[发明专利]基于大数据的网络安全监控方法、装置、设备及存储介质

权利要求书

1.一种基于大数据的网络安全监控方法，其特征在于，包括：

实时监控流量信息，并采用深度报文检测的方式，对所述流量信息进行解析，得到所述流量信息对应的日志文件；

通过日志分析框架，获取所述流量信息对应的日志文件，并对所述流量信息对应的日志文件进行筛选过滤处理，得到目标日志文件；

对所述目标日志文件中的数据进行异常攻击的特征分析，得到特征检测结果；

若所述特征检测结果为存在至少一种异常攻击特征，则执行相应预警措施；

所述对所述目标日志文件中的数据进行异常攻击的特征分析，得到特征检测结果包括：

针对所述流量信息对应的每个目标端口，从所述目标日志文件中，获取预设时间区间内，每个源IP访问所述目标端口的基础数据包信息，其中，所述基础数据包信息为源IP访问目标端口的数据流量信息；

对每个基础数据包信息进行汇总，得到所述预设时间区间内，访问所述目标端口的汇总数据包信息；

针对每个所述源IP，计算所述源IP对应的基础数据包信息与所述汇总数据包的比值，得到所述源IP在单位时间内访问所述目标端口的频率，并根据所述频率，确定所述预设时间区间内的信息熵；

将所述信息熵存入到长度为M的滑动窗口中，其中，每个所述信息熵占所述滑动窗口的1个单位的长度；

基于所述信息熵与所述滑动窗口，判断所述信息熵对应的所述源IP是否存在流量异常，并根据判断结果，确定所述特征检测结果；

所述基于所述信息熵与所述滑动窗口，判断所述信息熵对应的所述源IP是否存在流量异常，并根据判断结果，确定所述特征检测结果还包括：

采用流计算框架Flink，实时对所述信息熵和所述滑动窗口设置状态管理点State；

按照预设的时间间隔，读取所述状态管理点State对应的所述信息熵和所述滑动窗口，并基于所述信息熵与所述滑动窗口，采用预设判断方式，判断所述信息熵对应的所述源IP是否存在流量异常，并根据判断结果，确定所述特征检测结果。

2.如权利要求1所述的基于大数据的网络安全监控方法，其特征在于，所述日志分析框架包括分布式发布订阅消息系统Kafka和日志分析工具Logstash，所述通过日志分析框架，获取所述流量信息对应的日志文件，并对所述流量信息对应的日志文件进行筛选过滤处理，得到目标日志文件包括：

部署所述分布式发布订阅消息系统Kafka和所述日志分析工具Logstash；

通过所述分布式发布订阅消息系统Kafka实时获取所述流量信息对应的日志文件；

使用所述日志分析工具Logstash对所述日志文件中的数据进行筛选过滤处理，得到目标日志文件。

3.如权利要求1所述的基于大数据的网络安全监控方法，其特征在于，所述基于所述信息熵与所述滑动窗口，判断所述信息熵对应的所述源IP是否存在流量异常，并根据判断结果，确定所述特征检测结果包括：

在所述滑动窗口中存储的信息熵个数达到M个时，计算所述M个信息熵的置信值N和平均值V，并根据所述置信值和平均值确定置信区间[N-V，N+V]；

判断所述源IP在预设时间区间内的信息熵是否属于所述置信区间[N-V，N+V]范围内；

若所述源IP在预设时间区间内的信息熵在所述置信区间[N-V，N+V]范围内，则确定特征检测结果为存在至少一种异常攻击特征。

4.如权利要求1所述的基于大数据的网络安全监控方法，其特征在于，所述基于所述信息熵与所述滑动窗口，采用预设判断方式，判断所述信息熵对应的所述源IP是否存在流量异常，并根据判断结果，确定所述特征检测结果包括：

根据获取到的所述信息熵和所述滑动窗口，确定所述预设时间间隔的流量序列；

对所述流量序列进行小波变换，得到所述流量序列对应的小波系数，并根据所述小波系数确定所述流量序列对应的目标赫斯特指数；

若所述目标赫斯特指数与预设赫斯特指数的差值的绝对值大于预设阈值，则确定所述特征检测结果为存在异常流量。

5.如权利要求1所述的基于大数据的网络安全监控方法，其特征在于，所述基于大数据的网络安全监控方法还包括：

若接收到针对所述预设判断方式的更新指令，则根据所述更新指令，对所述预设判断方式进行更新。