网络安全保护方法、装置及电子设备与流程

本发明涉及网络通信的技术领域，尤其是涉及一种网络安全保护方法、装置及电子设备。

背景技术：

如图1所示，现有的网络安全管理系统中，网络安全监测装置就地部署在站控层，实现对本区域(包括调控机构、厂站配电以及负控等监控系统)相关设备网络安全数据的采集与处理，同时把处理的结果通过通信手段，按照设定好的通信规约送至调度机构部署的网络安全监管平台。

具体实现的过程如下：在每台被保护设备(包括：主机设备，网络设备，安防设备，防火墙等)上安装监控系统客户端程序，基于该监控系统客户端程序被保护设备向网络安全监测装置发起建立连接请求，如此被保护设备与网络安全监测装置建立tcp连接，进而被保护设备向网络安全监测装置发送网络安全数据，如，主机设备向网络安全监测装置发送操作系统层面所有的用户登录、操作信息、外设设备(键盘、鼠标以及多有移动存储设备)接入信息及网络外联等网络安全数据；网络设备向网络安全监测装置发送交换机相关的配置变更、流量信息、网口状态等网络安全数据；安防设备向网络安全监测装置发送横向隔离装置的运行状态、安全事件及配置变更等网络安全数据；防火墙向网络安全监测装置发送厂站防火墙的运行状态、安全事件、策略变更及设备异常等网络安全数据。网络安全监测装置接收到上述网络安全数据后，对上述网络安全数据进行简单处理，把处理后的网络安全数据发送至网络安全监管平台，由网络安全监管平台对上述处理后的网络安全数据进行进一步地安全分析(比如，对主机关键文件变更、用户权限变更、危险操作等事件进行安全性分析)，并在分析得到存在安全事件时，进行安全预警(包括主机设备非法网络外联告警、纵向加密、隔离、防火墙设备拦截到的不符合安全策略的访问、cpu利用率越限告警、非法设备接入告警、外设设备配置告警、用户异常操作告警等)。

通过对现有的网络安全管理系统的描述可知，在进行网络安全数据采集时，采用了包捕获机制的方法(即在每台被保护设备上安装监控系统客户端程序的方式)，该方法存在以下两个问题，一是被动接受被保护设备发送的网络安全数据，缺乏监测的主动性，并且在被保护设备上安装监控系统客户端程序会造成被保护设备额外的负担，被保护设备升级维护不便，安全性差；二是数据分析效率低(通常采用模式匹配算法或者快速模式匹配算法，对特征字符串的匹配非常耗时)。另外，在进行安全分析时，没有考虑得到流量异常，误报率高；此外，整个过程中只进行了安全预警，无法实现有效的安全防护。

综上，现有的网络安全保护方式存在被动接受，误报率高以及缺少安全防护的技术问题。

技术实现要素：

有鉴于此，本发明的目的在于提供一种网络安全保护方法、装置及电子设备，以缓解现有的网络安全保护方式存在被动接受，误报率高以及缺少安全防护的技术问题。

第一方面，本发明实施例提供了一种网络安全保护方法，应用于网络安全保护装置，包括：

发送数据采集请求至被保护设备，其中，所述数据采集请求中携带有待采集网络安全数据的信息；

接收所述被保护设备根据所述数据采集请求返回的数据响应信息，其中，所述数据响应信息包括：所述被保护设备采集的网络安全数据和响应状态信息，所述网络安全数据包括：流量数据和安全事件数据；

将所述流量数据和所述安全事件数据与标准信息进行对比分析，得到对比分析结果；

当所述对比分析结果为存在异常事件时，则对所述异常事件的通信进行阻断，其中，所述异常事件至少包括：网络违规外联事件、非法设备接入事件。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，在发送数据采集请求至被保护设备之前，所述方法还包括：

建立与所述被保护设备之间的通信连接。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，建立与所述被保护设备之间的通信连接包括：

发送建立连接请求至所述被保护设备；

接收所述被保护设备根据所述建立连接请求返回的连接响应信息。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，将所述流量数据和所述安全事件数据与标准信息进行对比分析，得到对比分析结果包括：

采用统计分析方法从所述流量数据和所述安全事件数据中提取流量数据样本；

将所述流量数据样本与所述标准信息中的标准流量信息进行对比；

如果所述流量数据样本与所述标准流量信息相匹配，则确定不存在异常事件；

如果所述流量数据样本与所述标准流量信息不匹配，则确定存在异常事件。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，将所述流量数据和所述安全事件数据与标准信息进行对比分析，得到对比分析结果包括：

采用统计分析方法从所述流量数据和所述安全事件数据中提取mac地址信息和/或ip地址信息；

将所述mac地址信息和/或ip地址信息与所述标准信息中的白名单信息进行对比，其中，所述白名单信息包括：标准mac地址信息和标准ip地址信息；

如果所述mac地址信息和/或ip地址信息与所述白名单信息相匹配，则确定不存在异常事件；

如果所述mac地址信息和/或ip地址信息与所述白名单信息不匹配，则确定存在异常事件。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，对所述异常事件的通信进行阻断包括：

根据所述异常事件所对应的网络安全数据确定异常行为设备；

对所述异常行为设备进行阻断。

结合第一方面，本发明实施例提供了第一方面的第六种可能的实施方式，其中，对所述异常行为设备进行阻断包括：

向目标设备发送rst标志数据包，以使所述目标设备根据所述rst标志数据包关闭目标通信链路，其中，所述目标设备为与所述异常行为设备进行通信的设备，所述目标通信链路为与所述异常行为设备进行通信的通信链路；

或者，

向所述被保护设备中的交换机发送关闭所述异常行为设备所对应的端口信息，以使所述交换机切断与所述异常行为设备之间的通信链路。

第二方面，本发明实施例还提供了一种网络安全保护装置，包括：

发送模块，用于发送数据采集请求至被保护设备，其中，所述数据采集请求中携带有待采集网络安全数据的信息；

接收模块，用于接收所述被保护设备根据所述数据采集请求返回的数据响应信息，其中，所述数据响应信息包括：所述被保护设备采集的网络安全数据和响应状态信息，所述网络安全数据包括：流量数据和安全事件数据；

对比分析模块，用于将所述流量数据和所述安全事件数据与标准信息进行对比分析，得到对比分析结果；

异常处理模块，用于当所述对比分析结果为存在异常事件时，则对所述异常事件的通信进行阻断，其中，所述异常事件至少包括：网络违规外联事件、非法设备接入事件。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述装置还包括：

建立连接模块，用于建立与所述被保护设备之间的通信连接。

第三方面，本发明实施例提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面任一项所述的方法的步骤。

本发明实施例带来了以下有益效果：

在本发明实施例中，网络安全保护装置能够主动发送数据采集请求至被保护设备，进而接收被保护设备根据数据采集请求返回的数据响应信息；然后将其中的流量数据和安全事件数据与标准信息进行对比分析，得到对比分析结果；并在对比分析结果为存在异常事件时，对异常事件的通信进行阻断。通过上述描述可知，在本发明实时例中，网络安全保护装置能够主动向被保护设备发送数据采集请求，也就是能够主动的进行数据采集，不用在被保护设备上安全额外的程序，减轻了被保护设备的负担，另外，返回得到的数据响应信息中包含流量数据，即能够对流量异常进行监测，提高了监测的精度，同时，在确定得到存在异常事件时，能够对异常事件的通信进行阻断，缓解了现有的网络安全保护方式只能被动接受数据，误报率高以及缺少安全防护的技术问题。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的网络安全管理系统的结构示意图；

图2为本发明实施例提供的网络安全保护方法的流程图；

图3为本发明实施例提供的将流量数据和安全事件数据与标准信息进行对比分析的流程图；

图4为本发明实施例提供的将流量数据和安全事件数据与标准信息进行对比分析的另一流程图；

图5为本发明实施例提供的一种网络安全保护装置的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一：

根据本发明实施例，提供了一种网络安全保护方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图2是根据本发明实施例的一种网络安全保护方法的流程图，如图2所示，该方法包括如下步骤：

步骤s202，发送数据采集请求至被保护设备，其中，数据采集请求中携带有待采集网络安全数据的信息；

在本发明实施例中，该网络安全保护方法的执行主体可以为网络安全保护装置，事先在网络安全保护装置中部署代理程序，部署完成后，该网络安全设备就能执行本发明中网络安全保护方法的步骤。

具体的，被保护设备包括：主机设备、网络设备、安防设备、防火墙、交换机以及网络安全监测装置等，本发明实施例对上述被保护设备不进行具体限制。

另外，本发明的网络安全保护装置能够主动向被保护设备发送数据采集请求(嗅探式)，该数据采集请求中携带有待采集网络安全数据的信息，也就是携带需要采集哪些数据的信息。

需要说明的是，网络安全保护装置在向被保护设备发送数据采集请求时，具体是向预设ip地址所对应的被保护设备发送数据采集请求。

步骤s204，接收被保护设备根据数据采集请求返回的数据响应信息，其中，数据响应信息包括：被保护设备采集的网络安全数据和响应状态信息，网络安全数据包括：流量数据和安全事件数据；

具体的，被保护设备在接收到数据采集请求后，会根据数据采集请求返回的数据响应信息，这样网络安全保护装置就得到的数据响应信息，就能进一步对数据响应信息进行分析。

流量数据是指和流量相关的数据，比如，流量使用数据；安全事件数据是指和安全事件相关的数据，比如，交换机的配置变更数据，横向隔离装置的运行状态数据等等。

需要说明的是，网络安全数据中至少包括：主机名、程序名、版本号、时间及编号等。

步骤s206，将流量数据和安全事件数据与标准信息进行对比分析，得到对比分析结果；

在得到流量数据和安全事件数据后，将流量数据和安全事件数据与标准信息进行对比分析，具体对比分析的过程将在下文中进行详细描述，在此不再赘述。

步骤s208，当对比分析结果为存在异常事件时，则对异常事件的通信进行阻断，其中，异常事件至少包括：网络违规外联事件、非法设备接入事件。

在本发明实施例中，网络安全保护装置能够主动发送数据采集请求至被保护设备，进而接收被保护设备根据数据采集请求返回的数据响应信息；然后将其中的流量数据和安全事件数据与标准信息进行对比分析，得到对比分析结果；并在对比分析结果为存在异常事件时，对异常事件的通信进行阻断。通过上述描述可知，在本发明实时例中，网络安全保护装置能够主动向被保护设备发送数据采集请求，也就是能够主动的进行数据采集，不用在被保护设备上安全额外的程序，减轻了被保护设备的负担，另外，返回得到的数据响应信息中包含流量数据，即能够对流量异常进行监测，提高了监测的精度，同时，在确定得到存在异常事件时，能够对异常事件的通信进行阻断，缓解了现有的网络安全保护方式只能被动接受数据，误报率高以及缺少安全防护的技术问题。

另外，在发送数据采集请求至被保护设备之前，该方法还包括：

建立与被保护设备之间的通信连接。

具体的，1)发送建立连接请求至被保护设备；2)接收被保护设备根据建立连接请求返回的连接响应信息。

在发送建立连接请求时，会获取监控项列表，根据监控项列表确定需要采集的数据。如，网络安全保护装置中的代理程序打开tcp连接，根据预设的ip地址向被保护设备发送建立连接请求，被保护设备接收到建立连接请求后，根据建立连接请求返回连接响应信息，连接响应信息包括：连接结果信息和监控项列表，监控项列表包括：key、delay、lastlogsize、time等属性。如此，便建立了与被保护设备之间的通信连接，然后，代理程序关闭tcp连接。

上述内容对本发明的网络安全保护方法进行了简要介绍，下面对其中涉及到的具体内容进行详细介绍。

在本发明的一个可选实施例中，参考图3，步骤s206，将流量数据和安全事件数据与标准信息进行对比分析，得到对比分析结果包括：

步骤s301，采用统计分析方法从流量数据和安全事件数据中提取流量数据样本；

通过流量分析可以针对新型的网络攻击手段和网络病毒有很好的检测效果，可以大大降低由于对攻击手段不了解而发生漏报的可能性，在产生严重破坏前找到攻击源头，将网络损失降低到最小。

具体的，数量流量为交换机提供的交换机数据中的部分数据，得到交换机数据后，采用统计分析方法从交换机数据(即本发明的网络安全数据，其中包含流量数据和安全事件数据)中提取流量数据样本。

步骤s302，将流量数据样本与标准信息中的标准流量信息进行对比；

具体的，根据流量数据样本的分布特征和标准信息中的标准流量信息进行比较，判断是否发生了流量变化。常用的网络协议主要有smtp、ftp、icmp等。

步骤s303，如果流量数据样本与标准流量信息相匹配，则确定不存在异常事件；

步骤s304，如果流量数据样本与标准流量信息不匹配，则确定存在异常事件。

下面进行距离说明，比如，标准流量信息的取值范围为0.5，现连续监测得到流量数据样本取值超过1，符合某病毒出现初期时的网络流量特征，即发生了流量异常，存在异常事件；反之，不存在异常事件。

在本发明的另一个可选实施例中，参考图4，步骤s206，将流量数据和安全事件数据与标准信息进行对比分析，得到对比分析结果包括：

步骤s401，采用统计分析方法从流量数据和安全事件数据中提取mac地址信息和/或ip地址信息；

步骤s402，将mac地址信息和/或ip地址信息与标准信息中的白名单信息进行对比，其中，白名单信息包括：标准mac地址信息和标准ip地址信息；

步骤s403，如果mac地址信息和/或ip地址信息与白名单信息相匹配，则确定不存在异常事件；

步骤s404，如果mac地址信息和/或ip地址信息与白名单信息不匹配，则确定存在异常事件。

在本发明的一个可选实施例中，对异常事件的通信进行阻断包括：

(1)根据异常事件所对应的网络安全数据确定异常行为设备；

比如，通过流量分析确定存在异常事件后，进而根据该异常事件对应的流量数据样本筛选出各个不同ip地址的流量数，依据统计分析方法和流量较大的ip地址，确定异常行为设备，即根据异常事件所对应的流量数据样本的ip地址确定异常行为设备；

再比如，若一个mac地址不在白名单，则确定存在异常事件，那么该mac地址所对应的设备即为异常行为设备。

(2)对异常行为设备进行阻断。

具体的，向目标设备发送rst标志数据包，以使目标设备根据rst标志数据包关闭目标通信链路，其中，目标设备为与异常行为设备进行通信的设备，目标通信链路为与异常行为设备进行通信的通信链路；

比如，以tcp协议为例，针对异常事件的通信阻断，可以向目标设备发送一个带有rst标志数据包，其中包括设备的源地址、目的地址以及端口号等，目标设备收到rst标志数据包后，就会认为目标通信对端发生了异常，从而马上关闭该条通信链路。

或者，

向被保护设备中的交换机发送关闭异常行为设备所对应的端口信息，以使交换机切断与异常行为设备之间的通信链路。

通过上述描述可知，上述两种方式一种为链路阻断的方式，一种为端口禁用的方式，本发明对上述实现方式不进行具体限制。

本发明基于电力监控系统的特点，研制了一套面向电力监控系统的网络安全保护装置，按照自身感知、独立采集、分布处理统一管控的三层逻辑架构进行部署，重点纳入对用户行为的主动安全监视，有效感知网络违规外联和非法设备接入等，是一种高阶的安全防护手段，为电力企业信息网络安全弥补了重要一环。

实施例二：

本发明实施例还提供了一种网络安全保护装置，该网络安全保护装置主要用于执行本发明实施例上述内容所提供的网络安全保护方法，以下对本发明实施例提供的网络安全保护装置做具体介绍。

图5是根据本发明实施例的一种网络安全保护装置的示意图，如图5所示，该网络安全保护装置主要包括发送模块10，接收模块20，对比分析模块30和异常处理模块40，其中：

发送模块，用于发送数据采集请求至被保护设备，其中，数据采集请求中携带有待采集网络安全数据的信息；

接收模块，用于接收被保护设备根据数据采集请求返回的数据响应信息，其中，数据响应信息包括：被保护设备采集的网络安全数据和响应状态信息，网络安全数据包括：流量数据和安全事件数据；

对比分析模块，用于将流量数据和安全事件数据与标准信息进行对比分析，得到对比分析结果；

异常处理模块，用于当对比分析结果为存在异常事件时，则对异常事件的通信进行阻断，其中，异常事件至少包括：网络违规外联事件、非法设备接入事件。

在本发明实施例中，网络安全保护装置能够主动发送数据采集请求至被保护设备，进而接收被保护设备根据数据采集请求返回的数据响应信息；然后将其中的流量数据和安全事件数据与标准信息进行对比分析，得到对比分析结果；并在对比分析结果为存在异常事件时，对异常事件的通信进行阻断。通过上述描述可知，在本发明实时例中，网络安全保护装置能够主动向被保护设备发送数据采集请求，也就是能够主动的进行数据采集，不用在被保护设备上安全额外的程序，减轻了被保护设备的负担，另外，返回得到的数据响应信息中包含流量数据，即能够对流量异常进行监测，提高了监测的精度，同时，在确定得到存在异常事件时，能够对异常事件的通信进行阻断，缓解了现有的网络安全保护方式只能被动接受数据，误报率高以及缺少安全防护的技术问题。

可选地，该装置还包括：建立连接模块，用于建立与被保护设备之间的通信连接。

可选地，建立连接模块还用于：发送建立连接请求至被保护设备；接收被保护设备根据建立连接请求返回的连接响应信息。

可选地，对比分析模块还用于：采用统计分析方法从流量数据和安全事件数据中提取流量数据样本；将流量数据样本与标准信息中的标准流量信息进行对比；如果流量数据样本与标准流量信息相匹配，则确定不存在异常事件；如果流量数据样本与标准流量信息不匹配，则确定存在异常事件。

可选地，对比分析模块还用于：采用统计分析方法从流量数据和安全事件数据中提取mac地址信息和/或ip地址信息；将mac地址信息和/或ip地址信息与标准信息中的白名单信息进行对比，其中，白名单信息包括：标准mac地址信息和标准ip地址信息；如果mac地址信息和/或ip地址信息与白名单信息相匹配，则确定不存在异常事件；如果mac地址信息和/或ip地址信息与白名单信息不匹配，则确定存在异常事件。

可选地，异常处理模块还用于：根据异常事件所对应的网络安全数据确定异常行为设备；对异常行为设备进行阻断。

可选地，异常处理模块还用于：向目标设备发送rst标志数据包，以使目标设备根据rst标志数据包关闭目标通信链路，其中，目标设备为与异常行为设备进行通信的设备，目标通信链路为与异常行为设备进行通信的通信链路；或者，向被保护设备中的交换机发送关闭异常行为设备所对应的端口信息，以使交换机切断与异常行为设备之间的通信链路。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

在本发明的另一个实施例中，还提供了一种计算机存储介质，其上存储有计算机程序，计算机运行计算机程序时执行上述方法实施例的方法的步骤。

在本发明的另一个实施例中，还提供了一种计算机程序，该计算机程序可以存储在云端或本地的存储介质上。在该计算机程序被计算机或处理器运行时用于执行本发明实施例的所述方法的相应步骤，并且用于实现根据本发明实施例的网络安全保护装置中的相应模块。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个分析单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个分析器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。