一种网络攻击数据分析及智能处理方法
成果类型:: 新技术
发布时间: 2022-11-05 19:58:25
本发明涉及一种网络攻击数据分析及智能处理方法,包括,通过Telent协议主动收集网络设备、安全设备和服务器的实时状态信息、本机闪存信息和收集日志中心信息,进行大数据实时综合分析,更新同步第三方IDS特征库,全网攻击建模,生成防御指令,组合防御。
本发明的目的是提供一种设计合理,克服现有技术不足的突破厂商限制、品牌限制、协议限制,最大化兼容所有设备的一种网络攻击数据分析及智能处理方法。为了实现上述目的,本发明所采取的技术手段是:一种网络攻击数据分析及智能处理方法,包括以下步骤,步骤1,将多种网络安全设备连接到一台或多台sdn交换机上,共同形成一个安全资源池;步骤2,安全控制器发出安全控制指令操作sdn交换机,根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行安全处理;步骤3,安全控制器对网络安全设备进行策略集中管理和状态实时监控,当网络安全设备出现异常时,安全控制器发出安全策略指令,及时进行均衡负载或流量迁移,确保不影响正常的网络通信;
信息技术的发展既给人们带来了便利也带来了威胁,因此解决安全问题是网络与信息建设中的紧要任务。传统的网络防御措施,如反病毒软件,防火墙技术,以及入侵检测系统等,都属于被动的安全防御策略,当面临短时间内具有巨大迫害性的攻击时,将损失惨重,并且缺乏对脆弱性状态的关联性分析,多脆弱性和威胁评估方法只是孤立的研究各个攻击事件对主机或网络安全性造成的影响,忽略了攻击事件间存在的逻辑和关联关系,从而导致评估结果不够全面和准确。
由于评估方法在提前预警和实时分析上还没有达成统一,现有的安全评估主要有基于ids、cops等告警信息的事后型评估和基于网络脆弱性分析的事前型评估两种方法,其中事后型评估具有滞后性,无法为主动防御策略的制定提供有效依据;事前型评估具有静态性,无法实时反映网络攻击态势的演变,因此,目前还没有能够同时满足预见性和实时性要求的网络安全评估方法。
目前国内外的网络安全设备,网络管理软件,还局限于单一的功能与策略,或简单的联动,管理员也面临更大的学习和使用成本,工作效率较低。即使由安全厂商做出的同品牌多设备综合解决方案,并提供专业的技术培训,也不能很好的应对复杂的网络攻击手段或滞后时间过长造成较大危害。
河北省科学院成立于1978年,是河北省政府直属的综合性自然科学研究与技术开发机构,全院占地13.8万m2,建筑面积8.3万m2,总资产1.76亿元,固定资产1.29亿元。院机关设有8个处室,下辖地理科学研究所、应用数学研究所、生物研究所、能源研究所、自动化研究所、激光研究所、微生物研究所和机电一体化中试基地(机电研究所)等8个研究开发单位。全院共有职工700余人,专业技术人员530余人,高级职称人员170余人,博士31人,硕士98人,博士生导师14人,硕士生导师18人,享受国务院特殊津贴专家2人,享受河北省政府特殊津贴专家10人,河北省“百人计划”(省政府特聘专家)2人,入选河北省“三三三人才工程”第二层次人选15人、第三层次人选41人。 近年来,省科学院先后承担了“863”、“973”等国家、省部级重点项目和基金课题430余项,取得各类科研成果 1480余项,获省部级以上奖励697项,授权发明专利100项、软件著作权85项。
第一步,收集设备信息,通过telent协议主动收集包括网络设备、安全设备和服务器的实时状态信息;
第二步,收集设备日志,通过telent协议主动收集包括网络设备、安全设备和服务器的本机闪存信息;
第三步,收集日志中心信息;
第四步,大数据实时综合分析;
第五步,更新同步第三方ids最新特征库;
第六步,全网攻击建模,利用对象petri网对全网攻击过程进行建模的方法,给出模型的定义、生成方法以及全网攻击的路径挖掘;
第七步,生成防御指令,生成动态策略反馈指令到网络设备、安全设备和服务器的立体化共同防御;
第八步,组合防御,包括关闭交换物理端口、mac黑洞、时间控制、区域阻断、黑白名单、进程服务清洗或蜜罐的至少一种全自动智能组合防御手段。
所述的第四步中,大数据实时综合分析包括发送异常数据的条目分析和攻击类型分析,所述的攻击类型分析包括ip地址分析、ip地址抽出、ip地址过滤和ip地址分类。
所述的第八步中,还包括退级阻断,对近源、近目标、中间链路、非智能设备的智能退级阻断,判断发送异常数据的mac地址,在其上一级设备抛弃该mac地址实现物理阻断。
所述的第六步中,还包括攻击路径的模糊分析与评估,在全网攻击模型的架构上融入模糊性,利用模糊性指标综合评估攻击路径的优劣。
本发明涉及一种网络攻击数据分析及智能处理方法,包括,步骤1,将多种网络安全设备连接到一台或多台SDN交换机,形成安全资源池;步骤2,安全控制器发出安全控制指令操作SDN交换机,根据不同用户安全需求将网络流量牵引到指定的网络安全设备进行处理;步骤3,安全控制器对网络安全设备进行策略集中管理和状态实时监控,当网络安全设备出现异常,安全控制器发出安全策略指令,进行均衡负载或流量迁移,确保不影响正常的网络通信;其特征在于还包括:通过Telent协议主动收集网络设备、安全设备和服务器的实时状态信息、本机闪存信息和收集日志中心信息,进行大数据实时综合分析,更新同步第三方IDS特征库,全网攻击建模,生成防御指令,组合防御。