[发明专利]一种全网危险感知平台及其工作方法

摘要

本发明公开了一种全网危险感知平台及其工作方法，包括数据采集模块、分类模块、数据分析模块、危险感知模块、数据库、数据录入模块、控制器、警示模块、存储模块、溯源模块、追踪模块、信息互联模块、数据处理模块和信号灯；本发明中的分类模块实时的将网络信息中的数据源信息传输至追踪模块，且数据源信息包括源IP、目的IP、源MAC和目的MAC，溯源模块将实时接收到的警示信号传输至追踪模块，追踪模块在实时接收到警示信号后，将数据源信息中的源IP、目的IP、源MAC和目的MAC生成取证信号传输至信息互联模块，信息互联模块实时的将取证信号发送至用户的手机中进行显示，以便快速的对攻击者进行定位，并及时的获取相关入侵证据。

主权项

1.一种全网危险感知平台，其特征在于，包括数据采集模块、分类模块、数据分析模块、危险感知模块、数据库、数据录入模块、控制器、警示模块、存储模块、溯源模块、追踪模块、信息互联模块、数据处理模块和信号灯；所述数据采集模块用于实时采集数据交换过程中的网络信息，且网络信息包括数据源信息、网络应用层协议数据和代码数据，所述数据采集模块用于将网络信息传输至分类模块；所述分类模块用于实时接收网络信息，并将网络信息中的网络应用层协议数据传输至数据分析模块，且网络应用层协议数据包括通信响应时间、访问端口数和流量占用量；所述数据分析模块在实时接收到网络应用层协议数据后，即开始进行分析操作，具体步骤如下：步骤一：实时获取到网络应用层协议数据中的通信响应时间，并将通信响应时间依次分为第一时间流、第二时间流和第三时间流三个档次，同时依据通信响应时间来标定活跃系数Q，具体标定过程如下：S1：实时获取到网络应用层协议数据中的通信响应时间，并对其进行赋值；S2：当通信响应时间为第一时间流时，此时Q＝A1；S3：当通信响应时间为第二时间流时，此时Q＝A2；S4：当通信响应时间为第三时间流时，此时Q＝A3，而A1、A2和A3均为预设值且A1大于A2大于A3；步骤二：实时获取到网络应用层协议数据中的访问端口数，并将访问端口数依次分为第一数量级、第二数量级和第三数量级三个档次，同时依据访问端口数来标定映射系数W，具体标定过程如下：S1：实时获取到网络应用层协议数据中的访问端口数，并对其进行赋值；S2：当访问端口数为第一数量级时，此时W＝B1；S3：当访问端口数为第二数量级时，此时W＝B2；S4：当访问端口数为第三数量级时，此时W＝B3，而B1、B2和B3均为预设值且B1大于B2大于B3；步骤三：实时获取到网络应用层协议数据中的流量占用量，且流量占用量界定为总上传流量与总下载流量之比，并将流量占用量依次分为第一占用段、第二占用段和第三占用段三个档次，同时依据流量占用量来标定流量系数E，具体标定过程如下：S1：实时获取到网络应用层协议数据中的流量占用量，并对其进行赋值；S2：当流量占用量为第一占用段时，此时E＝C1；S3：当流量占用量为第二占用段时，此时E＝C2；S4：当流量占用量为第三占用段时，此时E＝C3，而C1、C2和C3均为预设值且C1大于C2大于C3；步骤四：将上述步骤一至步骤三中的活跃系数Q、映射系数W和流量系数E对网络安全的影响占比进行权重分配，依次分配为预设值q、w和e，且q小于w小于e，并通过公式R＝Q*q+W*w+E*e来求得实时的网络安全系数；所述数据分析模块在获取到R后，将R与预设范围r相比较，当R位于预设范围r之外时，将与R相对应的通信响应时间、访问端口数和流量占用量一同生成异常行为信号传输至危险感知模块；所述危险感知模块在实时接收到异常行为信号时，从数据库中调取录入的网络恶意行为信息并与异常行为信号相比较，且网络恶意行为信息包括DNS或ARP污染、SSH或FTP暴力破解、漏洞扫描、DDoS攻击、SQL注入和DGA恶意域名中，各自相对应的预设通信响应时间a、预设访问端口数b和预设流量占用量c，当异常行为信号中的通信响应时间、访问端口数和流量占用量均位于DNS或ARP污染、SSH或FTP暴力破解、漏洞扫描、DDoS攻击、SQL注入或DGA恶意域名的预设通信响应时间a、预设访问端口数b和预设流量占用量c之内时，则将与其相对应的网络恶意行为生成警示信号并经由控制器分别传输至警示模块、存储模块和溯源模块；所述数据录入模块用于录入查找的网络恶意行为信息，所述数据录入模块用于将录入的网络恶意行为信息传输至数据库；所述存储模块在实时接收到警示信号时，将警示信号中的网络恶意行为与对应日期一同生成异常行为信息表进行记录；所述警示模块在实时接收到警示信号时，将警示信号中的网络恶意行为经由显示屏进行显示；所述分类模块用于实时接收网络信息，并将网络信息中的数据源信息传输至追踪模块，且数据源信息包括源IP、目的IP、源MAC和目的MAC；所述溯源模块在实时接收到警示信号后，将其传输至追踪模块；所述追踪模块在实时接收到警示信号后，将数据源信息中的源IP、目的IP、源MAC和目的MAC一同生成取证信号并传输至信息互联模块；所述信息互联模块在实时接收到取证信号时，将取证信号中的源IP、目的IP、源MAC和目的MAC发送至用户的手机中进行显示，所述信息互联模块与用户的手机之间通信连接；所述分类模块用于实时接收网络信息，并将网络信息中的代码数据传输至数据处理模块；所述数据处理模块在实时接收到代码数据后，即开始进行处理操作，具体步骤如下：步骤一：实时获取到网络信息中的代码数据，并提取出代码数据中二进制文件的形态特征；步骤二：读取二进制文件的形态特征，同时以8bit为一个无符号的整型，以256byte的固定行宽为一个向量，来生成一个二维数组，而二维数组中每个元素的范围都在0至255之间；步骤三：将二维数组经映射后转换成无压缩的PNG灰阶图片；所述数据处理模块在获取到无压缩的PNG灰阶图片后，将其传输至危险感知模块；所述危险感知模块在实时接收到无压缩的PNG灰阶图片时，从数据库中调取录入的经由各类恶意代码数据及其变种数据转成的无压缩的PNG灰阶图片并与其相比较，当两者纹路图形的重合率高于预设值p时，将该代码数据生成恶意信号并经由控制器传输至警示模块；所述数据录入模块还用于录入查找的经由各类恶意代码数据及其变种数据转成的无压缩的PNG灰阶图片，并将其传输至数据库；所述警示模块在实时接收到恶意信号时，将恶意信号中的该代码数据经由显示屏进行显示，同时控制信号灯闪烁，所述警示模块与信号灯之间通信连接。