[发明专利]一种大型网络安全态势检测分析方法

说明书

一种大型网络安全态势检测分析方法，对采样的流量数据进行跨时间或跨空间维度的分析，对各种异常行为检测组件进行阈值调整，把不同类别的异常行为检测组件整合在同一个模块中，实现统一结果展现及管理，进行一站式管理，通过对不同异常行为检测组件的检测结果再次进行统计分析，根据威胁对象所对应的异常行为类别/次数，进行类次分析，可实现对威胁对象进行更精准的危险级别划分，运用TRIZ的4个原理及4个法则，并结合现有大型网络安全态势感知系统及通常安全设备的局限性，实现大型网络安全态势感知的检测分析方法。

技术领域

本发明涉及网络安全检测技术领域，具体地说就是一种大型网络安全态势检测分析方法。

背景技术

随着云计算、物联网、智慧城市、移动互联网和微博等新一代应用和技术在行业得到广泛应用，在促进应用创新的同时，也将带来严重的信息安全隐患。攻防的不断发展，安全威胁的不断进化，新应用、新技术的广泛使用，与此同时，网络攻击的成本和技术门槛大幅下降，网络上的各种攻击和异常流量大量出现。在这种流量成分日益负载，异常流量海量涌现的情况下，对网络流量进行深入分析从而全面了解流量的各种分布及趋势就很有必要了。

市场上针对大型网络的实时流量监控及分析相关的解决方案极为罕见，就算中国电信这样的运营商，消耗巨额成本换来的也只是具有流量查询功能的工具性系统，距离易用、好用还有极大的差距。

(一)现有大型网络安全态势感知系统-安全设备之间的数据很难做到联动

目前市场上针对海量数据的安全态势感知系统，都是基于各种安全设备(防火墙、IDS、日志审计系统、WAF等)对各个设备所发现的异常行为进行汇总。它们普遍存在一个问题：无法从时间、空间的维度对网络行为进行综合性、全面性地分析。不同设备之间的数据是孤立的，并不能真正意义上让所有的安全设备之间的数据做到联动。

(二)现有的硬件能力很难对全网流量进行实时分析

对于海量网络流量场景(比如，对某个省份的运营商网络总流量进行分析)，基于现有的硬件能力无法对全网流量进行实时分析。

(三)通常的安全设备无法捕获同一时点并发数未达到检测阈值的恶意行为

通常的防火墙、入侵检测设备等只能针对同一时点的并发恶意网络行为进行检测，如果同一时点的恶意行为并发数未达到检测阈值，就无法捕获该风险。

(四)通常的安全设备无法实现跨设备的联动分析

通常的安全设备同一时点只能对单台设备上的行为进行分析，无法实现跨设备的联动分析。

发明内容

本发明的目的在于提供一种大型网络安全态势检测分析方法，运用TRIZ的4个原理： RTC算子原理、STC算子原理、抽取原理和组合原理，及4个法则：S-曲线法则、提高可控制性法则、技术系统向超系统进化法则和技术系统动态性进化法则，并结合现有大型网络安全态势感知系统及通常安全设备的局限性，实现大型网络安全态势感知的检测分析方法。

本发明解决其技术问题所采取的技术方案是：一种大型网络安全态势检测分析方法，对采样的流量数据进行跨时间或跨空间维度的分析，对各种异常行为检测组件进行阈值调整，把不同类别的异常行为检测组件整合在同一个模块中，实现统一结果展现及管理，进行一站式管理，通过对不同异常行为检测组件的检测结果再次进行统计分析，根据威胁对象所对应的异常行为类别/次数，进行类次分析，可实现对威胁对象进行更精准的危险级别划分。

作为优化，数据采样步骤为通过在待分析计算机网中各核心节点间、核心节点对下链路和部分骨干节点对下链路上部署流量控制设备，从流量监控设备(流量探针)网元管理系统采集网络实时流量数据，并基于RTC算子原理以及抽取原理对关键数据进行采样处理。