本發(fā)明涉及網(wǎng)絡(luò)安全監(jiān)控,尤其涉及一種網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)。
背景技術(shù):
1、網(wǎng)絡(luò)安全監(jiān)控技術(shù)領(lǐng)域包含對計算機網(wǎng)絡(luò)中的安全威脅進行檢測、分析和響應(yīng)的技術(shù)方法,核心內(nèi)容包括網(wǎng)絡(luò)流量分析、入侵檢測、異常行為識別以及安全事件日志管理等。網(wǎng)絡(luò)安全監(jiān)控技術(shù)通過實時監(jiān)測數(shù)據(jù)流動情況,識別潛在惡意活動,并結(jié)合威脅情報信息進行風(fēng)險評估。整體上涵蓋靜態(tài)和動態(tài)檢測方法,包括基于規(guī)則匹配的分析方式以及結(jié)合特征學(xué)習(xí)的檢測策略,同時涉及對網(wǎng)絡(luò)設(shè)備、通信協(xié)議、訪問行為等進行安全性評估,以確保信息系統(tǒng)的穩(wěn)定性與可靠性。
2、其中,網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)是指用于對計算機網(wǎng)絡(luò)環(huán)境中的安全風(fēng)險進行檢測、分析和預(yù)警的技術(shù)方案,涵蓋網(wǎng)絡(luò)數(shù)據(jù)包解析、協(xié)議層級審查、異常行為建模與比對、日志信息歸類存儲及風(fēng)險評估等技術(shù)事項。其方式主要包括對采集的網(wǎng)絡(luò)通信數(shù)據(jù)進行解碼分析,從協(xié)議特征、會話行為等維度提取數(shù)據(jù)內(nèi)容,并基于預(yù)設(shè)策略進行比對分析,以識別潛在的安全威脅。此外,該系統(tǒng)對已檢測到的安全事件進行分類歸檔,結(jié)合時間序列分析方法構(gòu)建威脅態(tài)勢感知模型,并利用策略匹配方法生成安全預(yù)警信息,實現(xiàn)對網(wǎng)絡(luò)環(huán)境的持續(xù)安全監(jiān)測。
3、現(xiàn)有網(wǎng)絡(luò)安全監(jiān)控過程中,主要依賴靜態(tài)規(guī)則匹配方式進行流量檢測,導(dǎo)致在應(yīng)對流量異常時難以適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境,缺乏對數(shù)據(jù)包內(nèi)部結(jié)構(gòu)的細粒度分析,容易忽略數(shù)據(jù)字段之間的關(guān)聯(lián)性,導(dǎo)致部分異常數(shù)據(jù)未被準(zhǔn)確捕獲。由于未能結(jié)合字段排列特征與依賴關(guān)系進行異常篩選,檢測機制難以有效識別結(jié)構(gòu)異常流量,影響數(shù)據(jù)包完整性判斷的可靠性。異常流量溯源過程中,缺乏對數(shù)據(jù)包變異趨勢的深入分析,導(dǎo)致對流量來源的追蹤僅限于ip和端口層面,難以精準(zhǔn)定位攻擊路徑。來源流量分析通?;趩未萎惓J录?,未能結(jié)合歷史記錄對流量模式進行趨勢判斷,影響對持續(xù)性異常的識別能力,使得部分短期異常與長期攻擊難以區(qū)分。在風(fēng)險評估環(huán)節(jié),異常流量影響范圍的判定方式較為靜態(tài),難以動態(tài)適應(yīng)威脅的變化趨勢,導(dǎo)致安全策略響應(yīng)存在滯后性,影響網(wǎng)絡(luò)環(huán)境的整體防護能力。
技術(shù)實現(xiàn)思路
1、本發(fā)明的目的是解決現(xiàn)有技術(shù)中存在的缺點,而提出的一種網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)。
2、為了實現(xiàn)上述目的,本發(fā)明采用了如下技術(shù)方案:一種網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)包括:
3、流量解析模塊獲取網(wǎng)絡(luò)流量數(shù)據(jù)包,提取網(wǎng)絡(luò)流量數(shù)據(jù)包中的字段名稱、字段值及字段順序,判斷字段間依賴關(guān)系,計算字段排列規(guī)則,得到字段依賴映射結(jié)果;
4、異常檢測模塊基于所述字段依賴映射結(jié)果,分析正常流量字段的排列穩(wěn)定性,對比當(dāng)前網(wǎng)絡(luò)流量數(shù)據(jù)包的字段排列方式,計算字段匹配度,結(jié)合字段取值關(guān)系判斷網(wǎng)絡(luò)流量數(shù)據(jù)包結(jié)構(gòu)完整性,得到字段序列偏移分析結(jié)果;
5、流量溯源模塊基于所述字段序列偏移分析結(jié)果,提取異常網(wǎng)絡(luò)流量數(shù)據(jù)包的時間戳、封包序列號及標(biāo)志字段,分析字段變化趨勢,溯源異常網(wǎng)絡(luò)流量數(shù)據(jù)包ip地址、端口及路徑,得到變異路徑關(guān)聯(lián)分析記錄;
6、異常篩選模塊根據(jù)所述變異路徑關(guān)聯(lián)分析記錄,計算來源ip在異常數(shù)據(jù)包中的分布頻率,計算異常網(wǎng)絡(luò)流量數(shù)據(jù)包的連續(xù)性和來源ip重疊度,分析數(shù)據(jù)包字段變異幅度與時間窗口匹配情況,判斷來源流量是否屬于持續(xù)異常流量,得到持續(xù)異常流量占比數(shù)據(jù)。
7、作為本發(fā)明的進一步方案,所述字段依賴映射結(jié)果包括字段名稱依賴關(guān)系、字段順序依賴關(guān)系、字段取值依賴關(guān)系,所述字段序列偏移分析結(jié)果包括字段匹配度、字段排列偏差值、字段取值完整性記錄,所述變異路徑關(guān)聯(lián)分析記錄包括異常數(shù)據(jù)包時間戳、封包序列號、字段變異范圍、變異趨勢相似度、異常數(shù)據(jù)包ip地址及端口,所述持續(xù)異常流量占比數(shù)據(jù)包括異常數(shù)據(jù)包分布頻率、異常數(shù)據(jù)包時間分布模式、異常流量連續(xù)性分析結(jié)果、來源ip重疊度、字段變異幅度匹配情況。
8、作為本發(fā)明的進一步方案,所述流量解析模塊包括:
9、數(shù)據(jù)包獲取子模塊獲取網(wǎng)絡(luò)流量數(shù)據(jù)包,提取其中的協(xié)議類型、源ip地址、目標(biāo)ip地址、源端口、目標(biāo)端口、數(shù)據(jù)長度等基礎(chǔ)字段信息,識別數(shù)據(jù)包的有效性,篩選異常、損壞的數(shù)據(jù)包,得到有效網(wǎng)絡(luò)流量數(shù)據(jù)包;
10、字段解析子模塊基于所述有效網(wǎng)絡(luò)流量數(shù)據(jù)包,解析數(shù)據(jù)包結(jié)構(gòu),提取字段名稱、字段值及字段順序,分析字段的分布特征,計算字段出現(xiàn)頻率及占比,建立字段與協(xié)議類型的對應(yīng)關(guān)系,采用公式:
11、;
12、計算字段分布系數(shù),篩選字段頻率特征,生成字段分布映射結(jié)果,其中,代表第個字段值,代表字段均值,代表字段標(biāo)準(zhǔn)差,代表字段所屬協(xié)議權(quán)重,代表字段出現(xiàn)頻率,表示數(shù)據(jù)包中字段的取值總數(shù),表示所有字段類別的總數(shù);
13、依賴分析子模塊基于所述字段分布映射結(jié)果,判斷字段間的依賴關(guān)系,分析字段間的先后順序,計算字段間的相對位置距離,構(gòu)建字段依賴矩陣,得到字段依賴映射結(jié)果。
14、作為本發(fā)明的進一步方案,所述異常檢測模塊包括:
15、字段匹配子模塊基于所述字段依賴映射結(jié)果,分析正常流量字段的排列穩(wěn)定性,提取正常流量模式下的字段順序特征,對比當(dāng)前網(wǎng)絡(luò)流量數(shù)據(jù)包的字段排列方式,采用公式:
16、;
17、計算字段匹配誤差,判斷字段排列是否符合正常流量模式,得到字段匹配誤差值,其中,代表當(dāng)前數(shù)據(jù)包字段序列中的第個字段位置,代表正常流量模式下第個字段的期望位置,代表字段匹配過程中涉及的字段間相對距離,代表數(shù)據(jù)包中實際參與匹配的字段數(shù)量,代表數(shù)據(jù)包中涉及字段相對位置比較次數(shù);
18、偏差篩選子模塊基于所述字段匹配誤差值,篩選字段順序偏差超出偏差閾值的數(shù)據(jù)包,計算超出偏差閾值的字段比例,判斷數(shù)據(jù)包是否存在字段排列異常,得到字段排列異常比率數(shù)據(jù);
19、完整性判斷子模塊基于所述字段排列異常比率數(shù)據(jù),結(jié)合字段取值關(guān)系,判斷網(wǎng)絡(luò)流量數(shù)據(jù)包結(jié)構(gòu)的完整性,篩選結(jié)構(gòu)異常的數(shù)據(jù)包,得到字段序列偏移分析結(jié)果。
20、作為本發(fā)明的進一步方案,所述流量溯源模塊包括:
21、字段變異計算子模塊基于所述字段序列偏移分析結(jié)果,提取異常網(wǎng)絡(luò)流量數(shù)據(jù)包的時間戳、封包序列號及標(biāo)志字段,計算字段變異范圍及時間間隔,歸納異常數(shù)據(jù)包的時間分布特征,得到字段變異時間特征;
22、變異趨勢分析子模塊基于所述字段變異時間特征,分析字段變化趨勢,對比異常數(shù)據(jù)包間的字段取值變化,分析數(shù)據(jù)包字段相似度,采用公式:
23、;
24、計算字段變異趨勢特征,篩選字段變異趨勢一致的數(shù)據(jù)包,得到字段變異趨勢匹配結(jié)果,其中,數(shù)據(jù)包,代表數(shù)據(jù)包間字段取值偏差,代表數(shù)據(jù)包間的時間間隔,代表數(shù)據(jù)包數(shù)量,代表數(shù)據(jù)包字段偏差計算次數(shù),代表數(shù)據(jù)包時間間隔計算次數(shù);
25、溯源路徑解析子模塊基于所述字段變異趨勢匹配結(jié)果,篩選異常網(wǎng)絡(luò)流量數(shù)據(jù)包的ip地址、端口及路徑,構(gòu)建數(shù)據(jù)包的溯源路徑關(guān)系,建立變異路徑關(guān)聯(lián)分析記錄。
26、作為本發(fā)明的進一步方案,所述異常篩選模塊包括:
27、來源ip分析子模塊基于所述變異路徑關(guān)聯(lián)分析記錄,提取來源流量的歷史記錄,計算來源ip在異常數(shù)據(jù)包中的分布頻率,歸納來源ip的異常出現(xiàn)比例,得到異常來源ip占比數(shù)據(jù);
28、流量連續(xù)性計算子模塊基于所述異常來源ip占比數(shù)據(jù),解析異常數(shù)據(jù)包的時間分布模式,計算異常網(wǎng)絡(luò)流量數(shù)據(jù)包的連續(xù)性和來源ip重疊度,采用公式:
29、;
30、計算流量時間分布連續(xù)性系數(shù),篩選時間窗口內(nèi)來源ip重疊度異常的數(shù)據(jù)包,得到異常流量連續(xù)性系數(shù),其中,代表第個異常數(shù)據(jù)包的時間戳,代表前一個數(shù)據(jù)包的時間戳,代表時間窗口內(nèi)異常數(shù)據(jù)包數(shù)量,代表來源ip在異常數(shù)據(jù)包中的分布頻率,代表來源ip的正常流量占比,代表異常數(shù)據(jù)包總數(shù),代表來源ip總數(shù);
31、異常趨勢匹配子模塊基于所述異常流量連續(xù)性系數(shù),分析數(shù)據(jù)包的字段變異幅度與時間窗口內(nèi)的匹配情況,判斷來源流量是否屬于持續(xù)異常流量,計算異常數(shù)據(jù)包占比,得到持續(xù)異常流量占比數(shù)據(jù)。
32、作為本發(fā)明的進一步方案,所述系統(tǒng)還包括風(fēng)險評估模塊;
33、風(fēng)險評估模塊根據(jù)所述持續(xù)異常流量占比數(shù)據(jù),計算異常數(shù)據(jù)包在不同網(wǎng)絡(luò)節(jié)點中的分布情況,確定異常數(shù)據(jù)包的影響范圍,評估異常流量的危害程度,發(fā)出異常流量威脅信息;
34、所述異常流量威脅信息包括異常數(shù)據(jù)包網(wǎng)絡(luò)節(jié)點分布記錄、異常流量影響范圍、異常流量危害程度。
35、作為本發(fā)明的進一步方案,所述風(fēng)險評估模塊包括:
36、異常流量分布子模塊基于所述持續(xù)異常流量占比數(shù)據(jù),計算異常數(shù)據(jù)包在不同網(wǎng)絡(luò)節(jié)點中的分布情況,統(tǒng)計各節(jié)點異常數(shù)據(jù)包的數(shù)量及比例,歸納異常數(shù)據(jù)的集中區(qū)域,得到異常流量節(jié)點分布記錄;
37、異常影響范圍評估子模塊基于所述異常流量節(jié)點分布記錄,確定異常數(shù)據(jù)包的影響范圍,分析異常數(shù)據(jù)包在各網(wǎng)絡(luò)路徑上的分布趨勢,評估異常流量的擴散程度,得到異常流量影響指數(shù);
38、威脅等級判定子模塊基于所述異常流量影響指數(shù),評估異常流量的危害程度,計算威脅等級分布情況,篩選風(fēng)險流量節(jié)點,生成異常流量威脅信息。
39、與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點和積極效果在于:
40、本發(fā)明中,通過解析網(wǎng)絡(luò)流量數(shù)據(jù)包結(jié)構(gòu),提取字段名稱、字段值及字段順序,并計算字段依賴關(guān)系,能夠構(gòu)建字段排列與取值的關(guān)聯(lián)模型,從全局角度評估流量數(shù)據(jù)的穩(wěn)定性,避免依賴單一數(shù)據(jù)包導(dǎo)致的誤判,基于字段匹配度和排列方式的偏差分析,能夠有效區(qū)分異常流量與正常流量模式,提高對細微異常的敏感度,減少因靜態(tài)規(guī)則匹配帶來的局限性,字段變異范圍、時間間隔及趨勢相似度的計算,確保數(shù)據(jù)包溯源能夠結(jié)合多個維度進行綜合判斷,提高追蹤的精準(zhǔn)性,并增強對變異模式的識別能力,來源ip的分布頻率及重疊度分析,結(jié)合數(shù)據(jù)包的變異幅度與時間序列信息,能夠明確流量異常的持續(xù)性特征,使安全監(jiān)測從單一數(shù)據(jù)點分析向行為趨勢分析擴展,異常流量的影響范圍、網(wǎng)絡(luò)節(jié)點分布及危害程度的綜合評估,能夠為風(fēng)險預(yù)警提供量化依據(jù),增強安全策略的針對性,使響應(yīng)措施能夠更貼合威脅實際情況,提高整體安全監(jiān)測的精準(zhǔn)度和時效性。