一种基于时空特征分析的测绘组织发现系统的制作方法

本发明涉及电数字数据处理领域，具体涉及一种基于时空特征分析的测绘组织发现系统。

背景技术：

1、测绘攻击是网络安全领域中常见的一种活动，攻击者通过这种技术探索和识别目标网络的结构、服务和漏洞，这类攻击通常是更复杂网络攻击活动的前奏，包括但不限于数据泄露、服务拒绝攻击、以及进一步的入侵尝试，现有防护系统能够针对单一源发起的测绘攻击进行有效的识别，但当多个源形成的测绘组织进行测绘攻击时，现有系统无法做到有效的识别，因此，需要一种能够能够发现测绘组织的防护系统，为网络安全提供更高效的保障。

2、背景技术的前述论述仅意图便于理解本发明。此论述并不认可或承认提及的材料中的任一种公共常识的一部分。

3、现在已经开发出了很多测绘识别系统，经过大量的检索与参考，发现现有的测绘识别系统有如公开号为cn115102785b所公开的系统，这些系统一般包括：安全防护模块、多元融合溯源自动化平台、网络空间测绘模块、网络安全单兵作战模块和溯源取证模块；多元融合溯源自动化平台用于接收由安全防护模块劫持的攻击流量，进而获取攻击者信息；网络空间测绘模块用于扫描接收的攻击者信息获得扫描结果信息，并将扫描结果信息发送给多元融合溯源自动化平台；网络安全单兵作战模块用于接收并执行渗透攻击指令，获取僵尸网络权限；溯源取证模块用于在网络安全单兵作战模块获取僵尸网络权限之后，对僵尸网络进行全面取证，并将全面取证信息发送给多元融合溯源自动化平台。但该系统主要时针对单源的测绘攻击进行溯源，对于多源的测绘组织攻击无法做到有效的识别。

技术实现思路

1、本发明的目的在于，针对所存在的不足，提出了一种基于时空特征分析的测绘组织发现系统。

2、本发明采用如下技术方案：

3、一种基于时空特征分析的测绘组织发现系统，包括流量监控模块、数据分析模块、模式识别模块和响应报告模块；

4、所述流量监控模块用于对流量的访问连接情况进行监控，所述数据分析模块用于对访问连接信息进行时空特征分析，所述模式识别模块基于分析结果识别出测绘组织以及测绘模式，所述响应报告模块用于对识别结果进行响应并生成报告信息；

5、所述流量监控模块包括数据捕捉单元、信息提取单元和统计处理单元，所述数据捕捉单元用于捕捉外部网络进行访问的数据包，所述信息提取单元用于提取出数据包中的时空信息，所述统计处理单元用于对时空信息进行统计；

6、所述数据分析模块包括时间特征分析单元、空间特征分析单元和综合特征分析单元，所述时间特征分析单元用于对统计信息中的时间特征进行分析，所述空间特征分析单元用于对统计信息中的空间特征进行分析，所述综合特征分析单元用于将时间特征和空间特征进行综合处理；

7、所述模式识别模块包括模式特征存储单元和模式匹配识别单元，所述时空特征存储单元用于存储测绘模式的模式特征信息，所述模式匹配识别单元用于分析得到的时空特征与存储的模式特征进行匹配处理识别出对应的测绘模式；

8、所述响应报告模块包括测绘响应单元和组织报告单元，所述测绘响应单元用于对测绘行为进行防御响应，所述组织报告单元用于生成包含测绘组织信息的报告信息；

9、进一步的，所述统计处理单元包括统计管理处理器、统计执行处理器和统计存储处理器，所述统计管理处理器用于设置统计内容，所述统计执行处理器基于设置的统计内容对时空信息进行统计处理，所述统计存储处理器用于存储统计结果；

10、统计结果用(tp，ad，n，t)表示，其中，tp为统计类型，ad为ip地址，n为数量，t为时间段；

11、进一步的，所述时间特征分析单元包括分析控制处理器、时序分析处理器和分析匹配处理器，所述分析控制处理器从统计结果中筛选出信息进行整理后发送给所述时序分析处理器进行分析，所述时序分析处理器用于对接收的数据进行分析处理得到特征信息，所述分析匹配处理器用于对特征信息进行匹配；

12、进一步的，所述时序分析处理器对数列进行分析处理的过程包括如下步骤：

13、s1、计算出{n(i)}数列的均值，记为n；

14、s2、筛选出数列中大于n的数，并基于连续性将筛选出的数分为若干个子数列；

15、s3、计算出每个子数列的特征指数p：

16、

17、其中，x为子数列的初始序号，m为子数列包含的数据个数；

18、s4、选择特征指数最大的子数列作为特征子数列；

19、s5、计算出特征子数列的均值和标准差；

20、s6、由特征子数列的数据个数、初始序号、均值和标准差构成特征向量(a，b，c，d)；

21、进一步的，所述分析匹配处理器根据下式计算出两个特征向量的匹配差异值δmt：

22、δmt＝(δa+δb)·lg(10+δc·δd)；

23、其中，δa为a的差值绝对值，δb为b的差值绝对值，δc为c的差值绝对值，δd为d的差值绝对值；

24、所述分析匹配处理器将匹配差异值小于匹配阈值的两个特征项进行匹配。

25、本发明所取得的有益效果是：

26、本系统通过对流量的时空特征进行分析，能够准确的找出多个源ip之间的关联以及目标ip之间的关联，进而找出测绘组织以及测绘对象，为后续的网络安全防护提供基础，能够有效的解决对多源测绘组织识别能力低下的问题。

27、为使能更进一步了解本发明的特征及技术内容，请参阅以下有关本发明的详细说明与附图，然而所提供的附图仅用于提供参考与说明，并非用来对本发明加以限制。

技术特征：

1.一种基于时空特征分析的测绘组织发现系统，其特征在于，包括流量监控模块、数据分析模块、模式识别模块和响应报告模块；

2.如权利要求1所述的一种基于时空特征分析的测绘组织发现系统，其特征在于，所述统计处理单元包括统计管理处理器、统计执行处理器和统计存储处理器，所述统计管理处理器用于设置统计内容，所述统计执行处理器基于设置的统计内容对时空信息进行统计处理，所述统计存储处理器用于存储统计结果；

3.如权利要求2所述的一种基于时空特征分析的测绘组织发现系统，其特征在于，所述时间特征分析单元包括分析控制处理器、时序分析处理器和分析匹配处理器，所述分析控制处理器从统计结果中筛选出信息进行整理后发送给所述时序分析处理器进行分析，所述时序分析处理器用于对接收的数据进行分析处理得到特征信息，所述分析匹配处理器用于对特征信息进行匹配。

4.如权利要求3所述的一种基于时空特征分析的测绘组织发现系统，其特征在于，所述时序分析处理器对数列进行分析处理的过程包括如下步骤：

5.如权利要求4所述的一种基于时空特征分析的测绘组织发现系统，其特征在于，所述分析匹配处理器根据下式计算出两个特征向量的匹配差异值δmt：

技术总结本发明提供了一种基于时空特征分析的测绘组织发现系统，涉及电数字数据处理领域，包括流量监控模块、数据分析模块、模式识别模块和响应报告模块，所述流量监控模块用于对流量的访问连接情况进行监控，所述数据分析模块用于对访问连接信息进行时空特征分析，所述模式识别模块基于分析结果识别出测绘组织以及测绘模式，所述响应报告模块用于对识别结果进行响应并生成报告信息；本系统通过分析流量的时空特征来发现测绘组织，能够更准确的发现出测绘行为，为网络安全提供防御基础。技术研发人员：黄亮,戚艳红,黄恬,熊颖,程冕,戴光耀,周炎龙受保护的技术使用者：国家计算机网络与信息安全管理中心技术研发日：技术公布日：2024/8/1