基于大数据的网络设备脆弱性综合分析系统及方法与流程

1.本发明涉及网络安全技术领域，具体为基于大数据的网络设备脆弱性综合分析系统及方法。


背景技术：

2.脆弱性是指计算机或网络系统在硬件、软件、协议设计和实现、系统采取的安全策略存在的不足和缺陷。随着计算机网络技术的快速发展，信息互联互通已成为网络发展的大趋势。在当今的信息社会中，网络在政治、经济、军事、日常生活中发挥着日益重要的作用，从而使人们对计算机网络的依赖性大大加强。现有的计算机网络在建立之初大都忽视安全问题，只追求运行效率，这就是造成网络不安全的主要因素。由于计算机网络具有连接形式具有多样性、开放性、互联性等特点，使网络很容易受到各种各样的网络攻击，所以人们需要一种基于大数据的网络设备脆弱性综合分析系统及方法来解决上述问题。


技术实现要素：

3.本发明的目的在于提供基于大数据的网络设备脆弱性综合分析系统及方法，以解决上述背景技术中提出的问题。
4.为了解决上述技术问题，本发明提供如下技术方案：基于大数据的网络设备脆弱性综合分析系统，所述系统包括安全信息采集模块、安全信息分析模块、脆弱性信息存储模块和安全风险预警模块；所述安全信息采集模块用于采集在网络运行过程中终端设备和操作系统的工作状态信息以及在受到网络攻击时网络攻击事件的信息；所述安全信息分析模块用于分析安全信息采集模块采集到的信息，然后判断终端设备和操作系统的脆弱性并预测下一次网络攻击事件的发生；所述脆弱性信息存储模块用于存储历史网络攻击事件的信息以及对终端设备和操作系统的脆弱性分析；所述安全风险预警模块用于获取安全信息分析模块的分析跟预测的结果，然后进行安全风险预警和网络安全规划。
5.进一步的，所述安全信息采集模块包括设备系统采集单元和攻击事件采集单元，所述设备系统采集单元用于采集在网络运行过程中终端设备和操作系统的历史工作状态信息和受到网络攻击时终端设备和操作系统的当前工作状态信息；所述攻击事件采集单元用于采集网络攻击事件的信息。
6.进一步的，所述安全信息分析模块包括攻击事件分析单元、脆弱性分析单元和风险评估单元，所述攻击事件分析单元用于分析在网络运行过程中终端设备和操作系统受到的网络攻击事件的分类、层次、方法、位置、技术和工具；所述脆弱性分析单元用于分析受到网络攻击时终端设备和操作系统的脆弱性要素，包括主机、操作系统、端口、服务、漏洞和攻击类型，然后提取脆弱性特征，包括名称、类型、影响范围和公开时间；所述风险评估单元用于根据对网络攻击事件的分析以及终端设备和操作系统的脆弱性的分析，预测下一次网络攻击事件的发生。
7.进一步的，所述脆弱性信息存储模块包括历史事件单元和历史状态单元，所述历
史事件单元用于存储在网络运行过程中网络攻击事件的信息；所述历史状态单元用于存储终端设备和操作系统受到的网络攻击时的工作状态信息。
8.进一步的，所述安全风险预警模块包括攻击预警单元和攻击处理单元，所述攻击预警单元用于获取安全信息分析模块的分析数据，根据分析中预测的下一次网络攻击事件提前做好风险防范措施；所述攻击处理单元用于处理突发的网络攻击事件，保护网络中隐私数据不受到恶意盗取。
9.基于大数据的网络设备脆弱性综合分析方法，包括以下步骤：
10.s1：安全信息采集模块采集终端设备和操作系统受到网络攻击前后的工作状态以及网络攻击事件信息；
11.s2：安全信息分析模块分析终端设备和操作系统受到网络攻击前后的工作状态以及历史工作状态，判断终端设备和操作系统的脆弱性情况；
12.s3：安全分析模块根据网络攻击事件的信息结合终端设备和操作系统的脆弱性情况，预测下一次网络攻击的发生；
13.s4：安全风险预警单元根据安全分析模块的预测，做好风险防范措施。
14.进一步的，在步骤s1中：安全信息采集模块首先采集终端设备和操作系统受到网络攻击前的工作状态特征集合α＝{a1、a2、a3、...、an},n为工作状态特征种类数量，然后采集终端设备和操作系统受到网络攻击后的工作状态特征集合β＝{b1、b2、b3、...、bn},最后采集网络攻击事件的信息，得到攻击事件特征集合c＝{c1、c2、c3、...、cm}，m为攻击事件特征种类数量；利用线性回归模型建立终端设备和操作系统受到网络攻击前后的工作状态特征线性回归方程，以脆弱性阈值y为因变量，工作状态特征为自变量，先建立受到网络攻击前的脆弱性阈值与工作状态特征的线性回归方程为：
15.y
前
＝β0 β1a1 β2a2 ... β
nan
16.其中y
前
为受到攻击前终端设备和操作系统的脆弱性阈值，β0、β1、β2、...、βn为待定系数；再建立受到网络攻击后的脆弱性阈值与工作状态特征的线性回归方程为：
17.y
后
＝θ0 θ1b1 θ2b2 ... θ
nbn
18.其中y
后
为受到攻击后终端设备和操作系统的脆弱性阈值，θ0、θ1、θ2、...、θn为待定系数。
19.进一步的，在步骤s2中：安全信息分析模块访问脆弱性信息存储模块获取x个终端设备和操作系统受到网络攻击前的历史工作状态特征集合，得到攻击前工作状态样本数据(y
前i
、a
1i
、a
2i
、a
3i
、...、a
ni
)，1≤i≤x；获取x个终端设备和操作系统受到网络攻击后的历史工作状态特征集合，得到攻击后工作状态样本数据(y
后i
、b
1i
、b
2i
、b
3i
、...、b
ni
)，1≤i≤x；首先将x个攻击前工作状态样本数据代入到线性回归方程进行直线拟合，得到方程组：
20.21.用矩阵表示为：
[0022][0023]
可以简化方程组:
[0024]y前
＝d
前
β
[0025]
其中y
前
是一个包括了(y
前1
，y
前2
，...，y
前x
)的列向量，β为包含了(β0，β1，β2，
…
，βn)的参数向量，使用最小二乘法得到β＝(d
前td前
)-1d前ty前
；然后将x个攻击后工作状态样本数据代入到线性回归方程进行直线拟合，得到方程组：
[0026][0027]
用矩阵表示为：
[0028][0029]
可以简化方程组:
[0030]y后
＝d
后
θ
[0031]
其中y
后
是一个包括了(y
后1
，y
后2
，...，y
后x
)的列向量，θ为包含了(θ0，θ1，θ2，
…
，θn)的参数向量，使用最小二乘法得到θ＝(d
后td后
)-1d后ty后
；最后比较β与θ的值，确定网络攻击时工作状态波动大的特征。
[0032]
进一步的，在步骤s3中：安全分析模块首先根据受到网络攻击时工作状态波动大的特征，分析终端设备和操作系统的脆弱性要素，包括主机、操作系统、端口、服务、漏洞和攻击类型，提取脆弱性特征，包括名称、类型、影响范围和公开时间，判断终端设备和操作系统的脆弱性情况；然后根据攻击事件特征集合c＝{c1、c2、c3、...、cm}，以网络攻击强度q为因变量，攻击事件特征为自变量建立攻击事件强度q与攻击事件特征c的线性回归方程为：
[0033]
q＝α0 α1c1 α2c2 ... α
mcm
[0034]
其中q为网络攻击强度，α0、α1、α2、...、αm为待定系数；再获取z个历史网络攻击事件特征集合，得到网络攻击样本数据(qj、c
1j
、c
2j
、c
3j
、...、c
mj
)，1≤j≤z；将z个网络攻击样本数据代入到线性回归方程进行直线拟合，得到方程组：
[0035][0036]
[0037]
用矩阵表示为：
[0038][0039]
可以简化方程组:
[0040]
q＝eα
[0041]
其中q是一个包括了(q1，q2，...，qz)的列向量，α为包含了(α0，α1，α2，
…
，αn)的参数向量，使用最小二乘法得到α＝(q
t
q)-1qt
q，根据α的值预测下一次网络攻击事件的发生。
[0042]
进一步的，在步骤s4中：安全风险预警模块根据安全分析模块对下一次网络攻击事件的预测以及终端设备和操作系统的脆弱性要素，做好风险防范措施。
[0043]
与现有技术相比，本发明所达到的有益效果是：安全信息采集模块通过采集终端设备和操作系统受到网络攻击前后的工作状态以及网络攻击事件信息，并获取脆弱性信息存储模块存储的网络攻击历史事件的信息以及终端设备和操作系统历史工作状态信息，然后建立线性回归方程分析终端设备和操作系统的脆弱性要素，提取脆弱性特征，最后判断终端设备和操作系统的脆弱性情况，预测下一次网络攻击事件的发生提前做好风险防范措施，保护网络中隐私数据不受到恶意盗取。
附图说明
[0044]
附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
[0045]
图1是本发明基于大数据的网络设备脆弱性综合分析系统的结构示意图；
[0046]
图2是本发明基于大数据的网络设备脆弱性综合分析方法的流程示意图。
具体实施方式
[0047]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0048]
请参阅图1-图2，本发明提供技术方案：基于大数据的网络设备脆弱性综合分析系统，系统包括安全信息采集模块、安全信息分析模块、脆弱性信息存储模块和安全风险预警模块；所述安全信息采集模块用于采集在网络运行过程中终端设备和操作系统的工作状态信息以及在受到网络攻击时网络攻击事件的信息；所述安全信息分析模块用于分析安全信息采集模块采集到的信息，然后判断终端设备和操作系统的脆弱性并预测下一次网络攻击事件的发生；所述脆弱性信息存储模块用于存储历史网络攻击事件的信息以及对终端设备和操作系统的脆弱性分析；所述安全风险预警模块用于获取安全信息分析模块的分析跟预测的结果，然后进行安全风险预警和网络安全规划。
[0049]
安全信息采集模块包括设备系统采集单元和攻击事件采集单元，所述设备系统采集单元用于采集在网络运行过程中终端设备和操作系统的历史工作状态信息和受到网络攻击时终端设备和操作系统的当前工作状态信息；所述攻击事件采集单元用于采集网络攻
击事件的信息。
[0050]
安全信息分析模块包括攻击事件分析单元、脆弱性分析单元和风险评估单元，所述攻击事件分析单元用于分析在网络运行过程中终端设备和操作系统受到的网络攻击事件的分类、层次、方法、位置、技术和工具；所述脆弱性分析单元用于分析受到网络攻击时终端设备和操作系统的脆弱性要素，包括主机、操作系统、端口、服务、漏洞和攻击类型，然后提取脆弱性特征，包括名称、类型、影响范围和公开时间；所述风险评估单元用于根据对网络攻击事件的分析以及终端设备和操作系统的脆弱性的分析，预测下一次网络攻击事件的发生。
[0051]
脆弱性信息存储模块包括历史事件单元和历史状态单元，所述历史事件单元用于存储在网络运行过程中网络攻击事件的信息；所述历史状态单元用于存储终端设备和操作系统受到的网络攻击时的工作状态信息。
[0052]
安全风险预警模块包括攻击预警单元和攻击处理单元，所述攻击预警单元用于获取安全信息分析模块的分析数据，根据分析中预测的下一次网络攻击事件提前做好风险防范措施；所述攻击处理单元用于处理突发的网络攻击事件，保护网络中隐私数据不受到恶意盗取。
[0053]
基于大数据的网络设备脆弱性综合分析方法，包括以下步骤：
[0054]
s1：安全信息采集模块采集终端设备和操作系统受到网络攻击前后的工作状态以及网络攻击事件信息；
[0055]
s2：安全信息分析模块分析终端设备和操作系统受到网络攻击前后的工作状态以及历史工作状态，判断终端设备和操作系统的脆弱性情况；
[0056]
s3：安全分析模块根据网络攻击事件的信息结合终端设备和操作系统的脆弱性情况，预测下一次网络攻击的发生；
[0057]
s4：安全风险预警单元根据安全分析模块的预测，做好风险防范措施。
[0058]
在步骤s1中：安全信息采集模块首先采集终端设备和操作系统受到网络攻击前的工作状态特征集合α＝{a1、a2、a3、...、an},n为工作状态特征种类数量，然后采集终端设备和操作系统受到网络攻击后的工作状态特征集合β＝{b1、b2、b3、...、bn},最后采集网络攻击事件的信息，得到攻击事件特征集合c＝{c1、c2、c3、...、cm}，m为攻击事件特征种类数量；利用线性回归模型建立终端设备和操作系统受到网络攻击前后的工作状态特征线性回归方程，以脆弱性阈值y为因变量，工作状态特征为自变量，先建立受到网络攻击前的脆弱性阈值与工作状态特征的线性回归方程为：
[0059]y前
＝β0 β1a1 β2a2 ... β
nan
[0060]
其中y
前
为受到攻击前终端设备和操作系统的脆弱性阈值，β0、β1、β2、...、βn为待定系数；再建立受到网络攻击后的脆弱性阈值与工作状态特征的线性回归方程为：
[0061]y后
＝θ0 θ1b1 θ2b2 ... θ
nbn
[0062]
其中y
后
为受到攻击后终端设备和操作系统的脆弱性阈值，θ0、θ1、θ2、...、θn为待定系数。
[0063]
在步骤s2中：安全信息分析模块访问脆弱性信息存储模块获取x个终端设备和操作系统受到网络攻击前的历史工作状态特征集合，得到攻击前工作状态样本数据(y
前i
、a
1i
、a
2i
、a
3i
、...、a
ni
)，1≤i≤x；获取x个终端设备和操作系统受到网络攻击后的历史工作状态
特征集合，得到攻击后工作状态样本数据(y
后i
、b
1i
、b
2i
、b
3i
、...、b
ni
)，1≤i≤x；首先将x个攻击前工作状态样本数据代入到线性回归方程进行直线拟合，得到方程组：
[0064][0065]
用矩阵表示为：
[0066][0067]
可以简化方程组:
[0068]y前
＝d
前
β
[0069]
其中y
前
是一个包括了(y
前1
，y
前2
，...，y
前x
)的列向量，β为包含了(β0，β1，β2，
…
，βn)的参数向量，使用最小二乘法得到β＝(d
前td前
)-1d前ty前
；然后将x个攻击后工作状态样本数据代入到线性回归方程进行直线拟合，得到方程组：
[0070][0071]
用矩阵表示为：
[0072][0073]
可以简化方程组:
[0074]y后
＝d
后
θ
[0075]
其中y
后
是一个包括了(y
后1
，y
后2
，...，y
后x
)的列向量，θ为包含了(θ0，θ1，θ2，
…
，θn)的参数向量，使用最小二乘法得到θ＝(d
后td后
)-1d后ty后
；最后比较β与θ的值，确定网络攻击时工作状态波动大的特征。
[0076]
在步骤s3中：安全分析模块首先根据受到网络攻击时工作状态波动大的特征，分析终端设备和操作系统的脆弱性要素，包括主机、操作系统、端口、服务、漏洞和攻击类型，提取脆弱性特征，包括名称、类型、影响范围和公开时间，判断终端设备和操作系统的脆弱性情况；然后根据攻击事件特征集合c＝{c1、c2、c3、...、cm}，以网络攻击强度q为因变量，攻击事件特征为自变量建立攻击事件强度q与攻击事件特征c的线性回归方程为：
[0077]
q＝α0 α1c1 α2c2 ... α
mcm
[0078]
其中q为网络攻击强度，α0、α1、α2、...、αm为待定系数；再获取z个历史网络攻击事件特征集合，得到网络攻击样本数据(qj、c
1j
、c
2j
、c
3j
、...、c
mj
)，1≤j≤z；将z个网络攻击样本数据代入到线性回归方程进行直线拟合，得到方程组：
[0079][0080]
用矩阵表示为：
[0081][0082]
可以简化方程组:
[0083]
q＝eα
[0084]
其中q是一个包括了(q1，q2，...，qz)的列向量，α为包含了(α0，α1，α2，
…
，αn)的参数向量，使用最小二乘法得到α＝(q
t
q)-1qt
q，根据α的值预测下一次网络攻击事件的发生。
[0085]
在步骤s4中：安全风险预警模块根据安全分析模块对下一次网络攻击事件的预测以及终端设备和操作系统的脆弱性要素，做好风险防范措施。
[0086]
实施例一：安全信息采集模块采集到终端设备和操作系统受到网络攻击前后的工作状态特征集合分别为α＝{a1、a2、a3、...、an}、β＝{b1、b2、b3、...、bn},n为工作状态特征种类数量，网络攻事件特征集合c＝{c1、c2、c3、...、cm}，m为攻击事件特征种类数量；然后建立终端设备和操作系统受到网络攻击前后的工作状态特征线性回归方程，以脆弱性阈值y为因变量，工作状态特征为自变量，y
前
＝β0 β1a1 β2a2 ... β
nan
，y
后
＝θ0 θ1b1 θ2b2 ... θ
nbn
；其次再获取x个终端设备和操作系统受到网络攻击前后的历史工作状态特征集合，得到攻击前后工作状态样本数据分别为(y
前i
、a
1i
、a
2i
、a
3i
、...、a
ni
)、(y
后i
、b
1i
、b
2i
、b
3i
、...、b
ni
)，1≤i≤x；将x个攻击前后工作状态样本数据代入到线性回归方程进行直线拟合，得到方程组，
[0087][0088]
和
[0089][0090]
用矩阵表示为：
[0091][0092]
和
[0093][0094]
可以简化方程组:y
前
＝d
前
β，y
后
＝d
后
θ；使用最小二乘法得β＝(d
前td前
)-1d前ty前
，θ＝(d
后td后
)-1d后ty后
；当β》θ,终端设备的脆弱性较差；当β《θ,操作系统的脆弱性较差；
[0095]
当β＝θ,终端设备和操作操作系统的脆弱性相当。
[0096]
需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。
[0097]
最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。