本發(fā)明涉及網(wǎng)絡安全技術(shù)領(lǐng)域，特別涉及一種網(wǎng)絡風險監(jiān)控方法、系統(tǒng)及安全網(wǎng)絡系統(tǒng)。

背景技術(shù)：

ngfw(即nextgenerationfirewall，下一代防火墻)是著名咨詢機構(gòu)gartner所提出最新的“下一代防火墻”產(chǎn)品。前幾代網(wǎng)絡防火墻產(chǎn)品已無法對當前盛行的僵尸網(wǎng)絡威脅進行有效檢測。為適應當前嚴峻的互聯(lián)網(wǎng)攻擊風險，ngfw在原有網(wǎng)絡防火墻產(chǎn)品的基礎(chǔ)上集成了ips流量檢測功能(ips，即intrusionpreventionsystem，入侵防御系統(tǒng))、waf流量檢測功能(waf，即webapplicationfirewall，web應用防護系統(tǒng))和網(wǎng)絡數(shù)據(jù)包殺毒等功能，這大大增強了企業(yè)邊界防護能力，也一致獲得企業(yè)用戶的高度認可。

隨著網(wǎng)絡安全技術(shù)的飛速發(fā)展，ngfw網(wǎng)絡防火墻的短板也被逐漸暴露。其基于snort引擎的ips流量檢測功能模塊和waf流量檢測功能模塊均只能檢測已知的網(wǎng)絡攻擊流量和僵木蠕c&c通信流量，對日新月異的高級apt可持續(xù)攻擊(apt，即advancedpersistentthreat，高級持續(xù)性威脅)和加殼變種僵木蠕病毒完全沒有檢測能力，而網(wǎng)絡數(shù)據(jù)包殺毒功能也同樣只能對已知的病毒樣本進行檢測，導致企業(yè)網(wǎng)絡安全檢測一直處于被動防御的局面。

綜上所述可以看出，如何實現(xiàn)對未知網(wǎng)絡風險的主動檢測是目前亟待解決問題。

技術(shù)實現(xiàn)要素：

有鑒于此，本發(fā)明的目的在于提供一種網(wǎng)絡風險監(jiān)控方法、系統(tǒng)及安全網(wǎng)絡系統(tǒng)，能夠?qū)崿F(xiàn)對未知網(wǎng)絡風險的主動檢測。其具體方案如下：

一種網(wǎng)絡風險監(jiān)控方法，包括：

對預先設置在企業(yè)內(nèi)部網(wǎng)絡中的誘捕節(jié)點進行實時監(jiān)視；

若監(jiān)視到所述誘捕節(jié)點受到攻擊掃描，則將相應的網(wǎng)絡流量牽引至預設的蜜場網(wǎng)絡；

對所述蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，得到相應的網(wǎng)絡風險數(shù)據(jù)。

可選的，所述網(wǎng)絡風險監(jiān)控方法，還包括：

對所述網(wǎng)絡風險數(shù)據(jù)展開數(shù)據(jù)分析，得到相應的網(wǎng)絡風險特征。

可選的，所述對所述蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，得到相應的網(wǎng)絡風險數(shù)據(jù)，對所述網(wǎng)絡風險數(shù)據(jù)展開數(shù)據(jù)分析，得到相應的網(wǎng)絡風險特征的過程，包括：

對所述蜜場網(wǎng)絡中的攻擊流量進行實時數(shù)據(jù)采集，得到相應的攻擊數(shù)據(jù)流，然后對所述攻擊數(shù)據(jù)流中的攻擊源ip信息和/或弱口令枚舉信息進行提取，得到相應的攻擊特征信息；

和/或，

對所述蜜場網(wǎng)絡中的病毒樣本流量進行實時數(shù)據(jù)采集，得到相應的病毒樣本，然后對所述病毒樣本中的惡意軟件特征和/或c&c通信特征進行提取，得到相應的病毒特征信息。

可選的，所述網(wǎng)絡風險監(jiān)控方法，還包括：

判斷當前時刻是否為預設的報告推送時刻，若是，則通過saas安全服務模塊對攻擊鏈關(guān)聯(lián)分析報告進行推送處理。

可選的，所述若監(jiān)視到所述誘捕節(jié)點受到攻擊掃描，則將相應的網(wǎng)絡流量牽引至預設的蜜場網(wǎng)絡的過程，包括：

若監(jiān)視所述誘捕節(jié)點受到企業(yè)外部攻擊事件或企業(yè)內(nèi)部攻擊事件的攻擊掃描，則將相應的網(wǎng)絡流量牽引至所述蜜場網(wǎng)絡。

可選的，所述網(wǎng)絡風險監(jiān)控方法，還包括：

利用預先設置在企業(yè)邊界網(wǎng)絡上的ngfw安全設備，對來自互聯(lián)網(wǎng)的訪問流量進行初步的安全防御。

可選的，所述對所述網(wǎng)絡風險數(shù)據(jù)展開數(shù)據(jù)分析，得到相應的網(wǎng)絡風險特征的過程之后，還包括：

將所述網(wǎng)絡風險特征實時傳輸至所述ngfw安全設備的規(guī)則庫中進行保存，以對所述規(guī)則庫進行更新。

本發(fā)明還相應公開了一種網(wǎng)絡風險監(jiān)控系統(tǒng)，包括：

預先設置在企業(yè)內(nèi)部網(wǎng)絡中的誘捕節(jié)點；

數(shù)據(jù)重定向模塊，用于對所述誘捕節(jié)點進行實時監(jiān)視，若監(jiān)視到所述誘捕節(jié)點受到攻擊掃描，則將相應的網(wǎng)絡流量牽引至預設的蜜場網(wǎng)絡；

數(shù)據(jù)采集模塊，用于對所述蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，得到相應的網(wǎng)絡風險數(shù)據(jù)。

可選的，所述網(wǎng)絡風險監(jiān)控系統(tǒng)，還包括：

數(shù)據(jù)分析模塊，用于對所述網(wǎng)絡風險數(shù)據(jù)展開數(shù)據(jù)分析，得到相應的網(wǎng)絡風險特征。

可選的，所述數(shù)據(jù)采集模塊，包括攻擊數(shù)據(jù)流采集子模塊和/或病毒樣本采集子模塊；其中，

所述攻擊數(shù)據(jù)流采集子模塊，用于對所述蜜場網(wǎng)絡中的攻擊流量進行實時數(shù)據(jù)采集，得到相應的攻擊數(shù)據(jù)流；

所述病毒樣本采集子模塊，用于對所述蜜場網(wǎng)絡中的病毒樣本流量進行實時數(shù)據(jù)采集，得到相應的病毒樣本；

相應的，所述數(shù)據(jù)分析模塊包括威脅情報分析子模塊和/或行為分析沙盒子模塊；其中，

所述威脅情報分析子模塊，用于對所述攻擊數(shù)據(jù)流中的攻擊源ip信息和/或弱口令枚舉信息進行提取，得到相應的攻擊特征信息；

所述行為分析沙盒子模塊，用于對所述病毒樣本中的惡意軟件特征和/或c&c通信特征進行提取，得到相應的病毒特征信息。

可選的，所述網(wǎng)絡風險監(jiān)控系統(tǒng)，還包括報告推送單元和saas安全服務模塊；其中，

所述報告推送單元，用于判斷當前時刻是否為預設的報告推送時刻，若是，則通過所述saas安全服務模塊對攻擊鏈關(guān)聯(lián)分析報告進行推送處理。

可選的，所述網(wǎng)絡風險監(jiān)控系統(tǒng)，還包括：

初步安全防御模塊，用于利用預先設置在企業(yè)邊界網(wǎng)絡上的ngfw安全設備，對來自互聯(lián)網(wǎng)的訪問流量進行初步的安全防御。

可選的，所述網(wǎng)絡風險監(jiān)控系統(tǒng)，還包括：

規(guī)則庫更新模塊，用于將所述網(wǎng)絡風險特征實時傳輸至所述ngfw安全設備的規(guī)則庫中進行保存，以對所述規(guī)則庫進行更新。

本發(fā)明進一步公開了一種安全網(wǎng)絡系統(tǒng)，包括前述公開的網(wǎng)絡風險監(jiān)控系統(tǒng)、企業(yè)內(nèi)部網(wǎng)絡和蜜場網(wǎng)絡。

本發(fā)明中，網(wǎng)絡風險監(jiān)控方法，包括：對預先設置在企業(yè)內(nèi)部網(wǎng)絡中的誘捕節(jié)點進行實時監(jiān)視；若監(jiān)視到誘捕節(jié)點受到攻擊掃描，則將相應的網(wǎng)絡流量牽引至預設的蜜場網(wǎng)絡；對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，得到相應的網(wǎng)絡風險數(shù)據(jù)。

可見，本發(fā)明預先在企業(yè)內(nèi)部網(wǎng)絡中設置了誘捕節(jié)點，并且還預設了蜜場網(wǎng)絡，一旦監(jiān)視到該誘捕節(jié)點受到攻擊掃描，則會將與當前攻擊掃描事件對應的網(wǎng)絡流量牽引至上述蜜場網(wǎng)絡以迷惑攻擊者，與此同時還會對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，從而得到相應的網(wǎng)絡風險數(shù)據(jù)。這樣，每當未知類型的攻擊事件試圖對企業(yè)內(nèi)部網(wǎng)絡進行攻擊掃描時，將會對預先設置在企業(yè)內(nèi)部網(wǎng)絡的誘捕節(jié)點也進行了攻擊掃描，也即不可避免地觸發(fā)了該誘捕節(jié)點，為了避免攻擊者察覺自身的攻擊行為已被識破，本發(fā)明還會將相應的網(wǎng)絡流量牽引至蜜場網(wǎng)絡，與此同時會對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，從而獲取到相應的網(wǎng)絡風險數(shù)據(jù)，由此實現(xiàn)了對未知網(wǎng)絡風險的主動檢測。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1為本發(fā)明實施例公開的一種網(wǎng)絡風險監(jiān)控方法流程圖；

圖2為本發(fā)明實施例公開的一種具體的網(wǎng)絡風險監(jiān)控方法流程圖；

圖3為本發(fā)明實施例公開的一種具體的網(wǎng)絡風險監(jiān)控方法流程圖；

圖4為本發(fā)明實施例公開的一種網(wǎng)絡風險監(jiān)控系統(tǒng)結(jié)構(gòu)示意圖；

圖5為本發(fā)明實施例公開的一種具體的網(wǎng)絡風險監(jiān)控系統(tǒng)結(jié)構(gòu)示意圖；

圖6為本發(fā)明實施例公開的一種具體的安全網(wǎng)絡系統(tǒng)結(jié)構(gòu)示意圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

本發(fā)明實施例公開了一種網(wǎng)絡風險監(jiān)控方法，參見圖1所示，該方法包括：

步驟s11：對預先設置在企業(yè)內(nèi)部網(wǎng)絡中的誘捕節(jié)點進行實時監(jiān)視。

需要指出的是，本實施例中的誘捕節(jié)點是預先設置在企業(yè)內(nèi)部網(wǎng)絡中的。并且這種設置方式是一種隱藏式的設置方式，也即，不論對于企業(yè)內(nèi)部終端還是企業(yè)外部終端，均無法預先知曉上述企業(yè)內(nèi)部網(wǎng)絡中存在誘捕節(jié)點。由此使得，當企業(yè)內(nèi)部終端或企業(yè)外部終端對企業(yè)內(nèi)部網(wǎng)絡發(fā)起合法的訪問請求時，是無法訪問到上述誘捕節(jié)點的。而由于非法終端發(fā)起的訪問攻擊事件會對企業(yè)內(nèi)部網(wǎng)絡肆意地進行攻擊掃描，所以一旦企業(yè)內(nèi)部網(wǎng)絡受到了未知類型的攻擊事件的攻擊掃描，將不可避免地訪問到企業(yè)內(nèi)部網(wǎng)絡中的誘捕節(jié)點，據(jù)此便可以推斷出誘捕節(jié)點受到了攻擊掃描。

另外，可以理解的是，本實施例中的誘捕節(jié)點可以是任一能夠被訪問的節(jié)點，如服務器節(jié)點、存儲節(jié)點等。

進一步的，本實施例在企業(yè)內(nèi)部網(wǎng)絡中設置的誘捕節(jié)點的數(shù)量可以是一個，也可以是多個。其中，誘捕節(jié)點的具體數(shù)量可以根據(jù)企業(yè)內(nèi)部網(wǎng)絡的規(guī)模大小來進行具體設定。

步驟s12：若監(jiān)視到誘捕節(jié)點受到攻擊掃描，則將相應的網(wǎng)絡流量牽引至預設的蜜場網(wǎng)絡。

本實施例中，一旦誘捕節(jié)點被訪問到，則可判定當前誘捕節(jié)點受到了攻擊掃描，然后可立即將與該攻擊掃描事件對應的網(wǎng)絡流量牽引至預設的蜜場網(wǎng)絡。本實施例中，優(yōu)先在上述蜜場網(wǎng)絡中設有多種多樣的漏洞系統(tǒng)和虛擬服務，可以理解的是，上述漏洞系統(tǒng)以及虛擬服務中的數(shù)據(jù)均是沒有價值的數(shù)據(jù)。當將與上述攻擊掃描事件對應的網(wǎng)絡流量牽引至蜜場網(wǎng)絡后，蜜場網(wǎng)絡便可利用自身的漏洞系統(tǒng)和虛擬服務繼續(xù)對相應的攻擊掃描事件進行響應，從而達到迷惑攻擊者的目的，也即達到避免攻擊者察覺自身的攻擊行為已被識破的目的。

步驟s13：對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，得到相應的網(wǎng)絡風險數(shù)據(jù)。

可見，本發(fā)明實施例預先在企業(yè)內(nèi)部網(wǎng)絡中設置了誘捕節(jié)點，并且還預設了蜜場網(wǎng)絡，一旦監(jiān)視到該誘捕節(jié)點受到攻擊掃描，則會將與當前攻擊掃描事件對應的網(wǎng)絡流量牽引至上述蜜場網(wǎng)絡以迷惑攻擊者，與此同時還會對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，從而得到相應的網(wǎng)絡風險數(shù)據(jù)。這樣，每當未知類型的攻擊事件試圖對企業(yè)內(nèi)部網(wǎng)絡進行攻擊掃描時，將會對預先設置在企業(yè)內(nèi)部網(wǎng)絡的誘捕節(jié)點也進行了攻擊掃描，也即不可避免地觸發(fā)了該誘捕節(jié)點，為了避免攻擊者察覺自身的攻擊行為已被識破，本發(fā)明實施例還會將相應的網(wǎng)絡流量牽引至蜜場網(wǎng)絡，與此同時會對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，從而獲取到相應的網(wǎng)絡風險數(shù)據(jù)，由此實現(xiàn)了對未知網(wǎng)絡風險的主動檢測。

本發(fā)明實施例公開了一種具體的網(wǎng)絡風險監(jiān)控方法，參見圖2所示，該方法包括：

步驟s21：利用預先設置在企業(yè)邊界網(wǎng)絡上的ngfw安全設備，對來自互聯(lián)網(wǎng)的訪問流量進行初步的安全防御，并對預先設置在企業(yè)內(nèi)部網(wǎng)絡中的誘捕節(jié)點進行實時監(jiān)視。

需要指出的是，上述ngfw安全設備是一種預先設置在企業(yè)邊界網(wǎng)絡上的防火墻產(chǎn)品。盡管上述ngfw安全設備無法對未知的高級apt可持續(xù)攻擊和加殼變種僵木蠕病毒進行檢測，但是由于其能夠利用自身保存的規(guī)則庫對已知的網(wǎng)絡攻擊流量和僵木蠕c&c通信流量進行檢測，所以可以起到對來自互聯(lián)網(wǎng)的訪問流量進行初步的安全防御的效果。

步驟s22：若監(jiān)視誘捕節(jié)點受到企業(yè)外部攻擊事件的攻擊掃描，則將相應的網(wǎng)絡流量牽引至蜜場網(wǎng)絡。

本實施例中，企業(yè)外部攻擊事件是指企業(yè)外部攻擊者針對企業(yè)內(nèi)部網(wǎng)絡發(fā)起的攻擊事件。其中，企業(yè)外部攻擊者在對企業(yè)內(nèi)部網(wǎng)絡發(fā)起攻擊時，主要是通過bypass技術(shù)繞過企業(yè)邊界網(wǎng)絡上的ngfw安全設備，直接對暴露在互聯(lián)網(wǎng)的應用系統(tǒng)進行攻擊并獲取相應的控制權(quán)限，然后再以該應用系統(tǒng)的服務器為跳板，對整個企業(yè)內(nèi)部網(wǎng)絡進行縱深橫向移動攻擊掃描。由于本實施例預先在企業(yè)內(nèi)部網(wǎng)絡中設置了誘捕節(jié)點，所以在企業(yè)外部攻擊者在對整個企業(yè)內(nèi)部網(wǎng)絡進行縱深橫向移動攻擊掃描的時候，將會訪問到上述誘捕節(jié)點，據(jù)此便可判斷出誘捕節(jié)點受到了攻擊掃描，進而將會把相應的網(wǎng)絡流量牽引至預先設置的蜜場網(wǎng)絡。

步驟s23：對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，得到相應的網(wǎng)絡風險數(shù)據(jù)。

步驟s24：對網(wǎng)絡風險數(shù)據(jù)展開數(shù)據(jù)分析，得到相應的網(wǎng)絡風險特征。

需要具體說明的是，在上述步驟s23以及s24中，數(shù)據(jù)采集分析的過程具體可以包括第一數(shù)據(jù)采集分析過程和/或第二數(shù)據(jù)采集分析過程。

其中，上述第一數(shù)據(jù)采集分析過程具體可以包括：

對蜜場網(wǎng)絡中的攻擊流量進行實時數(shù)據(jù)采集，得到相應的攻擊數(shù)據(jù)流，然后對攻擊數(shù)據(jù)流中的攻擊源ip信息和/或弱口令枚舉信息進行提取，得到相應的攻擊特征信息；

另外，上述第二數(shù)據(jù)采集分析過程具體可以包括：

對蜜場網(wǎng)絡中的病毒樣本流量進行實時數(shù)據(jù)采集，得到相應的病毒樣本，然后對病毒樣本中的惡意軟件特征和/或c&c通信特征進行提取，得到相應的病毒特征信息。

由于考慮到在實際的攻擊過程中，相應的網(wǎng)絡流量中均包括攻擊流量和病毒樣本流量，所以，在上述步驟s23以及s24中，數(shù)據(jù)采集分析的過程優(yōu)先包括第一數(shù)據(jù)采集分析過程和第二數(shù)據(jù)采集分析過程，也即，對網(wǎng)絡流量中的攻擊流量和病毒樣本流量均進行數(shù)據(jù)采集和分析處理。

步驟s25：將網(wǎng)絡風險特征實時傳輸至ngfw安全設備的規(guī)則庫中進行保存，以對規(guī)則庫進行更新。

為了進一步提升企業(yè)邊界網(wǎng)絡的安全性，本實施例在獲取到上述網(wǎng)絡風險特征之后，可以將網(wǎng)絡風險特征實時傳輸至上述ngfw安全設備，以利用網(wǎng)絡風險特征對ngfw安全設備上的規(guī)則庫進行更新，這樣可以實現(xiàn)對當前正在進行的攻擊事件以及未來同類型的攻擊事件進行攔截的目的，也即實現(xiàn)了對同類型的攻擊流量和僵木蠕流量進行有效阻斷的目的。具體的，可以將上述攻擊源ip信息、弱口令枚舉信息、惡意軟件特征和c&c通信特征實時傳輸至上述ngfw安全設備，以利用上述攻擊源ip信息、弱口令枚舉信息、惡意軟件特征和c&c通信特征對ngfw安全設備中的規(guī)則庫進行相應地更新。

進一步的，本發(fā)明實施例中的網(wǎng)絡風險監(jiān)控方法，還可以包括：

對網(wǎng)絡風險數(shù)據(jù)進行基于時間序列的tcp/ip五元組攻擊鏈的關(guān)聯(lián)分析，得到相應的攻擊鏈關(guān)聯(lián)分析報告。具體的，可以對上述采集到的攻擊數(shù)據(jù)流和病毒樣本進行基于時間序列的tcp/ip五元組攻擊鏈的關(guān)聯(lián)分析，得到相應的攻擊鏈關(guān)聯(lián)分析報告。

與此相應的，本發(fā)明實施例中的網(wǎng)絡風險監(jiān)控方法，還可以進一步包括：

判斷當前時刻是否為預設的報告推送時刻，若是，則通過saas安全服務模塊(saas，即software-as-a-service，軟件即服務)對攻擊鏈關(guān)聯(lián)分析報告進行推送處理。

可以理解的是，本實施例具體可以將上述攻擊鏈關(guān)聯(lián)分析報告推送給預先指定的監(jiān)管終端。另外，上述報告推送時刻可以是人為預先設定的推送時刻，當然也可以是后臺根據(jù)預先設定的報告推送周期確定的推送時刻。

進一步的，本實施例中的網(wǎng)絡風險監(jiān)控方法，還可以包括：

若監(jiān)視到誘捕節(jié)點受到攻擊掃描，則生成相應的告警信息，并通過saas安全服務模塊對告警信息進行實時推送處理。

可以理解的是，本實施例具體可以將上述告警信息實時推送給預先指定的監(jiān)管終端，以便相關(guān)的網(wǎng)絡監(jiān)管人員及時知曉當前企業(yè)內(nèi)部網(wǎng)絡的安全狀態(tài)，進而做出是否需要人為采取進一步措施的決定。

通過上述公開的技術(shù)方案可知，本實施例可以實現(xiàn)閉環(huán)的企業(yè)網(wǎng)絡風險檢測、風險感知、風險響應和風險防御的安全能力，由此形成了一個正向閉合的自循環(huán)安全系統(tǒng)架構(gòu)。

本發(fā)明實施例公開了一種具體的網(wǎng)絡風險監(jiān)控方法，參見圖3所示，該方法包括：

步驟s31：利用預先設置在企業(yè)邊界網(wǎng)絡上的ngfw安全設備，對來自互聯(lián)網(wǎng)的訪問流量進行初步的安全防御，并對預先設置在企業(yè)內(nèi)部網(wǎng)絡中的誘捕節(jié)點進行實時監(jiān)視。

步驟s32：若監(jiān)視誘捕節(jié)點受到企業(yè)內(nèi)部攻擊事件的攻擊掃描，則將相應的網(wǎng)絡流量牽引至蜜場網(wǎng)絡。

在實際的網(wǎng)絡應用過程中，針對企業(yè)內(nèi)部網(wǎng)絡發(fā)起攻擊的攻擊者大部分是企業(yè)外部攻擊者，但是在某些情況下，也存在由企業(yè)內(nèi)部的攻擊者針對企業(yè)內(nèi)部網(wǎng)絡發(fā)起的攻擊。然而，不論是企業(yè)內(nèi)部攻擊者還是企業(yè)外部攻擊者，針對企業(yè)內(nèi)部網(wǎng)絡發(fā)起的攻擊掃描均會觸發(fā)預先設置在企業(yè)內(nèi)部網(wǎng)絡的誘捕節(jié)點，由此，本實施例也可以針對企業(yè)內(nèi)部攻擊者發(fā)起的攻擊進行監(jiān)控。

本實施例中，當監(jiān)視到誘捕節(jié)點受到企業(yè)內(nèi)部攻擊事件的攻擊掃描，則會將當前攻擊事件對應的網(wǎng)絡流量牽引至蜜場網(wǎng)絡。

步驟s33：對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，得到相應的網(wǎng)絡風險數(shù)據(jù)。

步驟s34：對網(wǎng)絡風險數(shù)據(jù)展開數(shù)據(jù)分析，得到相應的網(wǎng)絡風險特征。

需要具體說明的是，在上述步驟s33以及s34中，數(shù)據(jù)采集分析的過程具體可以包括第一數(shù)據(jù)采集分析過程和/或第二數(shù)據(jù)采集分析過程。

其中，上述第一數(shù)據(jù)采集分析過程具體可以包括：

對蜜場網(wǎng)絡中的攻擊流量進行實時數(shù)據(jù)采集，得到相應的攻擊數(shù)據(jù)流，然后對攻擊數(shù)據(jù)流中的攻擊源ip信息和/或弱口令枚舉信息進行提取，得到相應的攻擊特征信息；

另外，上述第二數(shù)據(jù)采集分析過程具體可以包括：

對蜜場網(wǎng)絡中的病毒樣本流量進行實時數(shù)據(jù)采集，得到相應的病毒樣本，然后對病毒樣本中的惡意軟件特征和/或c&c通信特征進行提取，得到相應的病毒特征信息。

由于考慮到在實際的攻擊過程中，相應的網(wǎng)絡流量中均包括攻擊流量和病毒樣本流量，所以，在上述步驟s33以及s34中，數(shù)據(jù)采集分析的過程優(yōu)先包括第一數(shù)據(jù)采集分析過程和第二數(shù)據(jù)采集分析過程，也即，對網(wǎng)絡流量中的攻擊流量和病毒樣本流量均進行數(shù)據(jù)采集和分析處理。

進一步的，本實施例也可以根據(jù)上述攻擊源ip信息來確定出發(fā)起攻擊的終端，從而有利于揪出企業(yè)內(nèi)鬼。

步驟s35：將網(wǎng)絡風險特征實時傳輸至ngfw安全設備的規(guī)則庫中進行保存，以對規(guī)則庫進行更新。

為了進一步提升企業(yè)邊界網(wǎng)絡的安全性，本實施例在獲取到上述網(wǎng)絡風險特征之后，可以將網(wǎng)絡風險特征實時傳輸至上述ngfw安全設備，以利用網(wǎng)絡風險特征對ngfw安全設備上的規(guī)則庫進行更新，這樣可以實現(xiàn)對當前正在進行的攻擊事件以及未來同類型的攻擊事件進行攔截的目的，也即實現(xiàn)了對同類型的攻擊流量和僵木蠕流量進行有效阻斷的目的。具體的，可以將上述攻擊源ip信息、弱口令枚舉信息、惡意軟件特征和c&c通信特征實時傳輸至上述ngfw安全設備，以利用上述攻擊源ip信息、弱口令枚舉信息、惡意軟件特征和c&c通信特征對ngfw安全設備中的規(guī)則庫進行相應地更新。

進一步的，本發(fā)明實施例中的網(wǎng)絡風險監(jiān)控方法，還可以包括：

對網(wǎng)絡風險數(shù)據(jù)進行基于時間序列的tcp/ip五元組攻擊鏈的關(guān)聯(lián)分析，得到相應的攻擊鏈關(guān)聯(lián)分析報告。具體的，可以對上述采集到的攻擊數(shù)據(jù)流和病毒樣本進行基于時間序列的tcp/ip五元組攻擊鏈的關(guān)聯(lián)分析，得到相應的攻擊鏈關(guān)聯(lián)分析報告。

與此相應的，本發(fā)明實施例中的網(wǎng)絡風險監(jiān)控方法，還可以進一步包括：

判斷當前時刻是否為預設的報告推送時刻，若是，則通過saas安全服務模塊對攻擊鏈關(guān)聯(lián)分析報告進行推送處理。

可以理解的是，本實施例具體可以將上述攻擊鏈關(guān)聯(lián)分析報告推送給預先指定的監(jiān)管終端。另外，上述報告推送時刻可以是人為預先設定的推送時刻，當然也可以是后臺根據(jù)預先設定的報告推送周期確定的推送時刻。

進一步的，本實施例中的網(wǎng)絡風險監(jiān)控方法，還可以包括：

若監(jiān)視到誘捕節(jié)點受到攻擊掃描，則生成相應的告警信息，并通過saas安全服務模塊對告警信息進行實時推送處理。

可以理解的是，本實施例具體可以將上述告警信息實時推送給預先指定的監(jiān)管終端，以便相關(guān)的網(wǎng)絡監(jiān)管人員及時知曉當前企業(yè)內(nèi)部網(wǎng)絡的安全狀態(tài)，進而做出是否需要人為采取進一步措施的決定。

通過上述公開的技術(shù)方案可知，本實施例可以實現(xiàn)閉環(huán)的企業(yè)網(wǎng)絡風險檢測、風險感知、風險響應和風險防御的安全能力，由此形成了一個正向閉合的自循環(huán)安全系統(tǒng)架構(gòu)。

相應的，本發(fā)明實施例還公開了一種網(wǎng)絡風險監(jiān)控系統(tǒng)，參見圖4所示，該系統(tǒng)包括：

預先設置在企業(yè)內(nèi)部網(wǎng)絡中的誘捕節(jié)點11；

數(shù)據(jù)重定向模塊12，用于對誘捕節(jié)點11進行實時監(jiān)視，若監(jiān)視到誘捕節(jié)點11受到攻擊掃描，則將相應的網(wǎng)絡流量牽引至預設的蜜場網(wǎng)絡；

數(shù)據(jù)采集模塊13，用于對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，得到相應的網(wǎng)絡風險數(shù)據(jù)。

需要指出的是，本實施例中的誘捕節(jié)點是預先設置在企業(yè)內(nèi)部網(wǎng)絡中的。并且這種設置方式是一種隱藏式的設置方式，也即，不論對于企業(yè)內(nèi)部終端還是企業(yè)外部終端，均無法預先知曉上述企業(yè)內(nèi)部網(wǎng)絡中存在誘捕節(jié)點。由此使得，當企業(yè)內(nèi)部終端或企業(yè)外部終端對企業(yè)內(nèi)部網(wǎng)絡發(fā)起合法的訪問請求時，是無法訪問到上述誘捕節(jié)點的。而由于非法終端發(fā)起的訪問攻擊事件會對企業(yè)內(nèi)部網(wǎng)絡肆意地進行攻擊掃描，所以一旦企業(yè)內(nèi)部網(wǎng)絡受到了未知類型的攻擊事件的攻擊掃描，將不可避免地訪問到企業(yè)內(nèi)部網(wǎng)絡中的誘捕節(jié)點，據(jù)此便可以推斷出誘捕節(jié)點受到了攻擊掃描。

另外，可以理解的是，本實施例中的誘捕節(jié)點可以是任一能夠被訪問的節(jié)點，如服務器節(jié)點、存儲節(jié)點等。

進一步的，本實施例在企業(yè)內(nèi)部網(wǎng)絡中設置的誘捕節(jié)點的數(shù)量可以是一個，也可以是多個。其中，誘捕節(jié)點的具體數(shù)量可以根據(jù)企業(yè)內(nèi)部網(wǎng)絡的規(guī)模大小來進行具體設定。

本實施例中，一旦誘捕節(jié)點被訪問到，數(shù)據(jù)重定向模塊12則可判定當前誘捕節(jié)點受到了攻擊掃描，然后可立即將與該攻擊掃描事件對應的網(wǎng)絡流量牽引至預設的蜜場網(wǎng)絡。本實施例中，優(yōu)先在上述蜜場網(wǎng)絡中設有多種多樣的漏洞系統(tǒng)和虛擬服務，可以理解的是，上述漏洞系統(tǒng)以及虛擬服務中的數(shù)據(jù)均是沒有價值的數(shù)據(jù)。當將與上述攻擊掃描事件對應的網(wǎng)絡流量牽引至蜜場網(wǎng)絡后，蜜場網(wǎng)絡便可利用自身的漏洞系統(tǒng)和虛擬服務繼續(xù)對相應的攻擊掃描事件進行響應，從而達到迷惑攻擊者的目的，也即達到避免攻擊者察覺自身的攻擊行為已被識破的目的。

可見，本發(fā)明實施例預先在企業(yè)內(nèi)部網(wǎng)絡中設置了誘捕節(jié)點，并且還預設了蜜場網(wǎng)絡，一旦監(jiān)視到該誘捕節(jié)點受到攻擊掃描，則會將與當前攻擊掃描事件對應的網(wǎng)絡流量牽引至上述蜜場網(wǎng)絡以迷惑攻擊者，與此同時還會對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，從而得到相應的網(wǎng)絡風險數(shù)據(jù)。這樣，每當未知類型的攻擊事件試圖對企業(yè)內(nèi)部網(wǎng)絡進行攻擊掃描時，將會對預先設置在企業(yè)內(nèi)部網(wǎng)絡的誘捕節(jié)點也進行了攻擊掃描，也即不可避免地觸發(fā)了該誘捕節(jié)點，為了避免攻擊者察覺自身的攻擊行為已被識破，本發(fā)明實施例還會將相應的網(wǎng)絡流量牽引至蜜場網(wǎng)絡，與此同時會對蜜場網(wǎng)絡中的網(wǎng)絡流量進行實時數(shù)據(jù)采集，從而獲取到相應的網(wǎng)絡風險數(shù)據(jù)，由此實現(xiàn)了對未知網(wǎng)絡風險的主動檢測。

參見圖5所示，為了了解網(wǎng)絡風險數(shù)據(jù)的特點，本發(fā)明實施例的網(wǎng)絡風險監(jiān)控系統(tǒng)，還可以進一步包括：

數(shù)據(jù)分析模塊14，用于對網(wǎng)絡風險數(shù)據(jù)展開數(shù)據(jù)分析，得到相應的網(wǎng)絡風險特征。

其中，上述數(shù)據(jù)采集模塊13，具體可以包括攻擊數(shù)據(jù)流采集子模塊131和/或病毒樣本采集子模塊132；其中，

攻擊數(shù)據(jù)流采集子模塊131，用于對蜜場網(wǎng)絡中的攻擊流量進行實時數(shù)據(jù)采集，得到相應的攻擊數(shù)據(jù)流；

病毒樣本采集子模塊132，用于對蜜場網(wǎng)絡中的病毒樣本流量進行實時數(shù)據(jù)采集，得到相應的病毒樣本；

相應的，上述數(shù)據(jù)分析模塊14具體可以包括威脅情報分析子模塊141和/或行為分析沙盒子模塊142；其中，

威脅情報分析子模塊141，用于對攻擊數(shù)據(jù)流中的攻擊源ip信息和/或弱口令枚舉信息進行提取，得到相應的攻擊特征信息；

行為分析沙盒子模塊142，用于對病毒樣本中的惡意軟件特征和/或c&c通信特征進行提取，得到相應的病毒特征信息。

進一步的，本實施例中的網(wǎng)絡風險監(jiān)控系統(tǒng)，還可以包括：

關(guān)聯(lián)日志分析模塊15，用于對網(wǎng)絡風險數(shù)據(jù)進行基于時間序列的tcp/ip五元組攻擊鏈的關(guān)聯(lián)分析，得到相應的攻擊鏈關(guān)聯(lián)分析報告。

另外，為了方便企業(yè)能夠更加全面的感知網(wǎng)絡安全狀況，本實施例中的網(wǎng)絡風險監(jiān)控系統(tǒng)，還可以進一步包括saas安全服務模塊16和報告推送單元17；其中，

報告推送單元17，用于判斷當前時刻是否為預設的報告推送時刻，若是，則通過saas安全服務模塊16對攻擊鏈關(guān)聯(lián)分析報告進行推送處理。

為了方便企業(yè)及時地獲知當前網(wǎng)絡狀態(tài)的風險狀況，本實施例中的網(wǎng)絡風險監(jiān)控系統(tǒng)，還可以進一步包括告警推送單元18；其中，

告警推送單元18，用于當數(shù)據(jù)重定向模塊監(jiān)視到誘捕節(jié)點受到攻擊掃描，則生成相應的告警信息，并通過saas安全服務模塊16對告警信息進行實時推送處理。

為了強化針對企業(yè)內(nèi)部網(wǎng)絡的安全防御能力，本實施例中的網(wǎng)絡風險監(jiān)控系統(tǒng)，還可以進一步包括：

初步安全防御模塊10，用于利用預先設置在企業(yè)邊界網(wǎng)絡上的ngfw安全設備，對來自互聯(lián)網(wǎng)的訪問流量進行初步的安全防御。

為了提升ngfw安全設備的攻擊攔截能力，本實施例中的網(wǎng)絡風險監(jiān)控系統(tǒng)，還可以進一步包括：

規(guī)則庫更新模塊19，用于將網(wǎng)絡風險特征實時傳輸至ngfw安全設備的規(guī)則庫中進行保存，以對規(guī)則庫進行更新。

進一步的，本發(fā)明實施例公開了一種安全網(wǎng)絡系統(tǒng)，包括前述實施例中公開的網(wǎng)絡風險監(jiān)控系統(tǒng)、企業(yè)內(nèi)部網(wǎng)絡和蜜場網(wǎng)絡。

關(guān)于上述網(wǎng)絡風險監(jiān)控系統(tǒng)的具體構(gòu)造可以參考前述實施例中公開的相應內(nèi)容，在此不再進行贅述。

另外，圖6中示出了本發(fā)明實施例中一種相對較為完整的安全網(wǎng)絡系統(tǒng)。

圖6中，先通過企業(yè)邊界網(wǎng)絡中的ngfw安全設備對來自于internet的攻擊流量進行初步的檢測和防御。一旦有攻擊者繞過企業(yè)邊界的ngfw安全設備，并進入到企業(yè)內(nèi)部網(wǎng)絡進行縱深橫向移動攻擊時、一旦觸發(fā)誘捕節(jié)點，那么數(shù)據(jù)重定向模塊將迅速把攻擊流量牽引至蜜場網(wǎng)絡來迷惑攻擊者，蜜場網(wǎng)絡中含有多種多樣的漏洞系統(tǒng)和虛擬服務，攻擊者在蜜場中的所有攻擊流量和病毒樣本流量都會被實時重定向至數(shù)據(jù)采集模塊。

然后，通過數(shù)據(jù)采集模塊中的攻擊數(shù)據(jù)流采集子模塊和病毒樣本采集子模塊分別對蜜場中的攻擊流量與病毒樣本文件進行實時采集。

進而，通過威脅情報分析子模塊對攻擊數(shù)據(jù)流采集子模塊所采集到的數(shù)據(jù)進行解析和分析、提取攻擊數(shù)據(jù)流中的攻擊源ip信息和弱口令枚舉信息，并將這些數(shù)據(jù)實時傳送給ngfw安全設備，形成實時有效的對攻擊源流量進行阻斷和封鎖。通過行為分析沙盒子模塊對病毒樣本采集子模塊所采集到的病毒樣本進行動態(tài)分析，提取惡意軟件特征和c&c通信特征，并將這些數(shù)據(jù)實時傳送給ngfw安全設備，形成實時有效的對僵木蠕通信流量進行阻斷和封鎖。

接著，通過關(guān)聯(lián)日志分析模塊對攻擊數(shù)據(jù)流采集子模塊和病毒樣本采集子模塊所提取的數(shù)據(jù)進行基于時間序列的tcp/ip五元組攻擊鏈的關(guān)聯(lián)分析，并定期將生成的攻擊鏈關(guān)聯(lián)分析報告發(fā)送給saas安全服務模塊進行推送。進一步可以通過saas安全服務模塊對誘捕節(jié)點的觸發(fā)告警進行實時消息推送和定期對攻擊鏈關(guān)聯(lián)分析報告進行推送，從而達到幫助企業(yè)實現(xiàn)實時感知網(wǎng)絡安全狀態(tài)的目標。

由上可知，本實施例利用企業(yè)內(nèi)部網(wǎng)絡、誘捕節(jié)點、數(shù)據(jù)重定向模塊以及蜜場網(wǎng)絡等形成了一個具有風險感知能力的honeypotfarms網(wǎng)絡系統(tǒng)，降低了企業(yè)內(nèi)部網(wǎng)絡的安全風險。

最后，還需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序。而且，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。

以上對本發(fā)明所提供的一種網(wǎng)絡風險監(jiān)控方法、系統(tǒng)及安全網(wǎng)絡系統(tǒng)進行了詳細介紹，本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應理解為對本發(fā)明的限制。