【技术实现步骤摘要】
本专利技术属于数据处理,具体涉及一种网络安全托管检测与响应服务方法及系统。
技术介绍
1、随着互联网技术的发展,网站被攻击的频率也越来越大,网站被攻击后容易造成网站数据泄露、网站挂载木马及服务器瘫痪等问题,给用户带来很大的损失,维护与保障网络安全的重要性非常重要。类似的现有技术公开号为cn103023655b的中国专利技术专利,该专利技术专利提供网络安全系统,该专利技术包括对所接收到的电子邮件进行安全监测的监测模块、用于将电子邮件加密的处理模块、用于将经过加密的电子邮件解密的解密模块以及用于查看经过解密的电子邮件的查看模块。通过该专利技术所描述的网络安全系统提高网络层安全性能。类似的现有技术还有公开号为cn111786964b的中国专利技术专利,公开网络安全检测方法、终端及网络安全设备,该专利技术获取网络安全设备发送的定位满足预设条件的网络行为对应的目标文件的请求;根据请求,确定网络行为所属进程的进程标识符;从存储的进程链表中,确定进程标识符所属的目标进程链;获取目标进程链中每一进程的属性信息,得到属性信息集合;将属性信息集合反馈给网络安全设备,以使网络安全设备定位网络行为对应的目标文件。然而,上述两个专利技术都没有考虑到从不同的角度分析通信的危险指数,使分析更全面更精准的问题,由此,本专利技术提供一种网络安全托管检测与响应服务方法及系统。
技术实现思路
1、本专利技术通过在每次通信时获取通信的发送方地址和接收方地址,获取二者形成的第一通信路径,比较第一通信路径和历史通信路径获取比
2、为了达到上述的专利技术目的,本专利技术给出如下所述的一种网络安全托管检测与响应服务方法,主要通过执行以下步骤进行实现:
3、步骤s1、在每次通信时获取通信的发送方地址和接收方地址,在通信过程中按照先后顺序记录经过的所有节点地址,所有所述节点地址形成第一通信路径,获取所述发送方到所述接收方的历史通信路径,比较所述第一通信路径和所述历史通信路径获取比较结果,根据所述比较结果获取当前通信所经过的所述第一通信路径的第一危险指数;
4、步骤s2、每次通信时还获取通信请求,根据所述通信请求获取对应的通信数据集,获取预设第一时间段内的历史通信数据集,根据所述历史通信数据集和当前通信的通信数据集获取当前通信请求的第二危险指数;
5、步骤s3、根据所述第一危险指数和所述第二危险指数,计算当前通信的总体危险指数,比较所述总体危险指数和预设危险阈值,所述总体危险指数大于所述预设阈值的情况下,确定当前通信为危险通信。
6、作为本专利技术的一种优选技术方案,其特征在于,在所述步骤s1中,比较所述第一通信路径和所述历史通信路径获取比较结果,根据所述比较结果获取当前通信所经过的所述第一通信路径的第一危险指数的过程,包括如下步骤:
7、步骤s11、从通信路径记录表中查找和所述发送方地址关联的历史通信路径,若查找到关联的所述历史通信路径,比较所述第一通信路径和所述历史通信路径中的节点地址是否相同;
8、步骤s12、若所有所述节点地址都相同,记录当前时间,用所述当前时间替换所述通信路径记录表中所述发送方地址关联存储的所述历史通信记录对应的发生时间,以更新通信路径记录表,还将所述第一危险指数设置为零;
9、步骤s13、若不是所有所述节点地址都相同,找出所有所述第一通信路径中存在但所述历史通信路径中不存在的节点地址,称为新节点地址,若所述新节点地址的数量大于零且小于预设第一阈值,将所述新节点地址添加到对应的历史通信记录中,并将所述历史通信记录的使用时间更新为当前时间,将所述第一危险指数设置为零,若所述新节点地址的数量大于等于所述第一阈值且小于预设第二阈值,将所述第一危险指数设置为零点二,若所述新节点地址的数量大于等于所述第二阈值且小于预设第三阈值,将所述第一危险指数设置为零点五,若所属新节点地址的数量大于等于所述第三阈值,将所述第一危险指数设置为一;
10、步骤s14、若查找不到和所述发送方地址关联且和所述接收方地址关联的历史通信路径,通过判断所述发送方地址、所述接收方地址和所有所述节点地址是否属于同一个局域网,确定第一危险指数。
11、作为本专利技术的一种优选技术方案,其特征在于,在所述步骤s14中,通过判断所述发送方地址、所述接收方地址和所有所述节点地址是否属于同一个局域网,确定第一危险指数的过程,包括如下步骤:
12、判断所述发送方地址和所述接收方地址是否属于同一个局域网,不属于同一个局域网的情况下,将所述第一危险指数设置为零,属于同一个局域网的情况下,获取所有所述节点地址,判断所有所述节点地址和所述发送方地址是否属于同一个局域网,若所有所述节点地址和所述发送方地址全部属于同一个局域网,将所述第一危险指数设置为零,生成记录id,将所述记录id、所述发送方地址、所述接收方地址、所有所述节点地址和当前时间存储在所述通信路径记录表中,以更新所述通信路径记录表,若所有所述节点地址中存在和所述发送方地址不属于同一个局域网的情况,将所述第一危险指数设置为一。
13、作为本专利技术的一种优选技术方案,其特征在于,在所述步骤s2中,根据所述历史通信数据集和当前通信的通信数据集获取当前通信请求的第二危险指数的过程,包括如下步骤:
14、步骤s21、第一次通信时,获取第一次通信的第一通信请求,根据所述第一通信请求获取对应的第一数值,设置第一最大值和第二最小值,计算所述第一最大值和所述第一最小值的第一平均值,根据所述第一最大值、所述第一最小值和所述第一平均值计算第一标准差,计算所述第一数值和所述第一平均值的第一差值;
15、步骤s22、若所述第一差值的绝对值小于等于所述第一标准差,将所述第一次通信对应的第二危险指数设置为零,将所述第一通信请求和对应的第一数值存储到通信数据记录表,用所述第一数值和所述第一平均值相加除以二得到新平均值,用所述新平均值替换所述第一平均值,根据所述新平均值、所述第一最小值、所述第一最大值和所述第一数值计算新第一标准差;
16、步骤s23、若所述第一差值的绝对值大于所述第一标准差且小于等于所述第一标准差乘以二,将所述第二危险指数设置为零点二,若所述第一差值的绝对值大于等于所述第一标准差乘以二且小于等于所述第一标准差乘以三,将所述第二危险指数设置为零点五,若所属第一差值的绝对值大于所述第一标准差乘以三,将所属第二危险指数设置为一;
17、步骤s24、第二到第n次通信时,重复所述步骤s21至所述步骤s23。
18、作为本专利技术的一种优选技术方案,其特征在于,所述步骤s21中,除了本文档来自技高网...
【技术保护点】
1.一种网络安全托管检测与响应服务方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种网络安全托管检测与响应服务方法,其特征在于,在所述步骤S1中,比较所述第一通信路径和所述历史通信路径获取比较结果,根据所述比较结果获取当前通信所经过的所述第一通信路径的第一危险指数的过程,包括如下步骤:
3.根据权利要求2所述的一种网络安全托管检测与响应服务方法,其特征在于,在所述步骤S14中,通过判断所述发送方地址、所述接收方地址和所有所述节点地址是否属于同一个局域网,确定第一危险指数的过程,包括如下步骤:
4.根据权利要求1所述的一种网络安全托管检测与响应服务方法,其特征在于,在所述步骤S2中,根据所述历史通信数据集和当前通信的通信数据集获取当前通信请求的第二危险指数的过程,包括如下步骤:
5.根据权利要求4所述的一种网络安全托管检测与响应服务方法,其特征在于,所述步骤S21中,除了根据所述第一通信请求获取对应的第一数值外,还根据所述第一通信请求获取对应的第二数值,对应的设置第二最大值和第二最小值,计算所述第二最大值和所述第二最小值的
6.根据权利要求1所述的一种网络安全托管检测与响应服务方法,其特征在于,在所述步骤S3中,根据所述第一危险指数和所述第二危险指数,计算当前通信的总体危险指数的过程,包括如下步骤:
7.一种网络安全托管检测与响应服务系统,用于实现如权利要求1-6任意一项所述的方法,其特征在于,包括如下模块:
...【技术特征摘要】
1.一种网络安全托管检测与响应服务方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的一种网络安全托管检测与响应服务方法,其特征在于,在所述步骤s1中,比较所述第一通信路径和所述历史通信路径获取比较结果,根据所述比较结果获取当前通信所经过的所述第一通信路径的第一危险指数的过程,包括如下步骤:
3.根据权利要求2所述的一种网络安全托管检测与响应服务方法,其特征在于,在所述步骤s14中,通过判断所述发送方地址、所述接收方地址和所有所述节点地址是否属于同一个局域网,确定第一危险指数的过程,包括如下步骤:
4.根据权利要求1所述的一种网络安全托管检测与响应服务方法,其特征在于,在所述步骤s2中,根据所述历史通信数据集和当前通信的通信数据集获取当前通信请求的第二危险指数的过程,包括如下步骤:
【专利技术属性】
技术研发人员:方义然,潘伟,陈宇,王瑞升,卢飞廷,李学俊,黄凯,杨子,韩培杰,冯斌斌,李鹏,牛俊杰,王尚典,李豪帅,王娟,龚青松,
申请(专利权)人:河南省鼎信信息安全等级测评有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。