(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107347067A(43)申请公布日2017.11.14(21)申请号201710552106.6(22)申请日2017.07.07(71)申请人深信服科技股份有限公司地址518055广东省深圳市南山区学苑大道1001号南山智园A1栋一层(72)发明人占承辉(74)专利代理机构深圳市深佳知识产权代理事务所(普通合伙)44285代理人王仲凯(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书10页附图4页(54)发明名称一种网络风险监控方法、系统及安全网络系统(57)摘要本申请公开了一种网络风险监控方法、系统及安全网络系统，该方法包括：对预先设置在企业内部网络中的诱捕节点进行实时监视；若监视到诱捕节点受到攻击扫描，则将相应的网络流量牵引至预设的蜜场网络；对蜜场网络中的网络流量进行实时数据采集，得到相应的网络风险数据。可见，本申请预先在企业内部网络中设置了诱捕节点，并且还预设了蜜场网络，一旦监视到该诱捕节点受到攻击扫描，则会将与当前攻击扫描事件对应的网络流量牵引至上述蜜场网络以迷惑攻击者，与此同时还会对蜜场网络中的网络流量进行实时数据采集，从而得到相应的网络风险数据，由此实现了对未知网络风险的主动检测。CN107347067ACN107347067A权利要求书1/2页1.一种网络风险监控方法，其特征在于，包括：对预先设置在企业内部网络中的诱捕节点进行实时监视；若监视到所述诱捕节点受到攻击扫描，则将相应的网络流量牵引至预设的蜜场网络；对所述蜜场网络中的网络流量进行实时数据采集，得到相应的网络风险数据。2.根据权利要求1所述的网络风险监控方法，其特征在于，还包括：对所述网络风险数据展开数据分析，得到相应的网络风险特征。3.根据权利要求2所述的网络风险监控方法，其特征在于，所述对所述蜜场网络中的网络流量进行实时数据采集，得到相应的网络风险数据，对所述网络风险数据展开数据分析，得到相应的网络风险特征的过程，包括：对所述蜜场网络中的攻击流量进行实时数据采集，得到相应的攻击数据流，然后对所述攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取，得到相应的攻击特征信息；和/或，对所述蜜场网络中的病毒样本流量进行实时数据采集，得到相应的病毒样本，然后对所述病毒样本中的恶意软件特征和/或C&C通信特征进行提取，得到相应的病毒特征信息。4.根据权利要求3所述的网络风险监控方法，其特征在于，还包括：判断当前时刻是否为预设的报告推送时刻，若是，则通过SaaS安全服务模块对攻击链关联分析报告进行推送处理。5.根据权利要求2所述的网络风险监控方法，其特征在于，所述若监视到所述诱捕节点受到攻击扫描，则将相应的网络流量牵引至预设的蜜场网络的过程，包括：若监视所述诱捕节点受到企业外部攻击事件或企业内部攻击事件的攻击扫描，则将相应的网络流量牵引至所述蜜场网络。6.根据权利要求2至5任一项所述的网络风险监控方法，其特征在于，还包括：利用预先设置在企业边界网络上的NGFW安全设备，对来自互联网的访问流量进行初步的安全防御。7.根据权利要求6所述的网络风险监控方法，其特征在于，所述对所述网络风险数据展开数据分析，得到相应的网络风险特征的过程之后，还包括：将所述网络风险特征实时传输至所述NGFW安全设备的规则库中进行保存，以对所述规则库进行更新。8.一种网络风险监控系统，其特征在于，包括：预先设置在企业内部网络中的诱捕节点；数据重定向模块，用于对所述诱捕节点进行实时监视，若监视到所述诱捕节点受到攻击扫描，则将相应的网络流量牵引至预设的蜜场网络；数据采集模块，用于对所述蜜场网络中的网络流量进行实时数据采集，得到相应的网络风险数据。9.根据权利要求8所述的网络风险监控系统，其特征在于，还包括：数据分析模块，用于对所述网络风险数据展开数据分析，得到相应的网络风险特征。10.根据权利要求9所述的网络风险监控系统，其特征在于，所述数据采集模块，包括攻击数据流采集子模块和/或病毒样本采集子模块；其中，2CN107347067A权利要求书2/2页所述攻击数据流采集子模块，用于对所述蜜场网络中的攻击流量进行实时数据采集，得到相应的攻击数据流；所述病毒样本采集子模块，用于对所述蜜场网络中的病毒样本流量进行实时数据采集，得到相应的病毒样本；相应的，所述数据分析模块包括威胁情报分析子模块和/或行为分析沙盒子模块；其中，所述威胁情报分析子模块，用于对所述攻击数据流中的攻击源IP信息和/或弱口令枚举信息进行提取，得到相应的攻击特征信息；所述行为分析沙盒子模块，用于对所述病毒样本中的恶意软件特征和/或C&C通信特征进行提取，得到相应的病毒特征信息。11.根据权利要求10所述的网络风险监控系统，