[发明专利]一种检测网络危害源头的方法与系统

说明书

技术领域

本发明涉及一种检测网络危害源头的方法与系统，特别是基于数据融合方法的网络危害源头的检测方法与系统。是网络安全建设的重要组成部分，是完成网络安全警报与平稳运行的前提与基础。

技术背景

当前网络安全领域存在着复杂多变的网页木马、恶意代码入侵等，严重危害了互联网的安全。对此，传统的网络危害检测方法不能做到快速、准确的检测，以及识别危害的源头，并且面向收集的各类危害数据无法快速地构建出完美的检测模型。

发明内容

鉴于上述现有技术的缺点，本发明公开了一种利用数据融合方法检测网络危害源头的方法与系统，方法能够快速、准确地发现危险状态与危害方式，向用户发出警告、并协助用户做相应的处理，特别地可以通过层层解析发现危害源头。

本发明公开的一种利用数据融合方法检测网络危害源头的方法与系统，其特征在于，包括：系统信息采集模块，包含数据包抓取、链接分析模块；系统行为分析模块，包含网页木马分析与恶意代码检测、可疑网站检测模块；系统行为结果处理模块，包含深入行为规则、测评数据挖掘融合等；数据容灾模块，包含本地备份控制、异地备份控制；专家系统模块。

系统信息采集模块通过深度优先搜索算法(DFS)，实现自动地连续分析链接与抓取文件，实现信息全方位、多层次、无遗漏的采集；通过将网卡设置成监听模式来监控、抓取网络上的数据分组。

系统行为分析模块可以并行地处理网页木马分析、恶意代码检测模块以及可疑网站检测模块，其中：网页木马分析与恶意代码检测模块，包含数据包截取模块、数据包解析与预处理模块、启发式监测模块以及可疑分析模块，其特征在于：将截取的数据包进行数据包解析与预处理，首先将数据包按功能、流量分类，拆卸成帧、并记录其源地址、目的地址、端口信息，然后进行启发式扫描检测，若与融合规则库中的专家规则匹配度较高，则可能是可疑代码或木马，经过可疑分析模块与专家系统的分析判断后，进行行为结果的处理。

优选地，特征库数据中心的数据更新可以通过对可疑分析模块析取后的数据进行模式挖掘，再进一步经过专家系统的分析总结后，把有价值的模式与原先存在的规则进行融合并进行更新操作。

可疑网站检测模块，包括：危害网页监测模块，包含网络爬虫模块、网站资料库；行为结果分析模块，包含融合规则库的匹配、危害网站的推荐、危害规则的深入挖掘模块，其特征在于：经由网络爬虫模块抓取网页资源形成的网站资料库，利用AC字符串匹配算法与融合规则库中的规则特征进行匹配，计算匹配度，若匹配度比较高，将该网站添加到危害网站推荐模块，经由专家系统模块分析判定后，将危害网站添加到危害网站库，进行后续的危害规则的深入挖掘与行为结果处理。

优选地，所述规则特征可以通过深入挖掘模块根据经由专家系统模块分析判定的网站库，进行深入地模式挖掘，利用分类与预测的方法，发现隐含的关系和模式，添加到规则库中，与原有的规则库进行融合。

更优选地，所述规则库匹配方法采用的是基于Aho-Corasick字符串匹配算法，该算法有扫描文本时完全不需要回溯的特点，且时间复杂度仅为O(n)，时间复杂度与关键字数目、长度均无关。

系统行为结果处理模块，包括问题网站的处理，包含向用户发出预警，并向网络警察申报备案，提供完整的产业链服务；完善检测模块，根据检测结果与态势分析，以自学习的方式完善检测模块之功能；测评数据与所挖掘的行为规则之融合，根据已发现的危害网站的态势分析与现阶段的理论研究进行深入的规则挖掘并与已有规则融合，进一步完善行为、特征规则库。

数据容灾模块，其特征在于本地控制系统周期性地将数据发送到异地控制中心进行备份，并接收成功返回信号，当异地控制中心很长时间未接受到备份数据时，向本地控制中心作一次询问，若无问题发生，本地控制中心则返回一个应答；若超过预先定义的阈值时间未接收到应答，则自动将用户服务请求接管过来，并继续等待本地控制中心的安全应答，并保存工作日志。

优选地，数据容灾模块采用分布式文件系统(HDFS)双节点热备切换的方式，HDFS采用主从结构模式，由一对NameNode管理节点和若干个DataNode组成，数据中心通过活跃节点与备份节点的相互切换，解决数据中心的瘫痪问题。