一种网络安全预警系统及预警方法

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络安全预警系统及预警方法。

背景技术

信息技术与网络技术得到了飞速发展，随之而来的是安全风险问题的急剧增加，导致了痛点颇多的安全防护现状安全设备重复无效告警泛滥、安全事件缺乏关联融合、分析安全问题缺乏业务视角、内部威胁分析手段不足、未知威胁难以检测、安全管理体系建设落后……痛点颇多的安全防护现状也使得安全能力从“防范”为主转向“融合各种信息快速检测和响应能力”的构建成为当下安全建设的共识，网络安全风险预警模型开发应运而生。

当代信息技术的发展推动了数据的产生、收集、传输、共享与分析，使得科学与工程研究日益成为数据密集型的工作。人类社会的信息化程度越来越高，互联网用户数量正在成几何级数增长，用户中具备一定网络技术水平的群体正在快速形成和崛起，伴随着网络流量的日益增加，网络违法、突发事件层出不穷，给国家安全、社会稳定、人民利益造成重大危害。滥用互联网的现象越来越多，给互联网造成的破坏和损失使人触目惊心。因此，整个社会对网络信息的依赖程度也越来越高，互联网安全问题已经显得越来越突出，从而网络安全的重要性也越来越高。因此，对网络安全进行监控预警，对于及时处理网络违法、突发事件，国家社会稳定，以及保障人民利益具有十分重要的作用。

为保证网络的有效安全性，入侵防御系统应运而生。然而目前的安全预警系统仍存在诸多痛点，包括但不限于安全设备重复无效告警泛滥、安全事件缺乏关联融合、分析安全问题缺乏业务视角、内部威胁分析手段不足、未知威胁难以检测、安全管理体系建设落后等；传统的安全防护程序，无法实现对攻击行为的实时预警警报，主要体现在以下几个方面：

资源浪费：为了进行有效关联查询，需要大量的数据迁移、复制和转换，对网络带宽和存储资源造成了极大的浪费，并且效率低下；

扩展性弱：业务系统直接与源端系统对接，造成高度耦合，当业务变化时，源端也要进行相应的更改，这可能对其他现有业务也造成影响；

时效性低：业务应用间需要借助ETL采集工具才能实现数据同步，带来诸多适配开发工作，且无法保证数据访问的时效性。尤其是本系统要求对新发现的攻击要及时进行反馈控制，更需要实时发现、实时处置。

发明内容

本发明提供一种网络安全预警系统及预警方法，用以解决现有技术中无法实现对攻击行为的实时预警警报的缺陷，实现了网络攻击行为进行实时预警，在攻击事件事前能够优化防御体系，能够快速检测威胁并响应应对措施，并能够准确回溯分析。

本发明提供一种网络安全预警系统，包括预警探测模块、管理控制中心模块以及安全防护模块；

其中，所述预警探测模块通过数据接口采集网络数据包，对网络数据包进行预处理，将检测到的安全事件发送至所述管理控制中心模块；

所述管理控制中心模块获取所述安全事件，并判断所述安全事件的类型，根据预设知识库对每个所述安全事件进行风险识别，预测网络入侵行为，并根据安全策略库输出响应措施；

所述安全防护模块基于所述响应措施接入网络设备，并获取设备的反馈信息。

具体的，所述预警探测模块对数据包进行预处理包括：

所述预警探测模块获取用户信息以及用户操作日志；

基于入侵规则库和正常模式库对所述网络数据包进行分析，根据用户信息和用户操作日志滤除用户操作导致的异常事件。

具体的，所述管理控制中心模块通过分布在各个网络节点上的入侵检测探测器采集安全事件的数据信息，对安全事件进行分类，并按危害程度进行排列。

具体的，所述管理控制中心模块基于对安全事件的分类结果和危害程度排列结果，获取每个类别中同等危害程度的安全事件的样本数据集，对每个所述样本数据集进行分析，获取每个安全事件的数据特征点。

具体的，所述管理控制中心模块将每个安全事件的数据特征点与所述预设知识库中的信息进行对比，对网络入侵行为进行预测，生成预警信息。

具体的，所述管理控制中心模块存储所有的预警信息以及对应的安全事件，建立历史事件库，将安全事件、安全事件的响应措施输出为统计报表。

具体的，基于用户操作导致的异常事件以及获取的安全事件的危险程度更新入侵规则库和正常模式库；

基于安全事件的类型、危险程度以及对应的响应措施训练神经网络，通过训练好的神经网络根据识别到的安全事件的类型和危险程度输出对应的相应措施至所述安全防护模块。

另一方面，本发明还提供一种基于上述任一项所述网络安全预警系统的网络安全预警方法，包括步骤：

所述预警探测模块通过数据接口采集网络数据包，对网络数据包进行预处理，从预处理后的网络数据包中检测安全事件；

所述管理控制中心模块接收所述预警探测模块检测到的所述安全事件，判断所述安全事件的类型，根据预设知识库对每个所述安全事件进行风险识别，预测网络入侵行为，并根据安全策略库输出响应措施；

所述安全防护模块基于所述响应措施接入网络设备，并获取设备的反馈信息。

本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述所述网络安全预警方法的步骤。

本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述网络安全预警方法的步骤。

本发明提供的一种网络安全预警系统及预警方法，通过预警探测模块通过数据接口采集网络数据包，对网络数据包进行预处理，将检测到的安全事件发送至所述管理控制中心模块，能够在滤除用户日常操作的前提下精准获取每个安全事件；

所述管理控制中心模块获取所述安全事件，能够基于历史信息判断每个安全事件的类型和风险级别预测网络入侵行为，并根据安全策略库输出有效的响应措施；

通过机器学习技术能够结合探测到的用户数据、已有的安全事件对高危风险进行预警，从而提前防范可能存在的威胁；

本发明提供的系统紧密结合了网络漏洞跟踪、网络事件探测、网络安全防护设备和用户的网络安全事件管理流程制度，实现了风险和漏洞隐患处理的闭环管理。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的网络安全预警系统的结构示意图之一；

图2是本发明提供的网络安全预警系统的结构示意图之二；

图3是本发明提供的网络安全预警系统的结构示意图之三；

图4是本发明提供的网络安全预警系统的结构示意图之四。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块，而是可选地还包括没有列出的步骤或模块，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或模块。

需要说明的是，本发明涉及的术语“第一\第二”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二”区分的对象在适当情况下可以互换，以使这里描述的本发明的实施例能够以除了在这里描述或图示的那些以外的顺序实施。

需要说明的是，本系统需要汇聚多类第三方信息安全系统数据，包括网络安全防火墙、入侵检测、漏洞扫描，终端安全，接入控制，安全审计等，即使是同一安全系统，如入侵检测，但不同厂商实现方式和接口及功能各异，如何将诸多异构安全系统的数据有效获取，进行高效、统一管理与治理，开展分析、挖掘，实现数据价值的升华，是目前多系统集成实现的技术难题；

网络事件预警系统通常以纵深部署、攻防对抗的思路来构建，应用智能网络安全技术，在攻击事件事前能够优化防御体系，在安全事件发生时能够快速检测到安全事件的威胁并快速采取响应措施，在安全事件发生之后能够准确回溯分析以及发生的安全事件，并结合对安全事件的响应措施收集收到攻击设备的反馈信息，结合各类日志数据分析，与漏洞扫描设备、网络准入控制设备等网络安全设备联动，能够快速发现、有效解决并详细溯源安全事件，系统总体功能区域结构如图1-2所示。

在一个实施例中，如图1-2所示，本发明提供一种网络安全预警系统，包括预警探测模块、管理控制中心模块以及安全防护模块；

其中，所述预警探测模块通过数据接口采集网络数据包，对网络数据包进行预处理，将检测到的安全事件发送至所述管理控制中心模块；

所述管理控制中心模块获取所述安全事件，并判断所述安全事件的类型，根据预设知识库对每个所述安全事件进行风险识别，预测网络入侵行为，并根据安全策略库输出响应措施；

所述安全防护模块基于所述响应措施接入网络设备，并获取设备的反馈信息；

需要说明的是，典型的安全事件包括但不限于以下分类：

(1)安全漏洞事件：安全漏洞是指受限制的计算机、组件、应用程序或其他联机资源的有意/无意中留下的不受保护的入口点；漏洞是一个系统存在的弱点或缺陷。

(2)病毒传播事件：凡是能够引起计算机故障，能够破坏计算机中的资源(包括软件和硬件)的代码，统称为计算机病毒；通常隐藏在一些看起来无害的程序中，能生成自身的拷贝并将其插入其他的程序中，执行恶意的行动，其具传染性、潜伏性、隐蔽性、破坏性四个特点。计算机病毒的分类多种多样，当前最主流的计算机病毒有三种：系统病毒、蠕虫病毒、木马病毒。

(3)异常流量事件：异常流量是指当前流量情况与正常网络流量偏差很大，从而严重影响网络性能，造成网络拥堵，严重的甚至会造成网络中断，网络设备利用率达到100％，从而无法响应进一步的指令。

(4)信息内容安全事件：在网络中发布的违规言论、违规音视频、违规游戏、违规软件等信息内容；通过信息审计、舆情分析系统监测、和人工审计以及下级用户申告等方式进行监察发现。

(5)预置攻击事件：预置攻击是指人为的在计算机信息系统中预设一些陷阱即后门，干扰和破坏计算机信息系统的正常运行。

(6)未授权扫描事件：网络扫描是通过向远程或本地主机发送探测数据包，获取主机的响应，并根据反馈的数据包，进行解包和分析，获取主机的端口开放情况，从而得到网络的安全状况。未授权扫描即未获得相关通信主管部门批准或未经过被扫描单位许可的网络扫描。

(7)越权访问事件：越权访问即是跨越权限访问，是一种在web程序中常见的安全缺陷，其原理是对用户提交的的参数不进行权限检查和跨域访问限制而造成的。越权访问一般应用于对其他用户数据的修改或访问，通常web程序会提取用户提交的的参数或者http headers中的的特定数据，加入数据库查询，从而获得用户数据。

(8)洪泛攻击事件：拒绝服务攻击(Denial of Service Attack，DoS)是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其对目标客户不可用。DDoS(Distributed Denial of Service attack)——分布式拒绝服务攻击，即黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击。

(9)僵尸网络事件：僵尸网络(Botnet)是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

其中，如图1所示，所述预警探测模块通过探针采集事件数据，通过入侵检测设备，防火墙设备和漏洞扫描设备获取网络事件，并精细化用户行为；还采集用户本地的信息，包括但不限于资产识别信息，攻击日志和历史安全事件，采集用户的操作习惯；

具体的，所述预警探测模块对数据包进行预处理包括：

所述预警探测模块获取用户信息以及用户操作日志；

基于入侵规则库和正常模式库对所述网络数据包进行关联分析，根据用户信息和用户操作日志滤除用户操作导致的异常事件。

具体的，所述管理控制中心模块通过分布在各个网络节点上的入侵检测探测器采集安全事件的数据信息，对安全事件进行分类，并按危害程度进行排列；

需要说明的是，对安全事件按危害程度进行排列指的是将安全事件进行分级，根据国家标准《网络安全技术-网络安全事件分类分级指南》，将网络安全事件划分为四个级别，包括：特别重大网络安全事件，重大网络安全事件，较大网络安全事件和一般网络安全事件；

(1)符合下列情形之一的，为特别重大网络安全事件：

①重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力；

②国家秘密信息、重要信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁；

③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

(2)符合下列情形之一的，且未达到特别重大网络安全事件的，为重大网络安全事件：

①重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，丧失业务处理能力受到极大影响；

②国家秘密信息、重要信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁；

③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

(3)符合下列情形之一的，且未达到重大网络安全事件的，为较大网络安全事件：

①重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响；

②国家秘密信息、重要信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁；

③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

(4)除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

具体的，所述管理控制中心模块基于对安全事件的分类结果和危害程度排列结果，获取每个类别中同等危害程度的安全事件的样本数据集，对每个所述样本数据集进行分析，获取每个安全事件的数据特征点。

具体的，所述管理控制中心模块将每个安全事件的数据特征点与所述预设知识库中的信息进行对比，对网络入侵行为进行预测，生成预警信息。

具体的，所述管理控制中心模块存储所有的预警信息以及对应的安全事件，建立历史事件库，将安全事件、安全事件的响应措施输出为统计报表；

基于统计报表可以实现：1)对资产、漏洞、以及安全事件进行全方位的报表统计；2)详细的安全态势展现：展示网络整体的安全状况，攻击、漏洞、可用性等多角度呈现；

可选的，可根据实际需要定制报表的内容、格式以及多种结果输出方式；

具体的，所述历史事件库中记录已发生的安全事件及其处理策略；当新的安全事件发生时与历史事件库中的事件进行比对，如果匹配成功，则按照已有处理策略执行，也可对已有策略进行修改；

若历史事件库中没有记录相同类型和危险程度的安全事件，则由安全防护模块指定对应的处理策略，并将安全事件和对应的处理策略添加进策略库中，形成新的历史事件，更新历史事件库；

具体的，基于用户操作导致的异常事件以及获取的安全事件的危险程度更新入侵规则库和正常模式库；

基于安全事件的类型、危险程度以及对应的响应措施训练神经网络，通过训练好的神经网络根据识别到的安全事件的类型和危险程度输出对应的相应措施至所述安全防护模块；

具体的，如图3-4所示的，本发明提供的系统从网络安全事件的获取、采集、预警、关联分析、事件应对策略制定、策略联动、策略执行、终端及时响应、网络态势分析展示等方面实现对网络安全事件的全方位处理管控：

上述的预警探测模块通过设置的网络接口从多个终端和/或节点上采集网络数据包，基于入侵规则库和正常模式库对网络数据包进行判断，甄别并去除误用或用户误操作信息，报告存在异常的事件；即，对于无效、泄密、带有攻击性的数据信息进行实时的记录和报警，对于检测到的入侵行为和异常信息则发送到下一节点；

进一步，所述管理控制中心模块根据过滤规则库对所获取的原始信息进行过滤以及对原始信息或经过过滤的信息进行组合，从而减小需要分析的信息量，除去与安全预警无关的细节；将初步组合的信息与本地知识库中的信息进行数据融合比对分析，从而降低报警信息的误报率、漏报率和报警数量，判断未来可能遭受的攻击，预测未来可能受到的网络入侵行为，对网络做出威胁评测；

管理控制中心模块通过安全策略库生成对应的响应措施，实现主机和网络的脆弱性和威胁性的综合分析与展现，通过统一接口，收集网络中各种设备的安全事件，可以进行跨平台扫描策略统一管理，通过事件触发工作流，攻击、漏洞、可用性等多角度呈现，便于在事后提出安全整改意见；

具体的，所述管理控制中心模块的主要功能是完成报警信息过滤融合、网络攻击预测、网络威胁评测和管理预警信息：

通过分布在网络上的入侵检测探测器(嗅探器、探针或入侵检测设备等)采集网络数据和本地设备的数据，对采集到的数据进行甄别、整合，触发预警行为研判，对攻击威胁进行等级评测，明确影响的对象和范围，完成从像素级、特征级到决策级的安全事件分析；

像素级：对安全事件的报警信息进行冗余归并，对具有明显特征且具有很高响应级优先级的报警及时响应；

特征级：对获取的网络事件针对一些具体特征，进行再次分类和危害程度划分；进行信息关联融合处理，将冗余归并后的报警信息进行进一步的数据融合和报警关联，由数据融合的决策结果采取响应措施，而管理模块发放安全策略到相应的终端。

决策级：对网络攻击行为进行预测，对预警探测系统检测后的报警信息，经过冗余归并和数据融合处理，预测未来网络可能遭受的攻击，发出预警信息；得出最终的安全事件的危害等级、影响范围、事件类别，并给出相应的控制策略等应对潜在网络入侵的防御措施；

进一步，所述管理控制中心模块还用于进行网络威胁评测，综合本区域内一段时间内的网络入侵攻击行为，再结合本区域网络的控制策略和安全防护能力，得到局部攻击对区域网络安全的影响，并进行安全预警。

所述安全防护模块根据预警信息将针对入侵的安全事件的响应措施下达至各个连接的终端，获取各个终端的反馈信息，基于反馈信息更新每个安全事件的入侵特征，进而更新原入侵规则库，并根据设备的反馈信息确定设备对入侵安全事件的防范效果，进而更新对网络数据包的过滤规则，更新原过滤规则库；

具体的，可以基于目前市面主流的入侵检测设备、漏洞扫描设备对网络实时监测的结果进行二次次归类，再次加工完善以实现对网络数据包的检测；

另一方面，本发明还提供一种基于上述任一项所述网络安全预警系统的网络安全预警方法，以下的方法可与上述任一项提供的系统对应参照，所述方法包括步骤：

所述预警探测模块通过数据接口采集网络数据包，对网络数据包进行预处理，从预处理后的网络数据包中检测安全事件；

所述管理控制中心模块接收所述预警探测模块检测到的所述安全事件，判断所述安全事件的类型，根据预设知识库对每个所述安全事件进行风险识别，预测网络入侵行为，并根据安全策略库输出响应措施；

所述安全防护模块基于所述响应措施接入网络设备，并获取设备的反馈信息。

本发明还提供一种电子设备，该电子设备可以包括：处理器(processor)、通信接口(CommunicationsInterface)、存储器(memory)和通信总线，其中，处理器、通信接口、存储器通过通信总线完成相互间的通信。处理器可以调用存储器中的逻辑指令，以执行上述提供的网络安全预警方法的步骤。

此外，上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够以执行上述提供的网络安全预警方法的步骤。

又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以以执行上述提供的网络安全预警方法的步骤。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。