[发明专利]一种检测网络危害源头的方法与系统

权利要求书

1.一种检测网络危害源头的方法与系统，特别是基于数据融合的网络危害源头检测方法与系统，应用于对日常访问网站的安全性检测，其特征在于，包括：系统信息采集模块，包含数据包抓取、链接分析模块；系统行为分析模块，包含网页木马分析与恶意代码检测、可疑网站检测模块；系统行为结果处理模块，包含深入行为规则、测评数据挖掘融合等；数据容灾模块，包含本地备份控制、异地备份控制；专家系统模块。

2.根据权利要求1所述的基于数据融合的网络危害源头检测方法与系统，其特征在于：

A.系统信息采集模块通过深度优先搜索算法，件实现信息全方位、多层次、无遗漏的采集；

B.系统信息采集模块通过将网卡设置成监听模式来监控、抓取网络上的数据分组。

3.根据权利要求1、2所述的基于数据融合的网络危害源头检测方法与系统，其特征在于：

A.所述网页木马分析与恶意代码检测模块，包含数据包截取模块、数据包解析与预处理模块、启发式监测模块以及可疑分析模块；

B.所述特征库数据中心的更新可以通过对可疑分析模块得出的数据进行深入模式挖掘，经过专家系统的分析总结后，把有价值的模式与原先存在的规则进行融合并进行更新操作；

C.系统行为分析模块的规则库，是通过DS(Dempster-Shafter)证据理论融合方法，将典型行为规则、特征规则、运行模式、活动态势等数据融合而成的融合规则库，并设置相应的规则权重。

4.根据权利要求1、2、3所述的基于数据融合的网络危害源头检测方法与系统，其特征在于，将截取的数据分组进行数据包的解析与预处理，首先将数据包按功能、流量分类，拆卸成帧、并记录其源地址、目的地址、端口信息，然后进行启发式扫描检测，若与融合规则库中的专家规则匹配度较高，则可能是可疑代码或木马，经过可疑分析模块与专家系统的分析判断后，进行行为结果的处理。

5.根据权利要求1、2所述的基于数据融合的网络危害源头检测方法与系统，其特征在于：

A.所述可疑网站检测模块，包括：危害网页监测模块，包含网络爬虫模块；行为结果分析模块，包含融合规则库的匹配、危害网站的推荐、危害规则的深入挖掘模块；

B.所述网络爬虫模块可以根据初始URL按照指定的深度和线程数析取网站类型和网页内容，形成网站资料库，通过在线分析和离线分析两种分析方式全方位、多时段的检测，防止危害网页逃脱检测，保证万无一失；

C.将网站资料库中的数据利用AC算法与融合规则库中的规则特征进行匹配，若匹配度较高则将该网站添加到危害网站推荐模块，经由专家系统模块分析判定后，将危害网站添加到危害网站库，进行后续的危害规则的深入挖掘与行为结果处理。

6.根据权利要求1、2、3、5所述的基于数据融合的网络危害检测方法与系统，其特征在于：

A.所述规则库匹配方法采用的是基于Aho-Corasick的字符串匹配算法，该算法有扫描文本时完全不需要回溯，且时间复杂度为O(n)，时间复杂度与关键字数目和长度无关的优点；

B.所述危害规则可以通过深入挖掘模块，根据经由专家系统模块分析判定的网站库，进行深入的模式挖掘，利用分类与预测的方法，发现有价值的关系和模式，附加到规则库中，与原有的规则库进行融合并进行更新操作。

7.根据权利要求1所述的基于数据融合的网络危害源头检测方法与系统，其特征在于所述系统行为结果处理模块，包括问题网站的处理，包括向用户提出警报，并向网络警察申报备案，提供完整的产业链；完善检测模块，根据检测结果与态势分析，以自学习的方式完善检测模块之功能；测评数据与所挖掘的行为规则之融合，根据已发现的危害网站的态势分析与现阶段的理论研究进行深入的规则挖掘并与已有规则融合，进一步完善行为、特征规则库。

8.根据权利要求1所述的基于数据融合的网络危害源头检测方法与系统，其特征在于：

A.所述数据容灾模块采用分布式文件系统(HDFS)双节点热备切换的方式，HDFS采用主从结构模式，由一对NameNode管理节点和若干个DataNode组成，数据中心通过活跃节点与备份节点的相互切换，解决数据中心的瘫痪问题；

B.当本地控制系统的NameNode的活跃节点数据中心发生瘫痪时，可以快速切换到备份节点恢复数据提取与存储功能，当本地系统完全发生瘫痪时，可以切换到异地控制中心，继续工作，并返回本地错误信息；

C.本地控制系统周期性的将数据发送到异地控制中心进行备份，并接收成功返回信号，当异地控制中心很长时间未接受到数据时，向本地控制中心作一次询问，若无问题发生，本地控制中心则返回一个应答；若超过阈值时间异地控制时间未接收到应答，则自动将用户服务请求接管过来，并继续等待本地控制中心的安全应答，保存工作日志。