CN110336784A - 基于大数据的网络攻击识别预测系统、方法以及存储介质 - Google Patents

基于大数据的网络攻击识别预测系统、方法以及存储介质 Download PDF

Info

Publication number
CN110336784A
CN110336784A CN201910431159.1A CN201910431159A CN110336784A CN 110336784 A CN110336784 A CN 110336784A CN 201910431159 A CN201910431159 A CN 201910431159A CN 110336784 A CN110336784 A CN 110336784A
Authority
CN
China
Prior art keywords
network attack
network
prediction
operation system
big data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910431159.1A
Other languages
English (en)
Inventor
谢鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sw Technology Co Ltd
Original Assignee
Sw Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sw Technology Co Ltd filed Critical Sw Technology Co Ltd
Priority to CN201910431159.1A priority Critical patent/CN110336784A/zh
Publication of CN110336784A publication Critical patent/CN110336784A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种网络攻击识别预测系统、方法以及存储介质,其中所述网络攻击识别预测系统包括设置在第一业务系统的前端的安全网桥,用于监控对于第一业务系统的访问请求,并将具有入侵风险的访问请求导向安全云;部署有第二业务系统的安全云,用于响应访问请求,并记录各种访问行为并分析,其中第一业务系统和第二业务系统基本相同;用于存储并分析安全云记录的各项访问行为的大数据平台,以对网络攻击的来源、时间和类型进行分析和预测。本发明能够减轻第一业务系统的网络攻击压力,增强系统的安全性;能够建立网络攻击特征库,助于发现漏洞和升级系统,和提高安全网桥的拦截能力;还能够预测网络攻击的发展趋势,兼顾系统运行效率和网络安全防护能力。

Description

基于大数据的网络攻击识别预测系统、方法以及存储介质
技术领域
本发明涉及网络安全方面,特别的,涉及一种基于大数据的网络攻击识别预测方法、装置以及存储介质,能够吸引并减少针对业务系统的网络攻击,基于上述吸引的网络攻击的数据进行网络攻击识别及预测
并对业务系统提供升级建议。
背景技术
随着“互联网+”的发展,越来越多的业务从线下转移到线上,业务系统也承载着更多的访问需求。与此同时,网络安全也成为了非常重要的问题。各种不同的网络攻击会针对业务平台本身的各种漏洞,对互联网业务平台进行网络攻击,或者进行网络窃密,上述的一切都使得业务的正常运营受到影响。并且网络攻击的方法和手段会随着时间的发展,演进出不同的方式和手段。截止目前为止,并没有合适的方法和手段来杜绝网络攻击。虽然,业务平台在上线之前会进行网络攻击测试,但这种测试并不能真实的模拟实际运营环境中受到的各种攻击,而如果在运营中意识到这种攻击的存在,可能也会由于攻击负载太大而导致系统的崩溃,此外,也不便于暂停业务系统而进行恢复。此外,上述网络攻击的数据对于现有网络的恢复、拦截、升级甚至是预警都具有非常重大的意义。
因此,如何得到业务运营平台在运营中真实的网络攻击数据,分担网络攻击压力,并进一步基于网络攻击的大数据进行网络攻击的识别、拦截、升级甚至是预测,成为现有技术亟需解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提出具有与实际工作的第一业务系统基本相同的第二业务系统的网络攻击识别预测系统,并根据该第二业务系统获取网络攻击的各种数据,根据上述大数据分析得到网络攻击的类型、时间,并用于进一步升级本系统以及本系统的网络安装拦截前端、以及对网络的攻击进行预警。该网络攻击识别预测系统同时也具有网络安全防护的作用。
一种基于大数据的网络攻击识别预测系统,包括
安全网桥,设置在第一业务系统的前端,用于监控对于第一业务系统的访问请求,在检测到访问请求存在入侵风险时将所述访问请求重定向到安全云;
安全云,部署有第二业务系统,用于被配置为基于所述第二业务系统对所述访问请求进行响应,记录各种访问行为,根据记录的访问行为分析第二业务系统的漏洞以及需要升级的控件,其中,所述第一业务系统和第二业务系统是基本相同的业务系统;
大数据平台,用于存储并分析安全云记录的各项访问行为,以对网络攻击进行分析和预测,并用于所述安全云对第二业务系统的漏洞以及需要升级的控件的分析。
可选的,所述大数据平台包括数据分析模块,用于对安全云所记录的各项访问行为进行分析,并建立网络攻击特征规则库;
所述网络攻击特征规则包括以下数据库中的一个或多个:最新组件库、攻击特征库、漏洞库、病毒库、恶意网站库和攻击网段库。
可选的,所述大数据平台还具有数据挖掘及预测模块,
所述数据挖掘及预测模块用于根据网络攻击特征规则库、以及安全云所记录的各项访问行为进行网络攻击的挖掘和预测,并将预测的结果送往网络攻击特征规则库,以丰富健全网络攻击特征规则库,并在预测有高风险网络攻击时发出报警信息;
可选的,所述数据挖掘及预测模块包括:
时间预测单元,用于分析网络攻击在时间上是否具有周期性,如果具有周期性,下一次的网络攻击大概在什么时间;
来源预测单元,用于分析网络攻击的来源是否具有规律,是否集中在部分网段,如果是,则对不同的网段进行安全等级划分;
攻击模式预测单元,用于根据现有的网络攻击模式,通过算法分析预测网络攻击模式的演变和发展。
可选的,所述大数据平台还包括指导模块,用于基于大数据平台的各项信息对安全网桥进行网络安全指导,包括根据网络攻击特征规则库对安全网桥提高对网络攻击的识别判断能力,根据数据挖掘及预测模块的各种分析和预测对不同网段,和/或在不同时间,和/或不同的网络访问执行不同等级的安全策略。
可选的,所述大数据平台还包括报警模块,能够根据数据挖掘及预测模块发出的报警信息向安全云和安全网桥发出警报。
本发明还公开了一种基于大数据的网络攻击识别预测方法,包括
监控对于第一业务系统的访问请求;
对于具有入侵风险的访问请求进行重定向;
接收被重新定向的访问请求;
基于第二业务系统对所述访问请求进行响应,记录各种访问行为;所述第一业务系统和第二业务系统是基本相同的业务系统;
存储并对所述访问行为进行大数据分析,以对网络攻击进行分析和预测,并用于对第二业务系统的漏洞以及需要升级的控件的分析。
可选的,对所述访问行为进行大数据分析包括:
对各项访问行为进行分析,并建立网络攻击特征规则库,所述网络攻击特征规则包括以下数据库中的一个或多个:最新组件库、攻击特征库、漏洞库、病毒库、恶意网站库和攻击网段库。
可选的,对所述访问行为进行大数据分析还包括:
根据网络攻击特征规则库、以及所述访问行为进行网络攻击的挖掘和预测,并将预测的结果送往网络攻击特征规则库,以丰富健全网络攻击特征规则库,并在预测有高风险网络攻击时发出报警信息,
所述网络攻击的挖掘和预测具体包括;
分析网络攻击在时间上是否具有周期性,如果具有周期性,下一次的网络攻击大概在什么时间;
分析网络攻击的来源是否具有规律,是否集中在部分网段,如果是,则对不同的网段进行安全等级划分;
根据现有的网络攻击模式,通过算法分析预测网络攻击模式的演变和发展;和
对所述访问行为进行大数据分析还包括:
根据大数据分析的各项信息对第一业务系统的监控进行网络安全指导,包括根据网络攻击特征规则库提高对网络攻击的识别判断能力,根据各种分析和预测对不同网段,和/或在不同时间,和/或不同的网络访问执行不同等级的安全策略。
本发明进一步公开了一种存储介质,用于存储计算机可执行指令,
所述计算机可执行指令在被处理器执行时执行上述的网络安全防护方法。
本发明利用安全网桥检测访问请求,并将检测到具有入侵风险的访问请求转移给安全云,安全云设置有第二业务系统,并利用大数据分析的方法对网络攻击的现状进行总结,对网络攻击的发展进行预测。
相对于现有技术,本发明具有如下优点:
1.能够减轻第一业务系统的网络攻击压力,增强系统的安全性;
2.能够建立网络攻击特征库,既用于系统漏洞的发现和升级控件的提出,又能够指导安全网桥,提高安全网桥的拦截能力。
3.能够从时间、来源、方式等多方面预测网络攻击的发展趋势,以有针对性的提高安全防护能力,兼顾系统运行效率和网络安全防护能力。
附图说明
通过以下参照附图对本发明实施例的描述,本发明的上述以及其它目的、特征和优点将更为清楚,在附图中:
图1是根据本发明具体实施例的网络攻击预测系统的示意图;
图2是根据本发明具体实施例的大数据平台的模块结构图;
图3是根据本发明具体实施例的规则特征库的组成结构图;
图4是根据本发明具体实施例的数据挖掘及预测模块的模块结构图;
图5是根据本发明具体实施例的安全云的模块结构图;
图6是根据本发明具体实施例的网络安全防护方法的流程图。
1、第一业务系统;2、安全网桥;3、安全云;4、大数据平台;31、第二业务系统;32、安全代理;41、数据分析模块;42、数据挖掘及预测模块;43、指导模块;44、报警模块;411、最新组件库;412、攻击特征库;413、漏洞库;414、病毒库;415、恶意网站库;416、攻击网段库;421、时间预测单元;422、来源预测单元;423、攻击模式预测单元。
具体实施方式
以下基于实施例对本发明进行描述,但是本发明并不仅仅限于这些实施例。
这些过程、流程、逻辑块、功能等,一般被认为是达到理想或者预期的结果的步骤或指示的自洽序列。步骤一般包括物理量的物理操纵。通常情况下,尽管不一定是,这些数量常采取电、磁、光学或量子信号等形式,它们能够被储存,转让,合并,比较,并以其他方式被计算机或数据处理系统所控制。事实证明,有时候为了方便起见,鉴于共享的原因,把这些信号称作为位、波、波形、流、值、元素、符号、字母、术语、数字等类似的名称,在计算机程序或软件中称之为代码(可能是目标代码,源代码或二进制代码)。
为了能够得到业务运营平台在运营中真实的网络攻击数据,并根据上述网络攻击数据更好的识别网络攻击,并对可能的网络攻击进行预测,本发明设置了与实际运营的第一业务系统基本相同的第二业务系统,将第一业务系统中所遇到的具有入侵风险的访问请求导向该第二业务系统,同时在第二业务系统中设立大数据平台对网络攻击的数据进行分析和挖掘,这样一方面能够吸引攻击,记录现实中的各种攻击手段,分担第一业务系统的压力,另外一方面能够根据第二业务系统受到真实攻击的情况,获取相应的系统漏洞和升级需求,升级网络拦截系统,对网络攻击进行类型和来源的预测,并预测网络攻击时间,以提高网络拦截效率。从而使得网络防护从面向无针对性的广域的防护,成为能够自我升级并预测,针对不同网络攻击提供具有针对性的防护,从而提高网络防护效率。
参见图1,示出了根据本发明具体实施例的网络攻击识别预测系统的示意图,该网络攻击识别预测系统包括
安全网桥2,设置在第一业务系统1的前端,用于监控对于第一业务系统1的访问请求,在检测到访问请求存在入侵风险时将所述访问请求重定向到安全云3;
安全云3,部署有第二业务系统31,用于被配置为基于所述第二业务系统对所述访问请求进行响应,记录各种访问行为,根据记录的访问行为分析第二业务系统的漏洞以及需要升级的控件,其中,所述第一业务系统和第二业务系统是基本相同的业务系统;
大数据平台4,用于存储并分析安全云记录的各项数据,以对网络攻击,例如网络攻击的来源、时间和类型,进行分析和预测,并用于安全云3对第二业务系统的漏洞以及需要升级的控件的分析。即大数据平台分析的结果,有助于安全云对第二业务系统漏洞分析和升级空间的分析。
其中所述安全网桥2和安全云3通过网络进行连接,由于安全网桥2能够将所探测到的具有风险的访问行为,例如入侵或攻击行为,指引到安全云上,降低了第一业务系统1的入侵压力,减少了对第一业务系统1工作的影响。
对于访问行为的指引可以通过重定向的方式进行,例如,将网络攻击包的目标地址修改为安全云3的目标地址。
由于安全云3具有与第一业务系统1基本相同的第二业务系统,并且设置在网络上,不仅能够接收安全网桥转移过来的具有风险的访问行为,还能够在一定程度上吸引网络上存在的其它攻击,从而减少了第一业务系统1的压力,其次,由于第二业务系统与第一业务系统基本相同,对于其对网络攻击的分析和研究,能够真实的得到第一业务系统的网络安全情况,从而对于系统的升级和换代提供良好的建议。并且大数据平台4能够获得对于第一业务系统的真实的网络攻击数据,根据上述的网络攻击数据,大数据平台能够进行分析和预测,总结网络攻击的特点,预测网络攻击的发展方向,从而为安全云分析业务系统的漏洞,并提出升级控件打下基础,所述升级控件不仅针对系统目前的漏洞,还具有一定的前瞻性,能够起到一定的预防作用。
安全云3所记录的攻击信息,包括网络攻击类型、网络攻击目标来源、网络攻击端口。
由于这种网络安全保护系统既不影响第一业务系统的工作,又逼真的模拟了该业务系统收到的网络攻击,对该网络攻击的评估尤其具有价值。
第一业务系统1设置在网络机房或者私有云中,安全网桥2以硬件的形式或者软件的形式存在,能够检测通过互联网或内部网络对于第一业务系统的访问行为。
进一步的,参见图2,所述大数据平台4具有数据分析模块41,能够对安全云3所记录的各项数据进行分析,并建立网络攻击特征规则库。参见图3,所述网络攻击特征规则包括以下数据库中的一个或多个:最新组件库411、攻击特征库412、漏洞库413、病毒库414、恶意网站库415、攻击网段库416。
网络攻击特征规则库是根据安全网桥所转移的各项攻击而建立的,并且通过使用时间的增加能够进行逐步的丰富和完善,因此,反映了第一业务系统的网络安全现状,能够客观的评估第一业务系统的网络安全等级,并能够寻找第一业务系统的安全漏洞,以及获取为第一业务系统需要升级的控件打下基础。
进一步的,所述大数据平台4还具有数据挖掘及预测模块42,用于根据网络攻击特征规则库、以及安全云3所记录的各项数据进行网络攻击的挖掘和预测,并将预测的结果送往网络攻击特征规则库,以丰富健全网络攻击特征规则库,并在预测有高风险网络攻击时将报警信息发往报警模块44;
具体的,参见图4,所述数据挖掘及预测模块42包括:
时间预测单元421,用于分析网络攻击在时间上是否具有周期性,即是否具有规律,如果具有周期性,下一次的网络攻击大概在什么时间;
来源预测单元422,用于分析网络攻击的来源是否具有规律,是否集中在部分网段,如果是,则对不同的网段进行安全等级划分;例如某些网段完全拒绝访问,某些网段设定为高风险等级,某些网段设定为安全网段等。
攻击模式预测单元423,用于根据现有的网络攻击模式,通过算法分析预测网络攻击模式的演变和发展;。
例如,能够通过大数据挖掘分析的方法,通过特征库的发展,以及最近拦截的网络攻击类型,以毗邻的原则,预测可能的变种的网络攻击和漏洞,以丰富特征库。
数据挖掘及预测模块42进行的各种分析和预测,能够用于丰富网络攻击特征规则库,能够用于对安全网桥提前进行预警,能够用于根据网络攻击直接向报警模块44发出警报。
进一步的,所述大数据平台4还包括指导模块43,用于基于大数据平台的各项信息对安全网桥2进行网络安全指导,包括根据网络攻击特征规则库对安全网桥2提高对网络攻击的识别判断能力,根据数据挖掘及预测模块42的各种分析和预测对不同网段,和/或在不同时间,和/或不同的网络访问(例如不同网络访问包类型、端口类型、协议类型等等)执行不同等级的安全策略。
这样,安全网桥2的网络拦截能力能够得到不断的提高,并非对所有的网络、网络包、时间都执行一样的安全防护等级,从而兼顾了运行效率和网络拦截能力。
进一步的,所述大数据平台4还包括报警模块44,能够根据数据挖掘及预测模块42发出的报警信息向安全云3和安全网桥2发出警报,以提示用户以及管理者。
所述安全云能够根据网络攻击特征规则库的各种信息,包括现有的网络攻击信息,以及数据挖掘及预测模块4预测的网络攻击信息,分析网络漏洞和提出系统升级控件,自动给出升级建议。显然,上述的漏洞和升级控件不仅针对现有网络的情况,还可以根据网络将来可能遇到的网络攻击。这样的升级建议能够提供给第一和第二业务系统,以用于系统的自我完善和提高。
进一步优选的,在所述安全云3中具有第二业务系统31和安全代理32(安全Agent),所述安全代理32用于记录所有的访问行为,并追踪入侵者。
所述安全代理被配置为通过在对访问请求的响应中嵌入追踪信息以追踪入侵者。
进一步优选的,所述安全云3采用虚拟的方式构建第二业务系统31和安全代理32,搭建快速、简单、便捷,能够适应各种不同的业务系统,扩大了该网络攻击识别预测系统运营的范围,并且降低了构建成本。
示例性的,安全云可以采用KVM+DOCKER技术结合。参见图5,示出了本发明的安全云3的构建示例,在服务器硬件的基础上构建KVM,KVM的作用是实现云部署,在服务器上以不同的资源支持多个操作系统同时运行。Docker用于模拟运行环境,由于Docker的特性,运行环境和系统部署后可以形成镜像整体重现,方便配置。在Docker的基础上分别安装运行第二业务系统31和安全代理32。
参见图6,本发明进一步还公开了一种基于大数据的网络攻击识别预测方法,包括如下步骤:
监控对于第一业务系统的访问请求;
对于具有入侵风险的访问请求进行重定向;
接收被重新定向的访问请求;
基于第二业务系统对所述访问请求进行响应,记录各种访问行为;所述第一业务系统和第二业务系统是基本相同的业务系统;
存储并对所述访问行为进行大数据分析,以对网络攻击的来源、时间和类型进行分析和预测,并用于对第二业务系统的漏洞以及需要升级的控件的分析。
因此,该网络攻击识别预测方法设立了第二业务系统以对检测到的具有风险的访问请求进行响应,从而在不影响第一业务系统工作的情况下能够通过记录访问行为,并通过大数据分析的方式进行分析和预测,总结网络攻击的特点,预测网络攻击的发展趋势,从而为安全云分析业务系统的漏洞,并提出升级控件打下基础,所述升级控件不仅针对系统目前的漏洞,还具有一定的前瞻性,能够起到一定的预防作用。
虽然漏洞和控件是针对第二业务系统,但由于第一业务系统与第二业务系统基本相同,上述漏洞以及升级控件也能够用于第一业务系统。
进一步的,对所述访问行为进行大数据分析包括:
对各项访问行为进行分析,并建立网络攻击特征规则库,所述网络攻击特征规则包括以下数据库中的一个或多个:最新组件库、攻击特征库、漏洞库、病毒库、恶意网站库和攻击网段库。
进一步的,对所述访问行为进行大数据分析还包括:
根据网络攻击特征规则库、以及所述访问行为进行网络攻击的挖掘和预测,并将预测的结果送往网络攻击特征规则库,以丰富健全网络攻击特征规则库,并在预测有高风险网络攻击时发出报警信息,
所述网络攻击的挖掘和预测具体包括:
分析网络攻击在时间上是否具有周期性,如果具有周期性,下一次的网络攻击大概在什么时间;
析网络攻击的来源是否具有规律,是否集中在部分网段,如果是,则对不同的网段进行安全等级划分;
根据现有的网络攻击模式,通过算法分析预测网络攻击模式的演变和发展;和
对所述访问行为进行大数据分析还包括:
根据大数据分析的各项信息对第一业务系统的监控进行网络安全指导,包括根据网络攻击特征规则库提高对网络攻击的识别判断能力,根据各种分析和预测对不同网段,和/或在不同时间,和/或不同的网络访问执行不同等级的安全策略。
进一步的,能够在对访问请求的响应中嵌入追踪信息以追踪入侵者。
该网络攻击识别预测方法可以适用于上述的网络攻击识别预测系统。
本发明进一步公开了一种存储介质,用于存储计算机可执行指令,
所述计算机可执行指令在被处理器执行时执行上述的方法。
因此,本发明安全网桥以将检测到的具有风险的访问行为转移给安全云,安全云设置有第二业务系统,并利用大数据分析的方法对网络攻击的现状进行总结,对网络攻击的发展进行预测。
相对于现有技术,本发明具有如下优点:
1.能够减轻第一业务系统的网络攻击压力,增强系统的安全性;
2.能够建立网络攻击特征库,既用于系统漏洞的发现和升级控件的提出,又能够指导安全网桥,提高安全网桥的拦截能力。
3.能够从时间、来源、方式等多方面预测网络攻击的发展趋势,以有针对性的提高安全防护能力,兼顾系统运行效率和网络安全防护能力。
如本领域技术人员将意识到的,本发明的各个方面可以被实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以采取如下形式:完全硬件实施方式、完全软件实施方式(包括固件、常驻软件、微代码等)或者在本文中通常可以都称为“电路”、“模块”或“系统”的将软件方面与硬件方面相结合的实施方式。此外,本发明的方面可以采取如下形式:在一个或多个计算机可读介质中实现的计算机程序产品,计算机可读介质具有在其上实现的计算机可读程序代码。
可以利用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是如(但不限于)电子的、磁的、光学的、电磁的、红外的或半导体系统、设备或装置,或者前述的任意适当的组合。计算机可读存储介质的更具体的示例(非穷尽列举)将包括以下各项:具有一根或多根电线的电气连接、便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪速存储器)、光纤、便携式光盘只读存储器(CD-ROM)、光存储装置、磁存储装置或前述的任意适当的组合。在本文件的上下文中,计算机可读存储介质可以为能够包含或存储由指令执行系统、设备或装置使用的程序或结合指令执行系统、设备或装置使用的程序的任意有形介质。
计算机可读信号介质可以包括传播的数据信号,所述传播的数据信号具有在其中如在基带中或作为载波的一部分实现的计算机可读程序代码。这样的传播的信号可以采用多种形式中的任何形式,包括但不限于:电磁的、光学的或其任何适当的组合。计算机可读信号介质可以是以下任意计算机可读介质:不是计算机可读存储介质,并且可以对由指令执行系统、设备或装置使用的或结合指令执行系统、设备或装置使用的程序进行通信、传播或传输。
可以使用包括但不限于无线、有线、光纤电缆、RF等或前述的任意适当组合的任意合适的介质来传送实现在计算机可读介质上的程序代码。
用于执行针对本发明各方面的操作的计算机程序代码可以以一种或多种编程语言的任意组合来编写,所述编程语言包括:面向对象的编程语言如Java、Smalltalk、C++等;以及常规过程编程语言如“C”编程语言或类似的编程语言。程序代码可以作为独立软件包完全地在用户计算机上、部分地在用户计算机上执行;部分地在用户计算机上且部分地在远程计算机上执行;或者完全地在远程计算机或服务器上执行。在后一种情况下,可以将远程计算机通过包括局域网(LAN)或广域网(WAN)的任意类型的网络连接至用户计算机,或者可以与外部计算机进行连接(例如通过使用因特网服务供应商的因特网)。
本发明的实施方式的方法、设备(系统)和计算机程序产品的流程图图例和/或框图来描述本发明的各个方面。将要理解的是,流程图图例和/或框图的每个块以及流程图图例和/或框图中的块的组合可以由计算机程序指令来实现。这些计算机程序指令可以被提供至通用计算机、专用计算机或其它可编程数据处理设备的处理器,以产生机器,使得(经由计算机或其它可编程数据处理设备的处理器执行的)指令创建用于实现流程图和/或框图块或块中指定的功能/动作的装置。
还可以将这些计算机程序指令存储在可以指导计算机、其它可编程数据处理设备或其它装置以特定方式运行的计算机可读介质中,使得在计算机可读介质中存储的指令产生包括实现在流程图和/或框图块或块中指定的功能/动作的指令的制品。
计算机程序指令还可以被加载至计算机、其它可编程数据处理设备或其它装置上,以使在计算机、其它可编程设备或其它装置上执行一系列可操作步骤来产生计算机实现的过程,使得在计算机或其它可编程设备上执行的指令提供用于实现在流程图和/或框图块或块中指定的功能/动作的过程。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于大数据的网络攻击识别预测系统,包括
安全网桥,设置在第一业务系统的前端,用于监控对于第一业务系统的访问请求,在检测到访问请求存在入侵风险时将所述访问请求重定向到安全云;
安全云,部署有第二业务系统,用于被配置为基于所述第二业务系统对所述访问请求进行响应,记录各种访问行为,根据记录的访问行为分析第二业务系统的漏洞以及需要升级的控件,其中,所述第一业务系统和第二业务系统是基本相同的业务系统;
大数据平台,用于存储并分析安全云记录的各项访问行为,以对网络攻击进行分析和预测,并用于所述安全云对第二业务系统的漏洞以及需要升级的控件的分析。
2.根据权利要求1所述的网络攻击识别预测系统,其特征在于:
所述大数据平台包括数据分析模块,用于对安全云所记录的各项访问行为进行分析,并建立网络攻击特征规则库;
所述网络攻击特征规则包括以下数据库中的一个或多个:最新组件库、攻击特征库、漏洞库、病毒库、恶意网站库和攻击网段库。
3.根据权利要求2所述的网络攻击识别预测系统,其特征在于:
所述大数据平台还具有数据挖掘及预测模块,
所述数据挖掘及预测模块用于根据网络攻击特征规则库、以及安全云所记录的各项访问行为进行网络攻击的挖掘和预测,并将预测的结果送往网络攻击特征规则库,以丰富健全网络攻击特征规则库,并在预测有高风险网络攻击时发出报警信息;
4.根据权利要求3所述的网络攻击识别预测系统,其特征在于:
所述数据挖掘及预测模块包括:
时间预测单元,用于分析网络攻击在时间上是否具有周期性,如果具有周期性,下一次的网络攻击大概在什么时间;
来源预测单元,用于分析网络攻击的来源是否具有规律,是否集中在部分网段,如果是,则对不同的网段进行安全等级划分;
攻击模式预测单元,用于根据现有的网络攻击模式,通过算法分析预测网络攻击模式的演变和发展。
5.根据权利要求3所述的网络攻击识别预测系统,其特征在于:
所述大数据平台还包括指导模块,用于基于大数据平台的各项信息对安全网桥进行网络安全指导,包括根据网络攻击特征规则库对安全网桥提高对网络攻击的识别判断能力,根据数据挖掘及预测模块的各种分析和预测对不同网段,和/或在不同时间,和/或不同的网络访问执行不同等级的安全策略。
6.根据权利要求3所述的网络攻击识别预测系统,其特征在于:
所述大数据平台还包括报警模块,能够根据数据挖掘及预测模块发出的报警信息向安全云和安全网桥发出警报。
7.一种基于大数据的网络攻击识别预测方法,包括
监控对于第一业务系统的访问请求;
对于具有入侵风险的访问请求进行重定向;
接收被重新定向的访问请求;
基于第二业务系统对所述访问请求进行响应,记录各种访问行为;所述第一业务系统和第二业务系统是基本相同的业务系统;
存储并对所述访问行为进行大数据分析,以对网络攻击进行分析和预测,并用于对第二业务系统的漏洞以及需要升级的控件的分析。
8.根据权利要求7所述的网络攻击识别预测方法,其特征在于:
对所述访问行为进行大数据分析包括:
对各项访问行为进行分析,并建立网络攻击特征规则库,所述网络攻击特征规则包括以下数据库中的一个或多个:最新组件库、攻击特征库、漏洞库、病毒库、恶意网站库和攻击网段库。
9.根据权利要求8所述的网络攻击识别预测方法,其特征在于:
对所述访问行为进行大数据分析还包括:
根据网络攻击特征规则库、以及所述访问行为进行网络攻击的挖掘和预测,并将预测的结果送往网络攻击特征规则库,以丰富健全网络攻击特征规则库,并在预测有高风险网络攻击时发出报警信息,
所述网络攻击的挖掘和预测具体包括;
分析网络攻击在时间上是否具有周期性,如果具有周期性,下一次的网络攻击大概在什么时间;
分析网络攻击的来源是否具有规律,是否集中在部分网段,如果是,则对不同的网段进行安全等级划分;
根据现有的网络攻击模式,通过算法分析预测网络攻击模式的演变和发展;和
对所述访问行为进行大数据分析还包括:
根据大数据分析的各项信息对第一业务系统的监控进行网络安全指导,包括根据网络攻击特征规则库提高对网络攻击的识别判断能力,根据各种分析和预测对不同网段,和/或在不同时间,和/或不同的网络访问执行不同等级的安全策略。
10.一种存储介质,用于存储计算机可执行指令,
所述计算机可执行指令在被处理器执行时执行如权利要求7-9中任一项所述的方法。
CN201910431159.1A 2019-05-22 2019-05-22 基于大数据的网络攻击识别预测系统、方法以及存储介质 Pending CN110336784A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910431159.1A CN110336784A (zh) 2019-05-22 2019-05-22 基于大数据的网络攻击识别预测系统、方法以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910431159.1A CN110336784A (zh) 2019-05-22 2019-05-22 基于大数据的网络攻击识别预测系统、方法以及存储介质

Publications (1)

Publication Number Publication Date
CN110336784A true CN110336784A (zh) 2019-10-15

Family

ID=68139090

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910431159.1A Pending CN110336784A (zh) 2019-05-22 2019-05-22 基于大数据的网络攻击识别预测系统、方法以及存储介质

Country Status (1)

Country Link
CN (1) CN110336784A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995693A (zh) * 2019-11-28 2020-04-10 杭州迪普信息技术有限公司 一种攻击特征的提取方法、装置及设备
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
CN111708650A (zh) * 2020-06-10 2020-09-25 中国工商银行股份有限公司 一种业务应用系统高可用性分析方法及系统
CN112615865A (zh) * 2020-12-21 2021-04-06 曹佳乐 基于大数据和人工智能的数据防入侵方法及大数据服务器
CN113452722A (zh) * 2021-08-30 2021-09-28 统信软件技术有限公司 一种用户隔离方法、数据传输方法、计算设备及存储介质
CN113726790A (zh) * 2021-09-01 2021-11-30 中国移动通信集团广西有限公司 网络攻击源的识别和封堵方法、系统、装置及介质
CN113992355A (zh) * 2021-09-28 2022-01-28 新华三信息安全技术有限公司 一种攻击预测方法、装置、设备及机器可读存储介质
CN114884685A (zh) * 2021-02-05 2022-08-09 华为技术有限公司 电子设备的安全管理方法、电子设备及其可读介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014064216A (ja) * 2012-09-21 2014-04-10 Kddi R & D Laboratories Inc 攻撃ホストの挙動解析装置、方法及びプログラム
CN104392175A (zh) * 2014-11-26 2015-03-04 华为技术有限公司 一种云计算系统中云应用攻击行为处理方法、装置及系统
CN104753946A (zh) * 2015-04-01 2015-07-01 浪潮电子信息产业股份有限公司 一种基于网络流量元数据的安全分析框架
CN105553957A (zh) * 2015-12-09 2016-05-04 国家电网公司 基于大数据的网络安全态势感知预警方法和系统
CN107493303A (zh) * 2017-09-28 2017-12-19 北京云衢科技有限公司 网络安全防护系统、网络安全防护方法以及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014064216A (ja) * 2012-09-21 2014-04-10 Kddi R & D Laboratories Inc 攻撃ホストの挙動解析装置、方法及びプログラム
CN104392175A (zh) * 2014-11-26 2015-03-04 华为技术有限公司 一种云计算系统中云应用攻击行为处理方法、装置及系统
CN104753946A (zh) * 2015-04-01 2015-07-01 浪潮电子信息产业股份有限公司 一种基于网络流量元数据的安全分析框架
CN105553957A (zh) * 2015-12-09 2016-05-04 国家电网公司 基于大数据的网络安全态势感知预警方法和系统
CN107493303A (zh) * 2017-09-28 2017-12-19 北京云衢科技有限公司 网络安全防护系统、网络安全防护方法以及存储介质

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995693A (zh) * 2019-11-28 2020-04-10 杭州迪普信息技术有限公司 一种攻击特征的提取方法、装置及设备
CN111193728B (zh) * 2019-12-23 2022-04-01 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
CN111708650A (zh) * 2020-06-10 2020-09-25 中国工商银行股份有限公司 一种业务应用系统高可用性分析方法及系统
CN111708650B (zh) * 2020-06-10 2023-03-28 中国工商银行股份有限公司 一种业务应用系统高可用性分析方法及系统
CN112615865A (zh) * 2020-12-21 2021-04-06 曹佳乐 基于大数据和人工智能的数据防入侵方法及大数据服务器
CN114884685A (zh) * 2021-02-05 2022-08-09 华为技术有限公司 电子设备的安全管理方法、电子设备及其可读介质
CN114884685B (zh) * 2021-02-05 2023-08-22 华为技术有限公司 电子设备的安全管理方法、电子设备及其可读介质
CN113452722B (zh) * 2021-08-30 2022-01-21 统信软件技术有限公司 一种用户隔离方法、数据传输方法、计算设备及存储介质
CN113452722A (zh) * 2021-08-30 2021-09-28 统信软件技术有限公司 一种用户隔离方法、数据传输方法、计算设备及存储介质
CN113726790A (zh) * 2021-09-01 2021-11-30 中国移动通信集团广西有限公司 网络攻击源的识别和封堵方法、系统、装置及介质
CN113726790B (zh) * 2021-09-01 2023-06-16 中国移动通信集团广西有限公司 网络攻击源的识别和封堵方法、系统、装置及介质
CN113992355A (zh) * 2021-09-28 2022-01-28 新华三信息安全技术有限公司 一种攻击预测方法、装置、设备及机器可读存储介质
CN113992355B (zh) * 2021-09-28 2023-11-07 新华三信息安全技术有限公司 一种攻击预测方法、装置、设备及机器可读存储介质

Similar Documents

Publication Publication Date Title
CN110336784A (zh) 基于大数据的网络攻击识别预测系统、方法以及存储介质
JP7544738B2 (ja) ロギングによる機密データの暴露の検出
US10868825B1 (en) Cybersecurity and threat assessment platform for computing environments
CN112187825B (zh) 一种基于拟态防御的蜜罐防御方法、系统、设备及介质
US10311235B2 (en) Systems and methods for malware evasion management
US10862926B2 (en) Cybersecurity threat detection and mitigation system
Kholidy et al. A finite state hidden markov model for predicting multistage attacks in cloud systems
US9160761B2 (en) Selection of a countermeasure
US20170134400A1 (en) Method for detecting malicious activity on an aircraft network
EP4064097A1 (en) Blockchain-based host security monitoring method and apparatus, medium and electronic device
KR101360591B1 (ko) 화이트리스트를 이용한 네트워크 감시 장치 및 방법
KR101625338B1 (ko) 악성 경유지를 탐지하는 시스템 및 방법
JP6267089B2 (ja) ウイルス検知システム及び方法
KR20210109292A (ko) 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템
CN102624721B (zh) 一种特征码验证平台装置及特征码验证方法
CN107493303A (zh) 网络安全防护系统、网络安全防护方法以及存储介质
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
US20170054752A1 (en) Method for analyzing suspicious activity on an aircraft network
Kholidy et al. Online risk assessment and prediction models for autonomic cloud intrusion srevention systems
KR101767591B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
WO2020246011A1 (ja) ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体
CN111316268A (zh) 用于银行间金融交易的高级网络安全威胁抑制
KR102538540B1 (ko) 전자 장치의 사이버 공격 탐지 방법
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
KR20150133368A (ko) 지능형 지속 위협 탐지 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191015