技術領域

本發明涉及計算機網絡領域，具體涉及一種數據分析系統。

背景技術

隨著計算機技術和網絡的快速發展，使得計算機已經成為人們在工作、學習和生活中不可缺少的工具。同樣，計算機網絡的發展，也帶來了用戶計算機信息的安全隱患，網絡信息竊取、信息攻擊、病毒傳播等都無時無刻地存在和發生。

網絡安全是計算機網絡及其應用領域中一直研究的關鍵問題，然而傳統的網絡安全理論和技術存在著以下三個無法克服的缺陷。首先，集中控制的方法對于當前分布式的網絡環境顯得力不從心；其次，網絡具有同構性，無法阻止可疑入侵者及病毒迅速廣泛傳播；再次，當前網絡威脅日新月異，傳統網絡安全理論和技術的靜態性和被動性已經無法適應惡劣多變的網絡環境。

同時在現有的流量監測系統中，普遍存在以下缺陷：

(1)由于大多網絡流量分析系統是面向提供Internet服務的運營商，其目的是幫助網絡運營商了解用戶對網絡的訪問情況，從而調整網絡設備架構和業務架構。

(2)現有的網絡流量分析系統在進行分析的過程中并不對會話進行全程跟蹤分析，并不能分析出網絡中的行為，因此無法保障網絡會話應用層的安全性。

(3)現有的網絡流量分析系統大多都是部署在單個節點，數據處理能力和分析處理能力較弱，不具備對大規模網絡流量信息進行分析處理的能力。

發明內容

為解決上述問題，本發明提供了一種數據分析系統，對網絡流量進行監測與審計，維護網絡良好狀態，通過對未知入侵行為的分析及記憶，提高網絡免疫能力，在入侵后能有效控制危害范圍，保證網絡暢通和服務的正常提供，該系統具備自主修復還原能力，維護網絡的運營穩定。

為實現上述目的，本發明采取的技術方案為：

一種數據分析系統，包括

病毒特征庫，用于儲存各種病毒的特征數據；

定時巡檢模塊，用于定時對主機內的情況進行檢查，并將檢查結果發送到指定的移動終端進行顯示；并用于將疑似病毒文件發送到預病毒數據庫進行審核；

預病毒數據庫，用于儲存各種疑似病毒文件，并用于對這些病毒文件進行審核，若確認為病毒文件，則提取該文件病毒特征指紋發送到病毒特征庫，若不是病毒，則將該文件從預病毒數據庫中移出；

病毒特征匹配模塊，用于計算被監控主機通信數據包的病毒特征指紋，與病毒特征庫內記錄比對；

端口審計模塊，用于選取通信連接中和服務相關的要素進行綜合分析，為維護和研究提供詳實報告；

流量統計模塊，用于進行總流量情況統計以及IP到IP流量數據統計，以主機對外的每一個連接為單位進行流量統計，并針對IP層網絡數據信息的網絡基本情況進行分析；用于根據傳輸層協議中的端口號，分析網絡服務應用列表，并且根據TCP協議的三次握手特性分析出網絡服務的客戶端節點信息；用于根據捕獲的數據包的基本信息進行網絡延時分析，用于統計網絡的基本情況；用于針對不同的應用層協議進行不同的分析，對協議內部進行分析，記錄主機操作內容、操作時間及操作對象；

網絡健康判別模塊，通過建立多態響應網絡異常評估模型，并將所檢測到的數據與評估模型進行對比后，選取網絡攻擊發生時具有特征的參數進行量化考察，得出網絡的健康程度并發送到計算機，并對不同程度威脅給出不同響應和處理建議；

病毒模擬模塊，用于利用模擬服務與產生異常流量的主機通信，提取攻擊指紋特征，充實病毒特征庫；

應急通道模塊，用于提示被攻陷主機的用戶，將工作環境遷至應急通道繼續工作，不必中斷工作處理安全問題；

還原模塊，用于待用戶完成工作離開計算機時，通過短信息編輯模塊發送給用戶的指定手機，從而提示用戶存在安全隱患并給出精確的還原時間建議，并幫助用戶選擇將計算機恢復至入侵之前的安全狀態；

數據隔離上傳模塊，用于根據網絡異常評估模塊得出的評估結果，將數據進行打包上傳到指定的移動終端，并清除計算機中的數據。

其中，所述病毒模擬模塊包括

虛擬應答模塊，通過給出虛擬應答并提供相應的虛擬服務，使敵手繼續攻擊以獲得攻擊流量；

模擬服務模塊，通過執行模擬服務腳本，與流量被重定向至免疫隔離單元的主機進行交互，模擬正常服務的交互過程，使威脅主機繼續攻擊；

攻擊備案模塊，記錄安全隔離模塊與具有威脅主機之間的通信信息并寫入數據庫，所述通信信息包括通信時間、通信雙方的IP和端口信息及攻擊者操作系統指紋信息；

數據挖掘模塊，若認定到達免疫隔離單元的流量是危險流量時，系統智能提取攻擊指紋特征并將所述特征存入免疫特征庫。