[发明专利]一种基于大数据的网络安全态势感知预警系统和方法

说明书

技术领域

本发明涉及网络安全技术领域，具体的说是一种基于大数据的网络安全态势感知预警系统和方法。

背景技术

随着大数据、云计算、物联网、工业互联网等新兴互联网技术应用的不断深入，企业信息化程度也越来越高，对信息系统的依赖程度达到了前所未有的高度，与此同时，也导致了各种新型网络攻击、敏感信息泄露等恶意信息安全事件频繁发生。国家互联网应急中心调查显示，2015年涉及重要行业和政府部门的高危漏洞事件增多，基础应用或通用软件漏洞风险凸显，安全形势日趋严峻。特别是对于国家电网公司这样的特大型企业，企业信息系统规模属于全球企业前列，安全问题更加不容忽视，因为如果电力系统遭到网络安全攻击的威胁，则不单单是信息领域的安全问题，很有可能间接导致工业生产和社会生活的电力供应问题，从而影响国家安全。因此，为了不断应对新的安全挑战，国家电网公司先后部署了防火墙、UTM、IPS、IDS、漏洞扫描系统、防病毒系统、终端管理系统、WAF、DB-AUDIT以及安全监控平台等，构建起一道道安全防线。然而，形式并不乐观，现有电力系统的安全防御设施防御能力仍然不足，主要表现在以下三个方面：这些传统的安全产品都只能抵御来自某个方面的安全威胁，形成了一个个的“安全防御孤岛”，缺乏对海量多维度的信息安全数据进行有效的融合关联分析，无法产生协同效应，不能使这些安全监测数据成为上层安全决策有效资源。

这些传统的安全防御设施大多数都通过分析某些安全设备的日志对已经发生的攻击行为进行分析和监测，基本都是被动防御的思路，缺乏网络安全态势感知与联动预警的能力，当检测到网络攻击事件之后再采取相应的应急措施，往往为时已晚，因为此时网络攻击已经发生过去了，攻击已经造成了不可挽回的损失。

综上所述，入侵检测技术的安全预警方法由于检测方法存在一定缺陷很容易导致安全预警的漏报和误报情况，预警的精度不高，而且在性能上也有影响。

发明内容

本发明的目的在于克服上述不足，提供一种基于大数据的网络安全态势感知预警系统和方法

本发明的目的是这样实现的：一种基于大数据的网络安全态势感知预警系统，包括数据收集单元、分析处理单元、业务功能单元和界面显示单元，其中数据收集单元包括数据收集引擎，数据收集引擎用于将镜像网口传入的信息数据无遗漏的进行收集存储；分析处理单元包括协议分析引擎、游离感知引擎、攻击分析引擎和数据还原引擎，协议分析引擎、游离感知引擎、攻击分析引擎和数据还原引擎用于对数据收集单元收集的信息进行分析；业务功能处理单元用于将分析处理单元处理后的信息组合、系统管理和实现告警功能；界面显示单元用于将业务功能处理单元提供的数据可视化展示，为用户管理系统提供操作入口。

进一步，数据收集引擎收集的信息数据包括病毒木马信息、意外破坏信息、恶意违规信息、入侵行为信息和异常访问信息。

进一步，业务功能单元包括筛选查询功能模块、统计功能模块、协议数据还原功能模块、数据格式转换功能模块、实时多条件组合排名功能模块、系统日志功能模块、告警功能模块和系统管理模块。

进一步，界面显示单元包括实时综合监测模块、全网数据展示模块、图表动态统计模块、多条件查询与筛选模块、协议与时间统计模块、多协议还原数据展示模块、实时危险攻击行为模块、系统日志模块和管理模块。

一种基于大数据的网络安全态势感知预警方法包括以下步骤：

步骤1、收集数据信息；

步骤2、采用游离算法分析处理步骤1中收集的数据信息；

步骤3、统计筛选步骤2中分析处理后的数据信息，生成告警信息、实时攻击行为信息和多条件排名信息。

步骤4、将步骤3中生成的各种信息在终端上显示。

进一步，步骤1中收集的数据信息包括病毒木马信息、意外破坏信息、恶意违规信息、入侵行为信息和异常访问信息。

本发明的优点在于：

本发明的基于大数据的网络安全态势感知预警系统和方法能够实现对黑客入侵行为的时时预警并溯源；实现对高端APT攻击和网络战争武器的时时预警并溯源；实现对工控网络和底层设备的攻击时时预警；实现对个人隐私和机密文件泄露的异常数据流时时预警；实现对未知威胁安全态势的感知；实现对僵木蠕的态势感知并溯源；实现对资产自身脆弱性的态势感知；实现对网站的安全态势监控；实现对内部恶意程序通过网络传播的感知并预警。

附图说明

图1为本发明的一种基于大数据的网络安全态势感知预警系统的结构图；

图2为本发明的一种基于大数据的网络安全态势感知预警系统的具体结构图。