基于大规模多数据源的一体化网络安全分析系统及方法与流程

技术特征：
1.基于大规模多数据源的一体化网络安全分析方法，其特征在于，包括如下步骤：步骤s1，将网络划分为若干子网络，并对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端的数据样本信息；根据所述数据样本信息，判断所述子网络是否处于数据流异常状态；步骤s2，对所述网络中所有处于数据流异常状态的子网络进行隔离处理，并对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络内部的数据流信息；根据所述数据流信息，判断处于数据流异常状态的子网络是否属于僵尸子网络；步骤s3，根据所述是否属于僵尸子网络的判断结果，调整对应的处于数据流异常状态的子网络的隔离状态；通过蜜罐对所述僵尸子网络进行第三抽样处理，得到来自所述僵尸子网络包含的每个数据源终端的报文数据；步骤s4，对所述报文数据进行分析处理，确定所述僵尸子网络存在的感染源终端；对所述感染源终端进行隔离处理后，解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态。2.如权利要求1所述的基于大规模多数据源的一体化网络安全分析方法，其特征在于：在所述步骤s1中，将网络划分为若干子网络，并对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端的数据样本信息，包括：获取网络中所有网关的拓扑连接信息，根据所述拓扑连接信息，将所述网络划分为若干子网络，并且对不同子网络相互之间的共用网关进行标识处理，确定所有共用网关在所述网络的ip地址信息；对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端在预设时间长度内的所有上行数据包样本和所有下行数据包样本，以此作为所述数据样本信息。3.如权利要求2所述的基于大规模多数据源的一体化网络安全分析方法，其特征在于：在所述步骤s1中，根据所述数据样本信息，判断所述子网络是否处于数据流异常状态，包括：对所有上行数据包样本和所有下行数据包样本进行分析处理，确定对应子网络在第一预设时间长度内的上行数据流量值和下行数据流量值；若所述上行数据流量值或所述下行数据流量值大于预设数据流量阈值，则判断所述子网络处于数据流异常状态；否则，判断所述子网络不属于数据流异常状态。4.如权利要求3所述的基于大规模多数据源的一体化网络安全分析方法，其特征在于：在所述步骤s2中，对所述网络中所有处于数据流异常状态的子网络进行隔离处理，并对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络内部的数据流信息，包括：根据处于数据流异常状态的子网络的所有共用网关各自的地址信息，将所述所有共用网关切换至关闭状态，以此将处于数据流异常状态的子网络与所述网络中不处于数据流异常状态的子网络进行隔离；对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络的内部不同数据源终端之间传输的数据包内容信息和数据包传输路径信息，以此作为所述数据流信息。
5.如权利要求4所述的基于大规模多数据源的一体化网络安全分析方法，其特征在于：在所述步骤s2中，根据所述数据流信息，判断处于数据流异常状态的子网络是否属于僵尸子网络，包括：对所述数据包内容信息进行解析处理，确定不同数据源终端之间传输的数据包是否包括预定数据代码字段；对所述数据包传输路径信息进行分析处理，确定所有具有预定数据代码字段的数据包是否在第二预定时间长度内具有相同的传输路径；若是，则判断处于数据流异常状态的子网络属于僵尸子网络；否则，判断处于数据流异常状态的子网络不属于僵尸子网络。6.如权利要求5所述的基于大规模多数据源的一体化网络安全分析方法，其特征在于：在所述步骤s3中，根据所述是否属于僵尸子网络的判断结果，调整对应的处于数据流异常状态的子网络的隔离状态，具体包括：当处于数据流异常状态的子网络不属于僵尸子网络，则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息，将所述所有共用网关切换至开放状态；当处于数据流异常状态的子网络属于僵尸子网络，则根据处于数据流异常状态的子网络的所有共用网关各自的地址信息，保持所述所有共用网关当前的关闭状态不变。7.如权利要求6所述的基于大规模多数据源的一体化网络安全分析方法，其特征在于：在所述步骤s3中，通过蜜罐对所述僵尸子网络进行第三抽样处理，得到来自所述僵尸子网络包含的每个数据源终端的报文数据，具体包括：根据所述僵尸子网络包含的所有数据源终端各自的ip地址信息，指示蜜罐对每个数据源终端分别发送预定请求消息，并抽样截取每个数据源终端关于所述预定请求消息，向所述蜜罐返回的应答报文数据。8.如权利要求7所述的基于大规模多数据源的一体化网络安全分析方法，其特征在于：在所述步骤s4中，对所述报文数据进行分析处理，确定所述僵尸子网络存在的感染源终端，具体包括：对所述应答报文数据进行反编译处理，得到每个数据源终端的应答报文数据的代码流；对所述代码流进行分析处理，确定所述代码流是否存在病毒代码；若存在，则将对应的数据源终端确定为属于感染源终端；并确定所述僵尸子网络中所有感染源终端的ip地址信息和所有不属于感染源终端的数据源终端的ip地址信息。9.如权利要求8所述的基于大规模多数据源的一体化网络安全分析方法，其特征在于：在所述步骤s4中，对所述感染源终端进行隔离处理后，解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态，具体包括：根据所述僵尸子网络中所有不属于感染源终端的数据源终端的ip地址信息，对所有不属于感染源终端的数据源终端进行病毒查杀处理；根据所述僵尸子网络中所有感染源终端的ip地址信息，确定与所有感染源终端连接的所有网关的ip地址信息，以此将与所有感染源终端连接的所有网关切换至关闭状态，从而对所有感染源终端进行隔离处理；再解除所述僵尸子网络中所有不属于感染源终端的数据源终端的隔离状态。10.用于实现如权利要求1-9中任一项所述的基于大规模多数据源的一体化网络安全
分析方法的系统，其特征在于，包括：子网络划分与抽样模块，用于将网络划分为若干子网络，并对每个子网络接入的所有数据源终端进行第一抽样处理，得到每个数据源终端的数据样本信息；第一子网络判断模块，用于根据所述数据样本信息，判断所述子网络是否处于数据流异常状态；第一子网络隔离与抽样模块，用于对所述网络中所有处于数据流异常状态的子网络进行隔离处理，并对每个处于数据流异常状态的子网络进行第二抽样处理，得到处于数据流异常状态的子网络内部的数据流信息；第二子网络判断模块，用于根据所述数据流信息，判断处于数据流异常状态的子网络是否属于僵尸子网络；第二子网络隔离与抽样模块，用于根据所述是否属于僵尸子网络的判断结果，调整对应的处于数据流异常状态的子网络的隔离状态；通过蜜罐对所述僵尸子网络进行第三抽样处理，得到来自所述僵尸子网络包含的每个数据源终端的报文数据；第三子网络判断模块，用于对所述报文数据进行分析处理，确定所述僵尸子网络存在的感染源终端；隔离状态调整模块，用于对所述感染源终端进行隔离处理后，解除所述僵尸子网络中不属于感染源终端的所有数据源终端的隔离状态。

技术总结
本发明提供了基于大规模多数据源的一体化网络安全分析系统及方法，其通过对网络进行子网络划分和分区抽样排查的方式快速和准确地定位到相应的数据源终端，及时避免感染源终端影响网络中其他数据源终端的正常工作，提高对网络的检查效率和准确性以及保证互联网整体工作的安全性和稳定性。体工作的安全性和稳定性。体工作的安全性和稳定性。


技术研发人员：李嘉周 田园 谭堯木 谌文杰 张旸 宋树迎 熊俊 廖文虎 陈尚涛
受保护的技术使用者：成都元来云志科技有限公司
技术研发日：2022.11.25
技术公布日：2022/12/30