技術領域

本實用新型涉及計算機網絡安全領域，尤其是涉及一種基于大數據計算的網絡保護的系統。

背景技術

隨著互聯網越來越深入到社會經濟、生活的方面，計算機的網絡安全問題顯得愈發突出。目前在計算機網絡安全領域，大都采取基于安全規則的網絡保護方法。基于安全規則的網絡保護方法通常針對每一種已有的安全威脅類型制定具體的安全規則，并使用這些安全規則的組合來防范各種網絡攻擊。

但這種基于安全規則的網絡保護方法存在著明顯的缺陷。首先，這些安全規則都是相對靜態的，不能隨著攻擊手段的變化而自動進行調整，而是需要管理人員手動進行規則的更新和維護；其次，安全規則的制定只能依據已知的攻擊方式和漏洞，而對于未知的攻擊方式和還沒有補丁的漏洞進行的攻擊（0day攻擊）則完全沒有辦法防御；第三，隨著攻擊和漏洞的類型的不斷增加，安全規則的組合則越來越復雜，手動進行安全規則的維護不僅費時費力，并且極容易出錯而導致安全策略失效。

發明內容

針對上述缺陷和不足，本實用新型的目的在于提供一種基于大數據計算的網絡保護的系統，可以動態的發現各種攻擊方式和漏洞，即時進行防護。

所述的基于大數據計算的網絡保護的系統包括如下步驟：

（1）從用戶服務器實例云中采集大量服務器（各種服務程序）訪問數據，這里的大量是指比如1000臺以上各種服務程序服務器所收集的數據，包括包頭部、應用程序頭部、請求的負載部分。優選的數據有目標地址和請求的負載參數值部分。

（2）將收集到的各種服務程序訪問數據規則化，移除噪音數據，規則化的內容包括以鍵值對的方式格式化請求的負載部分，并按照服務程序協議要求剔除不合法頭部，移除噪音數據，達到提高數據異常處理效率和準確性的目的。

（3）對采集的數據做異常分析，找到其中的異常數據集合，并生成安全規則。異常數據是指訪問的數據的安全特征明顯和其他數據不一致，安全規則是指能匹配這種安全特征安全配置，它能被以入侵阻攔系統(IPS)或者入侵監測系統(IDS)使用的方式生成。異常分析的的結果和數據量的大小有直接的關系，隨著數據量的增加異常的準確率也增加。使用大數據對異常分析的準確性有明顯的提高。優選的異常分析的方法有K-近鄰算法和/或局部離群因子算法。

（4）對新生成的規則找到使用的服務器實例，并推送到目標服務器。使用查表遍歷或者哈希特征值的方法找到所需的服務器實例，并采用自動化集中機制進行推送。優選的可以采用基于http(s)的基于XML的遠程過程調用(xmlrpc)協議來實現推送。

基于大數據計算的網絡保護的系統包含四個模塊：數據采集模塊、數據分析模塊、動態規則生成模塊、規則推送模塊。數據采集模塊從用戶服務器實例用云中采集服務器（各種服務程序）訪問數據，包括服務程序應用頭部和請求負載參數部分；數據加工分析模塊將收集到的各種服務程序訪問數據規則化，移除噪音數據；動態規則生成模塊對采集的數據做異常分析，找到其中的異常數據集合，并生成安全規則；規則推送模塊對新生成的規則找到使用的服務器實例，并推送到目標服務器。

本實用新型的優勢在于自動化，智能的，動態的，生成安全防護規則，可以快速面對日益復雜的網絡安全狀況，減少人工干預和人工錯誤，減少網絡安全防御成本，并且能發現人工不容易的異常(0day攻擊)，提高安全防御效果。

附圖說明

圖1是本實用新型實施例的基于大數據計算的網絡保護系統的結構框圖。

具體實施方式

為了使本實用新型的技術方案更加清楚，下面將結合實施例對本實用新型進行進一步的描述，顯然，所描述的實施例僅是本實用新型一部分實施例，而不是全部的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本實用新型的保護范圍。

所述的基于大數據計算的網絡保護系統，包括數據采集模塊、數據分析模塊、動態規則生成模塊、規則推送模塊。用戶服務器實例云連接數據采集模塊，然后依次連接數據分析模塊、動態規則生成模塊、規則推送模塊，規則推送模塊再與目標用戶服務器實例連接。

數據采集模塊從用戶服務器實例云的各種服務程序訪問數據中提取訪問特征并儲存，提取服務器訪問的特征包括頭部、目標、大小、時間戳、參數等，并將該特征采用分布式文件系統保存，以便讓數據加工分析模塊使用。

數據加工分析模塊接收到采集模塊傳遞的特征碼數據集，采用降噪(剔除非相關性請求，不完整請求)算法整理和規則化特征數據集，該集然后被送入動態規則生成模塊。