CN105743880A - 一种数据分析系统 - Google Patents

Abstract

本发明公开了一种数据分析系统，包括病毒特征库，定时巡检模块，病毒特征匹配模块，端口审计模块，流量统计模块，网络健康判别模块，病毒模拟模块，应急通道模块，还原模块和数据隔离上传模块。本发明对网络流量进行监测与审计，维护网络良好状态，通过对未知入侵行为的分析及记忆，提高网络免疫能力，在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供，该系统具备自主修复还原能力，维护网络的运营稳定，采用分布式技术，使用负载均衡技术，将大量的网络流量数据分担到多个网络流量分析引擎分析处理，减少用户等待时间，提升系统整体性能，同时具备数据保护能力，也避免了由于使用者不在电脑前而导致信息丢失的情况的发生。

Description

一种数据分析系统

技术领域

本发明涉及计算机网络领域，具体涉及一种数据分析系统。

背景技术

随着计算机技术和网络的快速发展，使得计算机已经成为人们在工作、学习和生活中不可缺少的工具。同样，计算机网络的发展，也带来了用户计算机信息的安全隐患，网络信息窃取、信息攻击、病毒传播等都无时无刻地存在和发生。

网络安全是计算机网络及其应用领域中一直研究的关键问题，然而传统的网络安全理论和技术存在着以下三个无法克服的缺陷。首先，集中控制的方法对于当前分布式的网络环境显得力不从心；其次，网络具有同构性，无法阻止可疑入侵者及病毒迅速广泛传播；再次，当前网络威胁日新月异，传统网络安全理论和技术的静态性和被动性已经无法适应恶劣多变的网络环境。

同时在现有的流量监测系统中，普遍存在以下缺陷：

(1)由于大多网络流量分析系统是面向提供Internet服务的运营商，其目的是帮助网络运营商了解用户对网络的访问情况，从而调整网络设备架构和业务架构。

(2)现有的网络流量分析系统在进行分析的过程中并不对会话进行全程跟踪分析，并不能分析出网络中的行为，因此无法保障网络会话应用层的安全性。

(3)现有的网络流量分析系统大多都是部署在单个节点，数据处理能力和分析处理能力较弱，不具备对大规模网络流量信息进行分析处理的能力。

发明内容

为解决上述问题，本发明提供了一种数据分析系统，对网络流量进行监测与审计，维护网络良好状态，通过对未知入侵行为的分析及记忆，提高网络免疫能力，在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供，该系统具备自主修复还原能力，维护网络的运营稳定。

为实现上述目的，本发明采取的技术方案为：

一种数据分析系统，包括

病毒特征库，用于储存各种病毒的特征数据；

定时巡检模块，用于定时对主机内的情况进行检查，并将检查结果发送到指定的移动终端进行显示；并用于将疑似病毒文件发送到预病毒数据库进行审核；

预病毒数据库，用于储存各种疑似病毒文件，并用于对这些病毒文件进行审核，若确认为病毒文件，则提取该文件病毒特征指纹发送到病毒特征库，若不是病毒，则将该文件从预病毒数据库中移出；

病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内记录比对；

端口审计模块，用于选取通信连接中和服务相关的要素进行综合分析，为维护和研究提供详实报告；

流量统计模块，用于进行总流量情况统计以及IP到IP流量数据统计，以主机对外的每一个连接为单位进行流量统计，并针对IP层网络数据信息的网络基本情况进行分析；用于根据传输层协议中的端口号，分析网络服务应用列表，并且根据TCP协议的三次握手特性分析出网络服务的客户端节点信息；用于根据捕获的数据包的基本信息进行网络延时分析，用于统计网络的基本情况；用于针对不同的应用层协议进行不同的分析，对协议内部进行分析，记录主机操作内容、操作时间及操作对象；

网络健康判别模块，通过建立多态响应网络异常评估模型，并将所检测到的数据与评估模型进行对比后，选取网络攻击发生时具有特征的参数进行量化考察，得出网络的健康程度并发送到计算机，并对不同程度威胁给出不同响应和处理建议；

病毒模拟模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

应急通道模块，用于提示被攻陷主机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并帮助用户选择将计算机恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传到指定的移动终端，并清除计算机中的数据。

其中，所述病毒模拟模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

其中，所述定时巡检模块内设有定时模块，用于根据不同的需要设定不同的巡检间隔时间。

其中，所述病毒特征库连接有一更新模块，用于定时更新病毒特征库中的数据。

其中，所述流量统计模块内设有绘图模块，用于根据监测数据，生成随时间、空间变化的时空效应曲线和空间效应曲线。

其中，所述时空效应曲线用于显示各监测点的原始数据或转移数据随时间的变化情况。

其中，所述空间效应曲线用于显示同一时间不同测点的监测结果随计算机不同盘的变化规律。

其中，所述流量统计模块内还设有

流量分析负载均衡器，用于当接收到用户的流量分析请求后，将分析请求按照一定策略分发给某一个流量分析引擎进行分析处理；

流量分析引擎，对每一次用户请求，进行流量分析并反馈分析结果。

本发明具有以下有益效果：

对网络流量进行监测与审计，维护网络良好状态，通过对未知入侵行为的分析及记忆，提高网络免疫能力，在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供，该系统具备自主修复还原能力，维护网络的运营稳定，采用分布式技术，使用负载均衡技术，将大量的网络流量数据分担到多个网络流量分析引擎分析处理，减少用户等待时间，提升系统整体性能，同时具备数据保护能力，也避免了由于使用者不在电脑前而导致信息丢失的情况的发生。

附图说明

图1为本发明实施例一种数据分析系统的结构示意图。

具体实施方式

为了使本发明的目的及优点更加清楚明白，以下结合实施例对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例提供了一种数据分析系统，包括

病毒特征库，用于储存各种病毒的特征数据；

定时巡检模块，用于定时对主机内的情况进行检查，并将检查结果发送到指定的移动终端进行显示；并用于将疑似病毒文件发送到预病毒数据库进行审核；

预病毒数据库，用于储存各种疑似病毒文件，并用于对这些病毒文件进行审核，若确认为病毒文件，则提取该文件病毒特征指纹发送到病毒特征库，若不是病毒，则将该文件从预病毒数据库中移出；

病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内记录比对；

端口审计模块，用于选取通信连接中和服务相关的要素进行综合分析，为维护和研究提供详实报告；

流量统计模块，用于进行总流量情况统计以及IP到IP流量数据统计，以主机对外的每一个连接为单位进行流量统计，并针对IP层网络数据信息的网络基本情况进行分析；用于根据传输层协议中的端口号，分析网络服务应用列表，并且根据TCP协议的三次握手特性分析出网络服务的客户端节点信息；用于根据捕获的数据包的基本信息进行网络延时分析，用于统计网络的基本情况；用于针对不同的应用层协议进行不同的分析，对协议内部进行分析，记录主机操作内容、操作时间及操作对象；

网络健康判别模块，通过建立多态响应网络异常评估模型，并将所检测到的数据与评估模型进行对比后，选取网络攻击发生时具有特征的参数进行量化考察，得出网络的健康程度并发送到计算机，并对不同程度威胁给出不同响应和处理建议；

病毒模拟模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

应急通道模块，用于提示被攻陷主机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并帮助用户选择将计算机恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传到指定的移动终端，并清除计算机中的数据。

所述病毒模拟模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

所述定时巡检模块内设有定时模块，用于根据不同的需要设定不同的巡检间隔时间。

所述病毒特征库连接有一更新模块，用于定时更新病毒特征库中的数据。

所述流量统计模块内设有绘图模块，用于根据监测数据，生成随时间、空间变化的时空效应曲线和空间效应曲线。

所述时空效应曲线用于显示各监测点的原始数据或转移数据随时间的变化情况。

所述空间效应曲线用于显示同一时间不同测点的监测结果随计算机不同盘的变化规律。

所述流量统计模块内还设有

流量分析负载均衡器，用于当接收到用户的流量分析请求后，将分析请求按照一定策略分发给某一个流量分析引擎进行分析处理；

流量分析引擎，对每一次用户请求，进行流量分析并反馈分析结果。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种数据分析系统，其特征在于，包括

病毒特征库，用于储存各种病毒的特征数据；

定时巡检模块，用于定时对主机内的情况进行检查，并将检查结果发送到指定的移动终端进行显示；并用于将疑似病毒文件发送到预病毒数据库进行审核；

预病毒数据库，用于储存各种疑似病毒文件，并用于对这些病毒文件进行审核，若确认为病毒文件，则提取该文件病毒特征指纹发送到病毒特征库，若不是病毒，则将该文件从预病毒数据库中移出；

病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内记录比对；

端口审计模块，用于选取通信连接中和服务相关的要素进行综合分析，为维护和研究提供详实报告；

流量统计模块，用于进行总流量情况统计以及IP到IP流量数据统计，以主机对外的每一个连接为单位进行流量统计，并针对IP层网络数据信息的网络基本情况进行分析；用于根据传输层协议中的端口号，分析网络服务应用列表，并且根据TCP协议的三次握手特性分析出网络服务的客户端节点信息；用于根据捕获的数据包的基本信息进行网络延时分析，用于统计网络的基本情况；用于针对不同的应用层协议进行不同的分析，对协议内部进行分析，记录主机操作内容、操作时间及操作对象；

网络健康判别模块，通过建立多态响应网络异常评估模型，并将所检测到的数据与评估模型进行对比后，选取网络攻击发生时具有特征的参数进行量化考察，得出网络的健康程度并发送到计算机，并对不同程度威胁给出不同响应和处理建议；

病毒模拟模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

应急通道模块，用于提示被攻陷主机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并帮助用户选择将计算机恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传到指定的移动终端，并清除计算机中的数据。

2.根据权利要求1所述的一种数据分析系统，其特征在于，

所述病毒模拟模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

3.根据权利要求1所述的一种数据分析系统，其特征在于，所述定时巡检模块内设有定时模块，用于根据不同的需要设定不同的巡检间隔时间。

4.根据权利要求1所述的一种数据分析系统，其特征在于，所述病毒特征库连接有一更新模块，用于定时更新病毒特征库中的数据。

5.根据权利要求1所述的一种数据分析系统，其特征在于，所述流量统计模块内设有绘图模块，用于根据监测数据，生成随时间、空间变化的时空效应曲线和空间效应曲线。

6.根据权利要求1所述的一种数据分析系统，其特征在于，所述时空效应曲线用于显示各监测点的原始数据或转移数据随时间的变化情况。

7.根据权利要求1所述的一种数据分析系统，其特征在于，所述空间效应曲线用于显示同一时间不同测点的监测结果随计算机不同盘的变化规律。

8.根据权利要求1所述的一种数据分析系统，其特征在于，所述流量统计模块内还设有

流量分析负载均衡器，用于当接收到用户的流量分析请求后，将分析请求按照一定策略分发给某一个流量分析引擎进行分析处理；

流量分析引擎，对每一次用户请求，进行流量分析并反馈分析结果。