一种基于数据分析的主机资产风险识别方法与流程

1.本发明属于网络安全技术领域，具体涉及一种基于数据分析的主机资产风险识别方法。


背景技术：

2.随着计算机技术和云计算技术的高速发展，大多业务系统都在数据中心运营，而数据中心信息量庞大，有限的管理人员难以对主机服务器进行全面的资产梳理，进而难以准确获知系统当前风险状况。而作为一种积极的安全防护技术，风险识别可以帮助管理人员准确识别系统当前的安全威胁，进而针对性地采取相应的安全措施。
3.因此，亟需设计一种基于数据分析的主机资产风险识别方法，以准确识别主机资产风险。


技术实现要素：

4.本发明的目的在于提供一种基于数据分析的主机资产风险识别方法，通过对网络流量和主机侧流量数据进行综合分析，识别主机资产风险。
5.本发明的技术方案如下：
6.一种基于数据分析的主机资产风险识别方法，采用实时数据分析模块对网络流量及主机侧流量进行初步解析；
7.采用数据截留备份系统模块对分析后的流量数据进行分类截留；
8.采用分析识别系统模块进行最后的精细分析；
9.采用风险评级系统模块对发现的风险项进行可视化详情展示并发出告警。
10.具体包括以下步骤：
11.步骤1：实时数据分析模块对网络流量及主机侧流量进行采集及初步分析，然后将信息发送至数据截留备份系统模块；
12.步骤2：数据截留备份系统模块对收到的信息进行暂时保存，并将所有信息发送至分析识别系统模块；
13.步骤3：分析识别系统模块收到信息后，对其中的风险数据流做进一步分析；
14.步骤4：分析识别系统模块将所有信息发送至风险评级系统模块；
15.步骤5：风险评级系统模块收到所有信息后，对所有数据进行最后精细分析。
16.步骤1包括以下分步骤：
17.1.1：实时数据分析模块对数据的可用性、域名信息以及数据流的流向进行基础分析，并初步分类为风险数据流和冗杂数据流；
18.1.2：实时数据分析模块将基础分析结果及分类数据流信息发送至数据截留备份系统模块。
19.步骤3中，采用网络安全扫描工具模块对风险数据流进行进一步分析。
20.步骤3包括以下分步骤：
21.3.1：分析识别系统模块将所有风险数据流发送至网络安全扫描工具模块，网络安全扫描工具模块使用专业网络安全扫描工具对风险数据流进行分析；
22.3.2：网络安全扫描工具模块将分析结果反馈至分析识别系统模块。
23.步骤5包括以下分步骤：
24.5.1：风险评级系统模块对所有风险数据流进行精细分析；
25.5.2：风险评级系统模块对所有冗杂数据流进行精细分析。
26.步骤5.1中，风险评级系统模块对存在风险的真实风险数据流进行分类，并发出告警；
27.对无风险的误报风险数据流进行排除，并放入冗杂数据流。
28.步骤5.2中，若存在风险项，风险评级系统模块将相关数据流反馈至分析识别系统模块进行重新分析；
29.对于其他无异常冗杂数据流，风险评级系统模块进行放行。
30.本发明的显著效果在于：
31.(1)本发明通过对网络流量和主机侧流量数据进行综合分析，能够识别主机资产风险，例如漏洞和其他安全风险；
32.同时进行实时监控，对主机资产风险因子进行分析、对风险等级进行分类，并可及时发出警示。
33.(2)本发明对网络流量和主机侧流量数据进行特征识别和分析，评估风险，确保主机系统安全，有效提升风险识别的准确性。
34.(3)本发明采用多角度网络安全分析，能够确保识别主机资产风险的客观性、安全警示的及时性以及降低风险识别的复杂度。
35.(4)本发明能够精准抓取主机资产漏洞风险，对漏洞进行针对性防护，显著降低了漏洞造成的威胁风险，有效保障主机资产安全。
附图说明
36.图1为主机资产风险识别系统结构图；
37.图2为风险评级示意图。
具体实施方式
38.下面结合附图及具体实施例对本发明作进一步详细说明。
39.如图1、2所示的一种基于数据分析的主机资产风险识别方法，采用实时数据分析模块对网络流量及主机侧流量进行初步解析；
40.采用数据截留备份系统模块对分析后的流量数据进行分类截留；
41.采用网络安全扫描工具模块对截留数据做进一步分析；采用分析识别系统模块进行最后的精细分析；
42.采用风险评级系统模块对发现的风险项进行可视化详情展示并发出告警；
43.方法具体包括以下步骤：
44.步骤1：实时数据分析模块对网络流量及主机侧流量进行采集及初步分析；
45.1.1：实时数据分析模块对数据的可用性、域名信息以及数据流的流向进行基础分
析，并初步分类为风险数据流和冗杂数据流；
46.1.2：实时数据分析模块将基础分析结果及分类数据流信息发送至数据截留备份系统模块；
47.步骤2：数据截留备份系统模块对收到的基础分析结果及分类数据流信息进行暂时保存，并将所有信息发送至分析识别系统模块；
48.步骤3：分析识别系统模块收到基础分析结果及分类数据流信息后，对其中的风险数据流做进一步分析；
49.3.1：分析识别系统模块将所有风险数据流发送至网络安全扫描工具模块，网络安全扫描工具模块使用专业网络安全扫描工具对风险数据流进行分析；
50.3.2：网络安全扫描工具模块将分析结果反馈至分析识别系统模块；
51.步骤4：分析识别系统模块将所有分析结果及分类数据流信息发送至风险评级系统模块；
52.步骤5：风险评级系统模块收到所有分析结果及分类数据流信息后，对所有数据进行最后精细分析；
53.5.1：风险评级系统模块对所有风险数据流进行精细分析；
54.对存在风险的真实风险数据流进行分类，并发出告警；
55.对无风险的误报风险数据流进行排除，并放入冗杂数据流；
56.5.2：风险评级系统模块对所有冗杂数据流进行精细分析；
57.若存在风险项，则将相关数据流反馈至分析识别系统模块进行重新分析；对于其他无异常冗杂数据流，则进行放行。


技术特征：
1.一种基于数据分析的主机资产风险识别方法，其特征在于：采用实时数据分析模块对网络流量及主机侧流量进行初步解析；采用数据截留备份系统模块对分析后的流量数据进行分类截留；采用分析识别系统模块进行最后的精细分析；采用风险评级系统模块对发现的风险项进行可视化详情展示并发出告警。2.如权利要求1所述的一种基于数据分析的主机资产风险识别方法，其特征在于：具体包括以下步骤：步骤1：实时数据分析模块对网络流量及主机侧流量进行采集及初步分析，然后将信息发送至数据截留备份系统模块；步骤2：数据截留备份系统模块对收到的信息进行暂时保存，并将所有信息发送至分析识别系统模块；步骤3：分析识别系统模块收到信息后，对其中的风险数据流做进一步分析；步骤4：分析识别系统模块将所有信息发送至风险评级系统模块；步骤5：风险评级系统模块收到所有信息后，对所有数据进行最后精细分析。3.如权利要求2所述的一种基于数据分析的主机资产风险识别方法，其特征在于：步骤1包括以下分步骤：1.1：实时数据分析模块对数据的可用性、域名信息以及数据流的流向进行基础分析，并初步分类为风险数据流和冗杂数据流；1.2：实时数据分析模块将基础分析结果及分类数据流信息发送至数据截留备份系统模块。4.如权利要求3所述的一种基于数据分析的主机资产风险识别方法，其特征在于：步骤3中，采用网络安全扫描工具模块对风险数据流进行进一步分析。5.如权利要求4所述的一种基于数据分析的主机资产风险识别方法，其特征在于：步骤3包括以下分步骤：3.1：分析识别系统模块将所有风险数据流发送至网络安全扫描工具模块，网络安全扫描工具模块使用专业网络安全扫描工具对风险数据流进行分析；3.2：网络安全扫描工具模块将分析结果反馈至分析识别系统模块。6.如权利要求5所述的一种基于数据分析的主机资产风险识别方法，其特征在于：步骤5包括以下分步骤：5.1：风险评级系统模块对所有风险数据流进行精细分析；5.2：风险评级系统模块对所有冗杂数据流进行精细分析。7.如权利要求6所述的一种基于数据分析的主机资产风险识别方法，其特征在于：步骤5.1中，风险评级系统模块对存在风险的真实风险数据流进行分类，并发出告警；对无风险的误报风险数据流进行排除，并放入冗杂数据流。8.如权利要求6所述的一种基于数据分析的主机资产风险识别方法，其特征在于：步骤5.2中，若存在风险项，风险评级系统模块将相关数据流反馈至分析识别系统模块进行重新分析；对于其他无异常冗杂数据流，风险评级系统模块进行放行。

技术总结
本发明涉及网络安全技术领域，具体公开了一种基于数据分析的主机资产风险识别方法，采用实时数据分析模块对网络流量及主机侧流量进行初步解析；采用数据截留备份系统模块对分析后的流量数据进行分类截留；采用分析识别系统模块进行最后的精细分析；采用风险评级系统模块对发现的风险项进行可视化详情展示并发出告警。本发明能够精准抓取主机资产漏洞风险，对漏洞进行针对性防护，显著降低了漏洞造成的威胁风险，有效保障主机资产安全。有效保障主机资产安全。有效保障主机资产安全。


技术研发人员：谢永辉 马文博 邱杰峰 梁浩 杨伟伟 程莉红 王辉华 周娟 潘文静
受保护的技术使用者：福建福清核电有限公司
技术研发日：2022.04.11
技术公布日：2022/8/30