[发明专利]基于企业内网的网络安全防护方法

权利要求书

1.一种基于企业内网的网络安全防护方法，其特征在于，所述网络安全防护方法基于网络安全防护系统来实施，所述网络安全防护系统包括：威胁特征库构建模块、异常行为规则库构建模块、网络数据采集模块、外部告警数据分析模块、内部合规性检测模块、未知威胁预测模块、网络安全态势告警模块；

所述网络安全防护方法包括如下步骤：

步骤1：所述威胁特征库构建模块根据典型安全威胁的特征样例数据，将其中的关键标识字段提取，选出样例数据中可以惟一标识独立的安全威胁，并将这些标识信息存储到不同类型的数据表内，多个数据表形成安全威胁特征库；

步骤2：所述异常行为规则库构建模块将企业内网中典型的用户违规行为进行数据定义，并将定义后的规则数据存储到不同类型的数据表内，多个数据表形成异常行为规则库；

步骤3：网络数据采集模块采集包括企业内网中的安全设备、网络设备、应用系统的原始运行日志数据、操作日志数据在内的可以反映设备及系统的运行状态的原始日志数据，对原始日志数据进行拆分，按照摘分后不同的字段属性对字段的含义进行标注，对无效的字段进行删减，形成统一标准格式的数据集；

步骤4：所述外部告警数据分析模块接收标准格式的数据集和安全威胁特征库，将标准格式的数据集导入至关联分析模型，通过调用关联分析模型中FP-growth算法分析标准格式数据集中的数据特征与安全特征数据库中的数据特征差异性，经过匹配出现差异性为0值时，并将产生差异值为0所对应的网络数据提取出来，产生企业网络外部告警信息；

步骤5：所述内部合规性检测模块接收标准格式的数据集和异常行为规则库，将标准格式的数据集导入至关联分析模型，通过调用关联分析模型中FP-growth算法分析标准格式数据集中的数据特征与异常行为规则库中的数据特征差异性，经过匹配出现差异性为0值时，并将产生差异值为0所对应的网络数据提取出来，产生企业网络内部异常行为告警信息；

步骤7：所述未知威胁预测模块接收标准格式的数据集，将标准格式的数据集传入至数据预测模型中，数据预测模型对数据集中的数据进行处理分析，对下一个周期的数据状态进行预测，发现潜在的异常值，并将异常值所对应网络数据提取出来，产生企业网络未知威胁告警信息；

步骤8：所述网络安全态势告警模块用于接收所述企业网络外部告警信息、企业网络内部异常行为告警信息以及企业网络未知威胁告警信息，将上述各个告警信息进行统计处理，并对统计后的数据进行展示，形成企业内网的网络安全告警信息。

2.如权利要求1所述的基于企业内网的网络安全防护方法，其特征在于，所述典型安全威胁的特征样例数据包括网络病毒、木马、蠕虫、漏洞安全威胁的样例数据信息。

3.如权利要求1所述的基于企业内网的网络安全防护方法，其特征在于，所述异常行为规则库构建模块将企业内网中典型的用户违规行为进行数据定义，即通过行为的流量访问信息、端口访问信息、协议的使用信息的状态定义异常行为规则。

4.如权利要求1所述的基于企业内网的网络安全防护方法，其特征在于，所述网络数据采集模块对原始日志数据利用包括正则表达式、键值对、解析脚本的方式进行拆分。

5.如权利要求1所述的基于企业内网的网络安全防护方法，其特征在于，所述网络数据采集模块输出的为统一标准JSON格式的数据集。

6.如权利要求1所述的基于企业内网的网络安全防护方法，其特征在于，所述未知威胁预测模块所采用的数据预测模型调用K-means算法、ALS算法对数据集中的数据进行处理分析。

7.如权利要求6所述的基于企业内网的网络安全防护方法，其特征在于，所述数据预测模型以30天作为时间间隔周期，设置窗口滑动时间为7天，对下一个周期的数据状态进行预测。

8.如权利要求1所述的基于企业内网的网络安全防护方法，其特征在于，所述网络安全态势告警模块进行统计处理的对象包括如告警次数求和、告警时段统计、告警类型统计。