本發(fā)明涉及安全報警領(lǐng)域，具體涉及一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)及方法。

背景技術(shù)：

1、隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題日益突出，成為社會、企業(yè)乃至個人面臨的一大挑戰(zhàn)。面對日益復(fù)雜的網(wǎng)絡(luò)形式和，傳統(tǒng)的安全防護手段已經(jīng)難以滿足需求。

2、例如，當前的網(wǎng)絡(luò)安全報警系統(tǒng)往往因為正常流量與攻擊流量相似而產(chǎn)生誤報，浪費了安全團隊的時間和精力來分析無關(guān)警報，存在誤報幾率高的問題；同時，從檢測到威脅到系統(tǒng)發(fā)出警報并做出響應(yīng)之間的時間過長，使得攻擊者有足夠的時間滲透網(wǎng)絡(luò)或造成破壞，存在響應(yīng)速度慢的問題；因此，如何實現(xiàn)誤報和響應(yīng)速度的平衡是提升網(wǎng)絡(luò)安全的關(guān)鍵點。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)及方法，解決以上技術(shù)問題。

2、本發(fā)明的目的可以通過以下技術(shù)方案實現(xiàn)：

3、一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)，包括：

4、網(wǎng)絡(luò)數(shù)據(jù)采集模塊，用于從網(wǎng)絡(luò)設(shè)備及系統(tǒng)日志收集網(wǎng)絡(luò)流量和安全數(shù)據(jù)；

5、數(shù)據(jù)存儲模塊，用于將網(wǎng)絡(luò)數(shù)據(jù)采集模塊得到的數(shù)據(jù)存儲到數(shù)據(jù)庫內(nèi)；

6、數(shù)據(jù)處理模塊，用于調(diào)用數(shù)據(jù)庫內(nèi)的數(shù)據(jù)并按照預(yù)設(shè)的報警規(guī)則進行安全分析，計算得到安全報警指數(shù)；

7、網(wǎng)絡(luò)安全分析模塊，用于將安全報警指數(shù)與系統(tǒng)預(yù)設(shè)的安全閾值區(qū)間進行比對，若安全報警指數(shù)處于安全閾值區(qū)間內(nèi)，則判斷當前網(wǎng)絡(luò)安全，否則判斷當前網(wǎng)絡(luò)存在安全風(fēng)險；

8、報警模塊，根據(jù)網(wǎng)絡(luò)安全分析模塊判斷當前網(wǎng)絡(luò)存在安全風(fēng)險的結(jié)果生成報警信息，并將報警信息發(fā)送至系統(tǒng)后臺；

9、響應(yīng)模塊，用于根據(jù)安全報警指數(shù)進行降序排列后，生成報警信息的排列順序，按照排列順序作為響應(yīng)優(yōu)先級。

10、作為進一步的技術(shù)方案，按照預(yù)設(shè)的報警規(guī)則進行安全分析的過程為：

11、基于歷史獲取的網(wǎng)絡(luò)流量數(shù)據(jù)建立一個單位時間內(nèi)的流量基線；

12、將實時獲取的網(wǎng)絡(luò)流量數(shù)據(jù)與流量基線進行比對；

13、若通過公式計算后得到的網(wǎng)絡(luò)流量風(fēng)險系數(shù)，則判斷網(wǎng)絡(luò)流量存在風(fēng)險，否則判斷網(wǎng)絡(luò)安全；其中，為預(yù)設(shè)的網(wǎng)絡(luò)流量風(fēng)險閾值，、為預(yù)設(shè)權(quán)重系數(shù)，、分別為～時段內(nèi)的最大網(wǎng)絡(luò)流量、最小網(wǎng)絡(luò)流量，為當前時刻，為一個單位時間的開始時刻；

14、安全數(shù)據(jù)包括日志信息、漏洞信息及歷史報警信息，將日志信息、漏洞信息及歷史報警信息輸入到預(yù)先訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)模型內(nèi)，輸出安全系數(shù)，若，則判斷網(wǎng)絡(luò)防護存在風(fēng)險，否則判斷網(wǎng)絡(luò)防護安全；

15、若及均不滿足，則將、代入下式：計算獲得安全報警指數(shù)；

16、其中，、為預(yù)設(shè)比例系數(shù)，、分別為網(wǎng)絡(luò)流量均值、安全系數(shù)均值。

17、作為進一步的技術(shù)方案，所述網(wǎng)絡(luò)安全分析模塊的工作過程為：

18、將計算獲得安全報警指數(shù)與預(yù)設(shè)的安全閾值區(qū)間進行比較：

19、若，則判斷當前網(wǎng)絡(luò)安全；

20、若，則判斷當前網(wǎng)絡(luò)存在安全風(fēng)險。

21、作為進一步的技術(shù)方案，所述報警模塊的工作過程為：

22、當判斷網(wǎng)絡(luò)流量存在風(fēng)險時，發(fā)出一級報警信號；

23、當判斷網(wǎng)絡(luò)防護存在風(fēng)險時，發(fā)出二級報警信號；

24、當判斷當前網(wǎng)絡(luò)存在安全風(fēng)險時，發(fā)出三級報警信號；

25、其中，一級報警信號＜二級報警信號＜三級報警信號。

26、作為進一步的技術(shù)方案，生成報警信息排列順序的過程為：

27、對于一級報警信號，根據(jù)網(wǎng)絡(luò)流量風(fēng)險系數(shù)及端口的流量分布情況分析獲得優(yōu)先級系數(shù)，根據(jù)優(yōu)先級系數(shù)生成一級報警信號的排列順序；

28、對于二級報警信號，按照安全系數(shù)進行降序排列后，生成二級報警信號的排列順序；

29、對于三級報警信號，按照安全報警指數(shù)進行降序排列后，生成三級報警信號的排列順序。

30、作為進一步的技術(shù)方案，所述優(yōu)先級系數(shù)的獲取過程為：

31、根據(jù)歷史數(shù)據(jù)將網(wǎng)絡(luò)的各個端口的流量與預(yù)設(shè)流量區(qū)間進行比對，超出預(yù)設(shè)流量區(qū)間的端口標記成紅色端口，落入預(yù)設(shè)流量區(qū)間內(nèi)的端口標記成黃色端口，其余的端口標記成綠色端口；

32、獲取每個一級報警信號的生成時間，以生成時間為結(jié)束時間點，以預(yù)設(shè)間隔時間向后連續(xù)采集n次，獲取每次的紅色端口及綠色端口的數(shù)量；

33、通過網(wǎng)絡(luò)流量風(fēng)險系數(shù)及每次紅色端口、綠色端口的數(shù)量變化計算得到第 i個一級報警信號的優(yōu)先級系數(shù)；

34、按照優(yōu)先級系數(shù)進行降序排列后，生成一級報警信號的排列順序。

35、所述其中，為第 i個一級報警信號的網(wǎng)絡(luò)流量風(fēng)險系數(shù)，、為預(yù)設(shè)權(quán)重系數(shù)，、分別為紅色端口、綠色端口的均值。

36、一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警方法，包括如下步驟：

37、s1、從網(wǎng)絡(luò)設(shè)備及系統(tǒng)日志收集網(wǎng)絡(luò)流量和安全數(shù)據(jù)，并將得到的數(shù)據(jù)存儲到數(shù)據(jù)庫內(nèi)；

38、s2、調(diào)用數(shù)據(jù)庫內(nèi)的數(shù)據(jù)并按照預(yù)設(shè)的報警規(guī)則進行安全分析，計算得到安全報警指數(shù)；

39、s3、將安全報警指數(shù)與系統(tǒng)預(yù)設(shè)的安全閾值區(qū)間進行比對，若安全報警指數(shù)處于安全閾值區(qū)間內(nèi)，則判斷當前網(wǎng)絡(luò)安全，否則判斷當前網(wǎng)絡(luò)存在安全風(fēng)險；

40、s4、根據(jù)網(wǎng)絡(luò)安全分析模塊判斷當前網(wǎng)絡(luò)存在安全風(fēng)險的結(jié)果生成報警信息，并將報警信息發(fā)送至系統(tǒng)后臺；

41、s5、根據(jù)安全報警指數(shù)進行降序排列后，生成報警信息的排列順序，按照排列順序作為響應(yīng)優(yōu)先級。

42、本發(fā)明的有益效果：

43、本發(fā)明通過數(shù)據(jù)處理模塊、網(wǎng)絡(luò)安全分析模塊配合，實現(xiàn)實時對網(wǎng)絡(luò)流量和安全數(shù)據(jù)進行安全監(jiān)測的目的，并能夠根據(jù)網(wǎng)絡(luò)流量和安全數(shù)據(jù)在一個周期內(nèi)的趨勢進行安全預(yù)測，使得報警模塊提供的報警信息更加準確，以減少誤報的情況，同時在提高報警精確度的情況下兼顧報警響應(yīng)問題，于是通過報警信息的排列順序，按照排列順序作為響應(yīng)優(yōu)先級，以實現(xiàn)有限管理資源下的相對快速響應(yīng)，以降低發(fā)出警報與做出響應(yīng)之間的時間過長帶來的風(fēng)險。

技術(shù)特征：

1.一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)，其特征在于，按照預(yù)設(shè)的報警規(guī)則進行安全分析的過程為：

3.根據(jù)權(quán)利要求2所述的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)，其特征在于，所述網(wǎng)絡(luò)安全分析模塊的工作過程為：

4.根據(jù)權(quán)利要求2或3所述的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)，其特征在于，所述報警模塊的工作過程為：

5.根據(jù)權(quán)利要求4所述的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)，其特征在于，生成報警信息排列順序的過程為：

6.根據(jù)權(quán)利要求5所述的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)，其特征在于，所述優(yōu)先級系數(shù)的獲取過程為：

7.根據(jù)權(quán)利要求6所述的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)，其特征在于，所述其中，為第i個一級報警信號的網(wǎng)絡(luò)流量風(fēng)險系數(shù)，、為預(yù)設(shè)權(quán)重系數(shù)，、分別為紅色端口、綠色端口的均值。

8.一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警方法，該方法適用于權(quán)利要求1-7中任意一項所述的基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)，其特征在于，包括如下步驟：

技術(shù)總結(jié)
本發(fā)明涉及安全報警領(lǐng)域，公開了一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全報警系統(tǒng)及方法，從網(wǎng)絡(luò)設(shè)備及系統(tǒng)日志收集網(wǎng)絡(luò)流量和安全數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)采集模塊，將網(wǎng)絡(luò)數(shù)據(jù)采集模塊得到的數(shù)據(jù)存儲到數(shù)據(jù)庫內(nèi)，隨后調(diào)用數(shù)據(jù)庫內(nèi)的數(shù)據(jù)并按照預(yù)設(shè)的報警規(guī)則進行安全分析，計算得到安全報警指數(shù)，其次將安全報警指數(shù)與系統(tǒng)預(yù)設(shè)的安全閾值區(qū)間進行比對，若安全報警指數(shù)處于安全閾值區(qū)間內(nèi)，則判斷當前網(wǎng)絡(luò)安全，否則判斷當前網(wǎng)絡(luò)存在安全風(fēng)險，然后根據(jù)網(wǎng)絡(luò)安全分析模塊判斷當前網(wǎng)絡(luò)存在安全風(fēng)險的結(jié)果生成報警信息，并將報警信息發(fā)送至系統(tǒng)后臺，最后根據(jù)安全報警指數(shù)進行降序排列后，生成報警信息的排列順序，按照排列順序作為響應(yīng)優(yōu)先級。

技術(shù)研發(fā)人員：楊濤
受保護的技術(shù)使用者：棗莊市曉光科技咨詢服務(wù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6