CN111787022A - 一种网络安全监控平台及对应的监控方法和存储介质 - Google Patents

Abstract

本申请提供一种网络安全监控平台，包括：数据源模块，用于获取单位资料数据，并发送至网络监控地图拟化模块；所述网络监控地图拟化模块，用于确定所述单位资料数据中的渲染点，并根据各所述渲染点的位置信息将各所述渲染点标记至网络监控地图；监控模块，用于根据所述网络监控地图进行网络安全监控。本申请通过将单位资料数据以渲染点的形式添加至网络监控地图，借助于地图可以快速查看各渲染点的安全事件，以便于及时进行通报或检查。提高通报处理和下发检查任务等工作的速度与效率，有效维护网络安全。本申请还提供一种网络安全监控方法和计算机可读存储介质，具有上述有益效果。

Description

一种网络安全监控平台及对应的监控方法和存储介质

技术领域

本申请涉及网络安全领域，特别涉及一种网络安全监控平台及对应的监控方法和存储介质。

背景技术

互联网安全威胁情况具有突发性和紧急性的特点。公安、交通、城管、商务、环保、文化、质监、安监、药监、农业、城管、工商、司法等执法部门，都需要在第一时间进行处置通报工作。但往往受制于对整个通报流程不了解，系统页面需要来回切换，检索出事发单位及一系列相关的信息数据，操作繁复，费时费力，无法及时定位到最新发生的安全威胁，也就无法快速进行通报或检查。

因此如何及时定位网络安全事件及事件信息是本领域技术人员亟需解决的技术问题。

发明内容

本申请的目的是提供一种网络安全监控平台、一种网络安全监控方法和存储介质，能够及时、准确定位网络安全事件及事件信息。

为解决上述技术问题，本申请提供一种网络安全监控平台，具体技术方案如下：

数据源模块，用于获取单位资料数据，并发送至网络监控地图拟化模块；

所述网络监控地图拟化模块，用于确定所述单位资料数据中的渲染点，并根据各所述渲染点的位置信息将各所述渲染点标记至网络监控地图；

监控模块，用于根据所述网络监控地图进行网络安全监控。

可选的，所述渲染点包括单位点、隐患点、事件点、通报点、警情点、检查点和攻击点。

可选的，监控模块包括：

数据处理子模块，用于根据所述渲染点的安全事件执行安全事件通报、攻击分析、数据展示和警情处理中的一种或任意几种操作的组合。

可选的，所述数据源模块为包含与网站安全监测平台和/或大数据平台的对接接口的模块。

本申请还提供一种网络安全监控方法，基于上文所述的网络安全监控平台，该方法包括：

获取单位资料数据；

根据所述单位资料数据确定渲染点；

将所述渲染点标记至网络监控地图；

根据所述网络监控地图进行网络安全监控。

可选的，还包括：

根据所述渲染点的优先处理级别确定所述渲染点在所述网络监控地图上的闪烁频率。

可选的，获取单位资料数据包括：

利用网站安全监测平台和/或大数据平台获取单位资料数据。

可选的，将所述渲染点标记至网络监控地图包括：

根据各单位的位置信息在网络监控地图中标记成第一颜色标记；

当所述渲染点发生安全事件时，将所述渲染点由第一颜色标记变更为第二颜色标记；

在所述安全事件解除后，将所述渲染点重置为所述第一颜色标记。

可选的，根据所述网络监控地图进行网络安全监控时，还包括：

输入过滤条件，确定所述渲染点中的目标类型事件；所述渲染点的事件类型包括隐患事件、通报事件、警情事件、检查事件和攻击事件。

本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的方法的步骤。

本申请提供一种网络安全监控平台，包括：数据源模块，用于获取单位资料数据，并发送至网络监控地图拟化模块；所述网络监控地图拟化模块，用于确定所述单位资料数据中的渲染点，并根据各所述渲染点的位置信息将各所述渲染点标记至网络监控地图；监控模块，用于根据所述网络监控地图进行网络安全监控。

本申请通过将单位资料数据以渲染点的形式添加至网络监控地图，借助于地图可以快速查看各渲染点的安全事件，以便于及时进行通报或检查，提高通报处理和下发检查任务等工作的速度与效率，有效维护网络安全。本申请还提供一种网络安全监控方法和计算机可读存储介质，具有上述有益效果，此处不再赘述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例所提供的一种网络安全监控平台的结构示意图；

图2为本申请实施例所提供的一种网络安全监控方法的流程图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参考图1，图1为本申请实施例所提供的一种网络安全监控平台的结构示意图，该平台包括：

数据源模块100，用于获取单位资料数据，并发送至网络监控地图拟化模块200；

网络监控地图拟化模块200，用于确定单位资料数据中的渲染点，并根据各渲染点的位置信息将各渲染点标记至网络监控地图；

监控模块300，用于根据网络监控地图进行网络安全监控。

数据源模块用于提供单位资料数据，在此对于数据源模块的具体形式不做限定，其可以通过外部数据平台提供单位资料数据，也可以提供人工输入接口，实现单位资料数据的手动录入。当包含外部数据平台时，数据源模块100需包含与网站安全监测平台和/或大数据平台的对接接口。

所谓网站安全监测平台，底层部署多个扫描引擎、探针等，对网络安全监控平台所监控的辖区进行实时监测扫描。网络设备扫描将得到路由器、交换机、安全设备、网站系统的基础信息和漏洞信息；主机系统扫描将获取主机的系统指纹、漏洞、开放端口等信息；数据库扫描将获取数据库指纹、端口、漏洞等信息；WEB应用扫描将获取关键网站的后门、木马及敏感内容等信息。

此后获取到的多元异构信息将通过数据处理层进行标准化处理，输出系统规范的若干种格式的信息，在此过程中的数据处理包括但不限于数据去重、数据去脏、数据映射和数据补全等待。存储层获取处理后的标准化数据，根据数据内容将数据分库存储，方便业务层调用。例如可以分为漏洞主题库、IP画像主题库、信息系统主题库和网络设备主题库等。最终即可得到单位资产数据和对应的信息标注。

而所谓大数据平台，基于城域网、教育网、政务网等多张网络出入口流量的分光对各种协议的流量进行流量解析。解析后的内容将作为原材料送至数据监测层通过动态沙箱分析、文件攻击检测、邮件攻击检测、DNS异常流量监测、敏感信息监测等监测引擎分析后输出一次分析告警结果。但告警中将存在误报、重报等情况，因此告警结果将被送入大数据研判中心，通过规则、情报、算法、统计四种模型进行实时或离线的计算，最后输出注入暴力破解、勒索病毒、Web攻击、挖矿等下去网络安全威胁信息。这些威胁信息将通过与信息系统的关联一同映射到网络监控地图。

而数据源模块100可以同时包含上文所述的网站安全监测平台和大数据平台对应的接口，也可以选择其中一个平台作为数据源，在此不做具体限定。此外，若采用手动录入单位资产数据，可以规定录入的数据内容和数据格式。

在此对于单位资产数据的具体内容并不作限定，其至少应当包含单位的位置信息和网络信息。本实施例在此对于位置信息的具体形式不做限定，可以采用经纬度作为位置信息，也可以使用多级地区行政单位名称以及门牌号作为位置信息，为了避免行政单位名称冲突，当然也可以同时包含上述两种位置信息。而网络信息指该单位的网络资产数据，包括资产拥有信息和资产的安全事件。资产的安全事件主要指是否发生过程网络胁持、网络攻击，以及是否存在安全隐患等，还可以包括该单位曾发生过安全事件，包括资产通报、警情详情等。需要注意的是，警情详情指发生过网络告警的资产数据，通常这部分数据作为重要数据或者易被攻击数据，在后续网络监控地图中着重关注。

网络监控地图拟化模块200用于确定渲染点，并标记至网络监控地图。该网络监控地图以现实地图为原型，但并必须包含现实地图的所有信息，而只需包含街道名称和单位名称即可，以便于在发生网络安全事件时及时快速定位网络安全事件所在地。渲染点根据单位资产数据而定，在此对于渲染点的具体内容不做限定，作为一种优选的实施例，由上文单位资产数据的内容可以将渲染点分为单位点、隐患点、事件点、通报点、警情点、检查点和攻击点。

单位点以单位所在位置为坐标定位，展示单位的基本信息，拥有的资产，每个资产的威胁情况(隐患/威胁列表)，每个网络威胁是否发起过通报/警情，如没有，则可以发起通报/警情。

隐患点以单位所在位置为坐标定位，用于指示该单位下的网络安全隐患。

事件点以单位所在位置为坐标定位，用于指示该单位下的安全事件。

通报点以单位所在位置为坐标定位，用于指示该单位下的已发起通报过的隐患与安全事件详情，可以包含通报反馈记录。

警情点以单位所在位置为坐标定位，用于指示该单位下的已发起过的警情详情，包含警情反馈记录，关联的案件线索信息等。

检查点以单位所在位置为坐标定位，用于指示该单位下的网络安全检查详情，包含检查反馈记录。

攻击点以被攻击源坐标经纬度进行定位，用于指示该攻击的源IP、所在区域、攻击类型、方式、地址等信息。优选的，可以以箭头形式在网络监控地图中由攻击单位指向被攻击单位。

当然上述对于渲染点的分类仅为本申请提供的一种较优的实施例，本领域技术人员可以在上文所公开的渲染点分类的基础上采用其他分类方式，均应在本申请的保护范围内。

监控模块300，用于根据网络监控地图进行网络安全监控。特别的，监控模块300可以包含展示单元，由于同一单位可以包含多种渲染点，即同时发生多个事件，则可以在网络监控地图中以不同颜色区分各类型渲染点，则展示单元可以在展示时对于同一单位，根据其包含的渲染点类型依次采用对应的颜色闪烁。

监控模块300主要用于对于网络监控地图中的网络安全事件采取对应的管控措施，包括但不限于发出隐患告警、警情告警和发出检查任务等，当然，一旦某个单位点被监控模块300发出隐患告警，则该单位点在此后也应为隐患点，同理若被监控模块300发出警情告警，则该单位点在此后也应为警情点。换句话说，隐患点、事件点、通报点、警情点、检查点和攻击点均可以由监控模块300在进行网络安全监控时根据具体的安全措施生成。当然，容易理解的是，对于在不同安全事件下监控模块300所采用的安全措施并不作具体限定，应由本领域技术人员进行相应的设定。

基于上述实施例，作为更优选的是实施例，监控模块300还可以包括数据处理子模块，用于根据所述渲染点的安全事件执行安全事件通报、攻击分析、数据展示和警情处理中的一种或任意几种操作的组合。即监控模块300并不仅仅起到监控展示作用，可以对网络安全事件进行处理。

本申请实施例通过将单位资料数据以渲染点的形式添加至网络监控地图，借助于地图可以快速查看各渲染点的安全事件，以便于及时进行通报或检查，提高通报处理和下发检查任务等工作的速度与效率，有效维护网络安全。

下面对本申请实施例提供的一种网络安全监控方法进行介绍，下文描述的监控方法与上文描述的一种网络安全监控平台可相互对应参照。

参见图2，图2为本申请实施例所提供的一种网络安全监控方法的流程图，本申请还提供一种网络安全监控方法，基于上文所述的网络安全监控平台，该方法包括：

S101：获取单位资料数据；

同样的，本步骤可以利用网站安全监测平台和/或大数据平台获取单位资料数据。

S102：根据所述单位资料数据确定渲染点；

S103：将所述渲染点标记至网络监控地图；

本步骤旨在将渲染点标记至网络监控地图，以便于展示单位所在位置及对应的网络安全事件。

作为一种优选的执行方式，本步骤可以采用如下步骤执行：

S1031：根据各单位的位置信息在网络监控地图中标记成第一颜色标记；

S1032：当所述渲染点发生安全事件时，将所述渲染点由第一颜色标记变更为第二颜色标记；

S1033：在所述安全事件解除后，将所述渲染点重置为所述第一颜色标记。

在执行时可以根据网确认点是否发生安全事件，采用不同的颜色进行标记，但是对于第一颜色标记和第二颜色标记均不做限定。若渲染点分为单位点、隐患点、事件点、通报点、警情点、检查点和攻击点，则可以将第一颜色标记和第二颜色标记以及各渲染点呈不同颜色。例如，先在网络监控地图上以白色表示单位点，以黑色表示发生安全事件的单位点，以红橙黄绿蓝紫对应隐患点、事件点、通报点、警情点、检查点和攻击点，若是需要查看单位点发生的具体安全事件，此时可以根据具体案件事件展示对应的颜色。

S104：根据所述网络监控地图进行网络安全监控。

此后即可利用网络监控地图对所管辖区内进行网络安全监控。

本实施例旨在利用网络监控平台实现网络安全监控，将单位、团体通过地图与地理空间相关联映射，并将对应的单位资产数据标记在网络监控地图中，实现网络安全事件的可视化，能够基于网络监控平台实现快速通报、警情发起和网络安全检查，给网络安全人员提供了大数据支撑下的各个系统资产库、单位数据库、威胁库、安全事件库、攻击隐患等大量的数据支持。

基于上述实施例，作为更优选的是实施例，还可以根据所述渲染点的优先处理级别确定所述渲染点在所述网络监控地图上的闪烁频率。

由于不同的网络安全事件，其对应的危险程度并不相同，因此可以对渲染点进行优先处理级别排序。则优先处理级别越高的渲染点，其闪烁频率越高，便于网络安全监控人员及时发现危险程度高的单位网络安全事件。

基于上述实施例，作为更优选的是实施例，根据所述网络监控地图进行网络安全监控时，还可以输入过滤条件，确定所述渲染点中的目标类型事件；所述渲染点的事件类型包括隐患事件、通报事件、警情事件、检查事件和攻击事件。

在进行网络安全监控时，由于网络监控地图上可能同时多个单位点发生网络安全事件，为了提高网络安全事件处理效率，可以针对网络监控地图提供过滤筛选功能，使得用户可以筛选渲染点中的目标类型事件。上文所述的隐患事件、通报事件、警情事件、检查事件和攻击事件分别与隐患点、通报点、警情点、检查点和攻击点相对应。

本申请还提供了一种计算机可读存储介质，其上存有计算机程序，该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请还提供了一种服务器，可以包括存储器和处理器，所述存储器中存有计算机程序，所述处理器调用所述存储器中的计算机程序时，可以实现上述实施例所提供的步骤。当然所述服务器还可以包括各种网络接口，电源等组件。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例提供的系统而言，由于其与实施例提供的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (10)

1.一种网络安全监控平台，其特征在于，包括：

数据源模块，用于获取单位资料数据，并发送至网络监控地图拟化模块；

所述网络监控地图拟化模块，用于确定所述单位资料数据中的渲染点，并根据各所述渲染点的位置信息将各所述渲染点标记至网络监控地图；

监控模块，用于根据所述网络监控地图进行网络安全监控。

2.根据权利要求1所述的网络安全监控平台，其特征在于，所述渲染点包括单位点、隐患点、事件点、通报点、警情点、检查点和攻击点。

3.根据权利要求2所述的网络安全监控平台，其特征在于，所述监控模块包括：

数据处理子模块，用于根据所述渲染点的安全事件执行安全事件通报、攻击分析、数据展示和警情处理中的一种或任意几种操作的组合。

4.根据权利要求1所述的网络安全监控平台，其特征在于，所述数据源模块为包含与网站安全监测平台和/或大数据平台的对接接口的模块。

5.一种网络安全监控方法，其特征在于，基于权利要求1-4任一项所述的网络安全监控平台，该方法包括：

获取单位资料数据；

根据所述单位资料数据确定渲染点；

将所述渲染点标记至网络监控地图；

根据所述网络监控地图进行网络安全监控。

6.根据权利要求5所述的网络安全监控方法，其特征在于，还包括：

根据所述渲染点的优先处理级别确定所述渲染点在所述网络监控地图上的闪烁频率。

7.根据权利要求5所述的网络安全监控方法，其特征在于，获取单位资料数据包括：

利用网站安全监测平台和/或大数据平台获取单位资料数据。

8.根据权利要求5所述的网络安全监控方法，其特征在于，将所述渲染点标记至网络监控地图包括：

根据各单位的位置信息在网络监控地图中标记成第一颜色标记；

当所述渲染点发生安全事件时，将所述渲染点由第一颜色标记变更为第二颜色标记；

在所述安全事件解除后，将所述渲染点重置为所述第一颜色标记。

9.根据权利要求5所述的网络安全监控方法，其特征在于，根据所述网络监控地图进行网络安全监控时，还包括：

输入过滤条件，确定所述渲染点中的目标类型事件；所述渲染点的事件类型包括隐患事件、通报事件、警情事件、检查事件和攻击事件。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求5-9任一项所述的方法的步骤。

Images