一种检测网络危害源头的方法与系统的制作方法
【专利摘要】本发明公开了一种检测网络危害源头的方法与系统,特别是基于数据融合的网络危害源头检测方法与系统,应用于对日常访问网站的安全性检测,其特征在于,包括:系统信息采集模块,包含数据包抓取、链接分析模块;系统行为分析模块,包含网页木马分析与恶意代码检测、可疑网站检测模块;系统行为结果处理模块,包含深入行为规则、测评数据挖掘融合等;数据容灾模块,包含本地备份控制、异地备份控制;专家系统模块。本发明公开了一种检测网络危害源头的方法与系统,能快速、准确地发现危险状态与危害方式,向用户发出报警、以便做进一步的处理,特别地可以通过层层解析发现危害源头。
【专利说明】一种检测网络危害源头的方法与系统
【技术领域】
[0001]本发明涉及一种检测网络危害源头的方法与系统,特别是基于数据融合方法的网络危害源头的检测方法与系统。是网络安全建设的重要组成部分,是完成网络安全警报与平稳运行的前提与基础。
技术背景
[0002]当前网络安全领域存在着复杂多变的网页木马、恶意代码入侵等,严重危害了互联网的安全。对此,传统的网络危害检测方法不能做到快速、准确的检测,以及识别危害的源头,并且面向收集的各类危害数据无法快速地构建出完美的检测模型。
【发明内容】
[0003]鉴于上述现有技术的缺点,本发明公开了一种利用数据融合方法检测网络危害源头的方法与系统,方法能够快速、准确地发现危险状态与危害方式,向用户发出警告、并协助用户做相应的处理,特别地可以通过层层解析发现危害源头。
[0004]本发明公开的一种利用数据融合方法检测网络危害源头的方法与系统,其特征在于,包括:系统信息采集模块,包含数据包抓取、链接分析模块;系统行为分析模块,包含网页木马分析与恶意代码检测、可疑网站检测模块;系统行为结果处理模块,包含深入行为规贝1J、测评数据挖掘融合等;数据容灾模块,包含本地备份控制、异地备份控制;专家系统模块。
[0005]系统信息采集模块通过深度优先搜索算法(DFS),实现自动地连续分析链接与抓取文件,实现信息全方位、多层次、无遗漏的采集;通过将网卡设置成监听模式来监控、抓取网络上的数据分组。
[0006]系统行为分析模块可以并行地处理网页木马分析、恶意代码检测模块以及可疑网站检测模块,其中:网页木马分析与恶意代码检测模块,包含数据包截取模块、数据包解析与预处理模块、启发式监测模块以及可疑分析模块,其特征在于:将截取的数据包进行数据包解析与预处理,首先将数据包按功能、流量分类,拆卸成帧、并记录其源地址、目的地址、端口信息,然后进行启发式扫描检测,若与融合规则库中的专家规则匹配度较高,则可能是可疑代码或木马,经过可疑分析模块与专家系统的分析判断后,进行行为结果的处理。
[0007]优选地,特征库数据中心的数据更新可以通过对可疑分析模块析取后的数据进行模式挖掘,再进一步经过专家系统的分析总结后,把有价值的模式与原先存在的规则进行融合并进行更新操作。
[0008]可疑网站检测模块,包括:危害网页监测模块,包含网络爬虫模块、网站资料库;行为结果分析模块,包含融合规则库的匹配、危害网站的推荐、危害规则的深入挖掘模块,其特征在于:经由网络爬虫模块抓取网页资源形成的网站资料库,利用AC字符串匹配算法与融合规则库中的规则特征进行匹配,计算匹配度,若匹配度比较高,将该网站添加到危害网站推荐模块,经由专家系统模块分析判定后,将危害网站添加到危害网站库,进行后续的危害规则的深入挖掘与行为结果处理。
[0009]优选地,所述规则特征可以通过深入挖掘模块根据经由专家系统模块分析判定的网站库,进行深入地模式挖掘,利用分类与预测的方法,发现隐含的关系和模式,添加到规则库中,与原有的规则库进行融合。
[0010]更优选地,所述规则库匹配方法采用的是基于Aho-Corasick字符串匹配算法,该算法有扫描文本时完全不需要回溯的特点,且时间复杂度仅为0(n),时间复杂度与关键字数目、长度均无关。
[0011]系统行为结果处理模块,包括问题网站的处理,包含向用户发出预警,并向网络警察申报备案,提供完整的产业链服务;完善检测模块,根据检测结果与态势分析,以自学习的方式完善检测模块之功能;测评数据与所挖掘的行为规则之融合,根据已发现的危害网站的态势分析与现阶段的理论研究进行深入的规则挖掘并与已有规则融合,进一步完善行为、特征规则库。
[0012]数据容灾模块,其特征在于本地控制系统周期性地将数据发送到异地控制中心进行备份,并接收成功返回信号,当异地控制中心很长时间未接受到备份数据时,向本地控制中心作一次询问,若无问题发生,本地控制中心则返回一个应答;若超过预先定义的阈值时间未接收到应答,则自动将用户服务请求接管过来,并继续等待本地控制中心的安全应答,并保存工作日志。
[0013]优选地,数据容灾模块采用分布式文件系统(HDFS)双节点热备切换的方式,HDFS采用主从结构模式,由一对NameNode管理节点和若干个DataNode组成,数据中心通过活跃节点与备份节点的相互切换,解决数据中心的瘫痪问题。
[0014]如上所述,本发明的基于数据融合方法的网络危害源头的检测方法与系统,具有以下有益效果:用户浏览网页时可以启发式的监控网站和连接是否为有危害性质的网站,当网页被认定为不合法网页或者为挂马网页、嵌套恶意代码的网页时,系统将向用户发出警告,并对有潜在威胁的网页进行深入解析,并挖掘出潜在变异的行为规则、且融合进规则库中,并将该网站涉及到的危险产业链提交给网络警察,追溯并卡断危害源头,由于系统采用模块化设计,系统可以并行地进行网络数据分组解析、以及有危害网站认定的双重任务处理,杜绝系统的误报与漏报,比传统的监控系统更快、更稳定。
[0015]优选地,所述系统的融合规则库,是通过DS(Dempster-Shafter)证据理论融合方法,将典型行为规则、特征规则、运行模式、活动态势等数据融合而成的融合规则库,并设置了相应的规则权重。
[0016]更优选地,可以将网站资料库、融合规则库、危害网站库与专家系统进行关联融合形成危害融合数据中心,实现高效智能化地对数据进行查询与分析,可以完成对危害网站的完整产业链的追踪、以及各类威胁的态势分析。
【专利附图】
【附图说明】
[0017]图1显示为基于数据融合方法的网络危害源头的检测方法与系统的系统框图;
[0018]图2显示为网页木马分析与恶意代码检测模块执行功能框图;
[0019]图3显示为可疑网站检测模块的执行功能框图;
[0020]图4显示为数据容灾模块执行功能图。【具体实施方式】
[0021]以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效,本发明还可以通过另外不同的【具体实施方式】加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
[0022]请参阅附图,需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。 [0023]本发明的基于数据融合方法的网络危害源头的检测方法与系统,适用于具有网络安全需求和网络安全监控的各类应用场所,一般地,系统架构在具有管理职能的计算机、月艮务器群上,实现网络内的集中管控与监测。
[0024]下面参阅图1,图1显示为基于数据融合方法的网络危害源头的检测方法与系统的系统框图,其中:
[0025]步骤SI表示系统信息采集模块进行测评信息的原始采集,通过深度优先搜索算法(DFS),实现自动地连续分析链接与抓取文件,实现信息全方位、多层次、无遗漏的采集;通过将网卡设置成监听模式来监控、抓取网络上的数据分组;
[0026]步骤S2表示系统行为分析模块并行的接受来自系统信息采集模块的URL与网络数据分组,并作出处理;
[0027]网页木马分析与恶意代码检测模块,其特征在于:
[0028]I)数据包截取模块将截取的数据包进行数据包解析与预处理,首先将数据包按功能、流量分类,拆卸成帧、并记录其源地址、目的地址、端口信息,然后进行启发式扫描检测;
[0029]2)在启发式检测模块中,根据规则库中预先设置好的权重ki(i为规则数),并求
取评估分数
【权利要求】
1.一种检测网络危害源头的方法与系统,特别是基于数据融合的网络危害源头检测方法与系统,应用于对日常访问网站的安全性检测,其特征在于,包括:系统信息采集模块,包含数据包抓取、链接分析模块;系统行为分析模块,包含网页木马分析与恶意代码检测、可疑网站检测模块;系统行为结果处理模块,包含深入行为规则、测评数据挖掘融合等;数据容灾模块,包含本地备份控制、异地备份控制;专家系统模块。
2.根据权利要求1所述的基于数据融合的网络危害源头检测方法与系统,其特征在于: A.系统信息采集模块通过深度优先搜索算法,件实现信息全方位、多层次、无遗漏的采集; B.系统信息采集模块通过将网卡设置成监听模式来监控、抓取网络上的数据分组。
3.根据权利要求1、2所述的基于数据融合的网络危害源头检测方法与系统,其特征在于: A.所述网页木马分析与恶意代码检测模块,包含数据包截取模块、数据包解析与预处理模块、启发式监测模块以及可疑分析模块; B.所述特征库数据中心的更新可以通过对可疑分析模块得出的数据进行深入模式挖掘,经过专家系统的分析总结后,把有价值的模式与原先存在的规则进行融合并进行更新操作;` C.系统行为分析模块的规则库,是通过DS(Dempster-Shafter)证据理论融合方法,将典型行为规则、特征规则、运行模式、活动态势等数据融合而成的融合规则库,并设置相应的规则权重。
4.根据权利要求1、2、3所述的基于数据融合的网络危害源头检测方法与系统,其特征在于,将截取的数据分组进行数据包的解析与预处理,首先将数据包按功能、流量分类,拆卸成帧、并记录其源地址、目的地址、端口信息,然后进行启发式扫描检测,若与融合规则库中的专家规则匹配度较高,则可能是可疑代码或木马,经过可疑分析模块与专家系统的分析判断后,进行行为结果的处理。
5.根据权利要求1、2所述的基于数据融合的网络危害源头检测方法与系统,其特征在于: A.所述可疑网站检测模块,包括:危害网页监测模块,包含网络爬虫模块;行为结果分析模块,包含融合规则库的匹配、危害网站的推荐、危害规则的深入挖掘模块; B.所述网络爬虫模块可以根据初始URL按照指定的深度和线程数析取网站类型和网页内容,形成网站资料库,通过在线分析和离线分析两种分析方式全方位、多时段的检测,防止危害网页逃脱检测,保证万无一失; C.将网站资料库中的数据利用AC算法与融合规则库中的规则特征进行匹配,若匹配度较高则将该网站添加到危害网站推荐模块,经由专家系统模块分析判定后,将危害网站添加到危害网站库,进行后续的危害规则的深入挖掘与行为结果处理。
6.根据权利要求1、2、3、5所述的基于数据融合的网络危害检测方法与系统,其特征在于: A.所述规则库匹配方法采用的是基于Aho-Corasick的字符串匹配算法,该算法有扫描文本时完全不需要回溯,且时间复杂度为0(n),时间复杂度与关键字数目和长度无关的优点; B.所述危害规则可以通过深入挖掘模块,根据经由专家系统模块分析判定的网站库,进行深入的模式挖掘,利用分类与预测的方法,发现有价值的关系和模式,附加到规则库中,与原有的规则库进行融合并进行更新操作。
7.根据权利要求1所述的基于数据融合的网络危害源头检测方法与系统,其特征在于所述系统行为结果处理模块,包括问题网站的处理,包括向用户提出警报,并向网络警察申报备案,提供完整的产业链;完善检测模块,根据检测结果与态势分析,以自学习的方式完善检测模块之功能;测评数据与所挖掘的行为规则之融合,根据已发现的危害网站的态势分析与现阶段的理论研究进行深入的规则挖掘并与已有规则融合,进一步完善行为、特征规则库。
8.根据权利要求1所述的基于数据融合的网络危害源头检测方法与系统,其特征在于: A.所述数据容灾模块采用分布式文件系统(HDFS)双节点热备切换的方式,HDFS采用主从结构模式,由一对NameNode管理节点和若干个DataNode组成,数据中心通过活跃节点与备份节点的相互切换,解决数据中心的瘫痪问题; B.当本地控制系统的NameNode的活跃节点数据中心发生瘫痪时,可以快速切换到备份节点恢复数据提 取与存储功能,当本地系统完全发生瘫痪时,可以切换到异地控制中心,继续工作,并返回本地错误信息; C.本地控制系统周期性的将数据发送到异地控制中心进行备份,并接收成功返回信号,当异地控制中心很长时间未接受到数据时,向本地控制中心作一次询问,若无问题发生,本地控制中心则返回一个应答;若超过阈值时间异地控制时间未接收到应答,则自动将用户服务请求接管过来,并继续等待本地控制中心的安全应答,保存工作日志。
【文档编号】H04L29/06GK103701769SQ201310547444
【公开日】2014年4月2日 申请日期:2013年11月7日 优先权日:2013年11月7日
【发明者】李志华, 李林 申请人:江南大学