一种网络安全态势感知系统及方法与流程

本发明涉及网络安全，具体是一种网络安全态势感知系统及方法。

背景技术：

1、网络安全态势感知是指对网络环境中的实时威胁、攻击和异常活动进行监测、识别和分析，并及时采取相应的安全措施来应对和防御的能力，这一概念涵盖了对网络安全态势的全面理解和把握，旨在保障网络系统和数据的安全性、完整性和可用性。

2、随着互联网的迅速发展，网络攻击日益猖獗，给网络安全带来了严峻挑战，传统的网络安全防护手段往往依赖于静态规则或特征库，难以应对快速变化的威胁，因此，开发一种能够实时感知网络安全态势、及时预警并采取相应应对措施的系统和方法具有重要意义。

技术实现思路

1、为了解决上述问题，本发明的目的在于提供一种网络安全态势感知系统及方法。

2、本发明的目的可以通过以下技术方案实现：一种网络安全态势感知系统，包括云平台，所述云平台通信连接有数据采集模块、数据处理模块、态势感知模块以及应对措施模块；

3、所述数据采集模块用于实时采集网络数据信息，并对采集网络数据信息的采集环境进行安全限定；

4、所述数据处理模块用于对采集到的网络数据信息进行区间分类，进而生成不同的区间数据信息集，并提取每个区间数据信息集对应的特征参数信息；

5、所述态势感知模块用于分析每个区间数据信息集对应的特征参数信息，进而定位出影响网络安全态势的区间数据信息集，并通过态势感知预警出相应的异常网络行为，生成异常网络行为对应的态势报告；

6、所述应对措施模块用于获取每种异常网络行为对应的态势报告，并根据不同的态势报告执行相应的安全应对措施。

7、进一步的，实时采集网络数据信息，并对采集环境进行安全限定的过程包括：

8、由网络安全相关人员编辑需求文档，需求文档记录有进行网络数据信息采集的所有数据类型，每种数据类型对应的不同数据来源，以及不同数据类型的网络数据信息各自的数据量级；

9、由程序人员编辑采集网络数据信息的脚本文件，并将需求文档代码化至脚本文件内，进而作为脚本文件的采集范本数据，采集范本数据包括若干数目的网页地址、若干数目的网页内容以及若干类型的抓取参数集，其中，不同的网页地址对应网络数据信息的不同数据来源，不同的网页内容对应网络数据信息的不同数据类型，根据不同的数据量级生成每个数据量级对应类型的抓取参数集，抓取参数集包括抓取频率和抓取深度；

10、进而脚本文件以若干数目的网页地址作为采集网络数据信息的若干个遍历起始点，从若干个遍历起始点开始实时同步的采集若干个不同网页地址对应的网页内容，以每个网页内容对应设置的页尾符作为遍历终点，当若干数目的网页地址对应的网页内容都遍历完成时，则表示采集网络数据信息的操作完成，当脚本文件采集每个网页地址对应网页内容的网络数据信息时，按照每个网页内容对应的抓取频率和抓取深度进行采集。

11、进一步的，对网络数据信息进行区间分类，并生成不同的区间数据信息集的过程包括：

12、所述网络数据信息包括网络日志数据、网络流量数据以及网络会话数据，网络日志数据包括若干个日志操作记录，网络流量数据包括若干个时段对应的实时片段流量，网络会话数据包括若干个会话时长对应的会话记录；

13、所述区间分类包括日志区间分类、流量区间分类以及会话区间分类，对网络日志数据进行日志区间分类，进而将若干个日志操作记录标记为相应的合法数据一、疑似异常数据一以及异常数据一；对网络流量数据进行流量区间分类，进而将若干个时段对应的实时片段流量汇总为相应的异常数据二、疑似异常数据二以及正常数据二；对网络会话数据进行会话区间分类，进而将若干个会话时长对应的会话记录汇总为相应的异常数据三、疑似异常数据三以及正常数据三；

14、所述区间数据信息集包括第一区间信息集、第二区间信息集以及第三区间信息集，将异常数据一、异常数据二和异常数据三合并作为第一区间信息集，将疑似异常数据一、疑似异常数据二和疑似异常数据三合并作为第二区间信息集，将正常数据一、正常数据二和正常数据三合并作为第三区间信息集。

15、进一步的，提取每个区间数据信息集对应的特征参数信息的过程包括：

16、设置特征分析程序以及特征分析程序对应的关键项匹配时段和信息提取时段，若当前时间处于关键项匹配时段，则将第一区间信息集和第三区间信息集输入至特征分析程序内，进而由特征分析程序进行分析后第一区间信息集拆分为若干个异常信息表征片段，以及将第三区间信息集拆分为若干个正常信息表征片段，获取若干个正常信息表征片段和异常信息表征片段各自对应的时间戳，将处于同一个时间戳的正常信息表征片段和异常信息表征片段联立匹配为一个关键项，进而生成若干个关键项；

17、在信息提取时段，由特征分析程序获取每个关键项对应的余弦相似系数，并记为，将第二区间信息集拆分为不同时间戳对应的子信息集，计算每个子信息集对应的余弦相似度，并记为，将所有满足≥对应的子信息集归类为异常特征参数，将所有满足＜对应的子信息集归类为正常特征参数，将全部的异常信息表征片段标记为异常特征参数，将全部的正常信息表征片段标记为正常特征参数。

18、进一步的，分析每个区间数据信息集对应的特征参数信息，进而定位出影响网络安全态势的区间数据信息集的过程包括：

19、当全部的区间数据信息集的特征参数信息都被提取完成后，依次分析每个区间数据信息集对应的特征参数信息，若区间数据信息集中仅包括正常特征参数，则定位相应的区间数据信息集为不对网络安全态势造成影响的区间数据信息集，若区间数据信息集中仅包括异常特征参数，或区间数据信息集中同时包括正常特征参数和异常特征参数，则定位相应的区间数据信息集为影响网络安全态势的区间数据信息集。

20、进一步的，通过态势感知定位出影响网络安全态势的区间数据信息集相应的异常网络行为，并生成异常网络行为对应的态势报告的过程包括：

21、设置态势感知库，态势感知库存储有若干个影响网络安全态势的历史异常网络行为，每个历史异常网络行为关联有相应的异常文档，异常文档记录有若干个异常节点词句；

22、为影响网络安全态势的区间数据信息集建立相应的态势感知词袋模型，通过态势感知词袋模型对当前影响网络安全态势的区间数据信息集进行态势感知，进而提取出区间数据信息集对应的若干个态势感知词句；

23、将全部影响网络安全态势的区间数据信息集，以及每个区间数据信息集对应的若干个态势感知词句输入至态势感知库，进而获取区间数据信息与每个历史异常网络行为的匹配度，将匹配度数值排在前三的历史异常网络行为作为当前区间数据信息集对应的异常网络行为；

24、获取当前区间数据信息集对应全部异常网络行为的行为详情信息，并录入至预设的空白报告单内，进而生成每种异常网络行为对应的态势报告，将态势报告发送至云平台中进行存储。

25、进一步的，获取每种异常行为对应的态势报告，并根据不同的态势报告执行相应的安全应对措施的过程包括：

26、定义云平台的若干个授权用户，并为每个授权用户定义一个唯一的授权标识，当用户访问云平台时，判断当前进行访问的用户是否存在授权标识；

27、若是，则进一步判断授权标识是否为所定义的授权标识，若是，则记相应用户为授权用户，并从云平台获取每种异常行为对应的态势报告，若否，则禁止当前用户对云平台的操作；

28、若否，则直接禁止当前用户对云平台进行操作；

29、根据不同的态势报告执行相应的安全应对措施，态势报告包括流量态势报告、干扰态势报告以及入侵态势报告，安全应对措施包括流量控制措施、信息筛选措施以及漏洞修补措施；

30、当态势报告为流量态势报告时，对应执行的安全应对措施为流量控制措施；

31、当态势报告为干扰态势报告时，对应执行的安全应对措施为信息筛选措施；

32、当态势报告为入侵态势报告时，对应执行的安全应对措施为漏洞修补措施。

33、进一步的，一种网络安全态势感知系统的网络安全态势感知方法，包括以下步骤：

34、步骤s1，实时采集网络数据信息，并对采集网络数据信息的采集环境进行安全限定；

35、步骤s2，对采集到的网络数据信息进行区间分类，进而生成不同的区间数据信息集，并提取每个区间数据信息集对应的特征参数信息；

36、步骤s3，分析每个区间数据信息集对应的特征参数信息，进而定位出影响网络安全态势的区间数据信息集，并通过态势感知预警出相应的异常网络行为，生成异常网络行为对应的态势报告；

37、步骤s4，获取每种异常网络行为对应的态势报告，并根据不同的态势报告执行相应的安全应对措施。

38、与现有技术相比，本发明的有益效果是：通过实时采集网络数据信息，并在采集网络数据信息的同时对采集环境进行安全限定，保证了数据采集过程的安全性，对采集到的网络数据信息进行区间分类，进而生成不同的区间数据信息集，并提取每个区间数据信息集对应的特征参数信息，分析每个区间数据信息集对应的特征参数信息，进而定位出影响网络安全态势的区间数据信息集，并通过态势感知预警出相应的异常网络行为，实现了对影响网络安全的异常网络行为的及时发现，生成异常网络行为对应的态势报告，并根据不同的态势报告执行相应的安全应对措施，则在一定程度上及时避免了网络异常问题的扩大化，有效的维护了网络安全。