[发明专利]一种网络监测方法及系统

说明书

本发明提供一种网络监测方法，其步骤包括：接收攻击窃密行为检测策略；根据其中的规则特征，对网络流量进行检测，发现攻击窃密行为；根据与攻击窃密行为检测策略对应的报文留存策略，对相应攻击窃密行为进行报文留存；并据以完成攻击窃密行为溯源。同时提供相应系统，包括存储器、接收器和处理器；存储器用于存储攻击窃密行为检测策略以及与上述方法对应的程序指令；接收器用于接收内部网络与互联网之间的网络流量以及上述攻击窃密行为检测策略；处理器用于执行存储器中存储的上述方法对应的程序指令。该方法及系统能够根据与攻击窃密行为检测策略对应的报文留存策略，采取不同的动态报文留存操作对相应攻击窃密行为进行报文留存与上报。

技术领域

本发明涉及信息安全和计算机网络领域，尤其涉及一种网络监测方法及系统。

背景技术

随着网络安全形式的恶化，特别是在针对计算机系统的攻击逐渐增加的情况下，如何为带宽越来越高、业务越来越复杂的计算机网络提供可靠的安全防护成为信息安全和计算机网络领域重点和热点的问题。为了提高网络攻击窃密监测能力，越来越多的网络监测系统部署在运营商、政府、军队、企业等的互联网出口。通常，网络监测系统通过分光或镜像的方法获得内部网络与互联网的网络流量。系统通过对网络流量进行重整和分析，找到潜在的攻击窃密行为，并报警或采取其他措施防止进一步攻击窃密行为的发生。

对网络流量进行检测和分析是网络监测系统核心的任务，常见的检测分析技术为特征检测。这种检测方法基于这样的假设，即所有的攻击窃密行为都有能被检测到的规则特征。特征检测是指通过描述这些攻击窃密行为的规则特征，构建特征库。在检测时，对网络流量进行模式匹配，凡是符合特征库中的规则特征的行为均视为攻击窃密行为。当网络监测系统检测到攻击窃密行为后，产生报警并保存与上报攻击现场以备后续追踪溯源。

发明内容

为了提高传统网络监测系统检测攻击窃密行为和发现攻击窃密行为后追踪溯源的效果，本发明提供一种网络监测方法及系统。该方法及系统能够根据与攻击窃密行为检测策略对应的报文留存策略，采取不同的动态报文留存操作对相应攻击窃密行为进行报文留存与上报。

为达上述目的，本发明所采用的技术方案为：

一种网络监测方法，其步骤包括：

接收攻击窃密行为检测策略；

根据攻击窃密行为检测策略中的规则特征，对网络流量进行检测，发现攻击窃密行为；

根据与攻击窃密行为检测策略对应的报文留存策略，对相应攻击窃密行为进行报文留存；

根据留存的报文完成攻击窃密行为溯源。

进一步地，所述攻击窃密行为检测策略是指监测中心下发的攻击窃密检测策略或用户配置的内置攻击窃密检测策略。

更进一步地，根据攻击窃密行为检测策略中的策略ID，判断所述攻击窃密行为对应的攻击窃密行为检测策略是内置攻击窃密检测策略还是攻击窃密检测策略；

若所述攻击窃密行为对应的攻击窃密行为检测策略是内置攻击窃密检测策略，则直接对该攻击窃密行为进行报文留存；

若所述攻击窃密行为对应的攻击窃密行为检测策略是攻击窃密检测策略，则获取该攻击窃密行为对应的攻击窃密检测策略中的store_pcap参数值，并判断该参数值是否指示进行报文留存。

进一步地，所述攻击窃密行为的类型包括木马攻击窃密行为、漏洞利用攻击窃密行为和恶意程序攻击窃密行为；每一类型的攻击窃密行为都对应相应的攻击窃密行为检测策略。

进一步地，所述攻击窃密行为检测策略包括木马攻击窃密检测策略、漏洞利用攻击窃密检测策略和恶意程序攻击窃密检测策略。