[发明专利]一种大型网络安全态势检测分析方法

权利要求书

1.一种大型网络安全态势检测分析方法，其特征在于：对采样的流量数据进行跨时间或跨空间维度的分析，对各种异常行为检测组件进行阈值调整，把不同类别的异常行为检测组件整合在同一个模块中，实现统一结果展现及管理，进行一站式管理，通过对不同异常行为检测组件的检测结果再次进行统计分析，根据威胁对象所对应的异常行为类别/次数，进行类次分析，可实现对威胁对象进行更精准的危险级别划分。

2.根据权利要求1所述的一种大型网络安全态势检测分析方法，其特征在于：数据采样步骤为通过在待分析计算机网中各核心节点间、核心节点对下链路和部分骨干节点对下链路上部署流量控制设备，从流量监控设备网元管理系统采集网络实时流量数据，并基于RTC算子原理以及抽取原理对关键数据进行采样处理。

3.根据权利要求1所述的一种大型网络安全态势检测分析方法，其特征在于：跨时间及跨空间维度的数据分析通过从网络中采集、整理并生成的网络流量数据，运用RTC算子对采样后的数据进行跨时间维度的分析，运用STC算子原理基于采样后的数据实现对全网行为的联动分析，对同一个攻击源针对不同IP、不同网段的威胁行为的联动分析。最终实现集中分析、多维分析、交叉关联、归类和聚类的流量数据分析。

4.根据权利要求1所述的一种大型网络安全态势检测分析方法，其特征在于：阈值调整为根据技术系统动态性进化法则中的提高可控制性法则，我们对各种异常行为检测组件分别设置对应的检测阈值，经历了直接控制->间接控制->引入反馈机制->自我控制完整的进化过程，最终通过智能化算法实现相关阈值的自动调整，对超过对应规则阈值的，即判定为可能存在风险。

5.根据权利要求1所述的一种大型网络安全态势检测分析方法，其特征在于：一站式管理为根据组合原理，我们把不同类别的异常行为检测组件整合在同一个模块中，实现统一结果展现及管理，异常行为检测组件包括被动/主动扫描网段、被动/主动扫描ip、被动/主动扫描端口ip、被动/主动CC链接、异常VPN连接、被动/主动木马攻击。

6.根据权利要求1所述的一种大型网络安全态势检测分析方法，其特征在于：类次分析为对触发规则的数据流量按时间段、规则、IP、目标对象计算入库，通过IP异常行为类次分析，即对不同异常行为检测组件的检测结果再次进行统计分析，实现对威胁对象进行更精细化的管理，可实时对各种异常行为进行分析，对攻击源IP的风险程度进行动态评级，并与流量清洗系统和专业安全防护厂商进行联动防御；可实时对受攻击的目标IP进行风险评级，实现对不同风险基本的目标IP实施差异化的防护策略；可对网内异常行为的用户进行分析，实时发现各类风险用户；可对历史的风险数据进行统计分析，为将来的风险预测提供足够的依据。