[发明专利]一种网络态势感知实现方法及装置

权利要求书

1.一种网络态势感知实现方法，其特征在于包括：

网络态势提取步骤，采集及处理网络状态相关的网络数据；

态势感知与评估步骤，解析态势提取步骤处理后的网络数据各项数据之间的逻辑关联关系，对相关网络数据进行融合，形成网络态势感知图，从而实现网络态势感知；具体的，所述态势感知与评估步骤包括网络信息态势感知与评估以及主机日志信息态势感知与评估；其中网络信息态势感知与评估是基于网络原始数据流的采集与处理，提取网络原始数据各项数据之间的逻辑关联关系，对相关网络数据进行融合，形成网络态势感知图，从而实现网络态势感知；其中主机日志信息态势感知与评估是基于主机日志信息的采集与处理，提取主机日志信息各项数据之间的逻辑关联关系，对相关主机日志信息进行融合，形成主机日志态势感知图，从而实现网络态势感知；所述网络信息态势感知与评估包括网络拓扑发现步骤以及网络流量统计步骤；网络拓扑发现步骤是通过协议类型实现，基于五元组信息得知该数据协议类型，根据该协议类型获取目标网络设备MIB中的相关对象值，综合判断MIB对象值从而确定网络设备类型；网络流量统计步骤是基于五元组信息，研究网络流量分布统计以及异常流的判断；所述网络数据是网络原始数据流和主机日志数据，包括时间与空间两个维度的数据信息融合，其中网络原始数据流采集是指通过winpcap从网络数据链路层旁路或者阻断采集网络中流经的数据；采集主机日志数据是指从网络安全状态数据源中抽取出影响网络态势的基本元素的过程，是存储在应用服务器或者目标终端，通过对相应数据的提取，从而进一步抽取出影响网络态势的基本数据元素；网络安全状态数据源是网络原始数据的一种；

所述处理网络原始数据流指的是：

获取完整的网络原始数据流进行存储；

依照TCP/IP协议簇采用多端口识别对采集到的原始数据流进行协议分析，提取五元组信息；

将所提取的五元组信息按照TCP/IP协议架构存储，存储格式为格式统一的数据流。

2.根据权利要求1所述的一种网络态势感知实现方法，其特征在于所述处理网络原始数据流还包括对格式统一的数据流进行简化、合并处理。

3.根据权利要求1所述的一种网络态势感知实现方法，其特征在于所述处理主机日志信息指的是：

获取主机日志数据，从中提取出特征数据，进一步获取系统信息、服务信息，从主机日志数据中人工分析识别异常数据。

4.根据权利要求1所述的一种网络态势感知实现方法，其特征在于所述主机日志态势感知与评估具体包括：

将获取的主机日志信息按照系统信息、服务信息以及异常信息类别进行分类；

针对各类信息进行数据融合处理。

5.基于权利要求1至4之一所述网络态势感知实现方法的实现装置，其特征包括：

网络态势提取模块，用于采集及处理网络状态相关的网络数据；

态势感知与评估模块，用于解析态势提取步骤处理后的网络数据各项数据之间的逻辑关联关系，对相关网络数据进行融合，形成网络态势感知图，从而实现网络态势感知。