[发明专利]基于企业内网的网络安全防护方法

说明书

本发明属于网络防护技术领域，具体涉及一种基于企业内网的网络安全防护方法。本发明通过将企业网络中的外部攻击借助外部设备进行监测，对网内各类异常进行监测分析，对异常数据进行预测分析，从外部威胁告警、内部安全威胁监控及预测等方面对网络及安全态势进行综合分析，形成外部攻击告警和内部威胁监测“双模式”的企业内部网络安全防护方法。在企业内部网络安全防护方面提供了基于实际安全场景的多维度异常检测体系。提升了企业内部网络中各类型安全威胁的监测防护能力。

技术领域

本发明属于网络防护技术领域，具体涉及一种基于企业内网的网络安全防护方法。

背景技术

网络安全态势分析主要是对网内存在的恶意攻击进行侦查、过滤、校验、告警的流程处理。通常情况下，企业网络的安全防护主要依托防火墙、IDS、漏扫等传统安全设备或以这些安全设备作为数据源的安管平台为防护主体，实现对企业内网网络的安全防护。

网络安全威胁主要是以运营商的互联网络为高发场景，安全威胁具有隐藏性、偶发性、破坏性等特点。大部分企业内网均与互联网处于互联或者逻辑隔离状态，因此网络威胁在互联网内触发后，企业内网也面临者同样的网络安全威胁。企业内网的安全防护措施主要为在互联网与企业内网间部署边界防火墙，增加阻断性安全策略，对外部的安全威胁进行隔离；在内部网络出口处部署漏洞扫描设备，对入网流量中存在的安全漏洞威胁进行检测；在企业内网出口处部署入侵检测设备，对入网流量中具备安全威胁的特征流量进行阻断及监测；在企业内网中部署安管平台，将各类安全设备的日志信息采集汇聚，在平台上依托安全设备内置的告警结果进行监测；主要防护思路即确保企业内网与互联网出口的安全性检测，保证企业内部网络的安全性。

当前企业内网网络安全防护模式以边界安全防护设备部署为主，借此对来自外部的安全威胁进行检测，实现网络安全防护。但网络威胁不仅存在于外部网络，也频繁在网络内部发生，且通常具有规律性。网络内部安全威胁会更直接对内部网络信息系统进行破坏，也更容易获取网内的关键信息。相较于外部网络威胁而言，内部威胁对企业内网的安全防护更具有威胁性，内部威胁正逐步演变为网络安全防护的重要方向。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何提供一套企业内网的网络安全防护方法，构建新型的企业内网的网络安全态势监测体系。

(二)技术方案

为解决上述技术问题，本发明提供一种基于企业内网的网络安全防护方法，所述网络安全防护方法基于网络安全防护系统来实施，所述网络安全防护系统包括：威胁特征库构建模块、异常行为规则库构建模块、网络数据采集模块、外部告警数据分析模块、内部合规性检测模块、未知威胁预测模块、网络安全态势告警模块；

所述网络安全防护方法包括如下步骤：

步骤1：所述威胁特征库构建模块根据典型安全威胁的特征样例数据，将其中的关键标识字段提取，选出样例数据中可以惟一标识独立的安全威胁，并将这些标识信息存储到不同类型的数据表内，多个数据表形成安全威胁特征库；

步骤2：所述异常行为规则库构建模块将企业内网中典型的用户违规行为进行数据定义，并将定义后的规则数据存储到不同类型的数据表内，多个数据表形成异常行为规则库；

步骤3：网络数据采集模块采集包括企业内网中的安全设备、网络设备、应用系统的原始运行日志数据、操作日志数据在内的可以反映设备及系统的运行状态的原始日志数据，对原始日志数据进行拆分，按照摘分后不同的字段属性对字段的含义进行标注，对无效的字段进行删减，形成统一标准格式的数据集；