CN110611651B - 网络监控方法、网络监控装置和电子设备 - Google Patents
网络监控方法、网络监控装置和电子设备 Download PDFInfo
- Publication number
- CN110611651B CN110611651B CN201910658811.3A CN201910658811A CN110611651B CN 110611651 B CN110611651 B CN 110611651B CN 201910658811 A CN201910658811 A CN 201910658811A CN 110611651 B CN110611651 B CN 110611651B
- Authority
- CN
- China
- Prior art keywords
- information
- entity
- network
- output
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种网络监控方法、网络监控装置和电子设备,该网络监控方法包括:获取待监控网络的网络流量信息;根据从网络流量信息中提取的实体信息、实体属性信息和实体关系信息,构建知识图谱;知识图谱包括至少一个知识图谱节点,知识图谱节点包括指定个数的实体信息、指定个数的实体信息之间的关系信息以及指定个数的实体信息的实体属性信息;对知识图谱进行检测,以确定待监控网络是否出现异常。
Description
技术领域
本公开涉及互联网技术领域,更具体地,涉及一种网络监控方法、网络监控装置和电子设备。
背景技术
掌握网络基础设施的相关信息是保障信息安全的关键性工作。随着企业信息化程度的不断提高,大型企业的网络基础设施数量也越来越多,由于网络基础设施数量及相关属性信息繁多,导致掌握其全量属性信息,以及实现网络基础设施的行为管理变得非常困难。
传统的内网基础设施管理装置,是通过构建网络设施管理系统,手工录入设施信息的方式来实现对设施信息的掌握与管理的,在构建网络设施管理系统的基础之上使用者可通过定义信息安全风险的监控规则以实现风险的发现。
在实现本公开构思的过程中,发明人发现现有技术中至少存在如下问题。一方面,网络基础设施信息难掌握,手工录入的方式不仅工作量巨大且对网络基础设施真实情况的掌握不全面,时效性较差,网络基础设施信息的变更、调整、增加都将导致设施信息的不准确。随着企业规模的扩大,网络基础设施的不断增多,使用者无法快速直观掌握相关信息。另一方面,信息安全风险难以进行定位。在传统的设施管理系统中,分析排查风险需要安全人员编写相应规则或查看网络基础设施的具体信息,这要求分析人员有较高的数据分析能力和编程技能,否则难以在海量网络基础设施中快速定位信息安全风险。面对日益复杂的信息安全外部环境,传统技术手段提取和分析网络基础设施关系会越来越难。这造成在海量网络基础设施中快速定位信息安全风险极为困难。
发明内容
有鉴于此,本公开提供了一种用于快速直观掌握网络基础设施相关信息,并且可以快速从海量网络基础设施中快速定位信息安全风险的网络监控方法、网络监控装置和电子设备。
本公开的一个方面提供了一种网络监控方法,包括:获取待监控网络的网络流量信息;根据从网络流量信息中提取的实体信息、实体属性信息和实体关系信息,构建知识图谱;知识图谱包括至少一个知识图谱节点,知识图谱节点包括指定个数的实体信息、指定个数的实体信息之间的关系信息以及指定个数的实体信息的实体属性信息;对知识图谱进行检测,以确定待监控网络是否出现异常。
本公开提供的网络监控方法,从网络流量信息中提取实体信息、实体属性信息和实体关系信息,并基于此构建知识图谱,这样就可以实现基于知识图谱进行异常监控。知识图谱中包括实体关系等信息,便于基于知识图谱在网络的海量实体中,如网络节点中快速定位具有信息安全风险的实体或实体之间关系。
根据本公开的实施例,构建知识图谱包括:基于实体信息和实体关系信息按照实体-关系-实体的三元组的格式生成知识图谱节点;将实体属性信息与知识图谱节点中与该实体属性信息对应的实体建立关联;以及将多个知识图谱节点的实体信息进行关联,以生成知识图谱。
根据本公开的实施例,待监控网络的网络流量信息包括以下至少一种:防火墙放行信息、防火墙拒绝信息、防火墙配置信息中至少一种;交换机配置信息和经过交换的信息中至少一种;终端发送或接收的流量信息及终端网络配置信息中至少一种;以及获取指定信息。
根据本公开的实施例,从网络流量信息中提取实体信息包括从网络流量信息中提取网络节点信息;从网络流量信息中提取实体属性信息包括从网络流量信息中提取网络节点的固有信息;以及从网络流量信息中提取实体关系信息包括从网络流量信息中提取网络节点之间的关系信息。
根据本公开的实施例,对知识图谱进行检测,以得到异常信息,包括以下至少一种:将知识图谱节点与预设防火策略进行比对,以确定防火墙状态;检测知识图谱节点中是否存在违规互联的实体;检测知识图谱节点包括的实体的端口访问频率信息;以及检测指定信息,以得到指定信息检测结果。
根据本公开的实施例,该方法还包括:当确定待监控网络出现异常时,输出异常信息。具体地,可以包括以下操作:对防火墙状态、违规互联的实体、被高频访问的实体的端口和指定信息检测结果进行风险排序;基于风险排序获取待输出实体关联信息和待输出实体关系关联信息;以及输出待输出实体关联信息和待输出实体关系关联信息。
根据本公开的实施例,基于风险排序获取待输出实体关联信息和待输出实体关系关联信息包括:基于风险排序来确定待输出异常实体和待输出异常实体关系;确定待输出异常实体的图形属性信息和待输出异常实体关系的图形属性信息;对待输出异常实体的图形属性信息和待输出异常实体关系的图形属性信息分别进行绘制和渲染,以得到待输出异常实体的待展示图像信息和待输出异常实体关系的待展示图像信息。相应地,输出待输出实体关联信息和待输出实体关系关联信息包括:将待输出异常实体的待展示图像信息和待输出异常实体关系的待展示图像信息发送给前端以进行展示。
根据本公开的实施例,待输出异常实体的图形属性信息包括图形的色彩信息和尺寸信息中至少一种;待输出异常实体关系的图形属性信息包括连线的尺寸信息、色彩信息和方向信息中至少一种。
本公开的另一个方面提供了一种网络监控装置,包括信息采集模块、信息提取模块和异常检测模块。其中,信息采集模块用于获取待监控网络的网络流量信息。信息提取模块用于根据从网络流量信息中提取的实体信息、实体属性信息和实体关系信息,构建知识图谱,知识图谱包括至少一个知识图谱节点,知识图谱节点包括指定个数的实体信息、指定个数的实体信息之间关系信息以及指定个数的实体信息的实体属性信息。异常检测模块用于对知识图谱进行检测,以确定待监控网络是否出现异常。其中,各模块可以执行相应的方法的操作,在此不再一一赘述。
本公开的另一方面提供了一种电子设备,包括一个或多个处理器以及存储装置,其中,存储装置用于存储可执行指令,可执行指令在被处理器执行时,实现如上所述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,计算机程序包括计算机可执行指令,指令在被执行时用于实现如上所述的方法。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的网络监控方法、网络监控装置和电子设备的应用场景;
图2示意性示出了根据本公开实施例的可以应用网络监控方法、网络监控装置和电子设备的示例性系统架构;
图3示意性示出了根据本公开实施例的网络监控方法的流程图;
图4示意性示出了根据本公开实施例的构建知识图谱方法的流程图;
图5示意性示出了根据本公开实施例的知识图谱的示意图;
图6示意性示出了根据本公开另一实施例的网络监控方法的流程图;
图7示意性示出了根据本公开实施例的获取待输出实体关联信息和待输出实体关系关联信息的流程图;
图8示意性示出了根据本公开实施例的输出异常信息的示意图;
图9示意性示出了根据本公开实施例的网络监控装置的框图;以及
图10示意性示出了根据本公开实施例的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B 或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B 或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、 B、C的系统等)。术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。
本公开的实施例提供了一种网络监控方法、网络监控装置和电子设备。该网络监控方法包括知识图谱构建过程和知识图谱检测过程。在知识图谱构建过程中,根据从网络流量信息中提取的实体信息、实体属性信息和实体关系信息,构建知识图谱。在完成知识图谱构建之后,进入知识图谱检测过程,对知识图谱进行检测,以确定待监控网络是否出现异常。
图1示意性示出了根据本公开实施例的网络监控方法、网络监控装置和电子设备的应用场景。
如图1所示,网络可以包括多个实体:实体1、实体2、实体3、实体4和实体5,多个实体之间存在相互关系:关系a、关系b、关系c、关系d、关系e和关系f。其中,实体可以为各种终端设备、交换机等,具体可以将实体的互联网协议地址(Internet Protocol Address,简称IP地址)作为实体的标识信息。实体3和实体4分别属于两个相互独立且需要进行信息隔离的终端设备,但是,图1中的实体3和实体4之间存在双向的网络流量信息,则该关系e就属于异常关系,实体3和实体4属于异常实体。又例如,在预设规则中,实体4和实体5之间需要交互信息,即实体4和实体5之间应该存在双向的网络流量信息,但是,实体4并未接收到实体5发送的信息,因此,关系 f属于异常关系,实体5属于异常实体。本公开提供的网络监控方法、网络监控装置和电子设备可以自动对网络进行监控以发现包括如上所示的网络异常。
图2示意性示出了根据本公开实施例的可以应用网络监控方法、网络监控装置和电子设备的示例性系统架构。需要注意的是,图2所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图2所示,根据该实施例的系统架构100可以包括终端设备 101、102、103,网络104和服务器105。网络104可以包括多个网关、路由器、集线器、网线等,用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与其他终端设备和服务器105交互,以接收或发送信息等。终端设备101、102、 103可以安装有各种通讯客户端应用,例如办公类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、购物类应用、社交平台软件等应用(仅为示例)。
终端设备101、102、103包括但不限于智能手机、平板电脑、膝上型便携计算机、指纹打卡器、面部识别器、路由器、集线器、打印机、传真机等等。
服务器105可以监控网络流量信息,以基于网络流量信息发现网络中异常。服务器105可以为数据库服务器、后台管理服务器、服务器集群等。后台管理服务器可以对接收到的网络流量信息等数据进行分析等处理,并将处理结果(网络异常信息,如异常实体、异常关系等)反馈给终端设备。
需要说明的是,本公开实施例所提供的网络监控方法一般可以由服务器105执行。相应地,本公开实施例所提供的网络监控装置一般可以设置于服务器105中。
应该理解,终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图3示意性示出了根据本公开实施例的网络监控方法的流程图。
如图3所示,该方法可以包括操作S301~操作S305。
在操作S301,获取待监控网络的网络流量信息。
在本身实施例中,网络流量信息可以包括待监控网络内各实体发送或接收到的信息,如邮件信息、语音通话信息、图像信息、文本信息等,只要是能被电子设备监测到即可。
例如,从企业内部网络信息全流量中提取出监控系统关注的网络流量信息。具体地,从企业内网的网络基础设施产生的全量信息中提取需要关注的网络流量信息。例如,根据使用人员定义的监控范围从网络基础设置的全量信息中进行定向抽取,抽取范围包括但不限于:网络流量信息、终端配置信息、交换机/防火墙配置信息等使用人员所关注的信息。通过定向抽取可以得到使用人员定义的监控范围所提取的主要信息,这部分信息是后续抽取实体信息、实体属性信息、实体关系信息,以构建网络基础设施的知识图谱,从而实现风险智能监控的基础。
在一个具体实施例中,待监控网络的网络流量信息包括但不限于以下至少一种:防火墙放行信息、防火墙拒绝信息、防火墙配置信息中至少一种;交换机配置信息和经过交换的信息(如经过交换机的流量信息)中至少一种;终端发送或接收的流量信息及终端网络配置信息中至少一种;获取指定信息(如根据用户的定制化需求,从企业的内网信息流中提取相应信息)。
在操作S303,根据从网络流量信息中提取的实体信息、实体属性信息和实体关系信息,构建知识图谱;知识图谱包括至少一个知识图谱节点,知识图谱节点包括指定个数的实体信息、指定个数的实体信息之间的关系信息以及指定个数的实体信息的实体属性信息。
在本实施例中,实体信息可以包括网络节点,如可以将IP地址作为网络节点的标识。其中,实体可以为知识图谱中的节点,例如,实体可以为防火墙、交换机、终端等网络重要设施或自定义设置的IP 地址。实体属性信息可以包括实体的类型(如IP类型)、开放端口信息、接入网络时间、物理位置等信息。实体关系信息可以包括实体之间是否通联、连接方向、连接次数、每次通讯字节数等信息。
具体地,可以从网络流量信息中提取实体信息包括从网络流量信息中提取网络节点信息。还可以从网络流量信息中提取实体属性信息包括从网络流量信息中提取网络节点的固有信息。还可以从网络流量信息中提取实体关系信息包括从网络流量信息中提取网络节点之间的关系信息。
例如,对通过定向抽取获取到的相关信息进行识别检测,根据该装置中定义的推荐标准(XML Schema Definition,简称MSD或 Schema),提取相关信息中的实体信息,实体属性信息,实体与实体之间的关系信息等高价值信息,将其按照三元组的形式进行存储以形成知识图谱。
Schema主要依据使用方的业务经验进行定义,可以由实体A、实体B、实体A和实体B之间的关系、实体A的属性信息以及实体B的属性信息构成。具体而言,实体A和实体B之间的关系可为互联互通、单向联通等。实体具有的属性根据实体的不同类型有所不同,如对于防火墙这类实体,具有的属性可为防火墙策略等。根据Schema 提取的三元组可为<设施IP_A,互联互通,设施IP_B>、<设施IP_B,单向联通,设施IP_C>等,根据三元组描述的点边关系结合图数据库的使用,即可实现知识图谱的构建及应用。
在一个具体实施例中,基于从企业内网的网络基础设施提取的网络设施基础信息,如实体关系信息来构建知识图谱。知识图谱的构建过程依赖于定义的Schema,根据Schema利用自然语言处理算法、正则匹配等方式从网络流量信息中抽取出相应的实体信息、实体属性信息和实体关系信息。然后,以三元组形式存储形成的知识图谱。
在操作S305,对知识图谱进行检测,以确定待监控网络是否出现异常。
在本实施例中,可以基于预设规则或模型对知识图谱进行异常检测。具体地,可以根据预设规则的判定模型、实体与实体之间的连接行为和属性信息,检测网络基础设施是否出现异常行为。例如,预置的检测场景有三种:防火墙策略、违规互联、端口高频访问,此外,还可以支持自定义的风险检测模型。
例如,对知识图谱进行检测,以得到异常信息,可以包括以下至少一种。将知识图谱节点与预设防火策略进行比对,以确定防火墙状态。检测知识图谱节点中是否存在违规互联的实体。检测知识图谱节点包括的实体的端口访问频率信息。检测指定信息,以得到指定信息检测结果。
本公开实施例的网络监控方法,首先采集网络流量信息,基于自然语言处理等技术从网络流量信息中提取实体信息等,并按照不同实体(如网络基础设施)的具体表现形式选取相应的方式进行结构化处理,形成知识图谱,通过规则、模型、推理等技术对知识图谱进行危险场景的智能识别,解决了网络基础设施信息难掌握,信息安全风险难定位的问题,使得信息安全人员可以快速掌握企业基础设施分布,并进行安全风险排查。
图4示意性示出了根据本公开实施例的构建知识图谱方法的流程图。
如图4所示,构建知识图谱可以包括操作S401~操作S405。
在操作S401,基于实体信息和实体关系信息按照实体-关系-实体的三元组的格式生成知识图谱节点。
在本实施例中,根据预先定义的Schema从中抽取所需要的信息。 Schema主要依据使用方的业务经验进行定义,通常由实体A,实体 B,以及实体A与实体B之间的关系和实体A以及实体B具有的属性构成。将从Schema中抽取的信息进行格式化存储。例如,实体A 与实体B之间相互发送过信息,则可以生成一个知识图谱节点<实体 A,互联互通,实体B>。
其中,知识图谱的实体属性信息、实体关系信息可以进行更新。例如,在一个时间节点之前,只存在实体A给实体B发送信息,实体B没有给实体A发送信息,此时,实体A与实体B之间的关系为 A单向联通至B。在该时间节点之后,实体B给实体A发送了信息,此时需要将实体A与实体B之间的关系变更为双向联通。
在操作S403,将实体属性信息与知识图谱节点中与该实体属性信息对应的实体建立关联。
例如,实体A具有IP、发送的信息的数据量大小、接入网络时间、物理位置等属性信息,可以将实体A与实体A的属性信息相关联的存储,实体B与实体B的属性信息相关联的存储。例如,可以通过实体A的标识查找到实体A的属性信息。这样就生成了一个知识图谱节点。
在操作S405,将多个知识图谱节点的实体信息进行关联,以生成知识图谱。
在本实施例中,不同的知识图谱节点的实体可以包括相同的实体,这样就可以基于实体将多个知识图谱节点的实体信息进行关联。
图5示意性示出了根据本公开实施例的知识图谱的示意图。
如图5所示,知识图谱节点1<实体A,互联互通,实体B>,知识图谱节点2<实体A,互联互通,实体C>,这样就可以生成包括知识图谱节点1和知识图谱节点2的知识图谱的局部。其中,实体A、实体 B、实体C分别具有关联存储的实体属性信息。知识图谱节点1中实体A的实体属性信息A1和知识图谱节点2中实体A的实体属性信息A2可能不完全相同,在知识图谱中实体A的实体属性信息可以是实体属性信息A1和实体属性信息A2的并集。
图6示意性示出了根据本公开另一实施例的网络监控方法的流程图。
如图6所示,该方法还可以包括操作S601。
在操作S601,当确定待监控网络出现异常时,输出异常信息。
具体地,可以通过声光等方式输出异常信息。例如,在显示屏上展示异常的文字信息或图像信息。又例如,通过语音播报的方式进行异常信息提示。
在一个具体实施例中,输出异常信息可以包括如下操作。
首先,对防火墙状态、违规互联的实体、被高频访问的实体的端口和指定信息检测结果进行风险排序。
在本实施例中,例如,可以对防火墙策略进行检查,根据实际采集到的流量行为,比对防火策略,判断防火墙是否出现策略失效、过期等异常行为。又例如,可以检测网络流量信息中是否存在违规互联行为,即不应该联通的网络区域之间是否实际发生真实流量。又例如,统计实体的端口访问信息,展示被高频访问的端口,供信息安全人员进一步判断有无风险发生。又例如,添加用户自定义的风险检测规则或检测模型以实现个性化检测需求。
然后,基于风险排序获取待输出实体关联信息和待输出实体关系关联信息。例如,可以设置多个风险等级,确定风险等级高于设定风险等级的待输出实体关联信息和待输出实体关系关联信息。其中,待输出实体关联信息可以为待输出实体信息的图形化信息,待输出实体关系关联信息可以为待输出实体关系的图形化信息。
接着,输出待输出实体关联信息和待输出实体关系关联信息。例如,将待输出实体关联信息和待输出实体关系关联信息发送给用户终端,由用户终端显示待输出实体关联信息和待输出实体关系关联信息。
图7示意性示出了根据本公开实施例的获取待输出实体关联信息和待输出实体关系关联信息的流程图。
如图7所示,基于风险排序获取待输出实体关联信息和待输出实体关系关联信息可以包括操作S701~操作S705。
在操作S701,基于风险排序来确定待输出异常实体和待输出异常实体关系。例如,可以存在多个风险等级,不同的风险等级对应不同的输出策略。具体地,可以输出指定个数高风险等级的异常实体和异常实体关系。例如,存在5个风险等级:极危等级、高危险等级、危险等级、普通风险等级和疑似风险等级。其中,极危等级、高危险等级和危险等级是必须要处理的风险等级,其对应的异常实体和异常实体关系均为待输出异常实体和待输出异常实体关系。如果处于极危等级、高危险等级和危险等级的实体或实体关系的数量较多,则可以先不处理处于普通风险等级和疑似风险等级的实体或实体关系。如果处于极危等级、高危险等级和危险等级的实体或实体关系的数量不多,则可以基于风险等级排序确定待输出异常实体和待输出异常实体关系。
在操作S703,确定待输出异常实体的图形属性信息和待输出异常实体关系的图形属性信息。
具体地,根据待输出异常实体的图形属性信息和待输出异常实体关系计算需要绘制渲染的实体和实体关系应该具有的属性,主要涉及根据实体和实体关系的类型配置相应展示颜色,根据实体传输的数据量配置相应展示的实体大小等。例如,可以计算可视化展示待输出异常实体和待输出异常实体关系所需绘制的图形应该具有的图形属性,具体应涉及节点的颜色、大小,线条的粗细、方向等。
在一个具体实施例中,待输出异常实体的图形属性信息可以包括圆形、方形、颜色、大小等图形属性信息。待输出异常实体关系的图形属性信息可以包括实线、虚线、颜色、线宽等图形属性信息。
在操作S705,对待输出异常实体的图形属性信息和待输出异常实体关系的图形属性信息分别进行绘制和渲染,以得到待输出异常实体的待展示图像信息和待输出异常实体关系的待展示图像信息。
在本实施例中,待输出异常实体的图形属性信息包括图形的色彩信息和尺寸信息中至少一种。待输出异常实体关系的图形属性信息包括连线的尺寸信息、色彩信息和方向信息中至少一种。
例如,根据待输出异常实体的图形属性信息生成一个图像(如半径为1厘米的黄色实心圆形图像),根据待输出异常实体关系的图形属性信息生成线宽0.5毫米的红色双向箭头虚线图像。
相应地,输出待输出实体关联信息和待输出实体关系关联信息可以包括:将待输出异常实体的待展示图像信息和待输出异常实体关系的待展示图像信息发送给前端以进行展示。
图8示意性示出了根据本公开实施例的输出异常信息的示意图。
如图8所示,图8的上方左图中显示网络包括实体1~实体5,其中,实体4和实体5之间关系为双向互通关系。图8的上方右图中显示构建的知识图谱中实体4和实体5之间关系为:实体4单向联通实体5,因此,实体5和关系f存在异常,可以对实体5和关系f进行图形渲染以进行异常提示。根据预设规则,可以将实体5渲染成黄色实心圆(实体5为终端,不会导致网络瘫痪或泄密,其风险等级可以为普通风险等级),将关系f渲染成双倍线宽的黄色虚线。
以下以一个具体实施例对防火墙监控的过程进行说明。
首先,获取防火墙IP、防火墙配置等信息。
然后,获取防火墙两端的终端流量信息。
接着,对上述防火墙IP、防火墙配置信息、终端流量信息等进行处理,抽取其中的实体信息、实体属性信息、实体关系信息,并按照指定格式形成知识图谱。
然后,基于预设的防火墙策略比对该知识图谱,判断是否出现防火墙策略异常的现象。
如果没有异常,则可以进行可视化渲染并结束流程。
如果出现异常,则获取导致防火墙异常的异常实体信息等,并计算对于异常实体信息及其关系的渲染方式。
然后,可以基于确定的渲染方式进行图形渲染,并结束流程。
本公开提供的网络监控方法,从网络流量信息中提取实体信息、实体属性信息和实体关系信息之后,基于此构建知识图谱,这样就可以实现基于知识图谱对待监控网络进行异常监控。其中,知识图谱中包括实体信息和实体关系等信息,便于基于知识图谱在网络的海量实体中,如网络节点中快速定位具有信息安全风险的实体或实体之间关系。
图9示意性示出了根据本公开实施例的网络监控装置的框图。
如图9所示,本公开的另一个方面提供了一种网络监控装置900,该装置900可以包括信息采集模块910、信息提取模块930和异常检测模块950。
其中,信息采集模块910用于获取待监控网络的网络流量信息。
信息提取模块930用于根据从网络流量信息中提取的实体信息、实体属性信息和实体关系信息,构建知识图谱,知识图谱包括至少一个知识图谱节点,知识图谱节点包括指定个数的实体信息、指定个数的实体信息之间关系信息以及指定个数的实体信息的实体属性信息。
异常检测模块950用于对知识图谱进行检测,以确定待监控网络是否出现异常。
需要说明的是,装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似,在此不再一一赘述。
根据本公开的实施例的模块、单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,信息采集模块910、信息提取模块930和异常检测模块950 中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,信息采集模块910、信息提取模块930和异常检测模块950中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,信息采集模块910、信息提取模块 930和异常检测模块950中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图10示意性示出了根据本公开实施例的电子设备的方框图。图 10示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,根据本公开实施例的电子设备1000包括处理器 1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。处理器1001例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1001还可以包括用于缓存用途的板载存储器。处理器1001可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1003中,存储有电子设备1000操作所需的各种程序和数据。处理器1001、ROM 1002以及RAM 1003通过总线1004彼此相连。处理器1001通过执行ROM 1002和/或RAM1003中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,程序也可以存储在除ROM 1002和RAM 1003以外的一个或多个存储器中。处理器1001也可以通过执行存储在一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1000还可以包括输入/输出(I/O) 接口1005,输入/输出(I/O)接口1005也连接至总线1004。电子设备1000还可以包括连接至I/O接口1005的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被处理器1001执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器 (CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1002和/或RAM 1003和/或ROM 1002和RAM 1003以外的一个或多个存储器。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (7)
1.一种由电子设备执行的网络监控方法,包括:
获取待监控网络的网络流量信息;
根据从所述网络流量信息中提取的实体信息、实体属性信息和实体关系信息,构建知识图谱;所述知识图谱包括至少一个知识图谱节点,所述知识图谱节点包括指定个数的实体信息、所述指定个数的实体信息之间的关系信息以及所述指定个数的实体信息的实体属性信息;
对所述知识图谱进行检测,以确定所述待监控网络是否出现异常;
其中,所述构建知识图谱包括:基于所述实体信息和所述实体关系信息按照实体-关系-实体的三元组的格式生成知识图谱节点;
将实体属性信息与所述知识图谱节点中与该实体属性信息对应的实体建立关联;以及
将多个知识图谱节点的实体信息进行关联,以生成所述知识图谱;
其中,所述实体信息,所述实体属性信息和所述实体关系信息根据预先定义的Schema从所述网络流量信息中抽取;
其中,所述待监控网络的网络流量信息包括以下至少一种:
防火墙放行信息、防火墙拒绝信息、防火墙配置信息中至少一种;
交换机配置信息和经过交换的信息中至少一种;
终端发送或接收的流量信息及终端网络配置信息中至少一种;以及
获取指定信息;
其中,从所述网络流量信息中提取所述实体信息包括从所述网络流量信息中提取网络节点信息;
从所述网络流量信息中提取所述实体属性信息包括从所述网络流量信息中提取网络节点的固有信息;以及
从所述网络流量信息中提取所述实体关系信息包括从所述网络流量信息中提取网络节点之间的关系信息。
2.根据权利要求1所述的方法,其中,所述对所述知识图谱进行检测,以得到异常信息,包括以下至少一种:
将所述知识图谱节点与预设防火策略进行比对,以确定防火墙状态;
检测所述知识图谱节点中是否存在违规互联的实体;
检测所述知识图谱节点包括的实体的端口访问频率信息;以及
检测指定信息,以得到指定信息检测结果。
3.根据权利要求2所述的方法,还包括:
当确定所述待监控网络出现异常时,输出异常信息,包括:
对所述防火墙状态、所述违规互联的实体、被高频访问的实体的端口和所述指定信息检测结果进行风险排序;
基于风险排序获取待输出实体关联信息和待输出实体关系关联信息;以及
输出所述待输出实体关联信息和待输出实体关系关联信息。
4.根据权利要求3所述的方法,其中:
所述基于风险排序获取待输出实体关联信息和待输出实体关系关联信息包括:
基于所述风险排序来确定待输出异常实体和待输出异常实体关系;
确定所述待输出异常实体的图形属性信息和待输出异常实体关系的图形属性信息;
对所述待输出异常实体的图形属性信息和所述待输出异常实体关系的图形属性信息分别进行绘制和渲染,以得到所述待输出异常实体的待展示图像信息和所述待输出异常实体关系的待展示图像信息;以及
所述输出所述待输出实体关联信息和待输出实体关系关联信息包括:将所述待输出异常实体的待展示图像信息和所述待输出异常实体关系的待展示图像信息发送给前端以进行展示。
5.根据权利要求4所述的方法,其中:
所述待输出异常实体的图形属性信息包括图形的色彩信息和尺寸信息中至少一种;以及
所述和待输出异常实体关系的图形属性信息包括连线的尺寸信息、色彩信息和方向信息中至少一种。
6.一种网络监控装置,包括:
信息采集模块,用于获取待监控网络的网络流量信息;
信息提取模块,用于根据从所述网络流量信息中提取的实体信息、实体属性信息和实体关系信息,构建知识图谱,所述知识图谱包括至少一个知识图谱节点,所述知识图谱节点包括指定个数的实体信息、所述指定个数的实体信息之间关系信息以及所述指定个数的实体信息的实体属性信息;以及
异常检测模块,用于对所述知识图谱进行检测,以确定所述待监控网络是否出现异常;
所述网络监控装置用于实现权利要求1-5任一项所述的网络监控方法。
7.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储可执行指令,所述可执行指令在被所述处理器执行时,实现根据权利要求1~5任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910658811.3A CN110611651B (zh) | 2019-07-19 | 2019-07-19 | 网络监控方法、网络监控装置和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910658811.3A CN110611651B (zh) | 2019-07-19 | 2019-07-19 | 网络监控方法、网络监控装置和电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110611651A CN110611651A (zh) | 2019-12-24 |
CN110611651B true CN110611651B (zh) | 2022-05-27 |
Family
ID=68890208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910658811.3A Active CN110611651B (zh) | 2019-07-19 | 2019-07-19 | 网络监控方法、网络监控装置和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110611651B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111522967B (zh) * | 2020-04-27 | 2023-09-15 | 北京百度网讯科技有限公司 | 知识图谱构建方法、装置、设备以及存储介质 |
CN111641621B (zh) * | 2020-05-21 | 2022-05-20 | 杭州安恒信息技术股份有限公司 | 物联网安全事件识别方法、装置和计算机设备 |
CN111740878A (zh) * | 2020-06-08 | 2020-10-02 | 中国工商银行股份有限公司 | 网络通路检测方法及节点 |
CN112214614B (zh) * | 2020-10-16 | 2024-02-09 | 民生科技有限责任公司 | 基于知识图谱挖掘风险传播路径的方法及其系统 |
CN112487208B (zh) * | 2020-12-14 | 2023-06-30 | 杭州安恒信息技术股份有限公司 | 一种网络安全数据关联分析方法、装置、设备及存储介质 |
CN112861034B (zh) * | 2021-02-04 | 2023-08-15 | 北京百度网讯科技有限公司 | 检测信息的方法、装置、设备和存储介质 |
CN112788064B (zh) * | 2021-02-10 | 2021-09-14 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的加密网络异常流量检测方法 |
CN113595994B (zh) * | 2021-07-12 | 2023-03-21 | 深信服科技股份有限公司 | 一种异常邮件检测方法、装置、电子设备及存储介质 |
CN113239239A (zh) * | 2021-07-12 | 2021-08-10 | 深圳市永达电子信息股份有限公司 | 一种网络安全设备知识融合方法、装置、系统及存储介质 |
CN113726784B (zh) * | 2021-08-31 | 2023-05-12 | 深圳平安医疗健康科技服务有限公司 | 一种网络数据的安全监控方法、装置、设备及存储介质 |
CN113507486B (zh) * | 2021-09-06 | 2021-11-19 | 中国人民解放军国防科技大学 | 一种互联网重要基础设施知识图谱构建方法与装置 |
CN114143049B (zh) * | 2021-11-18 | 2024-08-02 | 北京明略软件系统有限公司 | 异常流量检测方法、装置、存储介质以及电子设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107071084A (zh) * | 2017-04-01 | 2017-08-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种dns的评价方法和装置 |
CN109635120A (zh) * | 2018-10-30 | 2019-04-16 | 百度在线网络技术(北京)有限公司 | 知识图谱的构建方法、装置和存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10142359B1 (en) * | 2016-04-22 | 2018-11-27 | Awake Security, Inc. | System and method for identifying security entities in a computing environment |
CN109064318A (zh) * | 2018-08-24 | 2018-12-21 | 苏宁消费金融有限公司 | 一种基于知识图谱的互联网金融风险监测系统 |
CN109347798A (zh) * | 2018-09-12 | 2019-02-15 | 东软集团股份有限公司 | 网络安全知识图谱的生成方法、装置、设备及存储介质 |
CN110008288B (zh) * | 2019-02-19 | 2021-06-29 | 武汉烽火技术服务有限公司 | 用于网络故障分析的知识图谱库的构建方法及其应用 |
CN109922075B (zh) * | 2019-03-22 | 2020-06-02 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
-
2019
- 2019-07-19 CN CN201910658811.3A patent/CN110611651B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107071084A (zh) * | 2017-04-01 | 2017-08-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种dns的评价方法和装置 |
CN109635120A (zh) * | 2018-10-30 | 2019-04-16 | 百度在线网络技术(北京)有限公司 | 知识图谱的构建方法、装置和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110611651A (zh) | 2019-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110611651B (zh) | 网络监控方法、网络监控装置和电子设备 | |
US11750631B2 (en) | System and method for comprehensive data loss prevention and compliance management | |
CN111565390B (zh) | 一种基于设备画像的物联网设备风险控制方法及系统 | |
US20200412767A1 (en) | Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks | |
RU2677378C2 (ru) | Системы и способы анализа сети и обеспечения отчетов | |
EP3287927B1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
CN111092869B (zh) | 终端接入办公网络安全管控方法及认证服务器 | |
EP3149583B1 (en) | Method and apparatus for automating the building of threat models for the public cloud | |
CN116506217B (zh) | 业务数据流安全风险的分析方法、系统、存储介质及终端 | |
US8819807B2 (en) | Apparatus and method for analyzing and monitoring sap application traffic, and information protection system using the same | |
WO2020233251A1 (zh) | 一种数据管理方法及装置 | |
CN107733863B (zh) | 一种分布式hadoop环境下的日志调试方法和装置 | |
US11074652B2 (en) | System and method for model-based prediction using a distributed computational graph workflow | |
US20210329479A1 (en) | Network Analytics | |
US20230353600A1 (en) | Distributed network and security operations platform | |
CN109672582A (zh) | 全路径监测方法、设备、存储介质及装置 | |
CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
CN114329450A (zh) | 数据安全处理方法、装置、设备及存储介质 | |
US20170004026A1 (en) | Monitoring method | |
CN111698124B (zh) | 一种网络监控的方法、网络设备和机器可读存储介质 | |
KR101632366B1 (ko) | 홀로그래픽 콘텐츠 처리를 위한 클라우드 병렬처리 모니터링 시스템 | |
CN113660118A (zh) | 一种自动化网络变更方法、装置、设备及存储介质 | |
CN113271315A (zh) | 虚拟专用网络异常使用检测方法、装置和电子设备 | |
CN116016098B (zh) | 事件监控系统的构建方法、监控方法、装置、设备及介质 | |
CN115809950B (zh) | 一种机房运维管理平台及管理办法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |