基于大规模多数据源的一体化网络安全分析系统及方法与流程

1.本发明涉及网络安全监控的技术领域，特别涉及基于大规模多数据源的一体化网络安全分析系统及方法。


背景技术：

2.互联网作为连接不同终端的载体，能够保证不同终端相互之间的正常稳定数据交互。互联网中不可避免会存在非法用户劫持部分终端，并通过劫持终端向其他正常终端进行攻击和散布传播病毒，从而严重影响互联网整体的正常工作。现有技术通过是利用单点检测的方式对受到攻击或感染到病毒的终端进行追踪检测，以此确定被劫持的终端。上述只能对单一终端进行检测追踪，其无法在互联网出现大范围攻击和病毒感染的情况下，全面准确地对每个终端进行检测追踪，不能及时地对存在问题的终端进行隔离，导致攻击和病毒在互联网内部快速传播，影响互联网整体的安全性和稳定性。


技术实现要素：

3.针对现有技术存在的缺陷，本发明提供了一种基于大规模多数据源的一体化网络安全分析系统及方法，其将网络划分为若干子网络，对每个子网络进行不同形式的抽样处理，判断子网络是否处于数据流异常状态和是否属于僵尸子网络，并对处于数据流异常状态的子网络和僵尸子网络进行隔离，避免对其他子网络产生攻击和病毒传播；还利用蜜罐对僵尸子网络中的每个终端进行排查，确定其中存在的感染源终端，对感染源终端进行单独隔离以及解除网络中其他所有子网络的隔离状态，其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端，及时避免感染源终端影响网络中其他数据源终端的正常工作，提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。
4.本发明提供基于大规模多数据源的一体化网络安全分析方法，包括如下步骤：步骤s1，将网络划分为若干子网络，并对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端的数据样本信息；根据所述数据样本信息，判断所述子网络是否处于数据流异常状态；步骤s2，对所述网络中所有处于数据流异常状态的子网络进行隔离处理，并对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络内部的数据流信息；根据所述数据流信息，判断处于数据流异常状态的子网络是否属于僵尸子网络；步骤s3，根据所述是否属于僵尸子网络的判断结果，调整对应的处于数据流异常状态的子网络的隔离状态；通过蜜罐对所述僵尸子网络进行第三抽样处理，得到来自所述僵尸子网络包含的每个数据源终端的报文数据；步骤s4，对所述报文数据进行分析处理，确定所述僵尸子网络存在的感染源终端；对所述感染源终端进行隔离处理后，解除所述僵尸子网络中不属于感染源终端的所有数据
源终端的隔离状态。
5.在本技术公开的一个实施例中，在所述步骤s1中，将网络划分为若干子网络，并对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端的数据样本信息，包括：获取网络中所有网关的拓扑连接信息，根据所述拓扑连接信息，将所述网络划分为若干子网络，并且对不同子网络相互之间的共用网关进行标识处理，确定所有共用网关在所述网络的ip地址信息；对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端在预设时间长度内的所有上行数据包样本和所有下行数据包样本，以此作为所述数据样本信息。
6.在本技术公开的一个实施例中，在所述步骤s1中，根据所述数据样本信息，判断所述子网络是否处于数据流异常状态，包括：对所有上行数据包样本和所有下行数据包样本进行分析处理，确定对应子网络在第一预设时间长度内的上行数据流量值和下行数据流量值；若所述上行数据流量值或所述下行数据流量值大于预设数据流量阈值，则判断所述子网络处于数据流异常状态；否则，判断所述子网络不属于数据流异常状态。
7.在本技术公开的一个实施例中，在所述步骤s2中，对所述网络中所有处于数据流异常状态的子网络进行隔离处理，并对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络内部的数据流信息，包括：根据处于数据流异常状态的子网络的所有共用网关各自的地址信息，将所述所有共用网关切换至关闭状态，以此将处于数据流异常状态的子网络与所述网络中不处于数据流异常状态的子网络进行隔离；对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络的内部不同数据源终端之间传输的数据包内容信息和数据包传输路径信息，以此作为所述数据流信息。
8.在本技术公开的一个实施例中，在所述步骤s2中，根据所述数据流信息，判断处于数据流异常状态的子网络是否属于僵尸子网络，包括：对所述数据包内容信息进行解析处理，确定不同数据源终端之间传输的数据包是否包括预定数据代码字段；对所述数据包传输路径信息进行分析处理，确定所有具有预定数据代码字段的数据包是否在第二预定时间长度内具有相同的传输路径；若是，则判断处于数据流异常状态的子网络属于僵尸子网络；否则，判断处于数据流异常状态的子网络不属于僵尸子网络。
9.在本技术公开的一个实施例中，在所述步骤s3中，根据所述是否属于僵尸子网络的判断结果，调整对应的处于数据流异常状态的子网络的隔离状态，具体包括：当处于数据流异常状态的子网络不属于僵尸子网络，则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息，将所述所有共用网关切换至开放状态；当处于数据流异常状态的子网络属于僵尸子网络，则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息，保持所述所有共用网关当前的关闭状态不变。
10.在本技术公开的一个实施例中，在所述步骤s3中，通过蜜罐对所述僵尸子网络进
行第三抽样处理，得到来自所述僵尸子网络包含的每个数据源终端的报文数据，具体包括：根据所述僵尸子网络包含的所有数据源终端各自的ip地址信息，指示蜜罐对每个数据源终端分别发送预定请求消息，并抽样截取每个数据源终端关于所述预定请求消息，向所述蜜罐返回的应答报文数据。
11.在本技术公开的一个实施例中，在所述步骤s4中，对所述报文数据进行分析处理，确定所述僵尸子网络存在的感染源终端，具体包括：对所述应答报文数据进行反编译处理，得到每个数据源终端的应答报文数据的代码流；对所述代码流进行分析处理，确定所述代码流是否存在病毒代码；若存在，则将对应的数据源终端确定为属于感染源终端；并确定所述僵尸子网络中所有感染源终端的ip地址信息和所有不属于感染源终端的数据源终端的ip地址信息。
12.在本技术公开的一个实施例中，在所述步骤s4中，对所述感染源终端进行隔离处理后，解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态，具体包括：根据所述僵尸子网络中所有不属于感染源终端的数据源终端的ip地址信息，对所有不属于感染源终端的数据源终端进行病毒查杀处理；根据所述僵尸子网络中所有感染源终端的ip地址信息，确定与所有感染源终端连接的所有网关的ip地址信息，以此将与所有感染源终端连接的所有网关切换至关闭状态，从而对所有感染源终端进行隔离处理；再解除所述僵尸子网络中所有不属于感染源终端的数据源终端的隔离状态。
13.本发明还提供基于大规模多数据源的一体化网络安全分析系统，包括：子网络划分与抽样模块，用于将网络划分为若干子网络，并对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端的数据样本信息；第一子网络判断模块，用于根据所述数据样本信息，判断所述子网络是否处于数据流异常状态；第一子网络隔离与抽样模块，用于对所述网络中所有处于数据流异常状态的子网络进行隔离处理，并对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络内部的数据流信息；第二子网络判断模块，用于根据所述数据流信息，判断处于数据流异常状态的子网络是否属于僵尸子网络；第二子网络隔离与抽样模块，用于根据所述是否属于僵尸子网络的判断结果，调整对应的处于数据流异常状态的子网络的隔离状态；通过蜜罐对所述僵尸子网络进行第三抽样处理，得到来自所述僵尸子网络包含的每个数据源终端的报文数据；第三子网络判断模块，用于对所述报文数据进行分析处理，确定所述僵尸子网络存在的感染源终端；隔离状态调整模块，用于对所述感染源终端进行隔离处理后，解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态。
14.本发明的有益效果是：相比于现有技术，该基于大规模多数据源的一体化网络安全分析系统及方法将网络划分为若干子网络，对每个子网络进行不同形式的抽样处理，判断子网络是否处于数据
流异常状态和是否属于僵尸子网络，并对处于数据流异常状态的子网络和僵尸子网络进行隔离，避免对其他子网络产生攻击和病毒传播；还利用蜜罐对僵尸子网络中的每个终端进行排查，确定其中存在的感染源终端，对感染源终端进行单独隔离以及解除网络中其他所有子网络的隔离状态，其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端，及时避免感染源终端影响网络中其他数据源终端的正常工作，提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。
15.本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
16.下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
附图说明
17.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1为本发明提供的基于大规模多数据源的一体化网络安全分析方法的流程图。
19.图2为本发明提供的基于大规模多数据源的一体化网络安全分析系统的结构框图。
具体实施方式
20.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
21.参阅图1，为本发明实施例提供的基于大规模多数据源的一体化网络安全分析方法的流程图。该基于大规模多数据源的一体化网络安全分析方法包括如下步骤：步骤s1，将网络划分为若干子网络，并对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端的数据样本信息；根据该数据样本信息，判断该子网络是否处于数据流异常状态；步骤s2，对该网络中所有处于数据流异常状态的子网络进行隔离处理，并对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络内部的数据流信息；根据该数据流信息，判断处于数据流异常状态的子网络是否属于僵尸子网络；步骤s3，根据该是否属于僵尸子网络的判断结果，调整对应的处于数据流异常状态的子网络的隔离状态；通过蜜罐对该僵尸子网络进行第三抽样处理，得到来自该僵尸子网络包含的每个数据源终端的报文数据；步骤s4，对该报文数据进行分析处理，确定该僵尸子网络存在的感染源终端；对该感染源终端进行隔离处理后，解除该僵尸子网络中不属于感染源终端的所有数据源终端的
隔离状态。
22.上述技术方案的有益效果为：该基于大规模多数据源的一体化网络安全分析方法将网络划分为若干子网络，对每个子网络进行不同形式的抽样处理，判断子网络是否处于数据流异常状态和是否属于僵尸子网络，并对处于数据流异常状态的子网络和僵尸子网络进行隔离，避免对其他子网络产生攻击和病毒传播；还利用蜜罐对僵尸子网络中的每个终端进行排查，确定其中存在的感染源终端，对感染源终端进行单独隔离以及解除网络中其他所有子网络的隔离状态，其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端，及时避免感染源终端影响网络中其他数据源终端的正常工作，提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。
23.优选地，在该步骤s1中，将网络划分为若干子网络，并对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端的数据样本信息，包括：获取网络中所有网关的拓扑连接信息，根据该拓扑连接信息，将该网络划分为若干子网络，并且对不同子网络相互之间的共用网关进行标识处理，确定所有共用网关在该网络的ip地址信息；对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端在预设时间长度内的所有上行数据包样本和所有下行数据包样本，以此作为该数据样本信息。
24.上述技术方案的有益效果为：网络包括若干网关和若干数据源终端，每个数据源终端接入到相应的网关，共同组成相应网络结构。根据网络中所有网关的拓扑连接结构，对网络进行片区划分，得到若干子网络，这样后续以每个子网络作为单独网络片区进行抽样，提高对每个子网络的抽样可靠性。其中部分网关作为共用网关实现不同子网络相互之间的连接，对每个共用网关进行标识处理，并确定每个共用网关在网络的ip地址信息，便于后续以共用网关为基准，将共用网关进行关闭状态和开放状态的切换，快速实现对每个子网络的隔离处理。
25.优选地，在该步骤s1中，根据该数据样本信息，判断该子网络是否处于数据流异常状态，包括：对所有上行数据包样本和所有下行数据包样本进行分析处理，确定对应子网络在第一预设时间长度内的上行数据流量值和下行数据流量值；若该上行数据流量值或该下行数据流量值大于预设数据流量阈值，则判断该子网络处于数据流异常状态；否则，判断该子网络不属于数据流异常状态。
26.上述技术方案的有益效果为：当数据源终端在短时间内的数据流量突增，表明数据源终端可能存在运行异常的情况，通过对每个子网络包含的数据源终端的采样得到的所有上行数据包样本和所有下行数据包样本进行分析处理，得到子网络整体在第一预设时间长度内的上行/下行数据流量值，以此判断子网络是否存在数据流过大的异常情况，实现对每个子网络的异常与否的精确区分识别。
27.优选地，在该步骤s2中，对该网络中所有处于数据流异常状态的子网络进行隔离处理，并对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络内部的数据流信息，包括：根据处于数据流异常状态的子网络的所有共用网关各自的地址信息，将该所有共
用网关切换至关闭状态，以此将处于数据流异常状态的子网络与该网络中不处于数据流异常状态的子网络进行隔离；对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络的内部不同数据源终端之间传输的数据包内容信息和数据包传输路径信息，以此作为该数据流信息。
28.上述技术方案的有益效果为：通过上述方式，确定处于数据流异常状态的子网络关联的所有共用网关的ip地址信息，这样能够以ip地址信息为基准，将所有关联的共用网关切换至关闭状态，从而实现对处于数据流异常状态的子网络的隔离，避免处于数据流异常状态的子网络与其他子网络之间发生数据交互。此外，对处于数据流异常状态的子网络隔离后还可专门对其进行单独的第二抽样处理，有效减少第二抽样处理的工作量以及保证第二抽样处理的数据抽样可靠性。
29.优选地，在该步骤s2中，根据该数据流信息，判断处于数据流异常状态的子网络是否属于僵尸子网络，包括：对该数据包内容信息进行解析处理，确定不同数据源终端之间传输的数据包是否包括预定数据代码字段；对该数据包传输路径信息进行分析处理，确定所有具有预定数据代码字段的数据包是否在第二预定时间长度内具有相同的传输路径；若是，则判断处于数据流异常状态的子网络属于僵尸子网络；否则，判断处于数据流异常状态的子网络不属于僵尸子网络。
30.上述技术方案的有益效果为：通过上述方式，对第二抽样处理得到的数据包进行内容解析处理，判断数据包是否包含预定数据代码字段；其中，预定数据代码字段可为但不限于是预定类型攻击或病毒对应的特征代码字段；并且还对数据包传输路径进行识别，确定所有具有预定数据代码字段的数据包的传输路径相同与否，从而对当前子网络是否属于僵尸子网络进行可靠的识别判断。
31.优选地，在该步骤s3中，根据该是否属于僵尸子网络的判断结果，调整对应的处于数据流异常状态的子网络的隔离状态，具体包括：当处于数据流异常状态的子网络不属于僵尸子网络，则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息，将该所有共用网关切换至开放状态；当处于数据流异常状态的子网络属于僵尸子网络，则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息，保持该所有共用网关当前的关闭状态不变。
32.上述技术方案的有益效果为：通过上述方式，对僵尸子网络所有关联的共用网关保持当前的关闭状态不变，以及对非僵尸子网络的子网络所有关联的共用网关切换至开放状态，能够进一步缩小网络中子网络的排查范围，从而降低后续抽样处理的工作量以及保证其他非僵尸子网络的子网络及时进行联网连接，保证网络的正常工作。
33.优选地，在该步骤s3中，通过蜜罐对该僵尸子网络进行第三抽样处理，得到来自该僵尸子网络包含的每个数据源终端的报文数据，具体包括：根据该僵尸子网络包含的所有数据源终端各自的ip地址信息，指示蜜罐对每个数据源终端分别发送预定请求消息，并抽样截取每个数据源终端关于该预定请求消息，向该蜜罐返回的应答报文数据上述技术方案的有益效果为：通过上述方式，对僵尸子网络包含的所有数据源终
端进行ip地址的标定，并通过设置蜜罐来诱导每个数据源终端与蜜罐进行交互，便于进一步识别每个数据源终端是否属于感染源终端。
34.优选地，在该步骤s4中，对该报文数据进行分析处理，确定该僵尸子网络存在的感染源终端，具体包括：对该应答报文数据进行反编译处理，得到每个数据源终端的应答报文数据的代码流；对该代码流进行分析处理，确定该代码流是否存在病毒代码；若存在，则将对应的数据源终端确定为属于感染源终端；并确定该僵尸子网络中所有感染源终端的ip地址信息和所有不属于感染源终端的数据源终端的ip地址信息上述技术方案的有益效果为：通过对每个数据源终端返回的应答报文数据进行反编译处理和代码流识别处理，能够准确识别出僵尸子网络中存在的感染源终端，从中识别得到感染源终端和非感染源终端的ip地址信息，便于后续精确对感染源终端隔离和病毒查杀处理。
35.优选地，在该步骤s4中，对该感染源终端进行隔离处理后，解除该僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态，具体包括：根据该僵尸子网络中所有不属于感染源终端的数据源终端的ip地址信息，对所有不属于感染源终端的数据源终端进行病毒查杀处理；根据该僵尸子网络中所有感染源终端的ip地址信息，确定与所有感染源终端连接的所有网关的ip地址信息，以此将与所有感染源终端连接的所有网关切换至关闭状态，从而对所有感染源终端进行隔离处理；再解除该僵尸子网络中所有不属于感染源终端的数据源终端的隔离状态。
36.上述技术方案的有益效果为：通过上述方式，将与所有感染源终端连接的所有网关切换至关闭状态，能够有效避免感染源终端继续对其他数据源终端进行攻击和病毒传播，并且还能有针对性地对感染源终端进行隔离和病毒查杀处理，从而在不需要对网络进行全网查杀的情况下，也能够快速准确地定位到病毒源。
37.参阅图2，为本发明实施例提供的基于大规模多数据源的一体化网络安全分析系统的结构框图。该基于大规模多数据源的一体化网络安全分析系统包括：子网络划分与抽样模块，用于将网络划分为若干子网络，并对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端的数据样本信息；第一子网络判断模块，用于根据该数据样本信息，判断该子网络是否处于数据流异常状态；第一子网络隔离与抽样模块，用于对该网络中所有处于数据流异常状态的子网络进行隔离处理，并对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络内部的数据流信息；第二子网络判断模块，用于根据该数据流信息，判断处于数据流异常状态的子网络是否属于僵尸子网络；第二子网络隔离与抽样模块，用于根据该是否属于僵尸子网络的判断结果，调整对应的处于数据流异常状态的子网络的隔离状态；通过蜜罐对该僵尸子网络进行第三抽样处理，得到来自该僵尸子网络包含的每个数据源终端的报文数据；
第三子网络判断模块，用于对该报文数据进行分析处理，确定该僵尸子网络存在的感染源终端；隔离状态调整模块，用于对该感染源终端进行隔离处理后，解除该僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态。
38.上述基于大规模多数据源的一体化网络安全分析系统与前述基于大规模多数据源的一体化网络安全分析方法的工作过程是相同的，这里不再对其进行重复的叙述。
39.从上述实施例的内容可知，该基于大规模多数据源的一体化网络安全分析系统及方法将网络划分为若干子网络，对每个子网络进行不同形式的抽样处理，判断子网络是否处于数据流异常状态和是否属于僵尸子网络，并对处于数据流异常状态的子网络和僵尸子网络进行隔离，避免对其他子网络产生攻击和病毒传播；还利用蜜罐对僵尸子网络中的每个终端进行排查，确定其中存在的感染源终端，对感染源终端进行单独隔离以及解除网络中其他所有子网络的隔离状态，其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端，及时避免感染源终端影响网络中其他数据源终端的正常工作，提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。
40.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。