一种能够实现安全审计功能网络安全态势感知系统的制作方法

本发明涉及网络安全技术领域，具体为一种能够实现安全审计功能网络安全态势感知系统。

背景技术：

网络安全态势感知的基本概念是指在大规模网络环境中，对能够引起网络安全状态和趋势变化的安全要素进行提取、融合分析、显示以及预测发展趋势。

网络安全态势感知的重点在于对将网络系统作为一个整体，对其安全状况及未来趋势的分析把握，使用户能够从总体上准确的感知网络状况，从而为准确的觉得提供可靠依据，以将由于网路安全问题带来的风险和损失降到最低限度。这个理念是相对于ids、firewall、vds这些以孤立的单点防御为主的传统安全异构防御。他们之间没有彼此的相互关联协作，而将网络安全划分成为一个个的安全孤岛。作为网络安全态势感知其融合了传统网络安全理论中的各类攻击检测、定位及跟踪等等的方法，对网络进行全面集中的安全管理和智能综合的分析，将不同领域的安全部件融合为一个无缝的安全体系，从而形成一个宏观的网络安全管理体系。

随着信息技术的高速发展，互联网的安全问题日益突出。防火墙、入侵检测等传统网络安全手段，可以实现对网络异常行为的管理和监测，但不能监控网络内容和已经授权的正常内部网络访问行为，因此对正常网络访问行为导致的信息泄密、网络资源监测行为无能为力。

技术实现要素：

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种能够实现安全审计功能网络安全态势感知系统，解决了上述背景技术中所提出的问题。

(二)技术方案

为达到以上目的，本发明采取的技术方案是：一种能够实现安全审计功能网络安全态势感知系统，通过数据采集模块对当前网络的数据进行采集，数据采集后通过数据识别模块进行识别处理，得到规范化格式的网络基本信息数据，将识别处理后的数据通过复制模块制成两份，使两项相同的数据分别通过实时处理服务器和审计服务器进行处理；

实时处理服务器处理数据的主要流程有：

a.数据选择：确定发现数据任务的操作对象即目标对象；

b.预处理：对数据进行消除噪声、推导计算缺值数据、消除重复记录、完成数据类型转换；

c.数据开采：使用开采算法对数据进行总结、分类、聚类、关联规则发现；

d.异常处理：对数据内网络异常行为进行捕获，分析网络的潜在风险，准确捕获病毒、蠕虫及非法入侵；

审计服务器处理数据的主要流程有：

a.提取模块：提取数据中与处理任务对应的应用程序数据的静态特征；

b.静态扫描模块：通过将所述程序数据的静态特征与预先存储的漏洞静态特征进行匹配，得到静态检测结果；

c.传递模块：将所述应用程序数据传递给终端设备，以使所述终端设备安装所述应用程序数据对应的应用程序；

d.动态扫描模块，通过将所述终端设备实际运行所述应用程序所产生的动态特征与预先存储的漏洞动态特征进行匹配，得到动态检测结果；

e.分析模块，对所述反编译代码进行数据流分析得到用于实现漏洞攻击的信息；

f.漏洞攻击模块，通过智能的构造攻击参数对所述终端设备进行漏洞攻击，接收所述终端设备反馈的针对所述漏洞攻击的日志输出结果；

在将网络数据同时且分别通过实时处理服务器和审计服务器进行数据处理后，将两种结果数据直接导入数据库，数据库通过web服务器与网络互联，且同时将数据库内数据进行生成后通过记录模块记录。

优选的，所述提取模块进一步包括反编译处理单元和提取单元，反编译处理单元，适于对网络数据文件进行反编译处理，得到反编译代码，提取单元，适于从所述反编译代码中提取网络数据文件的静态特征。

优选的，所述漏洞攻击的信息包括应用程序潜在的攻击点和攻击应用程序所需的参数。

优选的，所述数据记录模块通过web服务器与网络进行互联，实时上传接收数据。

优选的，所述系统操作通过pc端安装软件进行操作控制。

(三)有益效果

本发明的有益效果在于：通过将网络数据进行采集、识别和复制，将两份数据同时进行处理操作，一方面对网页数据进行安全态势感知，达到对站端网安全状态的可测、可知、可防可控，最大程度地抵御潜在的网络安全威胁，另一方面可以同时对网络数据实现安全审计功能，安全审计实现对网络运行日志、操作系统运行日志、数据库重要日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为，二者在运行过程同步进行，节省运算时间，互不干扰。

附图说明

图1为本发明系统流程的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明提供一种技术方案：一种能够实现安全审计功能网络安全态势感知系统，其特征在于：通过数据采集模块对当前网络的数据进行采集，数据采集后通过数据识别模块进行识别处理，得到规范化格式的网络基本信息数据，将识别处理后的数据通过复制模块制成两份，使两项相同的数据分别通过实时处理服务器和审计服务器进行处理；

实时处理服务器处理数据的主要流程有：

a.数据选择：确定发现数据任务的操作对象即目标对象；

b.预处理：对数据进行消除噪声、推导计算缺值数据、消除重复记录、完成数据类型转换；

c.数据开采：使用开采算法对数据进行总结、分类、聚类、关联规则发现；

d.异常处理：对数据内网络异常行为进行捕获，分析网络的潜在风险，准确捕获病毒、蠕虫及非法入侵；

审计服务器处理数据的主要流程有：

a.提取模块：提取数据中与处理任务对应的应用程序数据的静态特征，所述提取模块进一步包括反编译处理单元和提取单元，反编译处理单元，适于对网络数据文件进行反编译处理，得到反编译代码，提取单元，适于从所述反编译代码中提取网络数据文件的静态特征；

b.静态扫描模块：通过将所述程序数据的静态特征与预先存储的漏洞静态特征进行匹配，得到静态检测结果；

c.传递模块：将所述应用程序数据传递给终端设备，以使所述终端设备安装所述应用程序数据对应的应用程序；

d.动态扫描模块，通过将所述终端设备实际运行所述应用程序所产生的动态特征与预先存储的漏洞动态特征进行匹配，得到动态检测结果；

e.分析模块，对所述反编译代码进行数据流分析得到用于实现漏洞攻击的信息；

f.漏洞攻击模块，通过智能的构造攻击参数对所述终端设备进行漏洞攻击，接收所述终端设备反馈的针对所述漏洞攻击的日志输出结果，所述漏洞攻击的信息包括应用程序潜在的攻击点和攻击应用程序所需的参数；

在将网络数据同时且分别通过实时处理服务器和审计服务器进行数据处理后，将两种结果数据直接导入数据库，数据库通过web服务器与网络互联，且同时将数据库内数据进行生成后通过记录模块记录，所述数据记录模块通过web服务器与网络进行互联，实时上传接收数据。

所述系统操作通过pc端安装软件进行操作控制。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。