[发明专利]一种多站点网络感知检测系统

权利要求书

1.一种多站点网络感知检测系统，其特征在于：包括网络安全态势感知平台、存储系统、网络安全威胁数据汇聚和存储模块、态势感知与预警业务模块和报警模块；

所述网络安全态势感知平台用于对整个防御链条下面的终端应用的不同类型的数据进行采集，分析形成的威胁，了解与网络有关的各类情报信息，并且将这些信息整合在一起；

所述存储系统用于建立一个拥有不同类型数据的数据仓库，所述数据仓库对海量的安全数据进行存储和管理；

所述网络安全威胁数据汇聚和存储模块用于通过大数据存储管理技术实现网络安全威胁数据汇聚和存储，整合不同类型的文件格式，将相关的数据录入到所述数据仓库中；

所述态势感知与预警业务模块用于通过大数据针对网络安全问题进行分析，寻找到有威胁性的信息，并且提出报警，针对仿冒的钓鱼以及信息盗取，木马传播的网络攻击进行监督与管理，在发生这些问题时进行报警；

所述报警模块用于进行报警工作。

2.根据权利要求1所述的一种多站点网络感知检测系统，其特征在于：所述网络安全态势感知平台包括数据采集模块和数据处理模块，所述采集模块用于对势态感知数据源进行采集，所述数据处理模块用于对采集的势态感知数据源进行处理。

3.根据权利要求2所述的一种多站点网络感知检测系统，其特征在于：所述势态感知数据源包括流量数据、审计数据、监测数据、日志数据、病毒数据、安全情况和资产数据。

4.根据权利要求3所述的一种多站点网络感知检测系统，其特征在于：所述态势感知数据源用于对数据进行分析和汇总，了解不同类型数据的原始数值，并且针对这些数据进行扫描，在发现安全问题时，对网络攻击进行追踪，了解到该攻击涉及的身份以及访问应用的授权，及时发现恶意代码，针对出现的风险提出报警，通过不同环节的应用，保障整个网络的安全，所有的环节都会被记录在所述数据仓库之中，将覆盖整个网络攻击操作链条下的每个环节以及要素记录下来。

5.根据权利要求1所述的一种多站点网络感知检测系统，其特征在于：所述存储系统采用基于Hadoop的分布式文件存储系统，所述基于Hadoop的分布式文件存储系统能够将文件数据划分成多个模块，并且针对每个模块进行维护，将这些数据形成不同的副本，并把副本存储到与之对应的服务器上，实行数据的容错。

6.根据权利要求1所述的一种多站点网络感知检测系统，其特征在于：所述态势感知与预警业务模块包括网络风险预警以及感知单元，所述网络风险预警以及感知单元用于根据出现的网络问题进行推断，寻找到安全漏洞并且及时的修复，并通过掌握不同安全因素导致的网络安全走势更好地维护好网络安全，保障信息的私密性，防止信息被其他人恶意盗取，出现损害个人名誉或者损害个人钱财的状况。

7.根据权利要求6所述的一种多站点网络感知检测系统，其特征在于：所述网络风险预警以及感知单元还用于对网络安全态势感知，所述网络安全态势感知的具体方法包括以下步骤：

S1.从采集的数据中选取影响网络安全态势评估的特征，进行数据预处理和特征提取，得到特征提取后的数据；

S2.通过特征提取得到的数据，运用人工免疫模型计算得到网络安全姿态值；

S3.将计算得到的网络安全姿态值作为参考序列，建立起基于灰色关联度分析，融合灰色预测和DT决策树算法的网络安全态势预测模型；

S4.将得到的网络安全姿态值作为网络安全态势预测模型的模型输入，得到下一时间阶段的网络态势预测值。

8.根据权利要求7所述的一种多站点网络感知检测系统，其特征在于：所述S2中计算得到网络安全姿态值中根据以下公式计算主机i在t时刻的网络安全姿态值r_i(t)：

其中，β_i(0＜β_i＜1)表示主机i的重要性；N_i为主机i此时刻检测到的抗体数量；S_i为正常网络运行情况下主机i检测到的匹配字符串数量。