括:
预处理子单元,用于对所述还原网络流量数据进行预处理,得到处理后的网络数据;
格式转换子单元,用于将所述网络数据转为json格式;
提取子单元,用于从经过格式转换的网络数据中提取关键数据。
优选地,所述感知单元具体包括:
调用子单元,用于调用所述威胁检测平台的api接口及接收到所述api接口基于所述关键数据进行查询的结果;
感知子单元,用于基于所述查询的结果进行风险感知,得到感知结果。
本发明还提供一种监控系统,包括一种风险的感知装置,所述感知装置包括:
获取单元,用于获取原始网络流量;
还原单元,用于对所述原始网络流量进行还原,得到还原网络流量数据;
提取单元,用于从所述还原网络流量数据提取关键数据;
感知单元,用于调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。
优选地,所述监控系统还包括:与所述感知装置连接的威胁检测平台,其中:
威胁检测平台,用于基于提取数据进行风险感知,得到感知结果。
本发明还提供一种存储器,所述存储器存储有计算机程序,所述计算机程序被处理器执行如下步骤:
获取原始网络流量;
对所述原始网络流量进行还原,得到还原网络流量数据;
从所述还原网络流量数据提取关键数据;
调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。
本发明还提供一种监控终端,包括存储器、处理器及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取原始网络流量;
对所述原始网络流量进行还原,得到还原网络流量数据;
从所述还原网络流量数据提取关键数据;
调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。
本发明实施例中,基于原始网络流量调用威胁检测平台来进行风险感知,可提高风险感知的准确性。
附图说明
图1为本发明第一实施例提供的一种风险的感知方法的流程图;
图2为本发明第一实施例提供的一种风险的感知方法的步骤s3的具体流程图;
图3为本发明第一实施例提供的一种风险的感知方法的步骤s4的具体流程图;
图4为本发明第二实施例提供的一种风险的感知装置的结构图;
图5为本发明第三实施例提供的一种监控终端的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例中,一种风险的感知方法,包括:获取原始网络流量;对所述原始网络流量进行还原,得到还原网络流量数据;从所述还原网络流量数据提取关键数据;调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例一:
图1示出了本发明第一实施例提供的一种风险的感知方法的流程图,该感知方法包括:
步骤s1,获取原始网络流量;
具体地,首先获取原始网络流量数据,本实施例以企业为例,首先获取该企业的原始网络流量。
步骤s2,对原始网络流量进行还原,得到还原网络流量数据;
具体地,直接将原始网络流量导入流量还原单元中,例如:在企业的oa环境的核心交换机上,指定一个交换机物理端口作为镜像流量目的端口,如xge6/0/6,并将通往互联网的端口作为镜像流量的数据源端口,例如xge6/0/48,然后将镜像流量的目的端口(本例中为xge6/0/6),与流量还原单元的数据接收端口通过光纤或rj45以太网线直联。通过这种方式,就能将oa原始流量导入到流量还原系统;
优选地,得到的还原网络流量数据采用syslog或者api方式输出的。
进一步地,在syslog的输出方式中,可将需要的数据流量(例如dns流量),输出到开启syslog服务的指定syslogserver,而只需要在流量还原单元上配置该syslogserver的ip地址和监听端口即可。
进一步地,在api输出方式中,通过访问指定数据流量的对应url,例如https://xxx.xx/api/dns_data,即可获取数据输出的结果。
步骤s3,从还原网络流量数据提取关键数据;
具体地,从还原的网络流量数据中提取关键数据,该关键数据基于预设规则提取,该预设规则指的是提取规则,即基于该提取规则来提取对应的内容。以便于后续的风险感知,由于风险感知是有针对性的,如果直接将还原网络流量数据来进行风险感知,会耗费大量的网络资源,且效率不高。
步骤s4,调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果;
具体地,调用威胁检测平台来基于所提取的关键数据进行风险感知,得到感知结果,该威胁检测平台优选为第三方且业内普遍使用的平台,用户基础好,场景覆盖广泛,能够对多类关键信息的风险识别,可提高风险识别感知效率。
在本实施例中,基于原始网络流量调用威胁检测平台来进行风险感知,可提高风险感知的准确性。
在本实施例的一个优选方案中,如图2所示,为本发明第一实施例提供的一种风险的感知方法的步骤s3的具体流程图,该步骤s3具体包括:
步骤s31,对还原网络流量数据进行预处理,得到处理后的网络数据;
具体地,首先需要对还原网络流量数据进行预处理,得到预处理后的网络数据,例如,对还原网络流量数据进行序列化及标准化处理;
步骤s32,将网络数据转为json格式;
具体地,将网络数据转为json格式;
步骤s33,从经过格式转换的网络数据中提取关键数据;
具体地,从经过格式转换的网络数据中提取关键数据;
例如:通过将数据采集系统中的数据进行序列化和标准化,将原始数据形成json体的形式(字段名key:字段值value),再从标准化后的字段中选择需要关注的核心字段以及这些字段对应的值。
例如:例如在{“srcip”:“30.90.100.6”,“dstip”:“60.208.99.222”,“domian”:“example.com”}这个字段组合中,将dstip和domian这两个字段挑选为核心字段,从而提取出其对应的值60.208.99.222和example.com。
在本实施例的一个优选方案中,如图3所示,为本发明第一实施例提供的一种风险的感知方法的步骤s4的具体流程图,该步骤s4具体包括:
步骤s41,调用威胁检测平台的api接口;
具体地,该威胁检测平台提供多个api接口,此时可选调用其中的一个;
步骤s42,接收到api接口基于关键数据进行查询的结果;
具体地,基于该威胁检测平台基于前述关键数据进行查询,通过api接口反馈查询的结果;
步骤s43,基于查询的结果进行风险感知,得到感知结果;
具体地,根据查询的结果进行分析,风险感知,得到对应的感知结果。
例如:程序化持续自动查询环节,通过使用自动化工具,调用威胁检测平台的api接口,将前面提取到的关键字段的值进行持续查询,从而得到分析结果。
例如提交posthttps://x.threatbook.cn/api/v1/60.208.99.222/query,即可对前面提取的ip信息进行查询;当将此查询命令通过脚本自动化工具进行封装时,即可做到持续的自动化查询。
在本实施例的一个优选方案中,该步骤s43具体包括:
分析查询的结果携带的字段,得到分析结果;
基于分析结果进行风险感知,得到感知结果;
具体地,根据威胁检测平台查询后反馈的分析结果中携带的字段来进行区分,得到分析结果,反馈的查询结果会携带很多字段,例如:
例如,在查询ip的api接口返回信息中,会携带一个字段judgments,如果结果是{“judgments”:“whitelist”}表示查询的该ip为白名单,是可信的,无风险的;而{“judgments”:“phishing”}则表示该ip为钓鱼网站,存在风险。
在本实施例的一个优选方案中,当感知结果为存在风险时,该步骤s4之后还可包括:
发出安全警告;
具体地,当存在风险时,需要发出安全警告,例如通过调用钉钉机器人接口的方式,将经过查询后存在风险的信息,通知到需要关注该告警信息的群组。钉钉机器人接口其本质上也是一个url地址,其接口地址通常是类似这样的一个url地址https://oapi.dingtalk.com/robot/send?access_token=xxxxxxxx,我们可以通过将查询返回的风险信息提交到该地址,风险感知信息就能通过钉钉发送到接收者,从而实现风险感知结果快速的通知预警,实现风险感知的闭环。
在本实施例中,基于原始网络流量调用威胁检测平台来进行风险感知,可提高风险感知的准确性。
实施例二:
基于上述实施例一,如图4所示,为本发明第二实施例提供的一种风险的感知装置的结构图,该感知装置包括:获取单元1、与获取单元1连接的还原单元2、与还原单元2连接的提取单元3、与提取单元3连接的感知单元4,其中:
获取单元1,用于获取原始网络流量;
具体地,首先获取原始网络流量数据,本实施例以企业为例,首先获取该企业的原始网络流量。
还原单元2,用于对原始网络流量进行还原,得到还原网络流量数据;
具体地,直接将原始网络流量导入流量还原单元中,例如:在企业的oa环境的核心交换机上,指定一个交换机物理端口作为镜像流量目的端口,如xge6/0/6,并将通往互联网的端口作为镜像流量的数据源端口,例如xge6/0/48,然后将镜像流量的目的端口(本例中为xge6/0/6),与流量还原单元的数据接收端口通过光纤或rj45以太网线直联。通过这种方式,就能将oa原始流量导入到流量还原系统;
优选地,得到的还原网络流量数据采用syslog或者api方式输出的。
进一步地,在syslog的输出方式中,可将需要的数据流量(例如dns流量),输出到开启syslog服务的指定syslogserver,而只需要在流量还原单元上配置该syslogserver的ip地址和监听端口即可。
进一步地,在api输出方式中,通过访问指定数据流量的对应url,例如https://xxx.xx/api/dns_data,即可获取数据输出的结果。
提取单元3,用于从还原网络流量数据提取关键数据;
具体地,从还原的网络流量数据中提取关键数据,该关键数据基于预设规则提取,该预设规则指的是提取规则,即基于该提取规则来提取对应的内容。以便于后续的风险感知,由于风险感知是有针对性的,如果直接将还原网络流量数据来进行风险感知,会耗费大量的网络资源,且效率不高。
感知单元4,用于调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果;
具体地,调用威胁检测平台来基于所提取的关键数据进行风险感知,得到感知结果,该威胁检测平台优选为第三方且业内普遍使用的平台,用户基础好,场景覆盖广泛,能够对多类关键信息的风险识别,可提高风险识别感知效率。
在本实施例中,基于原始网络流量调用威胁检测平台来进行风险感知,可提高风险感知的准确性。
在本实施例的一个优选方案中,该提取单元3具体包括:预处理子单元、与预处理子单元连接的格式转换子单元、与格式转换子单元连接的提取子单元,其中:
预处理子单元,用于对还原网络流量数据进行预处理,得到处理后的网络数据;
具体地,首先需要对还原网络流量数据进行预处理,得到预处理后的网络数据,例如,对还原网络流量数据进行序列化及标准化处理;
格式转换子单元,用于将网络数据转为json格式;
具体地,将网络数据转为json格式;
提取子单元,用于从经过格式转换的网络数据中提取关键数据;
具体地,从经过格式转换的网络数据中提取关键数据;
例如:通过将数据采集系统中的数据进行序列化和标准化,将原始数据形成json体的形式(字段名key:字段值value),再从标准化后的字段中选择需要关注的核心字段以及这些字段对应的值。
例如:例如在{“srcip”:“30.90.100.6”,“dstip”:“60.208.99.222”,“domian”:“example.com”}这个字段组合中,将dstip和domian这两个字段挑选为核心字段,从而提取出其对应的值60.208.99.222和example.com。
在本实施例的一个优选方案中,该感知单元4具体包括:调用子单元及与其连接的感知子单元,其中:
调用子单元,用于调用威胁检测平台的api接口;
具体地,该威胁检测平台提供多个api接口,此时可选调用其中的一个;
还用于:调用威胁检测平台的api接口;
具体地,该威胁检测平台据多个api接口,此时可选调用其中的一个;
感知子单元,用于基于查询的结果进行风险感知,得到感知结果;
具体地,根据查询的结果进行分析,风险感知,得到对应的感知结果。
例如:程序化持续自动查询环节,通过使用自动化工具,调用威胁检测平台的api接口,将前面提取到的关键字段的值进行持续查询,从而得到分析结果。
例如提交posthttps://x.threatbook.cn/api/v1/60.208.99.222/query,即可对前面提取的ip信息进行查询;当将此查询命令通过脚本自动化工具进行封装时,即可做到持续的自动化查询。
在本实施例的一个优选方案中,该感知子单元具体用于:
分析查询的结果携带的字段,得到分析结果;
基于分析结果进行风险感知,得到感知结果;
具体地,根据威胁检测平台查询后反馈的分析结果中携带的字段来进行区分,得到分析结果,反馈的查询结果会携带很多字段,例如:
例如,在查询ip的api接口返回信息中,会携带一个字段judgments,如果结果是{“judgments”:“whitelist”}表示查询的该ip为白名单,是可信的,无风险的;而{“judgments”:“phishing”}则表示该ip为钓鱼网站,存在风险。
在本实施例的一个优选方案中,该感知装置还包括与感知单元4连接的警告单元,其中:
警告单元,用于当感知结果为存在风险时,发出安全警告;
具体地,当存在风险时,需要发出安全警告,例如通过调用钉钉机器人接口的方式,将经过查询后存在风险的信息,通知到需要关注该告警信息的群组。钉钉机器人接口其本质上也是一个url地址,其接口地址通常是类似这样的一个url地址https://oapi.dingtalk.com/robot/send?access_token=xxxxxxxx,我们可以通过将查询返回的风险信息提交到该地址,风险感知信息就能通过钉钉发送到接收者,从而实现风险感知结果快速的通知预警,实现风险感知的闭环。
在本实施例中,基于原始网络流量调用威胁检测平台来进行风险感知,可提高风险感知的准确性。
本发明还提供一种监控系统,所述监控系统包括如上述实施例二所述的风险的感知装置,该感知装置的具体结构、工作原理及所带来的技术效果以上述实施例二的描述一致,此处不再赘述。
进一步地,该监控系统包括一个以上感知装置及一个威胁检测平台,每一上述感知装置与该威胁检测平台连接,优选地,通过api接口连接。
实施例三:
图5示出了本发明第三实施例提供的一种监控终端的结构图,该监控终端包括:存储器(memory)51、处理器(processor)52、通信接口(communicationsinterface)53和总线54,该处理器52、存储器51、通信接口53通过总线54完成相互之间的交互通信。
存储器51,用于存储各种数据;
具体地,存储器51用于存储各种数据,例如通信过程中的数据、接收的数据等,此处对此不作限制,该存储器还包括有多个计算机程序。
通信接口53,用于该监控终端的通信设备之间的信息传输;
处理器52,用于调用存储器51中的各种计算机程序,以执行上述实施例一所提供的一种风险的感知方法,例如:
获取原始网络流量;
对所述原始网络流量进行还原,得到还原网络流量数据;
从所述还原网络流量数据提取关键数据;
调用威胁检测平台基于所提取的关键数据进行风险感知,得到感知结果。
本实施例中,基于原始网络流量调用威胁检测平台来进行风险感知,可提高风险感知的准确性。
本发明还提供一种存储器,该存储器存储有多个计算机程序,该多个计算机程序被处理器调用执行上述实施例一所述的一种风险的感知方法。
本发明中,基于原始网络流量调用威胁检测平台来进行风险感知,可提高风险感知的准确性。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。
专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!