一种全网危险感知平台及其工作方法与流程
本发明涉及网络安全感知平台技术领域,具体为一种全网危险感知平台及其工作方法。
背景技术:
全网危险感知主要是指数据交换过程中,通信网络能够感知现存的网络环境,并通过对所处环境的理解,实时的调查数据配置,智能地适应环境的细微变化。且随着科学技术的不断发展与进步,网络攻击行为逐渐呈现分布化、远程化和虚拟化等趋势,因而对全网危险感知平台的要求也越来越高。
且在现有的全网危险感知平台中,难以对网络异常行为进行有效的检测与分辨;同时难以对恶意代码及其变种进行针对性的检测与分辨,并及时的提醒用户;且不能够快速的对攻击者进行定位,并获取相关入侵证据;
为了解决上述缺陷,现提供一种技术方案。
技术实现要素:
本发明的目的在于提供一种全网危险感知平台及其工作方法。
本发明所要解决的技术问题如下:
(1)如何通过一种有效的方式,来对网络异常行为进行有效的检测与分辨;
(2)如何通过一种有效的手段,来对恶意代码及其变种进行针对性的检测与分辨;
(3)如何快速的对攻击者进行定位,并获取相关入侵证据。
本发明的目的可以通过以下技术方案实现:
一种全网危险感知平台,包括数据采集模块、分类模块、数据分析模块、危险感知模块、数据库、数据录入模块、控制器、警示模块、存储模块、溯源模块、追踪模块、信息互联模块、数据处理模块和信号灯;
所述数据采集模块用于实时采集数据交换过程中的网络信息,且网络信息包括数据源信息、网络应用层协议数据和代码数据,所述数据采集模块用于将网络信息传输至分类模块;所述分类模块用于实时接收网络信息,并将网络信息中的网络应用层协议数据传输至数据分析模块,且网络应用层协议数据包括通信响应时间、访问端口数和流量占用量;所述数据分析模块在实时接收到网络应用层协议数据后,即开始进行分析操作,具体步骤如下:
步骤一:实时获取到网络应用层协议数据中的通信响应时间,并将通信响应时间依次分为第一时间流、第二时间流和第三时间流三个档次,同时依据通信响应时间来标定活跃系数q,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的通信响应时间,并对其进行赋值;
s2:当通信响应时间为第一时间流时,此时q=a1;
s3:当通信响应时间为第二时间流时,此时q=a2;
s4:当通信响应时间为第三时间流时,此时q=a3,而a1、a2和a3均为预设值且a1大于a2大于a3;
步骤二:实时获取到网络应用层协议数据中的访问端口数,并将访问端口数依次分为第一数量级、第二数量级和第三数量级三个档次,同时依据访问端口数来标定映射系数w,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的访问端口数,并对其进行赋值;
s2:当访问端口数为第一数量级时,此时w=b1;
s3:当访问端口数为第二数量级时,此时w=b2;
s4:当访问端口数为第三数量级时,此时w=b3,而b1、b2和b3均为预设值且b1大于b2大于b3;
步骤三:实时获取到网络应用层协议数据中的流量占用量,且流量占用量界定为总上传流量与总下载流量之比,并将流量占用量依次分为第一占用段、第二占用段和第三占用段三个档次,同时依据流量占用量来标定流量系数e,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的流量占用量,并对其进行赋值;
s2:当流量占用量为第一占用段时,此时e=c1;
s3:当流量占用量为第二占用段时,此时e=c2;
s4:当流量占用量为第三占用段时,此时e=c3,而c1、c2和c3均为预设值且c1大于c2大于c3;
步骤四:将上述步骤一至步骤三中的活跃系数q、映射系数w和流量系数e对网络安全的影响占比进行权重分配,依次分配为预设值q、w和e,且q小于w小于e,并通过公式r=q*q+w*w+e*e来求得实时的网络安全系数;
所述数据分析模块在获取到r后,将r与预设范围r相比较,当r位于预设范围r之外时,将与r相对应的通信响应时间、访问端口数和流量占用量一同生成异常行为信号传输至危险感知模块,而在其它情况下,不生成任何信号进行传输;所述危险感知模块在实时接收到异常行为信号时,从数据库中调取录入的网络恶意行为信息并与异常行为信号相比较,且网络恶意行为信息包括dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入和dga恶意域名中,各自相对应的预设通信响应时间a、预设访问端口数b和预设流量占用量c,且各类网络恶意行为信息中的预设通信响应时间a、预设访问端口数b和预设流量占用量c互不相同,当异常行为信号中的通信响应时间、访问端口数和流量占用量均位于dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入或dga恶意域名的预设通信响应时间a、预设访问端口数b和预设流量占用量c之内时,则将与其相对应的网络恶意行为生成警示信号并经由控制器分别传输至警示模块、存储模块和溯源模块;所述数据录入模块用于录入查找的网络恶意行为信息,所述数据录入模块用于将录入的网络恶意行为信息传输至数据库;所述存储模块在实时接收到警示信号时,将警示信号中的网络恶意行为与对应日期一同生成异常行为信息表进行记录,以便用户随时查阅;所述警示模块在实时接收到警示信号时,将警示信号中的网络恶意行为经由显示屏进行显示,以便用户及时的了解网络异常情况,并做出相应措施;
所述分类模块用于实时接收网络信息,并将网络信息中的数据源信息传输至追踪模块,且数据源信息包括源ip、目的ip、源mac和目的mac;所述溯源模块在实时接收到警示信号后,将其传输至追踪模块;所述追踪模块在实时接收到警示信号后,将数据源信息中的源ip、目的ip、源mac和目的mac一同生成取证信号并传输至信息互联模块;所述信息互联模块在实时接收到取证信号时,将取证信号中的源ip、目的ip、源mac和目的mac发送至用户的手机中进行显示,便于快速的对攻击者进行定位,并及时的获取相关入侵证据,所述信息互联模块与用户的手机之间通信连接;
所述分类模块用于实时接收网络信息,并将网络信息中的代码数据传输至数据处理模块;所述数据处理模块在实时接收到代码数据后,即开始进行处理操作,具体步骤如下:
步骤一:实时获取到网络信息中的代码数据,并提取出代码数据中二进制文件的形态特征,且二进制文件的形态特征界定为二进制文件中各数码的排列顺序;
步骤二:读取二进制文件的形态特征,同时以8bit为一个无符号的整型,以256byte的固定行宽为一个向量,来生成一个二维数组,而二维数组中每个元素的范围都在0至255之间;
步骤三:将二维数组经映射后转换成无压缩的png灰阶图片;
所述数据处理模块在获取到无压缩的png灰阶图片后,将其传输至危险感知模块;所述危险感知模块在实时接收到无压缩的png灰阶图片时,从数据库中调取录入的经由各类恶意代码数据及其变种数据转成的无压缩的png灰阶图片并与其相比较,当两者纹路图形的重合率高于预设值p时,将该代码数据生成恶意信号并经由控制器传输至警示模块,而在其它情况下,不生成任何信号进行传输;所述数据录入模块还用于录入查找的经由各类恶意代码数据及其变种数据转成的无压缩的png灰阶图片,并将其传输至数据库;所述警示模块在实时接收到恶意信号时,将恶意信号中的该代码数据经由显示屏进行显示,同时控制信号灯闪烁,进而能够有效的检测出恶意代码数据及其变种数据,并及时的提醒用户,所述警示模块与信号灯之间通信连接。
进一步地,所述通信响应时间中,其第一时间流、第二时间流和第三时间流三个档次依次对应着400毫秒以上、101至399毫秒和100毫秒以下;所述访问端口数中,其第一数量级、第二数量级和第三数量级三个档次依次对应着1000个端口以上、101至999个端口和100个端口以下;所述流量占用量中,其第一占用段、第二占用段和第三占用段三个档次依次对应着500kb以上、101至499kb和100kb以下。
一种全网危险感知平台的工作方法,该方法包括如下步骤:
k1:实时采集数据交换过程中的网络信息,而网络信息包括数据源信息、网络应用层协议数据和代码数据,并将网络信息中的网络应用层协议数据进行传输并分析,同时将网络信息中的代码数据进行传输并处理,且将网络信息中的数据源信息进行传输并暂存,而网络应用层协议数据包括通信响应时间、访问端口数和流量占用量;
k2a:实时获取到网络应用层协议数据中的通信响应时间,并将通信响应时间依次分为第一时间流、第二时间流和第三时间流三个档次,同时依据通信响应时间来标定活跃系数q,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的通信响应时间,并对其进行赋值;
s2:当通信响应时间为第一时间流时,此时q=a1;
s3:当通信响应时间为第二时间流时,此时q=a2;
s4:当通信响应时间为第三时间流时,此时q=a3,而a1、a2和a3均为预设值且a1大于a2大于a3;
实时获取到网络应用层协议数据中的访问端口数,并将访问端口数依次分为第一数量级、第二数量级和第三数量级三个档次,同时依据访问端口数来标定映射系数w,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的访问端口数,并对其进行赋值;
s2:当访问端口数为第一数量级时,此时w=b1;
s3:当访问端口数为第二数量级时,此时w=b2;
s4:当访问端口数为第三数量级时,此时w=b3,而b1、b2和b3均为预设值且b1大于b2大于b3;
实时获取到网络应用层协议数据中的流量占用量,且流量占用量界定为总上传流量与总下载流量之比,并将流量占用量依次分为第一占用段、第二占用段和第三占用段三个档次,同时依据流量占用量来标定流量系数e,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的流量占用量,并对其进行赋值;
s2:当流量占用量为第一占用段时,此时e=c1;
s3:当流量占用量为第二占用段时,此时e=c2;
s4:当流量占用量为第三占用段时,此时e=c3,而c1、c2和c3均为预设值且c1大于c2大于c3;
且将活跃系数q、映射系数w和流量系数e对网络安全的影响占比进行权重分配,依次分配为预设值q、w和e,且q小于w小于e,并通过公式r=q*q+w*w+e*e来求得实时的网络安全系数,同时将r与预设范围r相比较,当r位于预设范围r之外时,将与r相对应的通信响应时间、访问端口数和流量占用量一同生成异常行为信号;
k2b:实时获取到网络信息中的代码数据,并提取出代码数据中二进制文件的形态特征;
读取二进制文件的形态特征,同时以8bit为一个无符号的整型,以256byte的固定行宽为一个向量,来生成一个二维数组,而二维数组中每个元素的范围都在0至255之间;
将二维数组经映射后转换成无压缩的png灰阶图片;
k3a:从数据库中调取录入的网络恶意行为信息并与异常行为信号相比较,且网络恶意行为信息包括dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入和dga恶意域名中,各自相对应的预设通信响应时间a、预设访问端口数b和预设流量占用量c,当异常行为信号中的通信响应时间、访问端口数和流量占用量均位于dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入或dga恶意域名的预设通信响应时间a、预设访问端口数b和预设流量占用量c之内时,则将与其相对应的网络恶意行为生成警示信号;
k3b:从数据库中调取录入的经由各类恶意代码数据及其变种数据转成的无压缩的png灰阶图片并与其相比较,当两者纹路图形的重合率高于预设值p时,将该代码数据生成恶意信号;
k4:将警示信号和恶意信号一同经由控制器进行传输,且存储模块在实时接收到警示信号时,将警示信号中的网络恶意行为与对应日期一同生成异常行为信息表进行记录,且警示模块在实时接收到警示信号时,将警示信号中的网络恶意行为经由显示屏进行显示,且追踪模块在实时接收到警示信号时,将暂存的网络信息中的数据源信息解锁,并将数据源信息中的源ip、目的ip、源mac和目的mac一同生成取证信号,同时将取证信号传输至用户的手机中进行显示;
且警示模块在实时接收到恶意信号时,将恶意信号中的该代码数据经由显示屏进行显示,同时控制信号灯闪烁。
本发明的有益效果:
1.数据分析模块在实时接收到网络应用层协议数据后,即开始进行分析操作,并依据公式r=q*q+w*w+e*e来获取到实时的网络安全系数,同时将r与预设范围r相比较,当r位于预设范围r之外时,将与r相对应的通信响应时间、访问端口数和流量占用量一同生成异常行为信号传输至危险感知模块,危险感知模块在实时接收到异常行为信号时,从数据库中调取录入的网络恶意行为信息并与异常行为信号相比较,且网络恶意行为信息包括dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入和dga恶意域名中,各自相对应的预设通信响应时间a、预设访问端口数b和预设流量占用量c,当异常行为信号中的通信响应时间、访问端口数和流量占用量均位于dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入或dga恶意域名的预设通信响应时间a、预设访问端口数b和预设流量占用量c之内时,则将与其相对应的网络恶意行为生成警示信号并经由控制器分别传输至警示模块、存储模块和溯源模块,存储模块在实时接收到警示信号时,将警示信号中的网络恶意行为与对应日期一同生成异常行为信息表进行记录,以便用户随时查阅,警示模块在实时接收到警示信号时,将警示信号中的网络恶意行为经由显示屏进行显示,以便用户及时的了解网络异常情况,并做出相应措施,进而能够有效的对网络异常行为进行检测与分辨;
2.数据处理模块在实时接收到代码数据后,即开始进行处理操作,并在获取到无压缩的png灰阶图片后,将其传输至危险感知模块,危险感知模块在实时接收到无压缩的png灰阶图片时,从数据库中调取录入的经由各类恶意代码数据及其变种数据转成的无压缩的png灰阶图片并与其相比较,当两者纹路图形的重合率高于预设值p时,将该代码数据生成恶意信号并经由控制器传输至警示模块,警示模块在实时接收到恶意信号时,将恶意信号中的该代码数据经由显示屏进行显示,同时控制信号灯闪烁,进而能够有效的检测出恶意代码数据及其变种数据,并及时的提醒用户;
3.分类模块用于实时接收网络信息,并将网络信息中的数据源信息传输至追踪模块,且数据源信息包括源ip、目的ip、源mac和目的mac,溯源模块在实时接收到警示信号后,将其传输至追踪模块,追踪模块在实时接收到警示信号后,将数据源信息中的源ip、目的ip、源mac和目的mac一同生成取证信号并传输至信息互联模块,信息互联模块在实时接收到取证信号时,将取证信号中的源ip、目的ip、源mac和目的mac发送至用户的手机中进行显示,便于快速的对攻击者进行定位,并及时的获取相关入侵证据。
附图说明
为了便于本领域技术人员理解,下面结合附图对本发明作进一步的说明。
图1为本发明的系统框图。
具体实施方式
如图1所示,一种全网危险感知平台,包括数据采集模块、分类模块、数据分析模块、危险感知模块、数据库、数据录入模块、控制器、警示模块、存储模块、溯源模块、追踪模块、信息互联模块、数据处理模块和信号灯;
所述数据采集模块用于实时采集数据交换过程中的网络信息,且网络信息包括数据源信息、网络应用层协议数据和代码数据,所述数据采集模块用于将网络信息传输至分类模块;所述分类模块用于实时接收网络信息,并将网络信息中的网络应用层协议数据传输至数据分析模块,且网络应用层协议数据包括通信响应时间、访问端口数和流量占用量;所述数据分析模块在实时接收到网络应用层协议数据后,即开始进行分析操作,具体步骤如下:
步骤一:实时获取到网络应用层协议数据中的通信响应时间,并将通信响应时间依次分为第一时间流、第二时间流和第三时间流三个档次,同时依据通信响应时间来标定活跃系数q,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的通信响应时间,并对其进行赋值;
s2:当通信响应时间为第一时间流时,此时q=a1;
s3:当通信响应时间为第二时间流时,此时q=a2;
s4:当通信响应时间为第三时间流时,此时q=a3,而a1、a2和a3均为预设值且a1大于a2大于a3;
步骤二:实时获取到网络应用层协议数据中的访问端口数,并将访问端口数依次分为第一数量级、第二数量级和第三数量级三个档次,同时依据访问端口数来标定映射系数w,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的访问端口数,并对其进行赋值;
s2:当访问端口数为第一数量级时,此时w=b1;
s3:当访问端口数为第二数量级时,此时w=b2;
s4:当访问端口数为第三数量级时,此时w=b3,而b1、b2和b3均为预设值且b1大于b2大于b3;
步骤三:实时获取到网络应用层协议数据中的流量占用量,且流量占用量界定为总上传流量与总下载流量之比,并将流量占用量依次分为第一占用段、第二占用段和第三占用段三个档次,同时依据流量占用量来标定流量系数e,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的流量占用量,并对其进行赋值;
s2:当流量占用量为第一占用段时,此时e=c1;
s3:当流量占用量为第二占用段时,此时e=c2;
s4:当流量占用量为第三占用段时,此时e=c3,而c1、c2和c3均为预设值且c1大于c2大于c3;
步骤四:将上述步骤一至步骤三中的活跃系数q、映射系数w和流量系数e对网络安全的影响占比进行权重分配,依次分配为预设值q、w和e,且q小于w小于e,并通过公式r=q*q+w*w+e*e来求得实时的网络安全系数;
所述数据分析模块在获取到r后,将r与预设范围r相比较,当r位于预设范围r之外时,将与r相对应的通信响应时间、访问端口数和流量占用量一同生成异常行为信号传输至危险感知模块,而在其它情况下,不生成任何信号进行传输;所述危险感知模块在实时接收到异常行为信号时,从数据库中调取录入的网络恶意行为信息并与异常行为信号相比较,且网络恶意行为信息包括dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入和dga恶意域名中,各自相对应的预设通信响应时间a、预设访问端口数b和预设流量占用量c,且各类网络恶意行为信息中的预设通信响应时间a、预设访问端口数b和预设流量占用量c互不相同,当异常行为信号中的通信响应时间、访问端口数和流量占用量均位于dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入或dga恶意域名的预设通信响应时间a、预设访问端口数b和预设流量占用量c之内时,则将与其相对应的网络恶意行为生成警示信号并经由控制器分别传输至警示模块、存储模块和溯源模块;所述数据录入模块用于录入查找的网络恶意行为信息,所述数据录入模块用于将录入的网络恶意行为信息传输至数据库;所述存储模块在实时接收到警示信号时,将警示信号中的网络恶意行为与对应日期一同生成异常行为信息表进行记录,以便用户随时查阅;所述警示模块在实时接收到警示信号时,将警示信号中的网络恶意行为经由显示屏进行显示,以便用户及时的了解网络异常情况,并做出相应措施;
所述分类模块用于实时接收网络信息,并将网络信息中的数据源信息传输至追踪模块,且数据源信息包括源ip、目的ip、源mac和目的mac;所述溯源模块在实时接收到警示信号后,将其传输至追踪模块;所述追踪模块在实时接收到警示信号后,将数据源信息中的源ip、目的ip、源mac和目的mac一同生成取证信号并传输至信息互联模块;所述信息互联模块在实时接收到取证信号时,将取证信号中的源ip、目的ip、源mac和目的mac发送至用户的手机中进行显示,便于快速的对攻击者进行定位,并及时的获取相关入侵证据,所述信息互联模块与用户的手机之间通信连接;
所述分类模块用于实时接收网络信息,并将网络信息中的代码数据传输至数据处理模块;所述数据处理模块在实时接收到代码数据后,即开始进行处理操作,具体步骤如下:
步骤一:实时获取到网络信息中的代码数据,并提取出代码数据中二进制文件的形态特征,且二进制文件的形态特征界定为二进制文件中各数码的排列顺序;
步骤二:读取二进制文件的形态特征,同时以8bit为一个无符号的整型,以256byte的固定行宽为一个向量,来生成一个二维数组,而二维数组中每个元素的范围都在0至255之间;
步骤三:将二维数组经映射后转换成无压缩的png灰阶图片;
所述数据处理模块在获取到无压缩的png灰阶图片后,将其传输至危险感知模块;所述危险感知模块在实时接收到无压缩的png灰阶图片时,从数据库中调取录入的经由各类恶意代码数据及其变种数据转成的无压缩的png灰阶图片并与其相比较,当两者纹路图形的重合率高于预设值p时,将该代码数据生成恶意信号并经由控制器传输至警示模块,而在其它情况下,不生成任何信号进行传输;所述数据录入模块还用于录入查找的经由各类恶意代码数据及其变种数据转成的无压缩的png灰阶图片,并将其传输至数据库;所述警示模块在实时接收到恶意信号时,将恶意信号中的该代码数据经由显示屏进行显示,同时控制信号灯闪烁,进而能够有效的检测出恶意代码数据及其变种数据,并及时的提醒用户,所述警示模块与信号灯之间通信连接。
进一步地,所述通信响应时间中,其第一时间流、第二时间流和第三时间流三个档次依次对应着400毫秒以上、101至399毫秒和100毫秒以下;所述访问端口数中,其第一数量级、第二数量级和第三数量级三个档次依次对应着1000个端口以上、101至999个端口和100个端口以下;所述流量占用量中,其第一占用段、第二占用段和第三占用段三个档次依次对应着500kb以上、101至499kb和100kb以下。
一种全网危险感知平台的工作方法,该方法包括如下步骤:
k1:实时采集数据交换过程中的网络信息,而网络信息包括数据源信息、网络应用层协议数据和代码数据,并将网络信息中的网络应用层协议数据进行传输并分析,同时将网络信息中的代码数据进行传输并处理,且将网络信息中的数据源信息进行传输并暂存,而网络应用层协议数据包括通信响应时间、访问端口数和流量占用量;
k2a:实时获取到网络应用层协议数据中的通信响应时间,并将通信响应时间依次分为第一时间流、第二时间流和第三时间流三个档次,同时依据通信响应时间来标定活跃系数q,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的通信响应时间,并对其进行赋值;
s2:当通信响应时间为第一时间流时,此时q=a1;
s3:当通信响应时间为第二时间流时,此时q=a2;
s4:当通信响应时间为第三时间流时,此时q=a3,而a1、a2和a3均为预设值且a1大于a2大于a3;
实时获取到网络应用层协议数据中的访问端口数,并将访问端口数依次分为第一数量级、第二数量级和第三数量级三个档次,同时依据访问端口数来标定映射系数w,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的访问端口数,并对其进行赋值;
s2:当访问端口数为第一数量级时,此时w=b1;
s3:当访问端口数为第二数量级时,此时w=b2;
s4:当访问端口数为第三数量级时,此时w=b3,而b1、b2和b3均为预设值且b1大于b2大于b3;
实时获取到网络应用层协议数据中的流量占用量,且流量占用量界定为总上传流量与总下载流量之比,并将流量占用量依次分为第一占用段、第二占用段和第三占用段三个档次,同时依据流量占用量来标定流量系数e,具体标定过程如下:
s1:实时获取到网络应用层协议数据中的流量占用量,并对其进行赋值;
s2:当流量占用量为第一占用段时,此时e=c1;
s3:当流量占用量为第二占用段时,此时e=c2;
s4:当流量占用量为第三占用段时,此时e=c3,而c1、c2和c3均为预设值且c1大于c2大于c3;
且将活跃系数q、映射系数w和流量系数e对网络安全的影响占比进行权重分配,依次分配为预设值q、w和e,且q小于w小于e,并通过公式r=q*q+w*w+e*e来求得实时的网络安全系数,同时将r与预设范围r相比较,当r位于预设范围r之外时,将与r相对应的通信响应时间、访问端口数和流量占用量一同生成异常行为信号;
k2b:实时获取到网络信息中的代码数据,并提取出代码数据中二进制文件的形态特征;
读取二进制文件的形态特征,同时以8bit为一个无符号的整型,以256byte的固定行宽为一个向量,来生成一个二维数组,而二维数组中每个元素的范围都在0至255之间;
将二维数组经映射后转换成无压缩的png灰阶图片;
k3a:从数据库中调取录入的网络恶意行为信息并与异常行为信号相比较,且网络恶意行为信息包括dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入和dga恶意域名中,各自相对应的预设通信响应时间a、预设访问端口数b和预设流量占用量c,当异常行为信号中的通信响应时间、访问端口数和流量占用量均位于dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入或dga恶意域名的预设通信响应时间a、预设访问端口数b和预设流量占用量c之内时,则将与其相对应的网络恶意行为生成警示信号;
k3b:从数据库中调取录入的经由各类恶意代码数据及其变种数据转成的无压缩的png灰阶图片并与其相比较,当两者纹路图形的重合率高于预设值p时,将该代码数据生成恶意信号;
k4:将警示信号和恶意信号一同经由控制器进行传输,且存储模块在实时接收到警示信号时,将警示信号中的网络恶意行为与对应日期一同生成异常行为信息表进行记录,且警示模块在实时接收到警示信号时,将警示信号中的网络恶意行为经由显示屏进行显示,且追踪模块在实时接收到警示信号时,将暂存的网络信息中的数据源信息解锁,并将数据源信息中的源ip、目的ip、源mac和目的mac一同生成取证信号,同时将取证信号传输至用户的手机中进行显示;
且警示模块在实时接收到恶意信号时,将恶意信号中的该代码数据经由显示屏进行显示,同时控制信号灯闪烁。
一种全网危险感知平台及其工作方法,在工作过程中,先通过数据采集模块来实时采集数据交换过程中的网络信息,且网络信息包括数据源信息、网络应用层协议数据和代码数据,并将网络信息传输至分类模块,分类模块在实时接收到网络信息后,将网络信息中的网络应用层协议数据传输至数据分析模块,且网络应用层协议数据包括通信响应时间、访问端口数和流量占用量,数据分析模块在实时接收到网络应用层协议数据后,即开始进行分析操作,并依据公式r=q*q+w*w+e*e来获取到实时的网络安全系数,同时将r与预设范围r相比较,当r位于预设范围r之外时,将与r相对应的通信响应时间、访问端口数和流量占用量一同生成异常行为信号传输至危险感知模块,而在其它情况下,不生成任何信号进行传输,危险感知模块在实时接收到异常行为信号时,从数据库中调取录入的网络恶意行为信息并与异常行为信号相比较,且网络恶意行为信息包括dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入和dga恶意域名中,各自相对应的预设通信响应时间a、预设访问端口数b和预设流量占用量c,当异常行为信号中的通信响应时间、访问端口数和流量占用量均位于dns或arp污染、ssh或ftp暴力破解、漏洞扫描、ddos攻击、sql注入或dga恶意域名的预设通信响应时间a、预设访问端口数b和预设流量占用量c之内时,则将与其相对应的网络恶意行为生成警示信号并经由控制器分别传输至警示模块、存储模块和溯源模块,数据录入模块用于录入查找的网络恶意行为信息并将其传输至数据库,存储模块在实时接收到警示信号时,将警示信号中的网络恶意行为与对应日期一同生成异常行为信息表进行记录,以便用户随时查阅,警示模块在实时接收到警示信号时,将警示信号中的网络恶意行为经由显示屏进行显示,以便用户及时的了解网络异常情况,并做出相应措施,进而能够有效的对网络异常行为进行检测与分辨;
且分类模块用于实时接收网络信息,并将网络信息中的代码数据传输至数据处理模块,数据处理模块在实时接收到代码数据后,即开始进行处理操作,并在获取到无压缩的png灰阶图片后,将其传输至危险感知模块,危险感知模块在实时接收到无压缩的png灰阶图片时,从数据库中调取录入的经由各类恶意代码数据及其变种数据转成的无压缩的png灰阶图片并与其相比较,当两者纹路图形的重合率高于预设值p时,将该代码数据生成恶意信号并经由控制器传输至警示模块,而在其它情况下,不生成任何信号进行传输,数据录入模块还用于录入查找的经由各类恶意代码数据及其变种数据转成的无压缩的png灰阶图片,并将其传输至数据库,警示模块在实时接收到恶意信号时,将恶意信号中的该代码数据经由显示屏进行显示,同时控制信号灯闪烁,进而能够有效的检测出恶意代码数据及其变种数据,并及时的提醒用户;
且分类模块用于实时接收网络信息,并将网络信息中的数据源信息传输至追踪模块,且数据源信息包括源ip、目的ip、源mac和目的mac,溯源模块在实时接收到警示信号后,将其传输至追踪模块,追踪模块在实时接收到警示信号后,将数据源信息中的源ip、目的ip、源mac和目的mac一同生成取证信号并传输至信息互联模块,信息互联模块在实时接收到取证信号时,将取证信号中的源ip、目的ip、源mac和目的mac发送至用户的手机中进行显示,便于快速的对攻击者进行定位,并及时的获取相关入侵证据。
以上内容仅仅是对本发明结构所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!