一种用于网络安全的智能检测预警系统及其方法技术方案

本发明专利技术公开了一种用于网络安全的智能检测预警系统和方法，涉及网络安全检测预警技术领域，包括监控中心，所述监控中心通信连接有数据监测模块、数据存储模块、特征识别模块、数据处理模块、数据分析模块和安全预警模块；数据监测模块监测网络节点的数据信息；特征识别模块判断数据流是否为攻击数据流；数据处理模块根据数据流特征参数集动态生成攻击数据流的威胁指数，数据分析模块用于根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略，从而在面对海量的攻击数据时对系统的安全威胁状况有更加准确的了解。解。解。

【技术实现步骤摘要】
一种用于网络安全的智能检测预警系统及其方法


[0001]本专利技术涉及网络安全检测预警
，具体是一种用于网络安全的智能检测预警系统及其方法。

技术介绍

[0002]互联网的发展，在大大拓展信息资源共享空间和时间，提高其利用率的同时，也给信息资源的安全带来了前所未有的挑战。各种计算机病毒和黑客攻击层出不穷。他们利用计算机系统和通信协议中的设计漏洞，盗取用户口令、非法访问计算机中的信息资源、窃取机密信息、破坏计算机系统。
[0003]然而，针对网络系统安全的检测预警只停留在对单个攻击事件可能给系统造成威胁的评估上，不能切实提供全方位的网络节点安全预警信息，不能为网络安全预警系统的提供帮助，如何从海量的攻击数据流中分辨出有用攻击数据流和无用攻击数据流，使网络安全预警系统对系统的安全威胁状况有更加准确的了解，以便调整系统的安全策略，从而更好地提高网络系统的安全性能是我们亟需解决的问题。

技术实现思路

[0004]为了解决上述技术问题，本专利技术的目的在于提供一种用于网络安全的智能检测预警系统，包括监控中心，所述监控中心通信连接有数据监测模块、数据存储模块、特征识别模块、数据处理模块、数据分析模块和安全预警模块；
[0005]所述数据监测模块用于监测网络节点的数据信息；设置监测周期并记录监测时间；所述数据信息包括各网络节点的数据流和网络带宽占用率；
[0006]所述数据存储模块包含实时数据库和历史数据库，用于根据数据信息监测时间的不同对数据信息进行分开存储；
[0007]所述特征识别模块用于生成数据流的特征参数集，并根据特征参数集判断数据流是否为攻击数据流；
[0008]所述数据处理模块用于根据数据流特征参数集动态生成攻击数据流的威胁指数，并根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流，并降低无效攻击数据流的威胁指数，为网络节点划分威胁等级；
[0009]所述数据分析模块用于根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略；
[0010]所述安全预警模块用于对安全预警节点进行持续监测或防御升级。
[0011]进一步的，所述特征识别模块获得数据流的特征参数集，并判断数据流是否为攻击数据流的过程包括：
[0012]设置特征参数计算模型，利用特征参数计算模型获得数据流的特征参数集，所述特征参数集包括数据流的访问时间戳和访问次数；根据数据流的访问时间戳和访问次数生成当前监测周期数据流的访问量，并建立基于访问量的实时访问量趋势曲线；同时获取历
史数据库中若干个监测周期内的数据流的特征参数集，根据数据流历史数据库中的访问时间戳和访问次数生成数据流的标准访问量，并建立关于标准访问量的多维线性回归模型；并根据多维线性回归模型预测的标准访问量建立随监测时间变化的标准访问量趋势曲线；设置控幅阈值，将实时访问量趋势曲线与标准访问量趋势曲线进行叠合比较，获取实时访问量趋势曲线与标准访问量趋势曲线的访问量差值均值的绝对值；若访问量差值均值的绝对值小于等于控幅阈值，则将该数据流标记为正常数据流；若访问量差值均值的绝对值大于控幅阈值，则将该数据流标记为攻击数据流。
[0013]进一步的，所述数据处理模块根据数据流特征参数集动态生成攻击数据流的威胁指数的过程包括：
[0014]根据历史数据库中攻击数据流的访问时间戳和访问次数生成历史访问频率，并获取攻击数据流上一次访问时间戳距离当前访问时间的时长，更新攻击数据流的访问时间戳，根据更新后的访问时间戳和访问次数生成衰减操作后的访问频率；
[0015]根据当前监测周期的访问量和历史访问频率获取访问次数的增长概率系数，根据衰减操作后的访问频率和访问次数的增长概率系数生成增加操作后的访问频率；
[0016]根据增加操作后的访问频率生成攻击数据流的威胁指数。
[0017]进一步的，所述数据处理模块根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流的过程包括：
[0018]获取攻击数据流所在监测时间段的网络带宽占用率，提取历史数据库中相同监测时间段的网络带宽最大占用率；若攻击数据流所在监测时间段的网络带宽占用率小于等于相同监测时间段的网络带宽最大占用率，则将该攻击数据流标记为无效攻击数据流；若攻击数据流所在监测时间段的网络带宽占用率大于相同监测时间段的网络带宽最大占用率，则将该攻击数据流标记为有效攻击数据流。
[0019]进一步的，所述数据处理模块降低无效攻击数据流的威胁指数的过程包括：
[0020]通过历史数据库获取无效攻击数据流的历史威胁指数，将历史威胁指数最大值与历史威胁指数最小值的平均值标记为威胁指数标准值，将无效攻击数据流的威胁指数与威胁指数标准值进行比较；当无效攻击数据流的威胁指数大于威胁指数标准值时，将无效攻击数据流的威胁指数降低至威胁指数标准值。
[0021]进一步的，所述数据处理模块为网络节点划分威胁等级的过程包括：
[0022]获取网络节点监测周期内不同时间段的攻击数据流的威胁指数均值，根据攻击数据流的威胁指数均值大小为网络节点划分威胁等级。
[0023]进一步的，所述数据分析模块根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略的过程包括：
[0024]获取网络节点的威胁等级和网络节点的网络带宽最大占用率，将环形双向链表中的网络节点按照其威胁等级从大到小的顺序从前往后排列，随后获得环形双向链表中威胁等级相同的网络节点集，按照网络节点的带宽最大占用率从大到小的顺序将网络节点集中的网络节点从前往后排列；所述环形双向链表中的网络节点数为固定值，当新的网络节点加入环形双向链表中时，网络节点的威胁等级最低且网络带宽最大占用率最小的网络节点将会被新的网络节点覆盖；同时将位于环形双向链表的网络节点标记为安全预警节点，并
将安全预警节点信息发送至安全预警模块。
[0025]进一步的，一种用于网络安全的智能检测预警系统的智能检测预警方法，该方法包括：
[0026]步骤S1：监测网络节点的数据信息，根据数据信息监测时间的不同对数据信息分别存储至实时数据库和历史数据库；利用数据流特征参数历史数据库中数据流的历史特征参数集获得实时访问量趋势曲线与标准访问量趋势曲线，将两者进行叠合比较，获得攻击数据流；
[0027]步骤S2：获取攻击数据流所在监测时间段的网络带宽占用率，提取历史数据库中相同监测时间段的网络带宽最大占用率；将攻击数据流所在监测时间段的网络带宽占用率与相同监测时间段的网络带宽最大占用率进行比较，将攻击数据流划分为无效攻击数据流和有效攻击数据流，并降低无效攻击数据流的威胁指数，为网络节点划分威胁等级；
[0028]步骤S3：对网络节点进行环形双向链表动态排序；将环形双向链表中的网络节点按照其威胁等级从大到小的顺序从前往后排列，随后获得环形双向链表中威胁本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于网络安全的智能检测预警系统，包括监控中心，其特征在于，所述监控中心通信连接有数据监测模块、数据存储模块、特征识别模块、数据处理模块、数据分析模块和安全预警模块；所述数据监测模块用于监测网络节点的数据信息；设置监测周期并记录监测时间；所述数据信息包括各网络节点的数据流和网络带宽占用率；所述数据存储模块包含实时数据库和历史数据库，用于根据数据信息监测时间的不同对数据信息进行分开存储；所述特征识别模块用于生成数据流的特征参数集，并根据特征参数集判断数据流是否为攻击数据流；所述数据处理模块用于根据数据流特征参数集动态生成攻击数据流的威胁指数，并根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流，并降低无效攻击数据流的威胁指数，为网络节点划分威胁等级；所述数据分析模块用于根据网络节点的威胁等级和网络带宽占用率对网络节点进行环形双向链表动态排序，并根据环形双向链表动态调整网络安全预警策略；所述安全预警模块用于对安全预警节点进行持续监测或防御升级。2.根据权利要求1所述的一种用于网络安全的智能检测预警系统，其特征在于，所述特征识别模块获得数据流的特征参数集，并判断数据流是否为攻击数据流的过程包括：设置特征参数计算模型，利用特征参数计算模型获得数据流的特征参数集，所述特征参数集包括数据流的访问时间戳和访问次数；根据数据流的访问时间戳和访问次数生成当前监测周期数据流的访问量，并建立基于访问量的实时访问量趋势曲线；同时获取历史数据库中若干个监测周期内的数据流的特征参数集，根据数据流历史数据库中的访问时间戳和访问次数生成数据流的标准访问量，并建立关于标准访问量的多维线性回归模型；并根据多维线性回归模型预测的标准访问量建立随监测时间变化的标准访问量趋势曲线；设置控幅阈值，将实时访问量趋势曲线与标准访问量趋势曲线进行叠合比较，获取实时访问量趋势曲线与标准访问量趋势曲线的访问量差值均值的绝对值；若访问量差值均值的绝对值小于等于控幅阈值，则将该数据流标记为正常数据流；若访问量差值均值的绝对值大于控幅阈值，则将该数据流标记为攻击数据流。3.根据权利要求2所述的一种用于网络安全的智能检测预警系统，其特征在于，所述数据处理模块根据数据流特征参数集动态生成攻击数据流的威胁指数的过程包括：根据历史数据库中攻击数据流的访问时间戳和访问次数生成历史访问频率，并获取攻击数据流上一次访问时间戳距离当前访问时间的时长，更新攻击数据流的访问时间戳，根据更新后的访问时间戳和访问次数生成衰减操作后的访问频率；根据当前监测周期的访问量和历史访问频率获取访问次数的增长概率系数，根据衰减操作后的访问频率和访问次数的增长概率系数生成增加操作后的访问频率；根据增加操作后的访问频率生成攻击数据流的威胁指数。4.根据权利要求3所述的一种用于网络安全的智能检测预警系统，其特征在于，所述数据处理模块根据网络带宽占用率将攻击数据流划分为无效攻击数据流和有效攻击数据流的过程包括：获取攻击数据流所在监测时间段的网络带宽占用率，提取历史数据库中相同监测时间
段的网络带宽最大占用率；若攻击数据流所在监测时间段的网络带宽占用率小于等于相同监测时...

【专利技术属性】
技术研发人员：魏书山，陈志峰，曹伟祺，
申请(专利权)人：广东网安科技有限公司，
类型：发明
国别省市：