CN115086026A - 网络安全分析系统 - Google Patents

Abstract

本发明公开了网络安全分析系统，包括安全分析系统、通讯模组、云端服务器组，所述安全分析系统对传输流量进行监测并对传输数据进行统一分析，安全分析系统通过通讯模组进行实时传输数据，云端服务器组对检测信息进行对比和存储，所述安全分析系统包括有数据统计模块、回溯分析模块、深度数据包分析模块、线索追踪模块、异常行为检测模块、数据安全定性分析模块、异常攻击防御模块，所述数据统计模块、回溯分析模块、深度数据包分析模块、线索追踪模块、异常行为检测模块、数据安全定性分析模块、异常攻击防御模块均信息连通。本发明的网络安全分析系统，整体具有较高的处理效率和数据可靠性，从而能够提高网络安全分析系统的可靠性。

Description

网络安全分析系统

技术领域

本发明涉及网络安全处理技术领域，具体为网络安全分析系统。

背景技术

国际标准化组织(ISO)对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此计算机网络的安全可以理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。

随着互联网的创新发展与普及应用，维护与保障网络安全的重要性愈发突显，而现阶段网络信息数据存有量不断增长且速度加快的特点，对目前的网络安全分析工作提出了更高的要求，而大数据技术作为一种新型技术，在网络安全分析工作中得到了广泛应用。大数据技术的广泛应用，为网络安全分析与防御提供了新动力，成为网络安全分析系统构建中不可或缺的存在。

发明内容

本发明的目的在于提供网络安全分析系统，解决了背景技术中所提出的问题。

为解决上述问题，本发明提供如下技术方案：网络安全分析系统，包括安全分析系统、通讯模组、云端服务器组，所述安全分析系统对传输流量进行监测并对传输数据进行统一分析，安全分析系统通过通讯模组进行实时传输数据，云端服务器组对检测信息进行对比和存储，所述安全分析系统包括有数据统计模块、回溯分析模块、深度数据包分析模块、线索追踪模块、异常行为检测模块、数据安全定性分析模块、异常攻击防御模块，所述数据统计模块、回溯分析模块、深度数据包分析模块、线索追踪模块、异常行为检测模块、数据安全定性分析模块、异常攻击防御模块均信息连通。

作为本发明的进一步优选方式，所述数据统计模块在互联网出口或者内部网络汇聚节点，通过旁路镜像的方式采集并存储网络数据，通过网络协议实时解码、元数据提取，建立日志、协议、数据包全字段索引，提取多维度的网络元数据进行异常行为建模。

作为本发明的进一步优选方式，所述回溯分析模块实时捕获原始数据包、数据流、网络会话、应用日志，提供任意时段内的海量数据进行快速检索和挖掘能力，采用数据关联，筛选过滤、挖掘分析进行大数据分析。

作为本发明的进一步优选方式，所述数据安全定性分析模块在线实时抓取预定网卡或IP的数据包，在线实时抓取预定端口的数据包，在线实时抓取预订协议类型的数据包，且对数据包的SQL语言进行判断，判断正常SQL语言则不警示提醒，若非正常，则预警提示。

作为本发明的进一步优选方式，所述异常行为检测模块将数据通过传输至云端服务器组进行对比参照，云端服务器组结合大数据实时匹配判断。

作为本发明的进一步优选方式，所述云端服务器组包括文件存储模块、分类编号模块、节点地址模块、元数据检索模块、对比判断模块；云端服务器组将数据进行处理，处理成统一标准文件名、组编号、数据库编号、已用存储空间、最大容量、节点地址并存，所述元数据检索模块包括保留在内存中的LRU列表，存储在磁盘上的寻址表，以及用于根据预定义规则将寻址表的记录进行划分的子组检索模块；所述对比判断模块，与传输数据相匹配，匹配度接近程度大于95％，为相同的数据源。

作为本发明的进一步优选方式，所述数据安全定性分析模块提供针对蠕虫、DoS攻击、ARP攻击、TCP端口扫描安全事件的智能化诊断。

作为本发明的进一步优选方式，所述异常攻击防御模块，根据威胁情报精准对已知和未知攻并进行实时阻断，提供多种类型的阻断方式，并提供独立的存储空间单独保存阻断日志数据。

作为本发明的进一步优选方式，运行方法如下：

S1，首先数据从互联网出口或者内部网络汇聚节点进入，通过网络协议实时解码、元数据提取，建立日志、协议、数据包全字段索引；

S2，数据安全定性分析模块在线实时抓取预定网卡或IP的数据包，在线实时抓取预定端口的数据包，在线实时抓取预订协议类型的数据包，且对数据包的SQL语言进行判断，判断正常SQL语言则不警示提醒，若非正常，则预警提示；

S3，异常行为检测模块将数据通过传输至云端服务器组进行对比参照，云端服务器组将数据进行处理，处理成统一标准文件名、组编号、数据库编号、已用存储空间、最大容量、节点地址并存，将存储的数据信息与异常行为的信号进行匹配对接，判断异常行为是否正常；

S4，回溯分析模块实时捕获原始数据包、数据流、网络会话、应用日志，提供任意时段内的海量数据进行快速检索和挖掘能力，循环以上的数据传输，对数据实时安全检测。

与现有技术相比，本发明的有益效果如下：

本发明的网络安全分析系统，对数据进行定性分析，并且可将异常数据与大数据结合对比，能够实现网络数据的实时监控并且相应的进行数据安全分析，整体具有较高的处理效率和数据可靠性，从而能够提高网络安全分析系统的可靠性。

附图说明

图1为本发明整体系统原理框架示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，本实用发明提供一种技术方案：网络安全分析系统，包括安全分析系统、通讯模组、云端服务器组，安全分析系统对传输流量进行监测并对传输数据进行统一分析，安全分析系统通过通讯模组进行实时传输数据，云端服务器组对检测信息进行对比和存储，安全分析系统包括有数据统计模块、回溯分析模块、深度数据包分析模块、线索追踪模块、异常行为检测模块、数据安全定性分析模块、异常攻击防御模块，数据统计模块、回溯分析模块、深度数据包分析模块、线索追踪模块、异常行为检测模块、数据安全定性分析模块、异常攻击防御模块均信息连通。

数据统计模块在互联网出口或者内部网络汇聚节点，通过旁路镜像的方式采集并存储网络数据，通过网络协议实时解码、元数据提取，建立日志、协议、数据包全字段索引，提取多维度的网络元数据进行异常行为建模，通过将数据从互联网口进行传输，并且配合协议进行解码和建立数据的记录。

回溯分析模块实时捕获原始数据包、数据流、网络会话、应用日志，提供任意时段内的海量数据进行快速检索和挖掘能力，采用数据关联，筛选过滤、挖掘分析进行大数据分析，使用原始数据包、数据流、网络会话、应用日志对原始的数据进行追溯，从而查询危险的潜在输出位置。

数据安全定性分析模块在线实时抓取预定网卡或IP的数据包，在线实时抓取预定端口的数据包，在线实时抓取预订协议类型的数据包，且对数据包的SQL语言进行判断，判断正常SQL语言则不警示提醒，若非正常，则预警提示，使用数据安全定性分析模块，可以实时对数据包进行抓取，并检测SQL语言是否非法。

异常行为检测模块将数据通过传输至云端服务器组进行对比参照，云端服务器组结合大数据实时匹配判断。

云端服务器组包括文件存储模块、分类编号模块、节点地址模块、元数据检索模块、对比判断模块；云端服务器组将数据进行处理，处理成统一标准文件名、组编号、数据库编号、已用存储空间、最大容量、节点地址并存，元数据检索模块包括保留在内存中的LRU列表，存储在磁盘上的寻址表，以及用于根据预定义规则将寻址表的记录进行划分的子组检索模块；对比判断模块，与传输数据相匹配，匹配度接近程度大于95％，为相同的数据源，通过云端服务器组，结合大数据的资源，对异常行为的检测模块传输的数据进行匹配检测。

数据安全定性分析模块提供针对蠕虫、DoS攻击、ARP攻击、TCP端口扫描安全事件的智能化诊断，使用数据安全定性分析模块对常规的安全事件进行检测。

异常攻击防御模块，根据威胁情报精准对已知和未知攻并进行实时阻断，提供多种类型的阻断方式，并提供独立的存储空间单独保存阻断日志数据，异常攻击防御模块，可以采用阻断或者隔断的方式，阻值数据传输，并记录存储。

首先数据从互联网出口或者内部网络汇聚节点进入，通过网络协议实时解码、元数据提取，建立日志、协议、数据包全字段索引；数据安全定性分析模块在线实时抓取预定网卡或IP的数据包，在线实时抓取预定端口的数据包，在线实时抓取预订协议类型的数据包，且对数据包的SQL语言进行判断，判断正常SQL语言则不警示提醒，若非正常，则预警提示；异常行为检测模块将数据通过传输至云端服务器组进行对比参照，云端服务器组将数据进行处理，处理成统一标准文件名、组编号、数据库编号、已用存储空间、最大容量、节点地址并存，将存储的数据信息与异常行为的信号进行匹配对接，判断异常行为是否正常；回溯分析模块实时捕获原始数据包、数据流、网络会话、应用日志，提供任意时段内的海量数据进行快速检索和挖掘能力，循环以上的数据传输，对数据实时安全检测。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点,对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims (9)

1.网络安全分析系统，包括安全分析系统、通讯模组、云端服务器组，其特征在于：所述安全分析系统对传输流量进行监测并对传输数据进行统一分析，安全分析系统通过通讯模组进行实时传输数据，云端服务器组对检测信息进行对比和存储，所述安全分析系统包括有数据统计模块、回溯分析模块、深度数据包分析模块、线索追踪模块、异常行为检测模块、数据安全定性分析模块、异常攻击防御模块，所述数据统计模块、回溯分析模块、深度数据包分析模块、线索追踪模块、异常行为检测模块、数据安全定性分析模块、异常攻击防御模块均信息连通。

2.根据权利要求1所述的网络安全分析系统，其特征在于：所述数据统计模块在互联网出口或者内部网络汇聚节点，通过旁路镜像的方式采集并存储网络数据，通过网络协议实时解码、元数据提取，建立日志、协议、数据包全字段索引，提取多维度的网络元数据进行异常行为建模。

3.根据权利要求1所述的网络安全分析系统，其特征在于：所述回溯分析模块实时捕获原始数据包、数据流、网络会话、应用日志，提供任意时段内的海量数据进行快速检索和挖掘能力，采用数据关联，筛选过滤、挖掘分析进行大数据分析。

4.根据权利要求1所述的网络安全分析系统，其特征在于：所述数据安全定性分析模块在线实时抓取预定网卡或IP的数据包，在线实时抓取预定端口的数据包，在线实时抓取预订协议类型的数据包，且对数据包的SQL语言进行判断，判断正常SQL语言则不警示提醒，若非正常，则预警提示。

5.根据权利要求1所述的网络安全分析系统，其特征在于：所述异常行为检测模块将数据通过传输至云端服务器组进行对比参照，云端服务器组结合大数据实时匹配判断。

6.根据权利要求1所述的网络安全分析系统，其特征在于：所述云端服务器组包括文件存储模块、分类编号模块、节点地址模块、元数据检索模块、对比判断模块；云端服务器组将数据进行处理，处理成统一标准文件名、组编号、数据库编号、已用存储空间、最大容量、节点地址并存，所述元数据检索模块包括保留在内存中的LRU列表，存储在磁盘上的寻址表，以及用于根据预定义规则将寻址表的记录进行划分的子组检索模块；所述对比判断模块，与传输数据相匹配，匹配度接近程度大于95％，为相同的数据源。

7.根据权利要求1所述的网络安全分析系统，其特征在于：所述数据安全定性分析模块提供针对蠕虫、DoS攻击、ARP攻击、TCP端口扫描安全事件的智能化诊断。

8.根据权利要求1所述的网络安全分析系统，其特征在于：所述异常攻击防御模块，根据威胁情报精准对已知和未知攻并进行实时阻断，提供多种类型的阻断方式，并提供独立的存储空间单独保存阻断日志数据。

9.根据权利要求1-8所述的网络安全分析系统的运行方法，其特征在于：运行方法如下：

S1，首先数据从互联网出口或者内部网络汇聚节点进入，通过网络协议实时解码、元数据提取，建立日志、协议、数据包全字段索引；

S2，数据安全定性分析模块在线实时抓取预定网卡或IP的数据包，在线实时抓取预定端口的数据包，在线实时抓取预订协议类型的数据包，且对数据包的SQL语言进行判断，判断正常SQL语言则不警示提醒，若非正常，则预警提示；

S3，异常行为检测模块将数据通过传输至云端服务器组进行对比参照，云端服务器组将数据进行处理，处理成统一标准文件名、组编号、数据库编号、已用存储空间、最大容量、节点地址并存，将存储的数据信息与异常行为的信号进行匹配对接，判断异常行为是否正常；

S4，回溯分析模块实时捕获原始数据包、数据流、网络会话、应用日志，提供任意时段内的海量数据进行快速检索和挖掘能力，循环以上的数据传输，对数据实时安全检测。

Images