[发明专利]大数据驱动的网络安全态势监测及可视化方法

说明书

本发明涉及一种大数据驱动的网络安全态势监测及可视化方法，涉及网络安全态势监测领域，所述方法包括：在大数据处理网元端基于每一IP地址对应的源网络设备的各项网络配置信息、发送的设定数量的多个网络数据包分别对应的多份带宽数值采用人工智能模型智能鉴定所述源网络设备是否属于恶意攻击网络设备；对智能鉴定的恶意攻击网络设备的IP地址以及地理归属地进行关联可视化显示。通过本发明，面对恶意网络攻击设备的评估缺乏针对性、智能化的解决方案的技术问题，能够采用为目的网络设备构建的人工智能模型，对访问目的网络设备的每一IP地址执行是否属于恶意攻击网络设备的智能分辨和可视化显示，从而解决了上述技术问题。

技术领域

本发明涉及网络安全态势监测领域，尤其涉及一种大数据驱动的网络安全态势监测及可视化方法。

背景技术

网络攻击是利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。网络信息系统所面临的威胁来自很多方面，而且会随着时间的变化而变化。从宏观上看，这些威胁可分为人为威胁和自然威胁。自然威胁是无目的的，而人为威胁是对网络信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的，属于恶意网络攻击，其攻击威胁难防备、种类多、数量大。

对于网络接收端，需要对其连接的各个网络设备分别进行是否属于恶意网络攻击设备或者正常访问网络设备的分辨，以便于对恶意网络攻击设备和正常访问网络设备执行不同的网络安全管理策略，杜绝恶意网络攻击设备对网络接收端的数据影响以及性能影响，保证正常访问网络设备与网络接收端的网络交互性能和网络数据安全。

示例地，中国发明专利公开文本CN110401664A提出的一种恶意网络CC攻击防范的方法及装置，所述方法包括如下步骤：A）使用shell命令监控与分析过去设定时间内的NGINX日志文件；B）使用文字处理与排列命令检查过去设定时间内的NGINX日志文件中是否存在某个IP对某接口的地址访问频次超过阈值，如是，执行D）；否则，执行C）；C）不做访问限制，返回B）；D）使用shell命令对防火墙写入入站规则，对指定IP的入站数据包进行DROP操作；E）等待设定时间，返回A）。本发明能解决传统防火墙对CC攻击难以抵抗的短板，也能避免人工重复添加规则的繁琐，完全自编的脚本能透明地呈现工作原理，也能根据需要随意自定义，同时也不再需要高价购买商业防护服务。

示例地，中国发明专利公开文本CN112688971A提出的一种功能损害型网络安全威胁识别装置及信息系统，所述装置包括：威胁行为判断定义模块、威胁发起者识别模块、威胁作用的资产识别模块、威胁路径识别模块、威胁能力识别模块、威胁发生频率识别模块和威胁发生时机识别模块。本发明提供的功能损害型网络安全威胁识别装置，能够全面、准确地对功能损害型网络安全威胁进行识别，以准确地分析计算出功能损害型网络安全威胁带来的风险；而本发明提供的信息系统，能够针对不同等级的功能损害型网络安全威胁的风险，准确地采取不同等级的风险防护措施，提高了本发明提供的信息系统的安全防护性能。

但是，上述现有技术仅仅限于基于某个IP对某接口的地址访问频次是否超过阈值的简单化恶意网络攻击行为的认定，或者仅仅限于对损害型网络安全威胁的简单识别，存在对危害网络安全行为的认定较为粗糙，同时没有涉及对同一网络接收设备挂载的各个IP地址分别对应的各个网络数据发送设备是否属于恶意网络攻击设备的评估，更不用说没有涉及网络数据发送设备是否属于恶意网络攻击设备的智能化评估的技术问题，导致恶意网络攻击设备的评估缺乏针对性、智能化的解决方案，网络用户往往陷入冗长、负载的恶意网络攻击设备的数据分析过程中，无法屏蔽每一个恶意网络攻击设备，也无法保证正常访问网络设备与网络接收设备的稳定、可靠的网络数据传输。

发明内容