[发明专利]一种数据分析系统

权利要求书

1.一种数据分析系统，其特征在于，包括

病毒特征库，用于储存各种病毒的特征数据；

定时巡检模块，用于定时对主机内的情况进行检查，并将检查结果发送到指定的移动终端进行显示；并用于将疑似病毒文件发送到预病毒数据库进行审核；

预病毒数据库，用于储存各种疑似病毒文件，并用于对这些病毒文件进行审核，若确认为病毒文件，则提取该文件病毒特征指纹发送到病毒特征库，若不是病毒，则将该文件从预病毒数据库中移出；

病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内记录比对；

端口审计模块，用于选取通信连接中和服务相关的要素进行综合分析，为维护和研究提供详实报告；

流量统计模块，用于进行总流量情况统计以及IP到IP流量数据统计，以主机对外的每一个连接为单位进行流量统计，并针对IP层网络数据信息的网络基本情况进行分析；用于根据传输层协议中的端口号，分析网络服务应用列表，并且根据TCP协议的三次握手特性分析出网络服务的客户端节点信息；用于根据捕获的数据包的基本信息进行网络延时分析，用于统计网络的基本情况；用于针对不同的应用层协议进行不同的分析，对协议内部进行分析，记录主机操作内容、操作时间及操作对象；

网络健康判别模块，通过建立多态响应网络异常评估模型，并将所检测到的数据与评估模型进行对比后，选取网络攻击发生时具有特征的参数进行量化考察，得出网络的健康程度并发送到计算机，并对不同程度威胁给出不同响应和处理建议；

病毒模拟模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；

应急通道模块，用于提示被攻陷主机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题；

还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并帮助用户选择将计算机恢复至入侵之前的安全状态；

数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传到指定的移动终端，并清除计算机中的数据。

2.根据权利要求1所述的一种数据分析系统，其特征在于，

所述病毒模拟模块包括

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。

3.根据权利要求1所述的一种数据分析系统，其特征在于，所述定时巡检模块内设有定时模块，用于根据不同的需要设定不同的巡检间隔时间。

4.根据权利要求1所述的一种数据分析系统，其特征在于，所述病毒特征库连接有一更新模块，用于定时更新病毒特征库中的数据。

5.根据权利要求1所述的一种数据分析系统，其特征在于，所述流量统计模块内设有绘图模块，用于根据监测数据，生成随时间、空间变化的时空效应曲线和空间效应曲线。

6.根据权利要求1所述的一种数据分析系统，其特征在于，所述时空效应曲线用于显示各监测点的原始数据或转移数据随时间的变化情况。

7.根据权利要求1所述的一种数据分析系统，其特征在于，所述空间效应曲线用于显示同一时间不同测点的监测结果随计算机不同盘的变化规律。

8.根据权利要求1所述的一种数据分析系统，其特征在于，所述流量统计模块内还设有

流量分析负载均衡器，用于当接收到用户的流量分析请求后，将分析请求按照一定策略分发给某一个流量分析引擎进行分析处理；

流量分析引擎，对每一次用户请求，进行流量分析并反馈分析结果。