The invention discloses a large data security analysis system based on massive network monitoring data, including: data flow monitoring module, used for real-time monitoring of data flow, application analysis, non lossless collection of all kinds of system flow data and sent to other modules; deep packet detection module, used for deep weight. Group, analyze the content of the seventh layer packets, match the business features, determine the business and application types, and analyze the different application types. The data joint analysis module is used for data aggregation and then through the study of the state and association analysis, and then the redundant information in the original data is removed; and the anomaly detection is detected. The module is used to detect and judge whether the data is abnormal. The security evaluation module is used for the analysis and detection of the other modules, and the network situation is integrated, and the evaluation results of the data are obtained. The system can realize real-time monitoring of network data and carry out data security analysis accordingly, so as to improve data security and reliability.
【技术实现步骤摘要】
基于海量网络监测数据的大数据安全分析系统
本专利技术涉及数据分析相关
,特别是指一种基于海量网络监测数据的大数据安全分析系统。
技术介绍
随着IT在各行各业的深入发展,以及IT技术自身的复杂化,IT技术趋向于结构上的分层化以及广泛使用分布式的部署,传统单一的网络运维方式越来越不能满足变化的IT技术、层出不穷的新型攻击手段。虚拟化云计算等技术也在原有的结构下,重新改变了IT部署的方式。而智能电网的广泛使用,使得电网中的数字信息量剧增,需要以一种新的可视化运维方式来解决新的IT运维挑战,保障用电网络的生产安全和能源科学研究的信息安全。安全数据的数量、速度、种类的迅速膨胀,导致的不仅仅是海量异构数据的融合、存储和管理的问题,甚至动摇了传统的安全分析体系和方法。当前绝大多数安全分析工具和方法都是针对普通数据量设计的,在面对海量数据时难以为继。面对大量的安全要素信息,我们需要更加迅捷地感知网络安全态势。传统的分析方法大都采用基于规则和特征的分析引擎,必须要有规则库和特征库才能工作,而规则和特征只能对已知的攻击和威胁进行描述,无法识别未知的攻击,或者是尚未被描述成规则的攻击和威胁。面对未知攻击和复杂攻击如APT等,需要更有效的分析方法和技术。我们需要更主动、更智能的分析方法。大数据安全分析平台加上可靠的数据采集样本,可以默认集成这样的已知攻击行为模式模型,来减少数据分析的工作。数据挖掘可以帮助完成一部分人的工作,特别是当分析平台可以自动化识别很多线索的时候,那么数据挖掘就可以根据线索的特定组合判定一个事件。通过这种工具式的分析平台可以极大的简化运维人员的数据分析 ...
【技术保护点】
1.一种基于海量网络监测数据的大数据安全分析系统,其特征在于,包括:数据流量监控模块,用于对网络中的数据流量进行实时监控,通过对不同系统应用的分析,对各类系统产生的海量实时流量数据进行全面无损采集并将监控数据发送给其他各个模块;深度分组检测模块,用于基于采集的数据通过深入重组、分析第七层分组的净荷内容,匹配业务特征,从而判断业务和应用类型,分析得到不同的应用类型;数据联合分析模块,用于通过对海量安全数据的聚合获取有效信息,然后再通过对状态及关联分析进行研究,进而去除原始数据中的冗余信息;异常检测模块,用于对采集数据进行分析检测,并判断是否存在异常;安全评测模块,用于基于其余模块的分析和检测,综合判断当前网络态势,进而得到网络数据的评测结果。
【技术特征摘要】
1.一种基于海量网络监测数据的大数据安全分析系统,其特征在于,包括:数据流量监控模块,用于对网络中的数据流量进行实时监控,通过对不同系统应用的分析,对各类系统产生的海量实时流量数据进行全面无损采集并将监控数据发送给其他各个模块;深度分组检测模块,用于基于采集的数据通过深入重组、分析第七层分组的净荷内容,匹配业务特征,从而判断业务和应用类型,分析得到不同的应用类型;数据联合分析模块,用于通过对海量安全数据的聚合获取有效信息,然后再通过对状态及关联分析进行研究,进而去除原始数据中的冗余信息;异常检测模块,用于对采集数据进行分析检测,并判断是否存在异常;安全评测模块,用于基于其余模块的分析和检测,综合判断当前网络态势,进而得到网络数据的评测结果。2.根据权利要求1所述的系统,其特征在于,所述数据类型包括机器数据,包括客户端、服务器、网络设备、安全设备、应用程序产生的日志以及采集的系统相关的时间序列事件数据,用于反映IT系统内在的真实状况;流量数据,为系统部分层网络通信协议的数据,用于进行深度包检测DPI、包头取样Netflow技术进行分析;代理数据,为应用的运行环境中插入代理程序,用于从字节码里统计函数调用、堆栈使用信息,从而进行代码级别的监控。3.根据权利要求1所述的系统,其特征在于,所述数据流量监控模块还包括数据采集模块,用于针对不同的数据类型根据预设的数据采集方式进行数据的采集。4.根据权利要求1所述的系统,其特征在于,所述深度分组检测模块还包括:净荷特征匹配模块,用于通过识别数据报文中的净荷特征来确定业务流所承载的应用;业务识别模块,用于识别控制流,并根据控制流协议分析识别出业务流的端口或对端网关地址等信息,然后...
【专利技术属性】
技术研发人员:李春,郑磊,刘立明,王之一,郝成亮,颜佳,陈明,赵巍,王佳,刘超,李黎滨,孙伟,曹源,金泽洙,
申请(专利权)人:国网吉林省电力有限公司信息通信公司,国家电网公司,
类型:发明
国别省市:吉林,22
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。