一种基于数据流处理的网络安全态势感知系统平台
技术领域
本发明涉及网络安全态势感知技术领域,尤其涉及一种基于数据流处理的网络安全态势感知系统平台。
背景技术
传统的态势感知解决方案主要将安全设备日志记录作为主要的数据源,面向中小规模网络,在数据源全面性和计算实时性方面存在局限。
发明内容
(一)发明目的
为解决背景技术中存在的技术问题,本发明提出一种基于数据流处理的网络安全态势感知系统平台,通过信息获取、安全态势要素提取、安全态势评估指标选取、安全态势综合评估这四个关键步骤,从整体上实时或近实时地反映出网络安全状态和变化情况,为大规模网络的安全管理、科学决策提供依据。
(二)技术方案
为解决上述问题,本发明提出了一种基于数据流处理的网络安全态势感知系统平台,包括数据流采集模块、数据流分流模块、存储器、处理器和显示模块;
数据流采集模块,用于获取和统计数据流信息A;
数据流分流模块,用于将数据流信息A根据其网络属性信息的哈希值进行分类,并得到分类后的数据流信息B;数据流分流模块与存储器数据传递连接,用于将数据流信息B存储在存储器内;
处理器与与存储器数据传递连接,用于调取存储器内的数据流信息B;
处理器包括提取模块、分析模块、指标参数对比模块和综合评估模块;
提取模块,用于将存储器内的数据流信息B发送至分析模块;
分析模块,用于分许数据流信息B,以获取数据流信息B的安全态势要素信息C,并将安全态势要素信息C发送至指标参数对比模块;
指标参数对比模块,用于将安全态势要素信息C与其内部预先设置的安全态势评估指标值进行对比,并将对比结果D发送至综合评估模块;
综合评估模块,用于根据对比结果D评估得到网络安全状态信息和网络变化信息,并将网络安全状态信息和网络变化信息发送至显示模块,并在显示模块上显示。
优选的,数据流采集模块,获取预设时间段内的数据流和预设字段,根据预设算法处理预设字段,以生成关键字key;key用于指示数据流在散列hash表中对应的数据节点,数据节点中包括多个链表单元;key用于将数据流聚合到对应的数据节点中,以得到根据时间戳进行排列的多个链表单元;数据流采集模块,根据预设字段对数据流进行聚合,并根据聚合后数据流的时间戳的变化状况对统计指标按照预设统计规则进行统计,并将统计列表发送至存储器。
优选的,数据流分流模块,获取数据流信息A并解析得到数据流信息A的网络属性信息;数据流分流模块,调用哈希函数计算网络属性信息的哈希值,再将数据流信息A根据哈希值的不同,分别导入不同哈希值对应的多个传输队列中,以实现对数据流信息A的分流过程;其中,一个哈希值对应至少一个传输队列。
优选的,哈希函数为求余函数;调用哈希函数计算网络属性信息的哈希值,包括一下步骤:确定每个网络属性参数对应的属性值,以及确定多个网络属性参数的属性值之和;基于公式Z=X%Y,计算网络属性信息的哈希值;其中,Z为哈希值,X为多个网络属性参数的属性值之和,Y为传输队列的数目,%为求余符号。
本发明为以网络数据流采集、存储和计算为技术特征的大规模网络安全态势感知系统平台,通过信息获取、安全态势要素提取、安全态势评估指标选取、安全态势综合评估这四个关键步骤,从整体上实时或近实时地反映出网络安全状态和变化情况,为大规模网络的安全管理、科学决策提供依据。
本发明中,系统将网络流量数据作为态势感知数据来源,保证态势信息的完整性。网络流量是网络中最基本、最直接的数据,由它得到网络态势信息减少了中间处理环节,可以在一定程度上加快处理的速度。
本发明中,数据流采集模块,基于时间戳的可信性以及唯一性,提高统计过程的准确性与稳定性,而且由于预设时间段的设定,使得统计过程可以实时的进行;同时,由于时间戳便于读取,节约了统计的时间,提高了统计过程的实时性以及效率,便于后续信息的调取查阅。
本发明中,数据流分流模块,调用哈希函数计算网络属性信息的哈希值,将数据流导入至哈希值对应的传输队列中。由于不同的传输队列对应不同的哈希值,以基于哈希值,将不同网络属性信息的数据流导入到不同的传输队列,以实现对数据流信息A的分流过程,从而便于后续处理器,针对分流后的数据流信息B进行分类处理,提高工作效率。
附图说明
图1为本发明提出的基于数据流处理的网络安全态势感知系统平台的系统结构示意图。
图2为本发明提出的基于数据流处理的网络安全态势感知系统平台中数据流采集模块的工作流程示意图。
图3为本发明提出的基于数据流处理的网络安全态势感知系统平台中数据流分流模块的工作流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
如图1-3所示,本发明提出的一种基于数据流处理的网络安全态势感知系统平台,包括数据流采集模块、数据流分流模块、存储器、处理器和显示模块;
数据流采集模块,用于获取和统计数据流信息A;
数据流分流模块,用于将数据流信息A根据其网络属性信息的哈希值进行分类,并得到分类后的数据流信息B;数据流分流模块与存储器数据传递连接,用于将数据流信息B存储在存储器内;
处理器与与存储器数据传递连接,用于调取存储器内的数据流信息B;
处理器包括提取模块、分析模块、指标参数对比模块和综合评估模块;
提取模块,用于将存储器内的数据流信息B发送至分析模块;
分析模块,用于分许数据流信息B,以获取数据流信息B的安全态势要素信息C,并将安全态势要素信息C发送至指标参数对比模块;
指标参数对比模块,用于将安全态势要素信息C与其内部预先设置的安全态势评估指标值进行对比,并将对比结果D发送至综合评估模块;
综合评估模块,用于根据对比结果D评估得到网络安全状态信息和网络变化信息,并将网络安全状态信息和网络变化信息发送至显示模块,并在显示模块上显示。
本发明为,以网络数据流采集、存储和计算为技术特征的大规模网络安全态势感知系统平台,通过信息获取、安全态势要素提取、安全态势评估指标选取、安全态势综合评估这四个关键步骤,从整体上实时或近实时地反映出网络安全状态和变化情况,为大规模网络的安全管理、科学决策提供依据。
本发明中,系统将网络流量数据作为态势感知数据来源,保证态势信息的完整性。网络流量是网络中最基本、最直接的数据,由它得到网络态势信息减少了中间处理环节,可以在一定程度上加快处理的速度。
如图2所示,在一个可选的实施例中,数据流采集模块,获取预设时间段内的数据流和预设字段,根据预设算法处理预设字段,以生成关键字key;key用于指示数据流在散列hash表中对应的数据节点,数据节点中包括多个链表单元;key用于将数据流聚合到对应的数据节点中,以得到根据时间戳进行排列的多个链表单元;
数据流采集模块,根据预设字段对数据流进行聚合,并根据聚合后数据流的时间戳的变化状况对统计指标按照预设统计规则进行统计,并将统计列表发送至存储器。
需要说明的是,数据流采集模块,基于时间戳的可信性以及唯一性,提高统计过程的准确性与稳定性,而且由于预设时间段的设定,使得统计过程可以实时的进行;同时,由于时间戳便于读取,节约了统计的时间,提高了统计过程的实时性以及效率,便于后续信息的调取查阅。
如图3所示,在一个可选的实施例中,数据流分流模块,获取数据流信息A并解析得到数据流信息A的网络属性信息;
数据流分流模块,调用哈希函数计算网络属性信息的哈希值,再将数据流信息A根据哈希值的不同,分别导入不同哈希值对应的多个传输队列中,以实现对数据流信息A的分流过程;
其中,一个哈希值对应至少一个传输队列。
在一个可选的实施例中,哈希函数为求余函数;
调用哈希函数计算网络属性信息的哈希值,包括一下步骤:
确定每个网络属性参数对应的属性值,以及确定多个网络属性参数的属性值之和;
基于公式Z=X%Y,计算网络属性信息的哈希值;
其中,Z为哈希值,X为多个网络属性参数的属性值之和,Y为传输队列的数目,%为求余符号。
需要说明的是,数据流分流模块,调用哈希函数计算网络属性信息的哈希值,将数据流导入至哈希值对应的传输队列中。由于不同的传输队列对应不同的哈希值,以基于哈希值,将不同网络属性信息的数据流导入到不同的传输队列,以实现对数据流信息A的分流过程,从而便于后续处理器,针对分流后的数据流信息B进行分类处理,提高工作效率。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
