[发明专利]一种网络信息安全检测系统及其检测方法

权利要求书

1.一种网络信息安全检测系统，其特征在于，包括流程：

当网络主机的信息状态更改后，获取更改后的主机信息状态；

从预生成的规则文件中查找与更改后的主机信息相对应的特定检测规则；

规则文件中存储有处于安全状态的网络主机的各个信息的检测规则，每个检测规则包括检测对象、该检测对象对应的检测内容、检测方法以及标准检测结果；

从特定检测规则中查找与特定检测对象对应的特定检测内容、特定检测方法和特定标准检测结果；

根据查找到的特定检测内容和特定检测方法对所述更改后的主机信息状态进行检测，得到实时检测结果；

将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据进行比较；

若设备数据流属于a指标数据，则比较所述设备数据流是否符合预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字和阈值范围；

若设备数据流属于b指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常；

若设备数据流属于c指标数据，则查询该设备数据流对应的正常历史设备数据流，根据历史设备数据流确定预设时间内设备数据流的平均值，计算该设备数据流与平均值的波动范围，若所述波动范围不符合预设波动范围，则网络异常。

2.根据权利要求1所述的一种网络信息安全检测系统，其特征在于，所述：存储设备数据流步骤，包括空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项。

3.根据权利要求1所述的一种网络信息安全检测系统，其特征在于，所述：根据空间信息、时间信息和预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项步骤之后，还包括预设聚合条件、预设时间粒度和叠加后的流量数据进行关联分析，生成报表，实时更新并显示所述报表。

4.根据权利要求1所述的一种网络信息安全检测系统，其特征在于，所述：对网络主机信息进行分类，属于同一类的网络主机信息为网络主机的一个检测对象；根据检测内容、检测内容对应的检测方法对处于安全状态的网络主机的检测对象进行检测，生成标准检测结果；所述检测内容根据已知的安全公告信息和主机系统状态确定；将检测对象、检测对象对应的检测内容、检测方法以及标准检测结果按照第一预设格式编写生成检测规则；将网络主机的所有检测对象分别对应的检测规则按照第二预设格式存储生成的文件即为所述预生成的规则文件。

5.根据权利要求1所述的一种网络信息安全检测系统，其特征在于，所述：根据更改后的主机信息状态、更改后的主机信息状态对应的检测内容、检测方法以及实时检测结果生成新的检测规则；根据新的检测规则更新预生成的规则文件，当信息状态发生更改的网络主机存在安全隐患时，发出报警提示。

6.一种网络信息安全检测系统及其检测方法，其特征在于，包括以下步骤：

1）收集，数据包嗅探器从网络线缆上收集原始二进制数据；

2）通过将选定的网卡设置成混杂模式来完成抓包，其中在这种模式下，该选定的网卡将抓取一个网段上所有的网络通信流量，而不仅是发往它的数据包；

3）转换，将捕获的二进制数据转换成可读形式，通过命令行数据包嗅探器以解析方式进行显示；

4）还原分析，对捕获和转换后的数据进行还原；

5）数据包嗅探器以捕获的网络数据作为输入，识别和验证它们的协议，然后开始分析每个协议的特定属性；通过查看网络流量，获取到带宽利用以及接收连接动态行为，判断引起故障的工作站点及其产生原因。