技術(shù)特征:1.一種基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)�,其特征在于,包括:數(shù)據(jù)包捕獲模塊�����、基于包的異常檢測模塊����、基于流的異常檢測模塊、網(wǎng)絡(luò)威脅數(shù)據(jù)庫和威脅分析展示模塊����;
所述數(shù)據(jù)包捕獲模塊,用于實(shí)時(shí)捕獲大規(guī)模網(wǎng)絡(luò)流量數(shù)據(jù)包��,將一定時(shí)間片長度內(nèi)捕獲到的數(shù)據(jù)包以時(shí)間片命名��,并發(fā)送給基于包的異常檢測模塊�����;
所述基于包的異常檢測模塊���,用于接收數(shù)據(jù)包捕獲模塊發(fā)送的時(shí)間片�,對時(shí)間片進(jìn)行概要信息的記錄�����;根據(jù)概要信息提取時(shí)間片網(wǎng)絡(luò)流數(shù)據(jù)特征,形成特征文件����;對特征文件進(jìn)行異常檢測,得到異常時(shí)間片���;將異常時(shí)間片發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫���,并將異常時(shí)間片及其相鄰時(shí)間片發(fā)送給基于流的異常檢測模塊�����;
所述基于流的異常檢測模塊�,用于接收基于包的異常檢測模塊發(fā)送的異常時(shí)間片和相鄰時(shí)間片,對異常時(shí)間片結(jié)合相鄰時(shí)間片進(jìn)行流重組����,判斷是否能提取出該異常時(shí)間片的流,是����,進(jìn)行該異常時(shí)間片的流特征提取和流特征選擇����,形成流特征文件�����,否則����,重新進(jìn)行流重組;對流特征文件進(jìn)行異常檢測��,將檢測結(jié)果融合得到異常流數(shù)據(jù)檢測結(jié)果��;將異常流數(shù)據(jù)檢測結(jié)果發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫�;所述異常流數(shù)據(jù)檢測結(jié)果包括:攻擊類型、攻擊源��、攻擊目標(biāo)和攻擊發(fā)生的時(shí)間��;
所述網(wǎng)絡(luò)威脅數(shù)據(jù)庫��,用于存儲基于包的異常檢測模塊和基于流的異常檢測模塊發(fā)送的異常時(shí)間片和異常數(shù)據(jù)流檢測結(jié)果�,并將異常數(shù)據(jù)流檢測結(jié)果轉(zhuǎn)發(fā)給威脅分析展示模塊;存儲威脅分析展示模塊發(fā)送的統(tǒng)計(jì)分析結(jié)果��;
所述威脅分析展示模塊,用于接收異常數(shù)據(jù)流檢測結(jié)果���,進(jìn)行檢測結(jié)果統(tǒng)計(jì)分析��,將統(tǒng)計(jì)分析結(jié)果發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫����,并向用戶顯示���。
2.根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)�����,其特征在于,所述基于包的異常檢測模塊利用GBRT提升樹算法對所述特征文件進(jìn)行異常檢測�。
3.根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng),其特征在于�����,所述基于流的異常檢測模塊利用AdaBoost算法對所述流特征文件進(jìn)行異常檢測���。
4.根據(jù)權(quán)利要求1所述的基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)��,其特征在于�����,所述威脅分析展示模塊進(jìn)行檢測結(jié)果統(tǒng)計(jì)分析�����,得到統(tǒng)計(jì)分析結(jié)果包括:網(wǎng)絡(luò)異常檢測統(tǒng)計(jì)結(jié)果即攻擊類型發(fā)生種類��、每類攻擊發(fā)生的次數(shù)����、至當(dāng)前時(shí)間窗口為止各攻擊類型發(fā)生的概率和攻擊類型所占的事件安全權(quán)重,根據(jù)網(wǎng)絡(luò)異常檢測統(tǒng)計(jì)結(jié)果得到一個(gè)綜合的威脅值���。
5.利用權(quán)利要求1所述的基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)的網(wǎng)絡(luò)威脅分析方法�,其特征在于����,包括如下步驟:
步驟1:數(shù)據(jù)包捕獲模塊實(shí)時(shí)捕獲數(shù)據(jù)包,并判斷是否滿足時(shí)間片長度���,是�����,以時(shí)間片命名捕獲到的數(shù)據(jù)包��,將時(shí)間片發(fā)送給基于包的異常檢測模塊�,否則,繼續(xù)捕獲數(shù)據(jù)包���;
步驟2:基于包的異常檢測模塊接收數(shù)據(jù)包捕獲模塊發(fā)送的時(shí)間片���,對時(shí)間片進(jìn)行概要信息的記錄;
步驟3:基于包的異常檢測模塊根據(jù)概要信息提取時(shí)間片網(wǎng)絡(luò)流數(shù)據(jù)特征���,形成該時(shí)間片的特征文件�;
步驟4:基于包的異常檢測模塊對特征文件進(jìn)行檢測��,判斷該時(shí)間片是否異常��,是��,得到異常時(shí)間片�,執(zhí)行步驟5,否則��,執(zhí)行步驟1�����;
步驟5:基于包的異常檢測模塊將異常時(shí)間片發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫��,并將異常時(shí)間片及其相鄰時(shí)間片發(fā)送給基于流的異常檢測模塊����;
步驟6:基于流的異常檢測模塊接收基于包的異常檢測模塊發(fā)送的異常時(shí)間片和相鄰時(shí)間片,對異常時(shí)間片結(jié)合相鄰時(shí)間片進(jìn)行流重組�����,判斷是否能提取出該異常時(shí)間片的流����,是,進(jìn)行該異常時(shí)間片的流特征提取和流特征選擇��,形成流特征文件���,否則����,重新進(jìn)行流重組;
步驟7:基于流的異常檢測模塊對流特征文件進(jìn)行異常檢測�,將檢測結(jié)果融合得到異常流數(shù)據(jù)檢測結(jié)果,所述異常流數(shù)據(jù)檢測結(jié)果包括:攻擊類型���、攻擊源���、攻擊目標(biāo)、攻擊發(fā)生的時(shí)間����;
步驟8:基于流的異常檢測模塊將異常流數(shù)據(jù)檢測結(jié)果發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫;
步驟9:網(wǎng)絡(luò)威脅數(shù)據(jù)庫存儲基于包的異常檢測模塊和基于流的異常檢測模塊發(fā)送的異常時(shí)間片和異常數(shù)據(jù)流檢測結(jié)果��,并將異常數(shù)據(jù)流檢測結(jié)果發(fā)送給威脅分析展示模塊�;
步驟10:威脅分析展示模塊接收異常數(shù)據(jù)流的檢測結(jié)果,進(jìn)行檢測結(jié)果統(tǒng)計(jì)分析�,將統(tǒng)計(jì)分析結(jié)果發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫,并向用戶顯示���;
步驟11:網(wǎng)絡(luò)威脅數(shù)據(jù)庫存儲威脅分析展示模塊發(fā)送的分析結(jié)果�����。
6.根據(jù)權(quán)利要求5所述的基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析方法���,其特征在于,所述步驟4中基于包的異常檢測模塊利用GBRT提升樹算法對所述特征文件進(jìn)行異常檢測����。
7.根據(jù)權(quán)利要求5所述的基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析方法,其特征在于�,所述步驟7基于流的異常檢測模塊利用AdaBoost算法對所述流特征文件進(jìn)行異常檢測。