一种网络空间安全态势感知检测分析系统及方法与流程

本发明涉及网络检测技术领域，具体为一种网络空间安全态势感知检测分析系统及方法。

背景技术：

网络空间安全态势感知检测分析系统是一种基于环境的、动态和整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析和响应处置能力的一种方式，旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，最终是为了决策与行动，是安全能力的落地，随着网络安全重要性的凸显，态势感知开始在网络安全领域展露头角。

现有的网络空间安全态势感知检测分析系统具备的网络空间安全持续监控能力需要不断增强和发展，做到能够及时发现各种攻击威胁与异常，且需要具备威胁调查分析及可视化能力，可以对威胁相关的影响范围、攻击路径、目的和手段进行快速判别，从而支撑有效的安全决策和响应，因此为了能够建立安全预警机制，来完善风险控制、应急响应和整体安全防护的水平，我们提出了一种网络空间安全态势感知检测分析系统及方法。

技术实现要素：

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种网络空间安全态势感知检测分析系统及方法，解决了现有的网络空间安全态势感知检测分析系统具备的网络空间安全持续监控能力较弱，发现各种攻击威胁与异常时，威胁调查分析及可视化能力，对威胁相关的影响范围、攻击路径、目的和手段进行快速判别的能力需要进一步发展的问题。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：一种网络空间安全态势感知检测分析系统及方法，包括防御系统、检测分析系统、数据采集模块和输出模块，所述检测分析系统包括存储模块、预警模块、系统数据设定模块、中央处理器、数据分析模块、显示模块和微处理器。

所述存储模块和防御系统的输入端均与数据采集模块的输出端电连接，所述存储模块的输出端与预警模块的输入端电连接，所述预警模块和系统数据设定模块的输出端均与中央处理器的输入端电连接，所述数据分析模块和防御系统的输入端均与中央处理器的输出端电连接，所述显示模块和微处理器的输入端均与数据分析模块的输出端电连接，所述微处理器的输出端与显示模块的输入端电连接，所述微处理器与防御系统双向电连接，所述微处理器的输出端与输出模块的输入端电连接。

所述防御系统包括防御模块一和防御模块二，所述防御模块一和防御模块二双向电连接。

所述显示模块包括可视化单元、图像单元、表格单元和柱状图单元，所述图像单元、表格单元和柱状图单元的输入端均与可视化单元的输出端电连接。

所述数据分析模块包括数据计算单元、数据转换单元和分类存储单元，所述数据转换单元的输入端和输出端分别和数据计算单元的输出端和分类存储单元的输入端电连接。

所述系统数据设定模块包括信息存储单元、信息分类单元和信息输出单元，所述信息分类单元的输入端和输出端分别和信息存储单元的输出端和信息输出单元的输入端电连接。

一种网络空间安全态势感知检测分析方法，包括如下步骤：

s1、访问信息访问网络空间，数据采集模块基于采用分布式架构获取安全态势数据，数据采集模块传送信息到防御系统后启动防御系统。

s2、防御模块一在无法判别访问信息是否安全情况下首先通过以防火墙为中心的安全方案配置，将安全程序配置在防火墙上，实现数据库的访问行为控制、危险操作阻断和可疑行为审计功能，维护系统内重要信息安全。

s3、数据采集模块采集数据后送达存储模块以及预警模块，将预警模块传送的访问信息与系统数据设定模块的设定信息通过中央处理器处理进行对比，判断与设定信息是否吻合。

s4、若访问信息安全，中央处理器传送信息到防御系统，解除防御模块一的拦截命令，中央处理器将该访问信息通过数据分析模块、显示模块和微处理器传到输出模块内。

s5、若访问信息危险，中央处理器通过数据分析模块的数据计算单元、数据转换单元和分类存储单元将数据按照属性依次分类存储，通过微处理器传送信息到防御系统，防御模块二执行拦截命令。

s6、防御系统反馈微处理器将该访问信息通过显示模块显示防御结果，并通过图像单元、表格单元或柱状图单元展现出来。

优选的，所述输出模块为网络空间的输入端。

优选的，所述系统数据设定模块为计算机。

优选的，在步骤s2中，安全程序为口令、加密和身份认证。

优选的，所述中央处理器为amd486dx，所述微处理器为amd5x86。

(三)有益效果

本发明提供了一种网络空间安全态势感知检测分析系统及方法，具备以下有益效果：

本发明通过设置防御系统、数据分析模块、显示模块、可视化单元和数据计算单元，安全风险发生时，处理待处理大数据，数据采集模块基于采用分布式架构，依托云计算的分布式处理、分布式数据库和云存储、虚拟化技术对海量数据进行分布式数据挖掘，从而获取安全态势数据，启动防御系统，防御模块一对访问信息拦截，维护系统内重要信息安全，传送到预警模块，将预警模块传送的访问信息与系统数据设定模块的设定信息进行对比，通过中央处理器处理分析预警信息与系统数据设定模块的设定信息是否吻合，从而判断访问信息是否为安全地址，若访问信息安全，中央处理器电连接防御系统，解除防御模块一的拦截命令，且中央处理器将该访问信息通过数据分析模块、显示模块和微处理器传到输出模块内，若访问信息危险，中央处理器电连接防御系统，防御模块二执行拦截命令，防御系统反馈微处理器将该访问信息通过显示模块显示防御结果，达到了实时监测、显示和防御，维护系统安全的效果，解决了现有的网络空间安全态势感知检测分析系统具备的网络空间安全持续监控能力较弱，发现各种攻击威胁与异常时，威胁调查分析及可视化能力，对威胁相关的影响范围、攻击路径、目的和手段进行快速判别的能力需要进一步发展的问题。

附图说明

图1为本发明系统原理示意图；

图2为本发明防御系统原理示意图；

图3为本发明显示模块原理示意图；

图4为本发明数据分析模块原理示意图；

图5为本发明系统数据设定模块原理示意图。

图中：1防御系统、2检测分析系统、3数据采集模块、4输出模块、5存储模块、6预警模块、7系统数据设定模块、8中央处理器、9数据分析模块、10显示模块、11微处理器、12防御模块一、13防御模块二、14可视化单元、15图像单元、16表格单元、17柱状图单元、18数据计算单元、19数据转换单元、20分类存储单元、21信息存储单元、22信息分类单元、23信息输出单元。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1-5所示，本发明提供一种技术方案：一种网络空间安全态势感知检测分析系统及方法，包括防御系统1、检测分析系统2、数据采集模块3和输出模块4，检测分析系统2包括存储模块5、预警模块6、系统数据设定模块7、中央处理器8、数据分析模块9、显示模块10和微处理器11，中央处理器8主要是解释计算机指令以及处理计算机软件中的数据将系统数据设定模块7内的数据通过指令与预警模块6内的预警信息比对，观察入侵信息地址是否为安全地址。

存储模块5和防御系统1的输入端均与数据采集模块3的输出端电连接，存储模块5的输出端与预警模块6的输入端电连接，预警模块6和系统数据设定模块7的输出端均与中央处理器8的输入端电连接，数据分析模块9和防御系统1的输入端均与中央处理器8的输出端电连接，显示模块10和微处理器11的输入端均与数据分析模块9的输出端电连接，微处理器11的输出端与显示模块10的输入端电连接，微处理器11与防御系统1双向电连接，微处理器11的输出端与输出模块4的输入端电连接，微处理器11用于处理中央处理器8通过数据分析模块9传送的信息，将访问信息的安全性传送到防御系统1，防御系统1执行命令。

防御系统1包括防御模块一12和防御模块二13，防御模块一12和防御模块二13双向电连接，防御模块一12通过以防火墙为中心的安全方案配置，将所有安全软件如口令、加密、身份认证等配置在防火墙上，实现数据库的访问行为控制、危险操作阻断和可疑行为审计功能，防御模块二13基于对服务器的tcp/udp端口进行过滤，处理应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号，地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。

显示模块10包括可视化单元14、图像单元15、表格单元16和柱状图单元17，图像单元15、表格单元16和柱状图单元17的输入端均与可视化单元14的输出端电连接。

数据分析模块9包括数据计算单元18、数据转换单元19和分类存储单元20，数据转换单元19的输入端和输出端分别和数据计算单元18的输出端和分类存储单元20的输入端电连接。

系统数据设定模块7包括信息存储单元21、信息分类单元22和信息输出单元23，信息分类单元22的输入端和输出端分别和信息存储单元21的输出端和信息输出单元23的输入端电连接，信息存储单元21用于存储计算机设定原始可进入系统的地址数据程序。

一种网络空间安全态势感知检测分析方法，包括如下步骤：

s1、访问信息访问网络空间，数据采集模块3基于采用分布式架构获取安全态势数据，数据采集模块3传送信息到防御系统1后启动防御系统1。

s2、防御系统1内的防御模块一12在无法判别访问信息是否安全情况下首先通过以防火墙为中心的安全方案配置，将安全程序配置在防火墙上，实现数据库的访问行为控制、危险操作阻断和可疑行为审计功能，维护系统内重要信息安全。

s3、数据采集模块3采集数据后送达存储模块5以及预警模块6，将预警模块6传送的访问信息与系统数据设定模块7的设定信息通过中央处理器8处理进行对比，判断与设定信息是否吻合。

s4、若访问信息安全，中央处理器8传送信息到防御系统1，解除防御模块一12的拦截命令，中央处理器8将该访问信息通过数据分析模块9、显示模块10和微处理器11传到输出模块4内。

s5、若访问信息危险，中央处理器8通过数据分析模块9的数据计算单元18、数据转换单元19和分类存储单元20将数据按照属性依次分类存储，通过微处理器11传送信息到防御系统1，防御模块二13执行拦截命令。

s6、防御系统1反馈微处理器11将该访问信息通过显示模块10显示防御结果，并通过图像单元15、表格单元16或柱状图单元17展现出来。

作为本发明的一种技术优化方案，输出模块4为网络空间的输入端，当访问信息确定为安全信息后即可进入网络空间访问。

作为本发明的一种技术优化方案，系统数据设定模块7为计算机，用于存储设定的可以访问网络空间的数据，通过中央处理器8判断访问信息是否为该数据内容。

作为本发明的一种技术优化方案，在步骤s2中，安全程序为口令、加密和身份认证。

作为本发明的一种技术优化方案，中央处理器8为amd486dx，所述微处理器11为amd5x86，用于计算和执行命令。

在使用时，安全风险发生，处理待处理大数据，数据采集模块3基于采用分布式架构，依托云计算的分布式处理、分布式数据库和云存储、虚拟化技术对海量数据进行分布式数据挖掘，从而获取安全态势数据，启动防御系统1，防御系统1包括两次防御功能，防御模块一12通过以防火墙为中心的安全方案配置，将所有安全软件如口令、加密、身份认证等配置在防火墙上，实现数据库的访问行为控制、危险操作阻断和可疑行为审计功能，防火墙具有ip地址过滤功能，检查ip包头，根据其ip源地址和目标地址作出放行和丢弃决定，防御模块一12达到对访问信息拦截，达到维护系统内重要信息安全的目的，第一步防御模块一12首先无法判断访问信息的安全与否需要进一步分析处理，数据采集模块3采集数据后送达存储模块5以及预警模块6，将预警模块6传送的访问信息与系统数据设定模块7的设定信息进行对比，通过中央处理器8处理分析预警信息与系统数据设定模块7的设定信息是否吻合，从而判断访问信息是否为安全地址，若访问信息安全，中央处理器8电连接防御系统1，解除防御模块一12的拦截命令，且中央处理器8将该访问信息通过数据分析模块9、显示模块10和微处理器11传到输出模块4内，若访问信息危险，中央处理器8通过数据分析模块9的数据计算单元18、数据转换单元19和分类存储单元20将数据按照属性依次分类存储，判断数据的攻击活动范围、攻击路径、攻击手段和攻击目的等，通过微处理器11电连接防御系统1，防御模块二13执行拦截命令，防御模块二13基于对服务器的tcp/udp端口进行过滤，tcp/ip是一种端对端协议，每个网络节点都具有唯一的地址，网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号，地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系，使防御模块二13拦截无法匹配的访问信息，防御系统1反馈微处理器11将该访问信息通过显示模块10显示防御结果，利用数据可视化与分析软件基于saplumira实现整合和转换数据，将数据实现可视化，并通过图像单元15、表格单元16或柱状图单元17展现出来，达到了实时监测、显示和防御，维护系统安全的效果。

综上可得，本发明通过设置防御系统1、数据分析模块9、显示模块10、可视化单元14和数据计算单元18，解决了现有的网络空间安全态势感知检测分析系统2具备的网络空间安全持续监控能力较弱，发现各种攻击威胁与异常时，威胁调查分析及可视化能力，对威胁相关的影响范围、攻击路径、目的和手段进行快速判别的能力需要进一步发展的问题。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

技术特征：

1.一种网络空间安全态势感知检测分析系统，包括防御系统(1)、检测分析系统(2)、数据采集模块(3)和输出模块(4)，其特征在于：所述检测分析系统(2)包括存储模块(5)、预警模块(6)、系统数据设定模块(7)、中央处理器(8)、数据分析模块(9)、显示模块(10)和微处理器(11)；

所述存储模块(5)和防御系统(1)的输入端均与数据采集模块(3)的输出端电连接，所述存储模块(5)的输出端与预警模块(6)的输入端电连接，所述预警模块(6)和系统数据设定模块(7)的输出端均与中央处理器(8)的输入端电连接，所述数据分析模块(9)和防御系统(1)的输入端均与中央处理器(8)的输出端电连接，所述显示模块(10)和微处理器(11)的输入端均与数据分析模块(9)的输出端电连接，所述微处理器(11)的输出端与显示模块(10)的输入端电连接，所述微处理器(11)与防御系统(1)双向电连接，所述微处理器(11)的输出端与输出模块(4)的输入端电连接；

所述防御系统(1)包括防御模块一(12)和防御模块二(13)，所述防御模块一(12)和防御模块二(13)双向电连接；

所述显示模块(10)包括可视化单元(14)、图像单元(15)、表格单元(16)和柱状图单元(17)，所述图像单元(15)、表格单元(16)和柱状图单元(17)的输入端均与可视化单元(14)的输出端电连接；

所述数据分析模块(9)包括数据计算单元(18)、数据转换单元(19)和分类存储单元(20)，所述数据转换单元(19)的输入端和输出端分别和数据计算单元(18)的输出端和分类存储单元(20)的输入端电连接；

所述系统数据设定模块(7)包括信息存储单元(21)、信息分类单元(22)和信息输出单元(23)，所述信息分类单元(22)的输入端和输出端分别和信息存储单元(21)的输出端和信息输出单元(23)的输入端电连接。

一种网络空间安全态势感知检测分析方法，包括如下步骤：

s1、访问信息访问网络空间，数据采集模块(3)基于采用分布式架构获取安全态势数据，数据采集模块(3)传送信息到防御系统(1)后启动防御系统(1)；

s2、防御系统(1)内的防御模块一(12)在无法判别访问信息是否安全情况下首先通过以防火墙为中心的安全方案配置，将安全程序配置在防火墙上，实现数据库的访问行为控制、危险操作阻断和可疑行为审计功能，维护系统内重要信息安全；

s3、数据采集模块(3)采集数据后送达存储模块(5)以及预警模块(6)，将预警模块(6)传送的访问信息与系统数据设定模块(7)的设定信息通过中央处理器(8)处理进行对比，判断与设定信息是否吻合；

s4、若访问信息安全，中央处理器(8)传送信息到防御系统(1)，解除防御模块一(12)的拦截命令，中央处理器(8)将该访问信息通过数据分析模块(9)、显示模块(10)和微处理器(11)传到输出模块(4)内；

s5、若访问信息危险，中央处理器(8)通过数据分析模块(9)的数据计算单元(18)、数据转换单元(19)和分类存储单元(20)将数据按照属性依次分类存储，通过微处理器(11)传送信息到防御系统(1)，防御模块二(13)执行拦截命令；

s6、防御系统(1)反馈微处理器(11)将该访问信息通过显示模块(10)显示防御结果，并通过图像单元(15)、表格单元(16)或柱状图单元(17)展现出来。

2.根据权利要求1所述的一种网络空间安全态势感知检测分析系统及方法，其特征在于：所述输出模块(4)为网络空间的输入端。

3.根据权利要求1所述的一种网络空间安全态势感知检测分析系统及方法，其特征在于：所述系统数据设定模块(7)为计算机。

4.根据权利要求1所述的一种网络空间安全态势感知检测分析系统及方法，其特征在于：在步骤s2中，安全程序为口令、加密和身份认证。

5.根据权利要求1所述的一种网络空间安全态势感知检测分析系统及方法，其特征在于：所述中央处理器(8)为amd486dx，所述微处理器(11)为amd5x86。

技术总结

本发明公开了一种网络空间安全态势感知检测分析系统及方法，涉及网络检测领域，该网络空间安全态势感知检测分析系统及方法，包括防御系统、检测分析系统、数据采集模块和输出模块，所述检测分析系统包括存储模块、预警模块、系统数据设定模块、中央处理器、数据分析模块、显示模块和微处理器。本发明通过设置防御系统、数据分析模块、显示模块、可视化单元和数据计算单元，解决了现有的网络空间安全态势感知检测分析系统具备的网络空间安全持续监控能力较弱，发现各种攻击威胁与异常时，威胁调查分析及可视化能力，对威胁相关的影响范围、攻击路径、目的和手段进行快速判别的能力需要进一步发展的问题。

技术研发人员：蔡昭权;蔡映雪;陈军;黄思博;罗许练;罗伟;李慧

受保护的技术使用者：惠州学院

技术研发日：.11.18

技术公布日：.02.28