一种网络安全监测方法、系统及装置与流程

1.本发明涉及网路安全监测领域，具体涉及一种网络安全监测方法、系统及装置。


背景技术：

2.随着信息技术不断发展和改革的不断深入，政府相关部门信息化水平不断突破新高，关键信息基础设施体量不断增长，网络与信息安全在政治、经济和社会稳定中具有举足轻重的重要意义，信息安全给安全监管部门提出了新的挑战。同时当前网络安全监管领域存在目标不统一、水平不一致、资源未整合等问题，而如何摸清线上及线下关键信息基础设施底数，如何响应国家对关键信息基础设施安全监管的相关要求，深化网络安全监管机制创新，统筹网络空间安全监管防护资源，有效保障关键信息基础设施正常运行和不受侵害，是当前亟待解决的现实问题。
3.攻击网络安全的手段包括有dns劫持(又称dns欺骗)，dns劫持就是攻击者冒充域名服务器的一种欺骗行为，其原理通过把查询的ip地址设为攻击者的ip地址，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页。dos攻击，拒绝服务制造大量数据，使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求，这种攻击会导致资源的匮乏，进而导致无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。ddos攻击，分布式拒绝服务，通过多台傀儡机同时制造大量数据，实际上是分布式的dos攻击，相当于dos攻击的一种方式。
4.然而现有技术中，由于现行状态下的网络攻击主要是依靠木马病毒，往往会导致忽视dns劫持和dos攻击，其主要依赖于僵尸病毒和蠕虫病毒进行攻击。因此，如何提供一种网络安全监测同时对僵尸病毒和蠕虫病毒进行监测是本领域急需解决的技术问题。


技术实现要素：

5.本发明所要解决的技术问题是提供一种网络安全监测方法、系统及装置，可以对僵尸病毒和蠕虫病毒进所引起的dns劫持和dos攻击同时进行有效监测。
6.本发明解决上述技术问题的技术方案如下：一种网络安全监测方法，包括如下步骤，
7.s1，对僵尸网络进行追踪，生成僵尸网络历史列表；
8.s2，利用netflow实时监测网络中的流量，并实时监测网络中出现的dos/ddos攻击，且生成实时攻击列表；
9.s3，依据netflow实时监测到的网络中的流量或网络中出现的dos/ddos攻击确定所述网络的安全状态；
10.s4，在所述网络处于不安全状态时，根据所述实时攻击列表和所述僵尸网络历史列表确定dos/ddos攻击源所归属的僵尸网络，并判断所述网络是否被dns劫持。
11.基于上述一种网络安全监测方法，本发明还提供一种网络安全监测系统。
12.一种网络安全监测系统，包括以下模块，
13.僵尸网络追踪模块，其用于对僵尸网络进行追踪，生成僵尸网络历史列表；
14.dos/ddos攻击监测模块，其用于利用netflow实时监测网络中的流量，并实时监测网络中出现的dos/ddos攻击，且生成实时攻击列表；
15.网络安全确定模块，其用于依据netflow实时监测到的网络中的流量或网络中出现的dos/ddos攻击确定所述网络的安全状态；
16.dns劫持判断模块，其用于在所述网络处于不安全状态时，根据所述实时攻击列表和所述僵尸网络历史列表确定dos/ddos攻击源所归属的僵尸网络，并判断所述网络是否被dns劫持。
17.基于上述一种网络安全监测方法，本发明还提供一种网络安全监测装置。
18.一种网络安全监测装置，包括处理器和存储器，所述存储器内存储有计算机程序，所述计算机程序被所述处理器执行时实现如上述所述的网络安全监测方法。
19.本发明的有益效果是：在本发明一种网络安全监测方法、系统及装置中，基于netflow监测网络的流量，结合监测到的dos/ddos攻击进行实时追踪，进而判断当前网络是否安全，还通过结合攻击手段等特点对僵尸病毒和蠕虫病毒产生的dos/ddos攻击和dns劫持进行针对性的识别监测，后续针对监测结果可以及时做出预警手段防范，可以实时的保护网络安全，本发明具有准确性、高效性以及实时性。
附图说明
20.图1为本发明一种网络安全监测方法的流程图；
21.图2为本发明一种网络安全监测系统的结构框图。
具体实施方式
22.以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。
23.如图1所示，一种网络安全监测方法，包括如下步骤s1-s4：
24.s1，对僵尸网络进行追踪，生成僵尸网络历史列表；所述僵尸网络历史列表中包括僵尸网络标识以及与所述僵尸网络标识相关联的僵尸网络被控端的ip地址。
25.僵尸病毒是通过连接irc服务器进行通信从而控制被攻陷的计算机，僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，僵尸病毒是黑客在实施大规模网络攻击之前所需的准备工作，通过提供大量可供发起攻击的“僵尸电脑”。
26.s2，利用netflow实时监测网络中的流量，并实时监测网络中出现的dos/ddos攻击，且生成实时攻击列表；所述实时攻击列表中包括dos/ddos攻击源的ip地址。
27.利用netflow实时监测网络中的流量具体为，利用netflow实时提供网络流量的会话级视图，并记录下每个tcp/ip事务的信息，实现网络中的流量监测。
28.netflow具有网络监测的功能，可以收集进入及离开网络界面的ip封包的数量及资讯，经由分析netflow收集到的资讯，可以得知封包的来源及目的地，网络服务的种类，以及造成网络拥塞的原因等。
29.通过所述netflow对ip数据包的7种属性进行分析，快速区分网络中传送的各种类
型的业务数据流；其中，一个netflow流为在一个源ip地址和目的ip地址间传输的单向数据包流，且所有数据包具有共同的传输层源和目的端口号。
30.s3，依据netflow实时监测到的网络中的流量或网络中出现的dos/ddos攻击确定所述网络的安全状态。
31.依据netflow实时监测到的网络中的流量确定所述网络的安全状态的具体步骤为，将netflow实时监测到的网络中的流量与已有网络攻击的流量进行特征匹配；当netflow实时监测到的网络中的流量特征与已有网络攻击的流量特征不一致时，则确定所述网络处于安全状态；当netflow实时监测到的网络中的流量特征与已有网络攻击的流量特征一致时，则确定所述网络处于不安全状态。
32.依据netflow实时监测到的网络中出现的dos/ddos攻击确定所述网络的安全状态有两种方法。第一种方法为：实时监测通过所述网络所接收到的电子邮件，当所述网络中出现dos/ddos攻击时，检测所述电子邮件中是否包含有附件，当所述电子邮件中包含有附件时，检测所述附件中是否包含有蠕虫病毒，当检测到的所述附件中包含有蠕虫病毒时，则确定所述网络处于不安全状态，当检测到的所述附件中不包含有蠕虫病毒时，则确定所述网络处于安全状态。第二种方法为：实时监测通过所述网络所接收到的电子邮件，当所述网络中出现dos/ddos攻击时，检测所述电子邮件中是否包含有网站链接地址，当所述电子邮件中包含有网站链接地址时，检测所述网站链接地址中是否包含有蠕虫病毒，当检测到的所述网站链接地址中包含有蠕虫病毒时，则确定所述网络处于不安全状态，当检测到的所述网站链接地址中不包含有蠕虫病毒时，则确定所述网络处于安全状态。
33.蠕虫病毒通过利用网络进行复制和传播，传染途径是通过网络和电子邮件，是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时也具有自己的一些特征，如不利用文件寄生等，可以对网络造成拒绝服务攻击。
34.s4，在所述网络处于不安全状态时，根据所述实时攻击列表和所述僵尸网络历史列表确定dos/ddos攻击源所归属的僵尸网络，并判断所述网络是否被dns劫持。
35.根据所述实时攻击列表和所述僵尸网络历史列表确定dos/ddos攻击源所归属的僵尸网络的具体步骤为，根据所述实时攻击列表中的ddos攻击源的ip地址，在所述僵尸网络历史列表中查询出与所述实时攻击列表中的ddos攻击源具有相同ip地址的僵尸网络被控端，并将与所述实时攻击列表中的ddos攻击源具有相同ip地址的僵尸网络被控端所归属的僵尸网络作为dos/ddos攻击源所归属的僵尸网络。
36.判断所述网络是否被dns劫持有两种方法。第一种方法为：通过实时检测网络的状态属性，以及控制网络的主机的internet版本协议，基于地址信息进行判断；具体的，实时检测所述网络的状态属性，并实时检测控制所述网络的主机的internet版本协议，判断所述网络的状态属性的dns地址信息与控制所述网络的主机的internet版本协议中预设的地址信息是否匹配；若匹配，则判定控制所述网络的主机未被dns劫持(即网络未被dns劫持)，若不匹配，则判定控制所述网络的主机被dns劫持(即网络被dns劫持)。第二种方法为：通过实时检测网络的状态属性，以及控制网络的主机的internet版本协议，基于地址信息进行判断；具体的，通过nslookup解析一个非正常域名的网站并进行返回，根据返回结果判断所述网络是否被dns劫持；其中，当返回结果为超时时，则判定所述网络未被dns劫持；当返回结果为ip地址时，则判定所述网络被dns劫持。
37.基于上述一种网络安全监测方法，本发明还提供一种网络安全监测系统。
38.如图2所示，一种网络安全监测系统，包括以下模块，
39.僵尸网络追踪模块，其用于对僵尸网络进行追踪，生成僵尸网络历史列表；
40.dos/ddos攻击监测模块，其用于利用netflow实时监测网络中的流量，并实时监测网络中出现的dos/ddos攻击，且生成实时攻击列表；
41.网络安全确定模块，其用于依据netflow实时监测到的网络中的流量或网络中出现的dos/ddos攻击确定所述网络的安全状态；
42.dns劫持判断模块，其用于在所述网络处于不安全状态时，根据所述实时攻击列表和所述僵尸网络历史列表确定dos/ddos攻击源所归属的僵尸网络，并判断所述网络是否被dns劫持。
43.本发明一种网络安全监测系统中各模块的具体功能参见本发明一种网络安全监测方法的各步骤，在此不再赘述。
44.基于上述一种网络安全监测方法，本发明还提供一种网络安全监测装置。
45.一种网络安全监测装置，包括处理器和存储器，所述存储器内存储有计算机程序，所述计算机程序被所述处理器执行时实现如上述所述的网络安全监测方法。
46.在本发明一种网络安全监测方法、系统及装置中，基于netflow监测网络的流量，结合监测到的dos/ddos攻击进行实时追踪，进而判断当前网络是否安全，还通过结合攻击手段等特点对僵尸病毒和蠕虫病毒产生的dos/ddos攻击和dns劫持进行针对性的识别监测，后续针对监测结果可以及时做出预警手段防范，可以实时的保护网络安全，本发明具有准确性、高效性以及实时性。
47.以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种网络安全监测方法，其特征在于：包括如下步骤，s1，对僵尸网络进行追踪，生成僵尸网络历史列表；s2，利用netflow实时监测网络中的流量，并实时监测网络中出现的dos/ddos攻击，且生成实时攻击列表；s3，依据netflow实时监测到的网络中的流量或网络中出现的dos/ddos攻击确定所述网络的安全状态；s4，在所述网络处于不安全状态时，根据所述实时攻击列表和所述僵尸网络历史列表确定dos/ddos攻击源所归属的僵尸网络，并判断所述网络是否被dns劫持。2.根据权利要求1所述的网络安全监测方法，其特征在于：在所述s3中，依据netflow实时监测到的网络中的流量确定所述网络的安全状态的具体步骤为，将netflow实时监测到的网络中的流量与已有网络攻击的流量进行特征匹配；当netflow实时监测到的网络中的流量特征与已有网络攻击的流量特征不一致时，则确定所述网络处于安全状态；当netflow实时监测到的网络中的流量特征与已有网络攻击的流量特征一致时，则确定所述网络处于不安全状态。3.根据权利要求1所述的网络安全监测方法，其特征在于：在所述s3中，依据netflow实时监测到的网络中出现的dos/ddos攻击确定所述网络的安全状态的具体步骤为，实时监测通过所述网络所接收到的电子邮件，当所述网络中出现dos/ddos攻击时，检测所述电子邮件中是否包含有附件，当所述电子邮件中包含有附件时，检测所述附件中是否包含有蠕虫病毒，当检测到的所述附件中包含有蠕虫病毒时，则确定所述网络处于不安全状态，当检测到的所述附件中不包含有蠕虫病毒时，则确定所述网络处于安全状态。4.根据权利要求1所述的网络安全监测方法，其特征在于：在所述s3中，依据netflow实时监测到的网络中出现的dos/ddos攻击确定所述网络的安全状态的具体步骤为，实时监测通过所述网络所接收到的电子邮件，当所述网络中出现dos/ddos攻击时，检测所述电子邮件中是否包含有网站链接地址，当所述电子邮件中包含有网站链接地址时，检测所述网站链接地址中是否包含有蠕虫病毒，当检测到的所述网站链接地址中包含有蠕虫病毒时，则确定所述网络处于不安全状态，当检测到的所述网站链接地址中不包含有蠕虫病毒时，则确定所述网络处于安全状态。5.根据权利要求1所述的网络安全监测方法，其特征在于：所述僵尸网络历史列表中包括僵尸网络标识以及与所述僵尸网络标识相关联的僵尸网络被控端的ip地址，所述实时攻击列表中包括dos/ddos攻击源的ip地址；在所述s4中，根据所述实时攻击列表和所述僵尸网络历史列表确定dos/ddos攻击源所归属的僵尸网络的具体步骤为，根据所述实时攻击列表中的ddos攻击源的ip地址，在所述僵尸网络历史列表中查询出与所述实时攻击列表中的ddos攻击源具有相同ip地址的僵尸网络被控端，并将与所述实时攻击列表中的ddos攻击源具有相同ip地址的僵尸网络被控端所归属的僵尸网络作为dos/ddos攻击源所归属的僵尸网络。6.根据权利要求1所述的网络安全监测方法，其特征在于：在所述s4中，判断所述网络是否被dns劫持具体为，实时检测所述网络的状态属性，并实时检测控制所述网络的主机的internet版本协议，判断所述网络的状态属性的dns地址信息与控制所述网络的主机的internet版本协议
中预设的地址信息是否匹配；若匹配，则判定所述网络未被dns劫持，若不匹配，则判定所述网络被dns劫持。7.根据权利要求1所述的网络安全监测方法，其特征在于：在所述s4中，判断所述网络是否被dns劫持具体为，通过nslookup解析一个非正常域名的网站并进行返回，根据返回结果判断所述网络是否被dns劫持；其中，当返回结果为超时时，则判定所述网络未被dns劫持；当返回结果为ip地址时，则判定所述网络被dns劫持。8.根据权利要求1至7任一项所述的网络安全监测方法，其特征在于：在所述s2中，利用netflow实时监测网络中的流量具体为，利用netflow实时提供网络流量的会话级视图，并记录下每个tcp/ip事务的信息，实现网络中的流量监测。9.一种网络安全监测系统，其特征在于：包括以下模块，僵尸网络追踪模块，其用于对僵尸网络进行追踪，生成僵尸网络历史列表；dos/ddos攻击监测模块，其用于利用netflow实时监测网络中的流量，并实时监测网络中出现的dos/ddos攻击，且生成实时攻击列表；网络安全确定模块，其用于依据netflow实时监测到的网络中的流量或网络中出现的dos/ddos攻击确定所述网络的安全状态；dns劫持判断模块，其用于在所述网络处于不安全状态时，根据所述实时攻击列表和所述僵尸网络历史列表确定dos/ddos攻击源所归属的僵尸网络，并判断所述网络是否被dns劫持。10.一种网络安全监测装置，其特征在于：包括处理器和存储器，所述存储器内存储有计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至8任一项所述的网络安全监测方法。

技术总结
本发明涉及一种网络安全监测方法、系统及装置，其方法包括，对僵尸网络进行追踪，生成僵尸网络历史列表；利用Netflow实时监测网络中的流量，并实时监测网络中出现的DoS/DDoS攻击，且生成实时攻击列表；依据Netflow实时监测到的网络中的流量或网络中出现的DoS/DDoS攻击确定网络的安全状态；在网络处于不安全状态时，根据实时攻击列表和僵尸网络历史列表确定DoS/DDoS攻击源所归属的僵尸网络，并判断所述网络是否被DNS劫持。本发明基于Netflow监测网络的流量，结合监测到的DOS/DDoS攻击进行实时追踪，进而判断当前网络是否安全，还对僵尸病毒和蠕虫病毒产生的DOS/DDoS攻击和DNS劫持进行针对性的识别监测。行针对性的识别监测。行针对性的识别监测。


技术研发人员：魏义昕 李东全 史威 吴琼 刘超 李刚 刘白杨 李娇娇 刘雅 朱一盟
受保护的技术使用者：国家管网集团北方管道有限责任公司
技术研发日：2023.04.10
技术公布日：2023/8/24