本發(fā)明涉及網(wǎng)絡(luò)安全監(jiān)控,尤其涉及一種網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)��。
背景技術(shù):
1���、網(wǎng)絡(luò)安全監(jiān)控技術(shù)領(lǐng)域包含對計算機網(wǎng)絡(luò)中的安全威脅進行檢測����、分析和響應(yīng)的技術(shù)方法�����,核心內(nèi)容包括網(wǎng)絡(luò)流量分析�����、入侵檢測、異常行為識別以及安全事件日志管理等����。網(wǎng)絡(luò)安全監(jiān)控技術(shù)通過實時監(jiān)測數(shù)據(jù)流動情況����,識別潛在惡意活動,并結(jié)合威脅情報信息進行風(fēng)險評估�。整體上涵蓋靜態(tài)和動態(tài)檢測方法,包括基于規(guī)則匹配的分析方式以及結(jié)合特征學(xué)習(xí)的檢測策略��,同時涉及對網(wǎng)絡(luò)設(shè)備��、通信協(xié)議��、訪問行為等進行安全性評估��,以確保信息系統(tǒng)的穩(wěn)定性與可靠性����。
2、其中����,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)是指用于對計算機網(wǎng)絡(luò)環(huán)境中的安全風(fēng)險進行檢測�、分析和預(yù)警的技術(shù)方案����,涵蓋網(wǎng)絡(luò)數(shù)據(jù)包解析、協(xié)議層級審查��、異常行為建模與比對�����、日志信息歸類存儲及風(fēng)險評估等技術(shù)事項���。其方式主要包括對采集的網(wǎng)絡(luò)通信數(shù)據(jù)進行解碼分析��,從協(xié)議特征����、會話行為等維度提取數(shù)據(jù)內(nèi)容�����,并基于預(yù)設(shè)策略進行比對分析�,以識別潛在的安全威脅�。此外��,該系統(tǒng)對已檢測到的安全事件進行分類歸檔���,結(jié)合時間序列分析方法構(gòu)建威脅態(tài)勢感知模型�����,并利用策略匹配方法生成安全預(yù)警信息,實現(xiàn)對網(wǎng)絡(luò)環(huán)境的持續(xù)安全監(jiān)測���。
3�����、現(xiàn)有網(wǎng)絡(luò)安全監(jiān)控過程中�,主要依賴靜態(tài)規(guī)則匹配方式進行流量檢測����,導(dǎo)致在應(yīng)對流量異常時難以適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境,缺乏對數(shù)據(jù)包內(nèi)部結(jié)構(gòu)的細粒度分析�����,容易忽略數(shù)據(jù)字段之間的關(guān)聯(lián)性,導(dǎo)致部分異常數(shù)據(jù)未被準(zhǔn)確捕獲���。由于未能結(jié)合字段排列特征與依賴關(guān)系進行異常篩選����,檢測機制難以有效識別結(jié)構(gòu)異常流量���,影響數(shù)據(jù)包完整性判斷的可靠性���。異常流量溯源過程中,缺乏對數(shù)據(jù)包變異趨勢的深入分析�,導(dǎo)致對流量來源的追蹤僅限于ip和端口層面,難以精準(zhǔn)定位攻擊路徑���。來源流量分析通?����;趩未萎惓J录?��,未能結(jié)合歷史記錄對流量模式進行趨勢判斷,影響對持續(xù)性異常的識別能力,使得部分短期異常與長期攻擊難以區(qū)分����。在風(fēng)險評估環(huán)節(jié),異常流量影響范圍的判定方式較為靜態(tài)����,難以動態(tài)適應(yīng)威脅的變化趨勢,導(dǎo)致安全策略響應(yīng)存在滯后性���,影響網(wǎng)絡(luò)環(huán)境的整體防護能力����。
技術(shù)實現(xiàn)思路
1����、本發(fā)明的目的是解決現(xiàn)有技術(shù)中存在的缺點��,而提出的一種網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)�。
2、為了實現(xiàn)上述目的�����,本發(fā)明采用了如下技術(shù)方案:一種網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)包括:
3、流量解析模塊獲取網(wǎng)絡(luò)流量數(shù)據(jù)包�����,提取網(wǎng)絡(luò)流量數(shù)據(jù)包中的字段名稱���、字段值及字段順序��,判斷字段間依賴關(guān)系���,計算字段排列規(guī)則,得到字段依賴映射結(jié)果��;
4����、異常檢測模塊基于所述字段依賴映射結(jié)果,分析正常流量字段的排列穩(wěn)定性���,對比當(dāng)前網(wǎng)絡(luò)流量數(shù)據(jù)包的字段排列方式��,計算字段匹配度���,結(jié)合字段取值關(guān)系判斷網(wǎng)絡(luò)流量數(shù)據(jù)包結(jié)構(gòu)完整性��,得到字段序列偏移分析結(jié)果�����;
5�、流量溯源模塊基于所述字段序列偏移分析結(jié)果�����,提取異常網(wǎng)絡(luò)流量數(shù)據(jù)包的時間戳����、封包序列號及標(biāo)志字段,分析字段變化趨勢����,溯源異常網(wǎng)絡(luò)流量數(shù)據(jù)包ip地址、端口及路徑�����,得到變異路徑關(guān)聯(lián)分析記錄�;
6��、異常篩選模塊根據(jù)所述變異路徑關(guān)聯(lián)分析記錄,計算來源ip在異常數(shù)據(jù)包中的分布頻率�,計算異常網(wǎng)絡(luò)流量數(shù)據(jù)包的連續(xù)性和來源ip重疊度,分析數(shù)據(jù)包字段變異幅度與時間窗口匹配情況���,判斷來源流量是否屬于持續(xù)異常流量�,得到持續(xù)異常流量占比數(shù)據(jù)�。
7、作為本發(fā)明的進一步方案�����,所述字段依賴映射結(jié)果包括字段名稱依賴關(guān)系�、字段順序依賴關(guān)系、字段取值依賴關(guān)系��,所述字段序列偏移分析結(jié)果包括字段匹配度�、字段排列偏差值、字段取值完整性記錄����,所述變異路徑關(guān)聯(lián)分析記錄包括異常數(shù)據(jù)包時間戳、封包序列號���、字段變異范圍����、變異趨勢相似度、異常數(shù)據(jù)包ip地址及端口����,所述持續(xù)異常流量占比數(shù)據(jù)包括異常數(shù)據(jù)包分布頻率、異常數(shù)據(jù)包時間分布模式���、異常流量連續(xù)性分析結(jié)果�����、來源ip重疊度�����、字段變異幅度匹配情況�����。
8��、作為本發(fā)明的進一步方案����,所述流量解析模塊包括:
9��、數(shù)據(jù)包獲取子模塊獲取網(wǎng)絡(luò)流量數(shù)據(jù)包,提取其中的協(xié)議類型、源ip地址����、目標(biāo)ip地址、源端口��、目標(biāo)端口����、數(shù)據(jù)長度等基礎(chǔ)字段信息�����,識別數(shù)據(jù)包的有效性���,篩選異常�����、損壞的數(shù)據(jù)包��,得到有效網(wǎng)絡(luò)流量數(shù)據(jù)包�����;
10����、字段解析子模塊基于所述有效網(wǎng)絡(luò)流量數(shù)據(jù)包,解析數(shù)據(jù)包結(jié)構(gòu)�����,提取字段名稱���、字段值及字段順序�����,分析字段的分布特征����,計算字段出現(xiàn)頻率及占比�����,建立字段與協(xié)議類型的對應(yīng)關(guān)系,采用公式:
11����、�����;
12���、計算字段分布系數(shù)��,篩選字段頻率特征�,生成字段分布映射結(jié)果���,其中�,代表第個字段值�,代表字段均值,代表字段標(biāo)準(zhǔn)差��,代表字段所屬協(xié)議權(quán)重�����,代表字段出現(xiàn)頻率��,表示數(shù)據(jù)包中字段的取值總數(shù),表示所有字段類別的總數(shù)�;
13、依賴分析子模塊基于所述字段分布映射結(jié)果��,判斷字段間的依賴關(guān)系�,分析字段間的先后順序,計算字段間的相對位置距離�����,構(gòu)建字段依賴矩陣����,得到字段依賴映射結(jié)果。
14�、作為本發(fā)明的進一步方案,所述異常檢測模塊包括:
15����、字段匹配子模塊基于所述字段依賴映射結(jié)果,分析正常流量字段的排列穩(wěn)定性����,提取正常流量模式下的字段順序特征,對比當(dāng)前網(wǎng)絡(luò)流量數(shù)據(jù)包的字段排列方式,采用公式:
16��、;
17�、計算字段匹配誤差,判斷字段排列是否符合正常流量模式����,得到字段匹配誤差值��,其中����,代表當(dāng)前數(shù)據(jù)包字段序列中的第個字段位置,代表正常流量模式下第個字段的期望位置����,代表字段匹配過程中涉及的字段間相對距離,代表數(shù)據(jù)包中實際參與匹配的字段數(shù)量��,代表數(shù)據(jù)包中涉及字段相對位置比較次數(shù)��;
18�、偏差篩選子模塊基于所述字段匹配誤差值,篩選字段順序偏差超出偏差閾值的數(shù)據(jù)包��,計算超出偏差閾值的字段比例,判斷數(shù)據(jù)包是否存在字段排列異常��,得到字段排列異常比率數(shù)據(jù)��;
19��、完整性判斷子模塊基于所述字段排列異常比率數(shù)據(jù)��,結(jié)合字段取值關(guān)系�����,判斷網(wǎng)絡(luò)流量數(shù)據(jù)包結(jié)構(gòu)的完整性���,篩選結(jié)構(gòu)異常的數(shù)據(jù)包���,得到字段序列偏移分析結(jié)果。
20����、作為本發(fā)明的進一步方案,所述流量溯源模塊包括:
21��、字段變異計算子模塊基于所述字段序列偏移分析結(jié)果���,提取異常網(wǎng)絡(luò)流量數(shù)據(jù)包的時間戳���、封包序列號及標(biāo)志字段���,計算字段變異范圍及時間間隔,歸納異常數(shù)據(jù)包的時間分布特征�,得到字段變異時間特征;
22��、變異趨勢分析子模塊基于所述字段變異時間特征���,分析字段變化趨勢,對比異常數(shù)據(jù)包間的字段取值變化�����,分析數(shù)據(jù)包字段相似度����,采用公式:
23、�����;
24、計算字段變異趨勢特征��,篩選字段變異趨勢一致的數(shù)據(jù)包���,得到字段變異趨勢匹配結(jié)果��,其中����,數(shù)據(jù)包���,代表數(shù)據(jù)包間字段取值偏差����,代表數(shù)據(jù)包間的時間間隔��,代表數(shù)據(jù)包數(shù)量���,代表數(shù)據(jù)包字段偏差計算次數(shù)���,代表數(shù)據(jù)包時間間隔計算次數(shù);
25�、溯源路徑解析子模塊基于所述字段變異趨勢匹配結(jié)果��,篩選異常網(wǎng)絡(luò)流量數(shù)據(jù)包的ip地址���、端口及路徑,構(gòu)建數(shù)據(jù)包的溯源路徑關(guān)系��,建立變異路徑關(guān)聯(lián)分析記錄��。
26�����、作為本發(fā)明的進一步方案��,所述異常篩選模塊包括:
27�、來源ip分析子模塊基于所述變異路徑關(guān)聯(lián)分析記錄�,提取來源流量的歷史記錄,計算來源ip在異常數(shù)據(jù)包中的分布頻率����,歸納來源ip的異常出現(xiàn)比例,得到異常來源ip占比數(shù)據(jù)�����;
28、流量連續(xù)性計算子模塊基于所述異常來源ip占比數(shù)據(jù)���,解析異常數(shù)據(jù)包的時間分布模式�,計算異常網(wǎng)絡(luò)流量數(shù)據(jù)包的連續(xù)性和來源ip重疊度�,采用公式:
29、���;
30��、計算流量時間分布連續(xù)性系數(shù)�,篩選時間窗口內(nèi)來源ip重疊度異常的數(shù)據(jù)包�����,得到異常流量連續(xù)性系數(shù)���,其中����,代表第個異常數(shù)據(jù)包的時間戳���,代表前一個數(shù)據(jù)包的時間戳���,代表時間窗口內(nèi)異常數(shù)據(jù)包數(shù)量��,代表來源ip在異常數(shù)據(jù)包中的分布頻率��,代表來源ip的正常流量占比�,代表異常數(shù)據(jù)包總數(shù)�,代表來源ip總數(shù);
31��、異常趨勢匹配子模塊基于所述異常流量連續(xù)性系數(shù)��,分析數(shù)據(jù)包的字段變異幅度與時間窗口內(nèi)的匹配情況�����,判斷來源流量是否屬于持續(xù)異常流量�����,計算異常數(shù)據(jù)包占比�,得到持續(xù)異常流量占比數(shù)據(jù)�����。
32、作為本發(fā)明的進一步方案���,所述系統(tǒng)還包括風(fēng)險評估模塊�����;
33���、風(fēng)險評估模塊根據(jù)所述持續(xù)異常流量占比數(shù)據(jù),計算異常數(shù)據(jù)包在不同網(wǎng)絡(luò)節(jié)點中的分布情況�����,確定異常數(shù)據(jù)包的影響范圍�,評估異常流量的危害程度,發(fā)出異常流量威脅信息��;
34��、所述異常流量威脅信息包括異常數(shù)據(jù)包網(wǎng)絡(luò)節(jié)點分布記錄���、異常流量影響范圍��、異常流量危害程度�����。
35�、作為本發(fā)明的進一步方案,所述風(fēng)險評估模塊包括:
36����、異常流量分布子模塊基于所述持續(xù)異常流量占比數(shù)據(jù),計算異常數(shù)據(jù)包在不同網(wǎng)絡(luò)節(jié)點中的分布情況��,統(tǒng)計各節(jié)點異常數(shù)據(jù)包的數(shù)量及比例���,歸納異常數(shù)據(jù)的集中區(qū)域�,得到異常流量節(jié)點分布記錄�;
37、異常影響范圍評估子模塊基于所述異常流量節(jié)點分布記錄��,確定異常數(shù)據(jù)包的影響范圍���,分析異常數(shù)據(jù)包在各網(wǎng)絡(luò)路徑上的分布趨勢����,評估異常流量的擴散程度��,得到異常流量影響指數(shù)����;
38、威脅等級判定子模塊基于所述異常流量影響指數(shù)���,評估異常流量的危害程度��,計算威脅等級分布情況�,篩選風(fēng)險流量節(jié)點�,生成異常流量威脅信息。
39����、與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點和積極效果在于:
40��、本發(fā)明中����,通過解析網(wǎng)絡(luò)流量數(shù)據(jù)包結(jié)構(gòu),提取字段名稱����、字段值及字段順序�,并計算字段依賴關(guān)系��,能夠構(gòu)建字段排列與取值的關(guān)聯(lián)模型�,從全局角度評估流量數(shù)據(jù)的穩(wěn)定性,避免依賴單一數(shù)據(jù)包導(dǎo)致的誤判�,基于字段匹配度和排列方式的偏差分析,能夠有效區(qū)分異常流量與正常流量模式����,提高對細微異常的敏感度,減少因靜態(tài)規(guī)則匹配帶來的局限性�,字段變異范圍、時間間隔及趨勢相似度的計算�,確保數(shù)據(jù)包溯源能夠結(jié)合多個維度進行綜合判斷,提高追蹤的精準(zhǔn)性�����,并增強對變異模式的識別能力��,來源ip的分布頻率及重疊度分析��,結(jié)合數(shù)據(jù)包的變異幅度與時間序列信息����,能夠明確流量異常的持續(xù)性特征��,使安全監(jiān)測從單一數(shù)據(jù)點分析向行為趨勢分析擴展�����,異常流量的影響范圍、網(wǎng)絡(luò)節(jié)點分布及危害程度的綜合評估�,能夠為風(fēng)險預(yù)警提供量化依據(jù),增強安全策略的針對性��,使響應(yīng)措施能夠更貼合威脅實際情況��,提高整體安全監(jiān)測的精準(zhǔn)度和時效性���。