[发明专利]一种基于大数据的网络安全状态监测系统及方法

说明书

本发明公开了一种基于大数据的网络安全状态监测系统及方法，涉及计算机网络状态监测技术领域；包括步骤S100：对目标计算机发生过的所有历史安全事件进行事件信息的采集；步骤S200：进行相似事件分析；步骤S300：分别对各相似事件序列集筛选基准事件，基于基准事件对各相似事件序列集进行对应相似度信息的提取；步骤S400：对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合；步骤S500：分别对各相似事件序列集计算事件特征偏离度；步骤S600:预警运维人员目标计算机设备存在网络安全状态异常现象，提醒运维人员对目标计算机设备进行计算机参数的设置调整或者对目标计算机设备进一步排查系统漏洞。

技术领域

本发明涉及计算机网络状态监测技术领域，具体为一种基于大数据的网络安全状态监测系统及方法。

背景技术

计算机设备往往都会自带或者可自行下载系统漏洞排查软件，定时对计算机设备的漏洞情况进行排查，实现对计算机设备状态的及时掌握以及对计算机网络安全的维护；

计算机设备在随着使用年限或者说遭受的攻击破坏较多的情况下，很可能会引起计算机设备内部出现性能上的转变，最明显的变化可表现在，同样的攻击在不同的时期对相同的计算机设备进行攻击作用，但是很可能在第一次攻击时给计算机设备带来的漏洞较于第二次攻击给计算机设备带来的漏洞较少，而这一转变正是因为计算机设备可能出现了老化或者性能降低，导致计算机设备防御攻击能力下降。

发明内容

本发明的目的在于提供一种基于大数据的网络安全状态监测系统及方法，以解决上述背景技术中提出的问题。

为了解决上述技术问题，本发明提供如下技术方案：一种基于大数据的网络安全状态监测方法，监测方法包括：

步骤S100：调取目标计算机设备的运行日志和设备维护记录，在运行日志和设备维护记录中，对目标计算机发生过的所有历史安全事件进行事件信息的采集；

步骤S200：在目标计算机设备发生过的所有历史安全事件中，进行相似事件分析，分别得到对应事件引发源为系统外部攻击的第一安全事件集和对应事件引发源为系统内部用户操作的第二安全事件集；将第一安全事件集内各第一安全事件基于攻击特征的相似度进行进一步划分，得到若干个第一相似事件集；将第二安全事件集内各第二安全事件基于用户操作缺陷的相似度进行进一步划分，得到若干个第二相似事件集；

步骤S300：分别对各相似事件序列集筛选基准事件，基于基准事件对各相似事件序列集进行对应相似度信息的提取；

步骤S400：对各相似事件序列集内各安全事件之间进行偏差信息的提取和整合；

步骤S500：分别对各相似事件序列集计算事件特征偏离度；

步骤S600：设置事件特征偏离度阈值，将大于事件特征偏离度阈值的相似事件序列集进行信息提取，预警运维人员目标计算机设备存在网络安全状态异常现象，提醒运维人员对目标计算机设备进行计算机参数的设置调整或者对目标计算机设备进一步排查系统漏洞。

进一步的，步骤S100包括：

步骤S101：在目标计算机设备的历史运行日志和历史设备维护记录中，捕捉计算机设备发生过的所有历史安全事件；依次提取各历史安全事件发生时，计算机设备出现的系统漏洞，汇成各历史安全事件对应的系统漏洞集；

步骤S102：在目标计算机设备的历史运行日志和历史设备维护记录中，分别对各历史安全事件捕捉漏洞修复所需的修复指令，汇成各历史安全事件对应的修复指令集。

进一步的，步骤S200包括：