[發(fā)明專利]基于多源信息分析的網(wǎng)絡(luò)攻擊監(jiān)測系統(tǒng)在審
| 申請?zhí)枺?/td> | 202011481680.5 | 申請日: | 2020-12-15 |
| 公開(公告)號: | CN112511387A | 公開(公告)日: | 2021-03-16 |
| 發(fā)明(設(shè)計)人: | 宋宣霈;張衛(wèi);于林宇;閆勇;鞠巖;胡晨曦 | 申請(專利權(quán))人: | 北京京航計算通訊研究所 |
| 主分類號: | H04L12/26 | 分類號: | H04L12/26;H04L29/06;H04L12/24 |
| 代理公司: | 中國兵器工業(yè)集團(tuán)公司專利中心 11011 | 代理人: | 周恒 |
| 地址: | 100074 北*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 信息 分析 網(wǎng)絡(luò) 攻擊 監(jiān)測 系統(tǒng) | ||
本發(fā)明屬于計算機技術(shù)領(lǐng)域,具體涉及一種基于多源信息分析的網(wǎng)絡(luò)攻擊監(jiān)測系統(tǒng)。所述系統(tǒng)包括:規(guī)則制定模塊、流量采集模塊、流量處理模塊、惡意代碼樣本采集模塊、流量掃描與分析模塊、威脅評估與預(yù)警發(fā)布模塊;本發(fā)明技術(shù)效果在于:全面感知網(wǎng)絡(luò)威脅:基于流量分析,精準(zhǔn)識別網(wǎng)絡(luò)安全隱患,構(gòu)建靈敏的網(wǎng)絡(luò)威脅感知能力,展示全方位的網(wǎng)絡(luò)安全態(tài)勢。及時止損與快速響應(yīng):通過網(wǎng)絡(luò)攻擊安全分析,提供網(wǎng)絡(luò)安全威脅評估報告,輔助網(wǎng)絡(luò)安全管理人員及時采取相應(yīng)處置措施,阻止事態(tài)繼續(xù)發(fā)展。
技術(shù)領(lǐng)域
本發(fā)明屬于計算機技術(shù)領(lǐng)域,具體涉及一種基于多源信息分析的網(wǎng)絡(luò)攻擊監(jiān)測系統(tǒng)。
背景技術(shù)
隨著計算機技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)安全問題變得越來越受人關(guān)注,信息網(wǎng)絡(luò)和安全體系逐漸成為信息化健康發(fā)展的基礎(chǔ)和保障。就目前而言,無論是操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備還是業(yè)務(wù)系統(tǒng)都普遍存在未知的漏洞,這使得在網(wǎng)絡(luò)軍火民用化、網(wǎng)絡(luò)攻擊組織化的大背景下,網(wǎng)絡(luò)安全面臨更加嚴(yán)峻的挑戰(zhàn),對網(wǎng)絡(luò)安全監(jiān)測提出了更高的要求。
目前,傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)測方法大都是基于已知規(guī)則庫進(jìn)行監(jiān)測,可檢測出已知安全威脅,但對未知威脅則無能為力,且對正在發(fā)生或已造成損失的入侵行為無法做到完整的溯源取證和損失評估。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問題
本發(fā)明要解決的技術(shù)問題是:如何提高網(wǎng)絡(luò)安全監(jiān)測能力。
(二)技術(shù)方案
為解決上述技術(shù)問題,本發(fā)明提供一種基于多源信息分析的網(wǎng)絡(luò)攻擊監(jiān)測系統(tǒng),所述系統(tǒng)包括:規(guī)則制定模塊、流量采集模塊、流量處理模塊、惡意代碼樣本采集模塊、流量掃描與分析模塊、威脅評估與預(yù)警發(fā)布模塊;
所述規(guī)則制定模塊用于根據(jù)固定與浮動位置關(guān)鍵詞、應(yīng)用協(xié)議內(nèi)容,制定流量抽樣的標(biāo)準(zhǔn),使流量采集模塊按照流量比例方式、IP五元組方式或時間方式對流量進(jìn)行抽樣采集;
所述流量采集模塊用于按照抽樣采集規(guī)則,對流量進(jìn)行數(shù)據(jù)采集,并將流量數(shù)據(jù)傳遞給流量處理模塊;
所述流量處理模塊用于對采集的流量數(shù)據(jù)進(jìn)行去重操作、規(guī)范化操作和壓縮處理操作,并傳遞給流量掃描與分析模塊;
所述惡意代碼樣本采集模塊用于在惡意代碼樣本庫中獲取惡意代碼樣本,并傳遞給流量掃描與分析模塊;
所述流量掃描與分析模塊用于將處理后的流量數(shù)據(jù)存儲成流量文件,同時結(jié)合惡意代碼樣本,對要監(jiān)測的流量文件進(jìn)行檢測,當(dāng)在流量文件中識別出與惡意代碼樣本相匹配的內(nèi)容時,認(rèn)為發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為,則生成報警事件數(shù)據(jù),傳遞給威脅評估與預(yù)警發(fā)布模塊;
所述威脅評估與預(yù)警發(fā)布模塊用于接收報警事件數(shù)據(jù)并實現(xiàn)威脅評估、特征提取與樣本庫升級、事件報警功能。
其中,所述規(guī)則制定模塊工作過程中,所述按照流量比例方式抽樣,指的是按百分比對流量進(jìn)行抽樣采集。
其中,所述規(guī)則制定模塊工作過程中,所述按照IP五元組方式抽樣,指的是按源IP、源端口、目的IP、目的端口、協(xié)議對流量進(jìn)行抽樣采集。
其中,所述規(guī)則制定模塊工作過程中,所述按照時間方式抽樣,指的是按時間段對流量進(jìn)行抽樣采集,時間段可精確到分鐘。
其中,所述流量處理模塊工作過程中,所述去重操作指的是:過濾重復(fù)的流量數(shù)據(jù)。
其中,所述流量處理模塊工作過程中,所述規(guī)范化操作指的是:對原始流量數(shù)據(jù)進(jìn)行格式規(guī)范化處理,將原始流量處理為pcap格式的數(shù)據(jù)。
其中,所述流量處理模塊工作過程中,所述壓縮操作指的是:將流量數(shù)據(jù)進(jìn)行壓縮后再上傳。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京京航計算通訊研究所,未經(jīng)北京京航計算通訊研究所許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011481680.5/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 信息記錄介質(zhì)、信息記錄方法、信息記錄設(shè)備、信息再現(xiàn)方法和信息再現(xiàn)設(shè)備
- 信息記錄裝置、信息記錄方法、信息記錄介質(zhì)、信息復(fù)制裝置和信息復(fù)制方法
- 信息記錄裝置、信息再現(xiàn)裝置、信息記錄方法、信息再現(xiàn)方法、信息記錄程序、信息再現(xiàn)程序、以及信息記錄介質(zhì)
- 信息記錄裝置、信息再現(xiàn)裝置、信息記錄方法、信息再現(xiàn)方法、信息記錄程序、信息再現(xiàn)程序、以及信息記錄介質(zhì)
- 信息記錄設(shè)備、信息重放設(shè)備、信息記錄方法、信息重放方法、以及信息記錄介質(zhì)
- 信息存儲介質(zhì)、信息記錄方法、信息重放方法、信息記錄設(shè)備、以及信息重放設(shè)備
- 信息存儲介質(zhì)、信息記錄方法、信息回放方法、信息記錄設(shè)備和信息回放設(shè)備
- 信息記錄介質(zhì)、信息記錄方法、信息記錄裝置、信息再現(xiàn)方法和信息再現(xiàn)裝置
- 信息終端,信息終端的信息呈現(xiàn)方法和信息呈現(xiàn)程序
- 信息創(chuàng)建、信息發(fā)送方法及信息創(chuàng)建、信息發(fā)送裝置
- 網(wǎng)絡(luò)和網(wǎng)絡(luò)終端
- 網(wǎng)絡(luò)DNA
- 網(wǎng)絡(luò)地址自適應(yīng)系統(tǒng)和方法及應(yīng)用系統(tǒng)和方法
- 網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)至網(wǎng)絡(luò)橋接器
- 一種電力線網(wǎng)絡(luò)中根節(jié)點網(wǎng)絡(luò)協(xié)調(diào)方法和系統(tǒng)
- 一種多網(wǎng)絡(luò)定位方法、存儲介質(zhì)及移動終端
- 網(wǎng)絡(luò)裝置、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)方法以及網(wǎng)絡(luò)程序
- 從重復(fù)網(wǎng)絡(luò)地址自動恢復(fù)的方法、網(wǎng)絡(luò)設(shè)備及其存儲介質(zhì)
- 神經(jīng)網(wǎng)絡(luò)的訓(xùn)練方法、裝置及存儲介質(zhì)
- 網(wǎng)絡(luò)管理方法和裝置
