[发明专利]一种网络攻击面追踪的方法、服务器和系统

权利要求书

1.一种网络攻击面追踪的方法，其特征在于，包括：

网络侧服务器收集各个网络节点的数据片段，从中提取出可被利用的攻击向量；

将接收到的数据片段与网络侧服务器本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

所述网络侧服务器使用分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

所述网络侧服务器检查所述可被利用的攻击向量，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点；

所述网络侧服务器将所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述一个或多个参数传递给显示处理装置；

所述网络侧服务器根据所述逻辑关联、所述异常数据片段训练所述分析模型；

所述显示处理装置接收到所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述一个或多个参数后，在地图化的网络节点架构图上标记异常点，勾画所述异常数据片段之间的逻辑关联，在图上绘制出潜在攻击轨迹和范围，以及标注每个网络节点的安全漏洞，实时显示所述安全漏洞对应的持续监控情况，形成一幅全态势的网络攻击面，显示在大屏幕上，供管理员监控。

2.根据权利要求1所述的方法，其特征在于，所述网络侧服务器为集群服务器。

3.根据权利要求1-2任一所述的方法，其特征在于，所述网络侧服务器固定周期向各个网络节点发送指令，所述指令用于命令各个网络节点上传本地的数据片段。

4.根据权利要求3所述的方法，其特征在于，所述网络节点在业务处理间隙上传数据片段包括：优先处理业务数据，当没有业务数据需要处理或传输时，才向网络侧服务器上传数据片段。

5.一种网络攻击面追踪的网络侧服务器，位于网络侧，执行如权利要求1-4任一项所述的方法，其特征在于，包括：

数据接收单元，用于收集各个网络节点的数据片段，从中提取出可被利用的攻击向量；

数据合并单元，用于将接收到的数据片段与网络侧服务器本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

分析异常单元，用于使用分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

漏洞检查单元，用于检查所述可被利用的攻击向量，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点；

传递单元，用于将所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述一个或多个参数传递给显示处理装置；

模型训练单元，用于根据所述逻辑关联、所述异常数据片段训练所述分析模型。

6.一种网络攻击面追踪的系统，其特征在于，所述系统包括多个网络节点，如权利要求5所述的网络侧服务器，以及显示处理装置。