CN115550065B - 基于大规模多数据源的一体化网络安全分析系统及方法 - Google Patents

基于大规模多数据源的一体化网络安全分析系统及方法 Download PDF

Info

Publication number
CN115550065B
CN115550065B CN202211487193.9A CN202211487193A CN115550065B CN 115550065 B CN115550065 B CN 115550065B CN 202211487193 A CN202211487193 A CN 202211487193A CN 115550065 B CN115550065 B CN 115550065B
Authority
CN
China
Prior art keywords
network
data
sub
data flow
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211487193.9A
Other languages
English (en)
Other versions
CN115550065A (zh
Inventor
李嘉周
田园
谭堯木
谌文杰
张旸
宋树迎
熊俊
廖文虎
陈尚涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Yuanlai Yunzhi Technology Co ltd
State Grid Sichuan Electric Power Co Ltd
Original Assignee
Chengdu Yuanlai Yunzhi Technology Co ltd
State Grid Sichuan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Yuanlai Yunzhi Technology Co ltd, State Grid Sichuan Electric Power Co Ltd filed Critical Chengdu Yuanlai Yunzhi Technology Co ltd
Priority to CN202211487193.9A priority Critical patent/CN115550065B/zh
Publication of CN115550065A publication Critical patent/CN115550065A/zh
Application granted granted Critical
Publication of CN115550065B publication Critical patent/CN115550065B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供了基于大规模多数据源的一体化网络安全分析系统及方法,其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端,及时避免感染源终端影响网络中其他数据源终端的正常工作,提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。

Description

基于大规模多数据源的一体化网络安全分析系统及方法
技术领域
本发明涉及网络安全监控的技术领域,特别涉及基于大规模多数据源的一体化网络安全分析系统及方法。
背景技术
互联网作为连接不同终端的载体,能够保证不同终端相互之间的正常稳定数据交互。互联网中不可避免会存在非法用户劫持部分终端,并通过劫持终端向其他正常终端进行攻击和散布传播病毒,从而严重影响互联网整体的正常工作。现有技术通过是利用单点检测的方式对受到攻击或感染到病毒的终端进行追踪检测,以此确定被劫持的终端。上述只能对单一终端进行检测追踪,其无法在互联网出现大范围攻击和病毒感染的情况下,全面准确地对每个终端进行检测追踪,不能及时地对存在问题的终端进行隔离,导致攻击和病毒在互联网内部快速传播,影响互联网整体的安全性和稳定性。
发明内容
针对现有技术存在的缺陷,本发明提供了一种基于大规模多数据源的一体化网络安全分析系统及方法,其将网络划分为若干子网络,对每个子网络进行不同形式的抽样处理,判断子网络是否处于数据流异常状态和是否属于僵尸子网络,并对处于数据流异常状态的子网络和僵尸子网络进行隔离,避免对其他子网络产生攻击和病毒传播;还利用蜜罐对僵尸子网络中的每个终端进行排查,确定其中存在的感染源终端,对感染源终端进行单独隔离以及解除网络中其他所有子网络的隔离状态,其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端,及时避免感染源终端影响网络中其他数据源终端的正常工作,提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。
本发明提供基于大规模多数据源的一体化网络安全分析方法,包括如下步骤:
步骤S1,将网络划分为若干子网络,并对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端的数据样本信息;根据所述数据样本信息,判断所述子网络是否处于数据流异常状态;
步骤S2,对所述网络中所有处于数据流异常状态的子网络进行隔离处理,并对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络内部的数据流信息;根据所述数据流信息,判断处于数据流异常状态的子网络是否属于僵尸子网络;
步骤S3,根据所述是否属于僵尸子网络的判断结果,调整对应的处于数据流异常状态的子网络的隔离状态;通过蜜罐对所述僵尸子网络进行第三抽样处理,得到来自所述僵尸子网络包含的每个数据源终端的报文数据;
步骤S4,对所述报文数据进行分析处理,确定所述僵尸子网络存在的感染源终端;对所述感染源终端进行隔离处理后,解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态。
在本申请公开的一个实施例中,在所述步骤S1中,将网络划分为若干子网络,并对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端的数据样本信息,包括:
获取网络中所有网关的拓扑连接信息,根据所述拓扑连接信息,将所述网络划分为若干子网络,并且对不同子网络相互之间的共用网关进行标识处理,确定所有共用网关在所述网络的IP地址信息;
对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端在预设时间长度内的所有上行数据包样本和所有下行数据包样本,以此作为所述数据样本信息。
在本申请公开的一个实施例中,在所述步骤S1中,根据所述数据样本信息,判断所述子网络是否处于数据流异常状态,包括:
对所有上行数据包样本和所有下行数据包样本进行分析处理,确定对应子网络在第一预设时间长度内的上行数据流量值和下行数据流量值;
若所述上行数据流量值或所述下行数据流量值大于预设数据流量阈值,则判断所述子网络处于数据流异常状态;否则,判断所述子网络不属于数据流异常状态。
在本申请公开的一个实施例中,在所述步骤S2中,对所述网络中所有处于数据流异常状态的子网络进行隔离处理,并对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络内部的数据流信息,包括:
根据处于数据流异常状态的子网络的所有共用网关各自的地址信息,将所述所有共用网关切换至关闭状态,以此将处于数据流异常状态的子网络与所述网络中不处于数据流异常状态的子网络进行隔离;
对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络的内部不同数据源终端之间传输的数据包内容信息和数据包传输路径信息,以此作为所述数据流信息。
在本申请公开的一个实施例中,在所述步骤S2中,根据所述数据流信息,判断处于数据流异常状态的子网络是否属于僵尸子网络,包括:
对所述数据包内容信息进行解析处理,确定不同数据源终端之间传输的数据包是否包括预定数据代码字段;
对所述数据包传输路径信息进行分析处理,确定所有具有预定数据代码字段的数据包是否在第二预定时间长度内具有相同的传输路径;若是,则判断处于数据流异常状态的子网络属于僵尸子网络;否则,判断处于数据流异常状态的子网络不属于僵尸子网络。
在本申请公开的一个实施例中,在所述步骤S3中,根据所述是否属于僵尸子网络的判断结果,调整对应的处于数据流异常状态的子网络的隔离状态,具体包括:
当处于数据流异常状态的子网络不属于僵尸子网络,则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息,将所述所有共用网关切换至开放状态;
当处于数据流异常状态的子网络属于僵尸子网络,则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息,保持所述所有共用网关当前的关闭状态不变。
在本申请公开的一个实施例中,在所述步骤S3中,通过蜜罐对所述僵尸子网络进行第三抽样处理,得到来自所述僵尸子网络包含的每个数据源终端的报文数据,具体包括:
根据所述僵尸子网络包含的所有数据源终端各自的IP地址信息,指示蜜罐对每个数据源终端分别发送预定请求消息,并抽样截取每个数据源终端关于所述预定请求消息,向所述蜜罐返回的应答报文数据。
在本申请公开的一个实施例中,在所述步骤S4中,对所述报文数据进行分析处理,确定所述僵尸子网络存在的感染源终端,具体包括:
对所述应答报文数据进行反编译处理,得到每个数据源终端的应答报文数据的代码流;
对所述代码流进行分析处理,确定所述代码流是否存在病毒代码;若存在,则将对应的数据源终端确定为属于感染源终端;并确定所述僵尸子网络中所有感染源终端的IP地址信息和所有不属于感染源终端的数据源终端的IP地址信息。
在本申请公开的一个实施例中,在所述步骤S4中,对所述感染源终端进行隔离处理后,解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态,具体包括:
根据所述僵尸子网络中所有不属于感染源终端的数据源终端的IP地址信息,对所有不属于感染源终端的数据源终端进行病毒查杀处理;
根据所述僵尸子网络中所有感染源终端的IP地址信息,确定与所有感染源终端连接的所有网关的IP地址信息,以此将与所有感染源终端连接的所有网关切换至关闭状态,从而对所有感染源终端进行隔离处理;再解除所述僵尸子网络中所有不属于感染源终端的数据源终端的隔离状态。
本发明还提供基于大规模多数据源的一体化网络安全分析系统,包括:
子网络划分与抽样模块,用于将网络划分为若干子网络,并对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端的数据样本信息;
第一子网络判断模块,用于根据所述数据样本信息,判断所述子网络是否处于数据流异常状态;
第一子网络隔离与抽样模块,用于对所述网络中所有处于数据流异常状态的子网络进行隔离处理,并对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络内部的数据流信息;
第二子网络判断模块,用于根据所述数据流信息,判断处于数据流异常状态的子网络是否属于僵尸子网络;
第二子网络隔离与抽样模块,用于根据所述是否属于僵尸子网络的判断结果,调整对应的处于数据流异常状态的子网络的隔离状态;通过蜜罐对所述僵尸子网络进行第三抽样处理,得到来自所述僵尸子网络包含的每个数据源终端的报文数据;
第三子网络判断模块,用于对所述报文数据进行分析处理,确定所述僵尸子网络存在的感染源终端;
隔离状态调整模块,用于对所述感染源终端进行隔离处理后,解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态。
本发明的有益效果是:
相比于现有技术,该基于大规模多数据源的一体化网络安全分析系统及方法将网络划分为若干子网络,对每个子网络进行不同形式的抽样处理,判断子网络是否处于数据流异常状态和是否属于僵尸子网络,并对处于数据流异常状态的子网络和僵尸子网络进行隔离,避免对其他子网络产生攻击和病毒传播;还利用蜜罐对僵尸子网络中的每个终端进行排查,确定其中存在的感染源终端,对感染源终端进行单独隔离以及解除网络中其他所有子网络的隔离状态,其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端,及时避免感染源终端影响网络中其他数据源终端的正常工作,提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于大规模多数据源的一体化网络安全分析方法的流程图。
图2为本发明提供的基于大规模多数据源的一体化网络安全分析系统的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,为本发明实施例提供的基于大规模多数据源的一体化网络安全分析方法的流程图。该基于大规模多数据源的一体化网络安全分析方法包括如下步骤:
步骤S1,将网络划分为若干子网络,并对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端的数据样本信息;根据该数据样本信息,判断该子网络是否处于数据流异常状态;
步骤S2,对该网络中所有处于数据流异常状态的子网络进行隔离处理,并对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络内部的数据流信息;根据该数据流信息,判断处于数据流异常状态的子网络是否属于僵尸子网络;
步骤S3,根据该是否属于僵尸子网络的判断结果,调整对应的处于数据流异常状态的子网络的隔离状态;通过蜜罐对该僵尸子网络进行第三抽样处理,得到来自该僵尸子网络包含的每个数据源终端的报文数据;
步骤S4,对该报文数据进行分析处理,确定该僵尸子网络存在的感染源终端;对该感染源终端进行隔离处理后,解除该僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态。
上述技术方案的有益效果为:该基于大规模多数据源的一体化网络安全分析方法将网络划分为若干子网络,对每个子网络进行不同形式的抽样处理,判断子网络是否处于数据流异常状态和是否属于僵尸子网络,并对处于数据流异常状态的子网络和僵尸子网络进行隔离,避免对其他子网络产生攻击和病毒传播;还利用蜜罐对僵尸子网络中的每个终端进行排查,确定其中存在的感染源终端,对感染源终端进行单独隔离以及解除网络中其他所有子网络的隔离状态,其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端,及时避免感染源终端影响网络中其他数据源终端的正常工作,提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。
优选地,在该步骤S1中,将网络划分为若干子网络,并对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端的数据样本信息,包括:
获取网络中所有网关的拓扑连接信息,根据该拓扑连接信息,将该网络划分为若干子网络,并且对不同子网络相互之间的共用网关进行标识处理,确定所有共用网关在该网络的IP地址信息;
对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端在预设时间长度内的所有上行数据包样本和所有下行数据包样本,以此作为该数据样本信息。
上述技术方案的有益效果为:网络包括若干网关和若干数据源终端,每个数据源终端接入到相应的网关,共同组成相应网络结构。根据网络中所有网关的拓扑连接结构,对网络进行片区划分,得到若干子网络,这样后续以每个子网络作为单独网络片区进行抽样,提高对每个子网络的抽样可靠性。其中部分网关作为共用网关实现不同子网络相互之间的连接,对每个共用网关进行标识处理,并确定每个共用网关在网络的IP地址信息,便于后续以共用网关为基准,将共用网关进行关闭状态和开放状态的切换,快速实现对每个子网络的隔离处理。
优选地,在该步骤S1中,根据该数据样本信息,判断该子网络是否处于数据流异常状态,包括:
对所有上行数据包样本和所有下行数据包样本进行分析处理,确定对应子网络在第一预设时间长度内的上行数据流量值和下行数据流量值;
若该上行数据流量值或该下行数据流量值大于预设数据流量阈值,则判断该子网络处于数据流异常状态;否则,判断该子网络不属于数据流异常状态。
上述技术方案的有益效果为:当数据源终端在短时间内的数据流量突增,表明数据源终端可能存在运行异常的情况,通过对每个子网络包含的数据源终端的采样得到的所有上行数据包样本和所有下行数据包样本进行分析处理,得到子网络整体在第一预设时间长度内的上行/下行数据流量值,以此判断子网络是否存在数据流过大的异常情况,实现对每个子网络的异常与否的精确区分识别。
优选地,在该步骤S2中,对该网络中所有处于数据流异常状态的子网络进行隔离处理,并对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络内部的数据流信息,包括:
根据处于数据流异常状态的子网络的所有共用网关各自的地址信息,将该所有共用网关切换至关闭状态,以此将处于数据流异常状态的子网络与该网络中不处于数据流异常状态的子网络进行隔离;
对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络的内部不同数据源终端之间传输的数据包内容信息和数据包传输路径信息,以此作为该数据流信息。
上述技术方案的有益效果为:通过上述方式,确定处于数据流异常状态的子网络关联的所有共用网关的IP地址信息,这样能够以IP地址信息为基准,将所有关联的共用网关切换至关闭状态,从而实现对处于数据流异常状态的子网络的隔离,避免处于数据流异常状态的子网络与其他子网络之间发生数据交互。此外,对处于数据流异常状态的子网络隔离后还可专门对其进行单独的第二抽样处理,有效减少第二抽样处理的工作量以及保证第二抽样处理的数据抽样可靠性。
优选地,在该步骤S2中,根据该数据流信息,判断处于数据流异常状态的子网络是否属于僵尸子网络,包括:
对该数据包内容信息进行解析处理,确定不同数据源终端之间传输的数据包是否包括预定数据代码字段;
对该数据包传输路径信息进行分析处理,确定所有具有预定数据代码字段的数据包是否在第二预定时间长度内具有相同的传输路径;若是,则判断处于数据流异常状态的子网络属于僵尸子网络;否则,判断处于数据流异常状态的子网络不属于僵尸子网络。
上述技术方案的有益效果为:通过上述方式,对第二抽样处理得到的数据包进行内容解析处理,判断数据包是否包含预定数据代码字段;其中,预定数据代码字段可为但不限于是预定类型攻击或病毒对应的特征代码字段;并且还对数据包传输路径进行识别,确定所有具有预定数据代码字段的数据包的传输路径相同与否,从而对当前子网络是否属于僵尸子网络进行可靠的识别判断。
优选地,在该步骤S3中,根据该是否属于僵尸子网络的判断结果,调整对应的处于数据流异常状态的子网络的隔离状态,具体包括:
当处于数据流异常状态的子网络不属于僵尸子网络,则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息,将该所有共用网关切换至开放状态;
当处于数据流异常状态的子网络属于僵尸子网络,则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息,保持该所有共用网关当前的关闭状态不变。
上述技术方案的有益效果为:通过上述方式,对僵尸子网络所有关联的共用网关保持当前的关闭状态不变,以及对非僵尸子网络的子网络所有关联的共用网关切换至开放状态,能够进一步缩小网络中子网络的排查范围,从而降低后续抽样处理的工作量以及保证其他非僵尸子网络的子网络及时进行联网连接,保证网络的正常工作。
优选地,在该步骤S3中,通过蜜罐对该僵尸子网络进行第三抽样处理,得到来自该僵尸子网络包含的每个数据源终端的报文数据,具体包括:
根据该僵尸子网络包含的所有数据源终端各自的IP地址信息,指示蜜罐对每个数据源终端分别发送预定请求消息,并抽样截取每个数据源终端关于该预定请求消息,向该蜜罐返回的应答报文数据
上述技术方案的有益效果为:通过上述方式,对僵尸子网络包含的所有数据源终端进行IP地址的标定,并通过设置蜜罐来诱导每个数据源终端与蜜罐进行交互,便于进一步识别每个数据源终端是否属于感染源终端。
优选地,在该步骤S4中,对该报文数据进行分析处理,确定该僵尸子网络存在的感染源终端,具体包括:
对该应答报文数据进行反编译处理,得到每个数据源终端的应答报文数据的代码流;
对该代码流进行分析处理,确定该代码流是否存在病毒代码;若存在,则将对应的数据源终端确定为属于感染源终端;并确定该僵尸子网络中所有感染源终端的IP地址信息和所有不属于感染源终端的数据源终端的IP地址信息
上述技术方案的有益效果为:通过对每个数据源终端返回的应答报文数据进行反编译处理和代码流识别处理,能够准确识别出僵尸子网络中存在的感染源终端,从中识别得到感染源终端和非感染源终端的IP地址信息,便于后续精确对感染源终端隔离和病毒查杀处理。
优选地,在该步骤S4中,对该感染源终端进行隔离处理后,解除该僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态,具体包括:
根据该僵尸子网络中所有不属于感染源终端的数据源终端的IP地址信息,对所有不属于感染源终端的数据源终端进行病毒查杀处理;
根据该僵尸子网络中所有感染源终端的IP地址信息,确定与所有感染源终端连接的所有网关的IP地址信息,以此将与所有感染源终端连接的所有网关切换至关闭状态,从而对所有感染源终端进行隔离处理;再解除该僵尸子网络中所有不属于感染源终端的数据源终端的隔离状态。
上述技术方案的有益效果为:通过上述方式,将与所有感染源终端连接的所有网关切换至关闭状态,能够有效避免感染源终端继续对其他数据源终端进行攻击和病毒传播,并且还能有针对性地对感染源终端进行隔离和病毒查杀处理,从而在不需要对网络进行全网查杀的情况下,也能够快速准确地定位到病毒源。
参阅图2,为本发明实施例提供的基于大规模多数据源的一体化网络安全分析系统的结构框图。该基于大规模多数据源的一体化网络安全分析系统包括:
子网络划分与抽样模块,用于将网络划分为若干子网络,并对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端的数据样本信息;
第一子网络判断模块,用于根据该数据样本信息,判断该子网络是否处于数据流异常状态;
第一子网络隔离与抽样模块,用于对该网络中所有处于数据流异常状态的子网络进行隔离处理,并对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络内部的数据流信息;
第二子网络判断模块,用于根据该数据流信息,判断处于数据流异常状态的子网络是否属于僵尸子网络;
第二子网络隔离与抽样模块,用于根据该是否属于僵尸子网络的判断结果,调整对应的处于数据流异常状态的子网络的隔离状态;通过蜜罐对该僵尸子网络进行第三抽样处理,得到来自该僵尸子网络包含的每个数据源终端的报文数据;
第三子网络判断模块,用于对该报文数据进行分析处理,确定该僵尸子网络存在的感染源终端;
隔离状态调整模块,用于对该感染源终端进行隔离处理后,解除该僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态。
上述基于大规模多数据源的一体化网络安全分析系统与前述基于大规模多数据源的一体化网络安全分析方法的工作过程是相同的,这里不再对其进行重复的叙述。
从上述实施例的内容可知,该基于大规模多数据源的一体化网络安全分析系统及方法将网络划分为若干子网络,对每个子网络进行不同形式的抽样处理,判断子网络是否处于数据流异常状态和是否属于僵尸子网络,并对处于数据流异常状态的子网络和僵尸子网络进行隔离,避免对其他子网络产生攻击和病毒传播;还利用蜜罐对僵尸子网络中的每个终端进行排查,确定其中存在的感染源终端,对感染源终端进行单独隔离以及解除网络中其他所有子网络的隔离状态,其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端,及时避免感染源终端影响网络中其他数据源终端的正常工作,提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (9)

1.基于大规模多数据源的一体化网络安全分析方法,其特征在于,包括如下步骤:
步骤S1,将网络划分为若干子网络,并对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端的数据样本信息;根据所述数据样本信息,判断所述子网络是否处于数据流异常状态;
步骤S2,对所述网络中所有处于数据流异常状态的子网络进行隔离处理,并对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络内部的数据流信息;根据所述数据流信息,判断处于数据流异常状态的子网络是否属于僵尸子网络;
步骤S3,根据所述是否属于僵尸子网络的判断结果,调整对应的处于数据流异常状态的子网络的隔离状态;通过蜜罐对所述僵尸子网络进行第三抽样处理,得到来自所述僵尸子网络包含的每个数据源终端的报文数据;
步骤S4,对所述报文数据进行分析处理,确定所述僵尸子网络存在的感染源终端;对所述感染源终端进行隔离处理后,解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态;
在所述步骤S2中,对所述网络中所有处于数据流异常状态的子网络进行隔离处理,并对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络内部的数据流信息,包括:
根据处于数据流异常状态的子网络的所有共用网关各自的地址信息,将所述所有共用网关切换至关闭状态,以此将处于数据流异常状态的子网络与所述网络中不处于数据流异常状态的子网络进行隔离;
对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络的内部不同数据源终端之间传输的数据包内容信息和数据包传输路径信息,以此作为所述数据流信息。
2.如权利要求1所述的基于大规模多数据源的一体化网络安全分析方法,其特征在于:
在所述步骤S1中,将网络划分为若干子网络,并对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端的数据样本信息,包括:
获取网络中所有网关的拓扑连接信息,根据所述拓扑连接信息,将所述网络划分为若干子网络,并且对不同子网络相互之间的共用网关进行标识处理,确定所有共用网关在所述网络的IP地址信息;
对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端在预设时间长度内的所有上行数据包样本和所有下行数据包样本,以此作为所述数据样本信息。
3.如权利要求2所述的基于大规模多数据源的一体化网络安全分析方法,其特征在于:
在所述步骤S1中,根据所述数据样本信息,判断所述子网络是否处于数据流异常状态,包括:
对所有上行数据包样本和所有下行数据包样本进行分析处理,确定对应子网络在第一预设时间长度内的上行数据流量值和下行数据流量值;
若所述上行数据流量值或所述下行数据流量值大于预设数据流量阈值,则判断所述子网络处于数据流异常状态;否则,判断所述子网络不属于数据流异常状态。
4.如权利要求1所述的基于大规模多数据源的一体化网络安全分析方法,其特征在于:
在所述步骤S2中,根据所述数据流信息,判断处于数据流异常状态的子网络是否属于僵尸子网络,包括:
对所述数据包内容信息进行解析处理,确定不同数据源终端之间传输的数据包是否包括预定数据代码字段;
对所述数据包传输路径信息进行分析处理,确定所有具有预定数据代码字段的数据包是否在第二预定时间长度内具有相同的传输路径;若是,则判断处于数据流异常状态的子网络属于僵尸子网络;否则,判断处于数据流异常状态的子网络不属于僵尸子网络。
5.如权利要求4所述的基于大规模多数据源的一体化网络安全分析方法,其特征在于:
在所述步骤S3中,根据所述是否属于僵尸子网络的判断结果,调整对应的处于数据流异常状态的子网络的隔离状态,具体包括:
当处于数据流异常状态的子网络不属于僵尸子网络,则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息,将所述所有共用网关切换至开放状态;
当处于数据流异常状态的子网络属于僵尸子网络,则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息,保持所述所有共用网关当前的关闭状态不变。
6.如权利要求5所述的基于大规模多数据源的一体化网络安全分析方法,其特征在于:
在所述步骤S3中,通过蜜罐对所述僵尸子网络进行第三抽样处理,得到来自所述僵尸子网络包含的每个数据源终端的报文数据,具体包括:
根据所述僵尸子网络包含的所有数据源终端各自的IP地址信息,指示蜜罐对每个数据源终端分别发送预定请求消息,并抽样截取每个数据源终端关于所述预定请求消息,向所述蜜罐返回的应答报文数据。
7.如权利要求6所述的基于大规模多数据源的一体化网络安全分析方法,其特征在于:
在所述步骤S4中,对所述报文数据进行分析处理,确定所述僵尸子网络存在的感染源终端,具体包括:
对所述应答报文数据进行反编译处理,得到每个数据源终端的应答报文数据的代码流;
对所述代码流进行分析处理,确定所述代码流是否存在病毒代码;若存在,则将对应的数据源终端确定为属于感染源终端;并确定所述僵尸子网络中所有感染源终端的IP地址信息和所有不属于感染源终端的数据源终端的IP地址信息。
8.如权利要求7所述的基于大规模多数据源的一体化网络安全分析方法,其特征在于:
在所述步骤S4中,对所述感染源终端进行隔离处理后,解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态,具体包括:
根据所述僵尸子网络中所有不属于感染源终端的数据源终端的IP地址信息,对所有不属于感染源终端的数据源终端进行病毒查杀处理;
根据所述僵尸子网络中所有感染源终端的IP地址信息,确定与所有感染源终端连接的所有网关的IP地址信息,以此将与所有感染源终端连接的所有网关切换至关闭状态,从而对所有感染源终端进行隔离处理;再解除所述僵尸子网络中所有不属于感染源终端的数据源终端的隔离状态。
9.用于实现如权利要求1-8中任一项所述的基于大规模多数据源的一体化网络安全分析方法的系统,其特征在于,包括:
子网络划分与抽样模块,用于将网络划分为若干子网络,并对每个子网络接入的所有数据源终端进行第一抽样处理,得到每个数据源终端的数据样本信息;
第一子网络判断模块,用于根据所述数据样本信息,判断所述子网络是否处于数据流异常状态;
第一子网络隔离与抽样模块,用于对所述网络中所有处于数据流异常状态的子网络进行隔离处理,并对每个处于数据流异常状态的子网络进行第二抽样处理,得到处于数据流异常状态的子网络内部的数据流信息;
第二子网络判断模块,用于根据所述数据流信息,判断处于数据流异常状态的子网络是否属于僵尸子网络;
第二子网络隔离与抽样模块,用于根据所述是否属于僵尸子网络的判断结果,调整对应的处于数据流异常状态的子网络的隔离状态;通过蜜罐对所述僵尸子网络进行第三抽样处理,得到来自所述僵尸子网络包含的每个数据源终端的报文数据;
第三子网络判断模块,用于对所述报文数据进行分析处理,确定所述僵尸子网络存在的感染源终端;
隔离状态调整模块,用于对所述感染源终端进行隔离处理后,解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态。
CN202211487193.9A 2022-11-25 2022-11-25 基于大规模多数据源的一体化网络安全分析系统及方法 Active CN115550065B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211487193.9A CN115550065B (zh) 2022-11-25 2022-11-25 基于大规模多数据源的一体化网络安全分析系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211487193.9A CN115550065B (zh) 2022-11-25 2022-11-25 基于大规模多数据源的一体化网络安全分析系统及方法

Publications (2)

Publication Number Publication Date
CN115550065A CN115550065A (zh) 2022-12-30
CN115550065B true CN115550065B (zh) 2023-03-03

Family

ID=84720126

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211487193.9A Active CN115550065B (zh) 2022-11-25 2022-11-25 基于大规模多数据源的一体化网络安全分析系统及方法

Country Status (1)

Country Link
CN (1) CN115550065B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527403B (zh) * 2023-07-03 2023-09-08 国网四川省电力公司信息通信公司 用于局域网的网络安全控制方法和系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640666A (zh) * 2008-08-01 2010-02-03 北京启明星辰信息技术股份有限公司 一种面向目标网络的流量控制装置及方法
CN102571487A (zh) * 2011-12-20 2012-07-11 东南大学 基于多数据源分布式的僵尸网络规模测量及追踪方法
CN105516196A (zh) * 2016-01-19 2016-04-20 国家计算机网络与信息安全管理中心江苏分中心 基于http报文数据的并行化网络异常检测方法与系统
CN106888163A (zh) * 2017-03-31 2017-06-23 中国科学技术大学苏州研究院 软件定义网络中基于网络域划分的路由方法
CN109104438A (zh) * 2018-10-22 2018-12-28 杭州安恒信息技术股份有限公司 一种窄带物联网中的僵尸网络预警方法及装置
CN111669370A (zh) * 2020-05-15 2020-09-15 深圳供电局有限公司 一种基于数据分析的网络攻击溯源方法及系统
CN113891325A (zh) * 2021-09-17 2022-01-04 中标慧安信息技术股份有限公司 基于多接入边缘计算的网络切换方法和系统
CN114268452A (zh) * 2021-11-17 2022-04-01 杨磊 一种网络安全防护方法及系统
WO2022139642A1 (en) * 2020-12-22 2022-06-30 Telefonaktiebolaget Lm Ericsson (Publ) Device, method, and system for supporting botnet traffic detection

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8176112B2 (en) * 2007-10-12 2012-05-08 At&T Intellectual Property I, L.P. Systems, methods, and products for multimedia applications gateways
CN104580173B (zh) * 2014-12-25 2017-10-10 广东顺德中山大学卡内基梅隆大学国际联合研究院 一种sdn异常检测与阻截方法及系统
US10484405B2 (en) * 2015-01-23 2019-11-19 Cisco Technology, Inc. Packet capture for anomalous traffic flows
US11070592B2 (en) * 2015-10-28 2021-07-20 Qomplx, Inc. System and method for self-adjusting cybersecurity analysis and score generation
US10298604B2 (en) * 2016-09-05 2019-05-21 Cisco Technology, Inc. Smart home security system
CN108809708A (zh) * 2018-06-04 2018-11-13 深圳众厉电力科技有限公司 一种电力通信网络节点故障检测系统
CN110190993A (zh) * 2019-05-22 2019-08-30 青岛海信宽带多媒体技术有限公司 一种网络设备异常诊断方法、装置及计算机设备
CN111224975A (zh) * 2019-12-31 2020-06-02 北京安码科技有限公司 一种基于网关远程控制攻击的反制系统
CN115277241A (zh) * 2022-08-03 2022-11-01 西安热工研究院有限公司 一种基于流量分层的异常流量检测方法、装置及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640666A (zh) * 2008-08-01 2010-02-03 北京启明星辰信息技术股份有限公司 一种面向目标网络的流量控制装置及方法
CN102571487A (zh) * 2011-12-20 2012-07-11 东南大学 基于多数据源分布式的僵尸网络规模测量及追踪方法
CN105516196A (zh) * 2016-01-19 2016-04-20 国家计算机网络与信息安全管理中心江苏分中心 基于http报文数据的并行化网络异常检测方法与系统
CN106888163A (zh) * 2017-03-31 2017-06-23 中国科学技术大学苏州研究院 软件定义网络中基于网络域划分的路由方法
CN109104438A (zh) * 2018-10-22 2018-12-28 杭州安恒信息技术股份有限公司 一种窄带物联网中的僵尸网络预警方法及装置
CN111669370A (zh) * 2020-05-15 2020-09-15 深圳供电局有限公司 一种基于数据分析的网络攻击溯源方法及系统
WO2022139642A1 (en) * 2020-12-22 2022-06-30 Telefonaktiebolaget Lm Ericsson (Publ) Device, method, and system for supporting botnet traffic detection
CN113891325A (zh) * 2021-09-17 2022-01-04 中标慧安信息技术股份有限公司 基于多接入边缘计算的网络切换方法和系统
CN114268452A (zh) * 2021-11-17 2022-04-01 杨磊 一种网络安全防护方法及系统

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
An Advanced Computing Approach for IoT-Botnet Detection in Industrial Internet of Things;Tu N.Nguyen等;《IEEE Transactions on Industrial Informatics》;20220222;第18卷(第11期);全文 *
一种用于异常检测的网络流量抽样方法;潘乔等;《西安交通大学学报》;20080514(第02期);全文 *
基于Netflow的局域网流量异常检测系统的设计与实现;王珣;《信息与电脑(理论版)》;20161108(第21期);全文 *
基于分层抽样算法的异常攻击流量检测;王苏南等;《计算机工程》;20120620(第12期);全文 *
基于混合学习方法的网络流量异常检测方法研究;穆晓娇;《中国优秀硕士学位论文全文数据库 信息科技辑》;20220115(第01期);全文 *
基于蜜罐技术的Mirai僵尸网络检测技术研究;钱劼;《中国优秀硕士学位论文全文数据库 信息科技辑》;20190815(第08期);全文 *

Also Published As

Publication number Publication date
CN115550065A (zh) 2022-12-30

Similar Documents

Publication Publication Date Title
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN109951500B (zh) 网络攻击检测方法及装置
CN103795709B (zh) 一种网络安全检测方法和系统
EP2171976B1 (en) Method and mechanism for port redirects in a network switch
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
EP3535941A1 (en) Port scanning
KR102088299B1 (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
KR100996288B1 (ko) 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법
CN107204965B (zh) 一种密码破解行为的拦截方法及系统
AbdelSalam et al. Mitigating ARP spoofing attacks in software-defined networks
CN115550065B (zh) 基于大规模多数据源的一体化网络安全分析系统及方法
CN106534068A (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
EP2127220A2 (en) Automatic discovery of blocking access-list id and match statements in a network
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
CN107864110A (zh) 僵尸网络主控端检测方法和装置
Nelle et al. Securing IPv6 neighbor discovery and SLAAC in access networks through SDN
KR101074198B1 (ko) 유해 트래픽 발생 호스트 격리 방법 및 시스템
CN114553513A (zh) 一种通信检测方法、装置及设备
CN111787110B (zh) 一种Socks代理发现方法及系统
KR20030042318A (ko) 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템
Mavani et al. Security implication and detection of threats due to manipulating IPv6 extension headers
CN115208596B (zh) 网络入侵防御方法、装置及存储介质
Bojjagani et al. Early DDoS Detection and Prevention with Traced-Back Blocking in SDN Environment.
CN112671783B (zh) 一种基于vlan用户组的防主机ip扫描方法
Song et al. Collaborative defense mechanism using statistical detection method against DDoS attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant