[发明专利]一种基于全流量的网络安全基线生成方法

权利要求书

1.一种基于全流量的网络安全基线生成方法，其特征在于，包括以下步骤：

S1.网络数据深度解析：通过交换机镜像口对网络数据包进行旁路采集，并对部分应用层协议进行深度解析，提取出网络报文中的公共数据内容和部分应用层深度解析数据信息，生成格式化数据；其中：所述公共数据内容包括：时间戳、源ip地址、目的ip地址、源端口号、目的端口号、源mac地址、目的mac地址、网络层协议和应用层协议；

S2.数据清洗与提取：对采集和/或解析后生成的格式化数据进行数据清洗，去掉重复或异常的数据，对于公共数据内容全部提取，对于部分深度解析出的应用层数据内容，提取其应用层关键信息；

S3.分布式持久化：将提取出的数据信息全量导入分布式数据库进行持久化；

S4.接受参数输入：接受用户输入的包括起始时间戳、结束时间戳和应用层协议类型在内的安全基线生成参数；

S5.数据聚合：依据用户输入的起始时间戳和结束时间戳参数，从分布式数据库中提取该时间范围内的基础数据，依据基础数据中的网络层协议、应用层协议、源ip地址、目的ip地址、源mac地址和目的mac地址信息生成聚合数据集A，再根据用户输入的应用层协议在聚合数据集A基础上再次聚合构造生成指定应用层协议的聚合数据集B；

S6.数据分析与计算：聚合数据集B的每条数据通过所有字段拼接后的字符串经过安全哈希算法生成唯一识别号ID，将附带该ID的聚合数据集B持久化到分布式数据库中，即形成指定应用层协议的网络安全基线。

2.根据权利要求1所述的一种基于全流量的网络安全基线生成方法，其特征在于，所述步骤S1网络数据深度解析包括以下子步骤：

S11.获取设备序列号，并创建处理子进程，再分配与子进程的共享内存，给共享内存缓冲区开启写权限；

S12.初始化子进程；

S13.初始化抓包接口，并开启抓包线程；

S14.初始化存储线程，并开启存储线程；

S15.初始化清除磁盘线程，开启清除磁盘功能；

S16.监控子进程，若有意外关断则重启子进程。

3.根据权利要求1所述的一种基于全流量的网络安全基线生成方法，其特征在于，所述步骤S5数据聚合中，若用户输入的应用层协议为IEC104协议，则聚合数据集B由基础数据中的IEC104数据的请求公共体地址、响应公共体地址、报文类型、类型标识以及传送原因生成。

4.根据权利要求1所述的一种基于全流量的网络安全基线生成方法，其特征在于，所述步骤S6数据分析与计算中，若分布式数据库中原本已有该应用层协议的安全基线，则会自动基于该唯一识别号ID对这些数据进行更新或完善，用户也可在此基础上单独插入或删除一条指定的安全基线数据。