[发明专利]基于海量网络监测数据的大数据安全分析系统

权利要求书

1.一种基于海量网络监测数据的大数据安全分析系统，其特征在于，包括：

数据流量监控模块，用于对网络中的数据流量进行实时监控，通过对不同系统应用的分析，对各类系统产生的海量实时流量数据进行全面无损采集并将监控数据发送给其他各个模块；

深度分组检测模块，用于基于采集的数据通过深入重组、分析第七层分组的净荷内容，匹配业务特征，从而判断业务和应用类型，分析得到不同的应用类型；

数据联合分析模块，用于通过对海量安全数据的聚合获取有效信息，然后再通过对状态及关联分析进行研究，进而去除原始数据中的冗余信息；

异常检测模块，用于对采集数据进行分析检测，并判断是否存在异常；

安全评测模块，用于基于其余模块的分析和检测，综合判断当前网络态势，进而得到网络数据的评测结果。

2.根据权利要求1所述的系统，其特征在于，所述数据类型包括机器数据，包括客户端、服务器、网络设备、安全设备、应用程序产生的日志以及采集的系统相关的时间序列事件数据，用于反映IT系统内在的真实状况；

流量数据，为系统部分层网络通信协议的数据，用于进行深度包检测DPI、包头取样Netflow技术进行分析；

代理数据，为应用的运行环境中插入代理程序，用于从字节码里统计函数调用、堆栈使用信息，从而进行代码级别的监控。

3.根据权利要求1所述的系统，其特征在于，所述数据流量监控模块还包括数据采集模块，用于针对不同的数据类型根据预设的数据采集方式进行数据的采集。

4.根据权利要求1所述的系统，其特征在于，所述深度分组检测模块还包括：

净荷特征匹配模块，用于通过识别数据报文中的净荷特征来确定业务流所承载的应用；

业务识别模块，用于识别控制流，并根据控制流协议分析识别出业务流的端口或对端网关地址等信息，然后对业务流进行解析，从而识别出相应的业务流；

行为模式识别模块，用于根据用户已经实施的行为，判断用户正在进行的动作或者即将实施的动作。

5.根据权利要求1所述的系统，其特征在于，所述数据流量监控模块还包括数据采集系统模块，用于通过网络全流量安全分析系统、入侵检测系统、入侵防御系统及高级持续性威胁系统对原始网络流量进行实时数据采集。

6.根据权利要求5所述的系统，其特征在于，所述数据采集系统模块还采集威胁情报，从互联网上爬取威胁情报；

依据杀伤链对威胁情报进行分析，对威胁情报进行载体利用和突防利用、攻击手法、威胁情报本土化所关心的行业领域、目标作业环境和偏好进行机器学习和分析；

实时展现获取的威胁情报、APT攻击报告的数量、重大互联网泄密事件的数量、重大安全漏洞曝光事件的数量、恶意文件的数量、恶意IP的数量、恶意URL的数量、地图上动态显示所有威胁源或攻击源国家或地区、高亮显示个别国家的威胁情报情况、实时刷新威胁情报事件、对威胁源国家进行TOP排名展现。

7.根据权利要求1所述的系统，其特征在于，还包括运维监控模块、组织管理模块、系统管理模块；

运维监控模块包括全局监控、前端状态、运维告警、告警配置；

组织管理模块包括监控单位管理和前端设备管理模块；监控单位管理模块对客户单位进行管理；前端设备管理模块对前端设备进行信息维护；

系统管理模块包括用户管理、角色管理、权限管理、菜单管理、安全审计、配置管理及数据字典。

8.根据权利要求1所述的系统，其特征在于，还包括所述态势感知展示系统模块，用于采用数据可视化工具库，实时、立体地对安全威胁态势进行综合展示，包括单位威胁态势、行业威胁态势、资产安全态势、威胁报告管理、运维监控、组织管理及系统管理。