[发明专利]网络安全保护方法、装置及电子设备

说明书

本发明提供了一种网络安全保护方法、装置及电子设备，该方法包括：网络安全保护装置发送数据采集请求至被保护设备，进而接收被保护设备根据数据采集请求返回的数据响应信息；然后将其中的流量数据和安全事件数据与标准信息进行对比分析，得到对比分析结果；并在对比分析结果为存在异常事件时，对异常事件的通信进行阻断。本发明的网络安全保护装置能够能够主动的进行数据采集，另外，返回得到的数据响应信息中包含流量数据，即能够对流量异常进行监测，提高了监测的精度，同时，在确定得到存在异常事件时，能够对异常事件的通信进行阻断，缓解了现有的网络安全保护方式只能被动接受数据，误报率高以及缺少安全防护的技术问题。

技术领域

本发明涉及网络通信的技术领域，尤其是涉及一种网络安全保护方法、装置及电子设备。

背景技术

如图1所示，现有的网络安全管理系统中，网络安全监测装置就地部署在站控层，实现对本区域(包括调控机构、厂站配电以及负控等监控系统)相关设备网络安全数据的采集与处理，同时把处理的结果通过通信手段，按照设定好的通信规约送至调度机构部署的网络安全监管平台。

具体实现的过程如下：在每台被保护设备(包括：主机设备，网络设备，安防设备，防火墙等)上安装监控系统客户端程序，基于该监控系统客户端程序被保护设备向网络安全监测装置发起建立连接请求，如此被保护设备与网络安全监测装置建立TCP连接，进而被保护设备向网络安全监测装置发送网络安全数据，如，主机设备向网络安全监测装置发送操作系统层面所有的用户登录、操作信息、外设设备(键盘、鼠标以及多有移动存储设备)接入信息及网络外联等网络安全数据；网络设备向网络安全监测装置发送交换机相关的配置变更、流量信息、网口状态等网络安全数据；安防设备向网络安全监测装置发送横向隔离装置的运行状态、安全事件及配置变更等网络安全数据；防火墙向网络安全监测装置发送厂站防火墙的运行状态、安全事件、策略变更及设备异常等网络安全数据。网络安全监测装置接收到上述网络安全数据后，对上述网络安全数据进行简单处理，把处理后的网络安全数据发送至网络安全监管平台，由网络安全监管平台对上述处理后的网络安全数据进行进一步地安全分析(比如，对主机关键文件变更、用户权限变更、危险操作等事件进行安全性分析)，并在分析得到存在安全事件时，进行安全预警(包括主机设备非法网络外联告警、纵向加密、隔离、防火墙设备拦截到的不符合安全策略的访问、CPU利用率越限告警、非法设备接入告警、外设设备配置告警、用户异常操作告警等)。

通过对现有的网络安全管理系统的描述可知，在进行网络安全数据采集时，采用了包捕获机制的方法(即在每台被保护设备上安装监控系统客户端程序的方式)，该方法存在以下两个问题，一是被动接受被保护设备发送的网络安全数据，缺乏监测的主动性，并且在被保护设备上安装监控系统客户端程序会造成被保护设备额外的负担，被保护设备升级维护不便，安全性差；二是数据分析效率低(通常采用模式匹配算法或者快速模式匹配算法，对特征字符串的匹配非常耗时)。另外，在进行安全分析时，没有考虑得到流量异常，误报率高；此外，整个过程中只进行了安全预警，无法实现有效的安全防护。

综上，现有的网络安全保护方式存在被动接受，误报率高以及缺少安全防护的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种网络安全保护方法、装置及电子设备，以缓解现有的网络安全保护方式存在被动接受，误报率高以及缺少安全防护的技术问题。

第一方面，本发明实施例提供了一种网络安全保护方法，应用于网络安全保护装置，包括：

发送数据采集请求至被保护设备，其中，所述数据采集请求中携带有待采集网络安全数据的信息；

接收所述被保护设备根据所述数据采集请求返回的数据响应信息，其中，所述数据响应信息包括：所述被保护设备采集的网络安全数据和响应状态信息，所述网络安全数据包括：流量数据和安全事件数据；

将所述流量数据和所述安全事件数据与标准信息进行对比分析，得到对比分析结果；