[发明专利]网络攻击链路可视化系统、方法和服务器

权利要求书

1.一种网络攻击链路可视化系统，其特征在于，包括，

服务采集模块，用于从网络中各区域服务器中实时采集用于绘制网络拓扑的数据；

威胁事件采集模块，用于从网络安全监测平台采集网络各区域威胁事件并且汇总；

可视化服务模块， 将从服务采集模块获得的网络拓扑数据与从威胁事件采集模块获得的威胁事件进行聚合，绘制网络攻击链路以及威胁事件风险状况动态变化图并展示，

所述的区域服务器被布置在广域网区、服务器区、DMZ区和/或独立服务器区，

所述的网络安全监测平台包括NGSOC安全运营平台、IDS平台、IPS平台，

服务采集模块通过RPC协议持续从所述各区域服务器采集用于绘制网络拓扑的数据，

服务采集模块通过部署在各区域服务器中的collector模块获取网络拓扑数据，collector模块采用主动推送的方式定时把心跳数据和服务器数据推送至服务采集模块所在的节点，

网络安全监测平台采用主动推送的机制，在威胁事件入库时，同时推送威胁事件数据至威胁事件采集模块，

服务采集模块对各个区域的服务器进行信息采集，进一步包括：

1.1，数据信息的收集采用C/S架构方式，服务采集模块通过master模块，区域服务器通过collector模块， collector模块部署在各区域内的服务器中，master部署在采集服务器上，通过RPC协议进行数据信息交互，为动态描绘拓扑信息做基础；

1.2，collector服务采用主动推送的方式定时把心跳数据和服务器数据推送到master节点的Kafka的topic中；

1.3，不同的topic标识不同区域的服务器，collector模块采集到的服务器资产数据并以JSON的格式存储于master节点；

1.4，master服务根据topic中不同区域服务器信息按照预先配置的服务器分类规则，对资产数据信息筛选、分类、聚合；

1.5，以树状结构形式动态构建网络拓扑信息，存入到Kafka新的topic；

威胁事件采集模块包括步骤如下：

2.1，安全运营等监测类平台基于资产产生威胁告警事件，通过威胁事件采集模块对接运营平台产生的威胁事件；

2.2，为了达到对数据及时监控可视化，采取了运营平台主动推送的机制，威胁事件入库时推送至服务器威胁事件采集模块的Kafka的事件类Topic；

2.3，威胁事件采集模块对Kafka中威胁事件的Topic根据不同的日志告警类型，按照告警类型不同的预置规则，对事件进行不同维度的聚合、富化；

可视化服务模块的步骤如下：

3.1，存储于不同Topic中的服务器信息及威胁事件信息，通过数据富化和归并将服务器与威胁事件做关联，得出Key-Value数据；

3.2，通过流式计算spark streaming分析引擎分别取出服务器类topic和威胁事件类topic中数据；

3.3，将两个topic中不同的数据转换为不同的RDD弹性分布式数据集算子，两个不同的算子进行数据Map拆分；

3.4，拆分后的RDD依据企业内部资产数据配置规则，进行过滤、聚合和关联；

3.5，关联的RDD算子进行序列化，富化后的数据灌注至Kafka 新topic中，以达到可视化服务模块对网络攻击链路动态展示的效果。