一種網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)及檢測(cè)方法與流程

文檔序號(hào)：11156541閱讀：1867來(lái)源：國(guó)知局

導(dǎo)航： X技術(shù)> 最新專利>電子通信裝置的制造及其應(yīng)用技術(shù)

一種網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)及檢測(cè)方法與制造工藝

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其是涉及一種網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)及檢測(cè)方法。

背景技術(shù)：

隨著現(xiàn)代網(wǎng)絡(luò)尤其是互聯(lián)網(wǎng)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)已成為人們生活和工作的一部分。與此同時(shí)，來(lái)自各個(gè)層面的網(wǎng)絡(luò)威脅也與日俱增，層出不窮。如何發(fā)現(xiàn)和檢測(cè)網(wǎng)絡(luò)威脅保障網(wǎng)絡(luò)安全擺在每個(gè)網(wǎng)絡(luò)用戶尤其是網(wǎng)絡(luò)運(yùn)維人員的面前。

目前，針對(duì)發(fā)現(xiàn)和檢測(cè)網(wǎng)絡(luò)威脅，一種是：被動(dòng)式監(jiān)測(cè)，主要是IDS、IPS及防火墻。IDS、IPS及防火墻主要是對(duì)流量進(jìn)行被動(dòng)的檢測(cè)，產(chǎn)生海量的信息，并且存在較多的誤報(bào)，另外系統(tǒng)提供的安全威脅問(wèn)題運(yùn)維人員無(wú)法準(zhǔn)確定位或還原，導(dǎo)致網(wǎng)絡(luò)運(yùn)維人員要花極大的精力來(lái)維護(hù)網(wǎng)絡(luò)安全威脅。

另一種是：主動(dòng)掃描技術(shù)，主要是各種網(wǎng)絡(luò)漏洞掃描器，通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的網(wǎng)絡(luò)威脅。但是，主動(dòng)掃描技術(shù)對(duì)當(dāng)前的網(wǎng)絡(luò)威脅狀態(tài)無(wú)法及時(shí)感知，不能第一時(shí)間發(fā)現(xiàn)當(dāng)前環(huán)境下的網(wǎng)絡(luò)安全威脅。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的就是為了克服上述現(xiàn)有技術(shù)存在的缺陷而提供一種網(wǎng)絡(luò)威脅檢出率高、誤報(bào)率低的網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)及檢測(cè)方法。

本發(fā)明的一個(gè)目的可以通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)：

一種網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)，包括：

網(wǎng)絡(luò)數(shù)據(jù)獲取模塊，用于實(shí)時(shí)采集在互聯(lián)網(wǎng)或局域網(wǎng)上所有的網(wǎng)絡(luò)流量數(shù)據(jù)；

特征提取模塊，用于獲取所述網(wǎng)絡(luò)流量數(shù)據(jù)的特征信息；

流量分析模塊，用于調(diào)用流量分析特征庫(kù)，根據(jù)所述特征信息對(duì)所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行特征匹配，獲得可疑網(wǎng)絡(luò)威脅事件，存儲(chǔ)于可疑網(wǎng)絡(luò)威脅事件庫(kù)中；

網(wǎng)絡(luò)威脅確認(rèn)模塊，用于調(diào)用深度分析知識(shí)庫(kù)中的檢測(cè)規(guī)則構(gòu)成測(cè)試語(yǔ)句，利用測(cè)試語(yǔ)句對(duì)所述可疑網(wǎng)絡(luò)威脅事件進(jìn)行深度檢測(cè)，獲得確實(shí)存在網(wǎng)絡(luò)威脅的真實(shí)網(wǎng)絡(luò)威脅事件，存儲(chǔ)于真實(shí)網(wǎng)絡(luò)威脅事件庫(kù)中，所述深度分析知識(shí)庫(kù)存儲(chǔ)多種帶有相應(yīng)檢測(cè)規(guī)則的威脅模型；

威脅態(tài)勢(shì)生成模塊，用于調(diào)用關(guān)聯(lián)分析模型庫(kù)對(duì)所述可疑網(wǎng)絡(luò)威脅事件和真實(shí)網(wǎng)絡(luò)威脅事件進(jìn)行大數(shù)據(jù)分析及數(shù)據(jù)挖掘，得出多個(gè)真實(shí)網(wǎng)絡(luò)威脅事件的關(guān)聯(lián)關(guān)系或者某個(gè)真實(shí)網(wǎng)絡(luò)威脅事件的發(fā)生頻率，形成威脅態(tài)勢(shì)。

所述網(wǎng)絡(luò)流量數(shù)據(jù)包括網(wǎng)絡(luò)設(shè)備、終端或服務(wù)器等設(shè)備上的網(wǎng)絡(luò)數(shù)據(jù)，所述網(wǎng)絡(luò)設(shè)備包括路由器、網(wǎng)關(guān)和分光器等，所述網(wǎng)絡(luò)數(shù)據(jù)獲取模塊采用鏡像方式獲取網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)數(shù)據(jù)包。

所述特征信息包括網(wǎng)絡(luò)流量數(shù)據(jù)的五元組和數(shù)據(jù)載荷，所述五元組包括源IP地址、源端口、目標(biāo)IP地址、目標(biāo)端口和傳輸層協(xié)議。

所述網(wǎng)絡(luò)數(shù)據(jù)獲取模塊部署于IDC機(jī)房、云計(jì)算數(shù)據(jù)中心、網(wǎng)絡(luò)運(yùn)營(yíng)商出口或局域網(wǎng)等環(huán)境。

該系統(tǒng)還包括：

展示模塊，用于將所述威脅態(tài)勢(shì)進(jìn)行web展示。

本發(fā)明的另一個(gè)目的可以通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)：

一種網(wǎng)絡(luò)威脅檢測(cè)方法，包括以下步驟：

1)實(shí)時(shí)采集在互聯(lián)網(wǎng)或局域網(wǎng)上所有的網(wǎng)絡(luò)流量數(shù)據(jù)；

2)獲取所述網(wǎng)絡(luò)流量數(shù)據(jù)的特征信息；

3)調(diào)用流量分析特征庫(kù)，根據(jù)所述特征信息對(duì)所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行特征匹配，獲得可疑網(wǎng)絡(luò)威脅事件，存儲(chǔ)于可疑網(wǎng)絡(luò)威脅事件庫(kù)中；

4)調(diào)用深度分析知識(shí)庫(kù)中的檢測(cè)規(guī)則構(gòu)成測(cè)試語(yǔ)句，利用測(cè)試語(yǔ)句對(duì)所述可疑網(wǎng)絡(luò)威脅事件進(jìn)行深度檢測(cè)，獲得確實(shí)存在網(wǎng)絡(luò)威脅的真實(shí)網(wǎng)絡(luò)威脅事件，存儲(chǔ)于真實(shí)網(wǎng)絡(luò)威脅事件庫(kù)中，所述深度分析知識(shí)庫(kù)存儲(chǔ)多種帶有相應(yīng)檢測(cè)規(guī)則的威脅模型；

5)調(diào)用關(guān)聯(lián)分析模型庫(kù)對(duì)所述可疑網(wǎng)絡(luò)威脅事件和真實(shí)網(wǎng)絡(luò)威脅事件進(jìn)行大數(shù)據(jù)分析及數(shù)據(jù)挖掘，得出多個(gè)真實(shí)網(wǎng)絡(luò)威脅事件的關(guān)聯(lián)關(guān)系或者某個(gè)真實(shí)網(wǎng)絡(luò)威脅事件的發(fā)生頻率，形成威脅態(tài)勢(shì)。

進(jìn)行所述特征匹配時(shí)，將實(shí)時(shí)采集的網(wǎng)絡(luò)流量數(shù)據(jù)分發(fā)到多個(gè)處理器同時(shí)處理，且在同一個(gè)處理器內(nèi)，利用多進(jìn)程多線程技術(shù)進(jìn)行數(shù)據(jù)處理。

該方法還包括：

將所述威脅態(tài)勢(shì)進(jìn)行web展示。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果：

(1)本發(fā)明通過(guò)多級(jí)分析引擎來(lái)進(jìn)行網(wǎng)絡(luò)安全威脅檢測(cè)，合并壓縮大量的海量信息并采用被動(dòng)檢測(cè)、主動(dòng)檢測(cè)-驗(yàn)證相結(jié)合來(lái)極大的提高網(wǎng)絡(luò)威脅的檢出率和降低誤報(bào)率。

(2)本發(fā)明具有web展示功能，把網(wǎng)絡(luò)威脅的切入點(diǎn)十分清晰的提供給運(yùn)維人員，，便于管理人員對(duì)網(wǎng)絡(luò)的威脅態(tài)勢(shì)進(jìn)行及時(shí)感知及維護(hù)網(wǎng)絡(luò)的安全性。

(3)本發(fā)明依次利用流量分析特征庫(kù)、深度分析知識(shí)庫(kù)和關(guān)聯(lián)分析模型庫(kù)進(jìn)行流量分析、深度檢測(cè)和關(guān)聯(lián)分析，流量分析特征庫(kù)包含大量的規(guī)則特征，深度分析知識(shí)庫(kù)包含多種威脅模型，關(guān)聯(lián)分析模型庫(kù)包含多種網(wǎng)絡(luò)威脅的關(guān)聯(lián)分析模型，分析速度快，精度高。

(4)本發(fā)明檢測(cè)系統(tǒng)功能模塊高內(nèi)聚，模塊間松耦合，系統(tǒng)可擴(kuò)展性強(qiáng)，利用響應(yīng)式交換頁(yè)面，用戶交互良好，具有良好的人性化設(shè)計(jì)。

(5)本發(fā)明網(wǎng)絡(luò)數(shù)據(jù)獲取模塊可以部署到大型IDC機(jī)房、云計(jì)算數(shù)據(jù)中心、網(wǎng)絡(luò)運(yùn)營(yíng)商出口等，也可以處于大的局域網(wǎng)中，為威脅檢測(cè)提供充足的數(shù)據(jù)流量，有利于提高檢測(cè)準(zhǔn)確度。

(6)本發(fā)明利用并行計(jì)算技術(shù)，將大規(guī)模網(wǎng)絡(luò)實(shí)時(shí)流量分發(fā)到多個(gè)處理器同時(shí)進(jìn)行處理，在同一個(gè)處理器內(nèi)，利用多進(jìn)程多線程技術(shù)，對(duì)報(bào)文抓取、協(xié)議解析、數(shù)據(jù)存儲(chǔ)等進(jìn)行高效處理。

附圖說(shuō)明

圖1為本發(fā)明檢測(cè)方法的流程示意圖；

圖2為本發(fā)明檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖；

圖3為本發(fā)明實(shí)施例中JBoss威脅分析的流程示意圖。

具體實(shí)施方式

下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。本實(shí)施例以本發(fā)明技術(shù)方案為前提進(jìn)行實(shí)施，給出了詳細(xì)的實(shí)施方式和具體的操作過(guò)程，但本發(fā)明的保護(hù)范圍不限于下述的實(shí)施例。

如圖1所示，本實(shí)施例提供一種網(wǎng)絡(luò)威脅檢測(cè)方法，包括：

步驟101：實(shí)時(shí)采集在互聯(lián)網(wǎng)或局域網(wǎng)上所有的網(wǎng)絡(luò)流量數(shù)據(jù)。

該步驟中，支持多節(jié)點(diǎn)部署、100Gb以上聚合流量實(shí)時(shí)采集，可以實(shí)時(shí)采集在互聯(lián)網(wǎng)或局域網(wǎng)上所有的網(wǎng)絡(luò)流量數(shù)據(jù)，檢測(cè)系統(tǒng)或者檢測(cè)系統(tǒng)中的分析服務(wù)器可以捕獲網(wǎng)絡(luò)設(shè)備(比如路由器、網(wǎng)關(guān)或分光器等)上的網(wǎng)絡(luò)數(shù)據(jù)，但并不限于此，也可以是終端、服務(wù)器上的網(wǎng)絡(luò)數(shù)據(jù)等，或者采用鏡像的方式，從網(wǎng)絡(luò)設(shè)備(比如路由器，網(wǎng)關(guān)等)處獲取網(wǎng)絡(luò)數(shù)據(jù)包。

步驟102：獲取所述網(wǎng)絡(luò)流量數(shù)據(jù)中的五元組及數(shù)據(jù)載荷等，并對(duì)其中的惡意流量進(jìn)行分析。

五元組包括源IP地址、源端口、目標(biāo)IP地址、目標(biāo)端口和傳輸層協(xié)議。其中，源IP地址，可能是攻擊者的IP地址，也可能是被攻擊者的IP地址。源端口是源IP地址對(duì)應(yīng)的端口。目標(biāo)IP地址可能是被攻擊者的IP地址，也可能是攻擊者的IP地址。目標(biāo)端口是目標(biāo)IP地址對(duì)應(yīng)的端口。傳輸層協(xié)議可能是TCP協(xié)議或UDP協(xié)議，其中TCP協(xié)議包含F(xiàn)TP、HTTP、POP3、TELNET等協(xié)議。數(shù)據(jù)載荷主要包含載荷數(shù)據(jù)及URL等信息，其中URL在FTP、HTTP等協(xié)議下才有，URL可能是惡意URL，也可能是正常URL，載荷數(shù)據(jù)也就是人們常說(shuō)的payload data，即有效載荷數(shù)據(jù)，記載著信息的那部分?jǐn)?shù)據(jù)。

對(duì)惡意流量進(jìn)行分析具體是：調(diào)用流量分析特征庫(kù)，根據(jù)五元組及數(shù)據(jù)載荷對(duì)所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行特征匹配，獲得可疑網(wǎng)絡(luò)威脅事件，存儲(chǔ)于可疑網(wǎng)絡(luò)威脅事件庫(kù)中。

步驟103：對(duì)可疑網(wǎng)絡(luò)威脅事件，通過(guò)深度分析知識(shí)庫(kù)中的檢測(cè)規(guī)則構(gòu)成測(cè)試語(yǔ)句，利用測(cè)試語(yǔ)句來(lái)確認(rèn)網(wǎng)絡(luò)威脅是否真實(shí)存在，將發(fā)現(xiàn)的網(wǎng)絡(luò)威脅事件存儲(chǔ)到真實(shí)網(wǎng)絡(luò)威脅事件庫(kù)中。深度檢測(cè)過(guò)程中，對(duì)識(shí)別出的某個(gè)可疑事件會(huì)進(jìn)行多個(gè)測(cè)試語(yǔ)句來(lái)進(jìn)行主動(dòng)檢測(cè)驗(yàn)證是否確實(shí)存在網(wǎng)絡(luò)威脅。

步驟104：對(duì)可疑網(wǎng)絡(luò)威脅事件及真實(shí)網(wǎng)絡(luò)威脅事件進(jìn)行大數(shù)據(jù)分析及數(shù)據(jù)挖掘，得出多個(gè)事件的關(guān)聯(lián)關(guān)系或者某個(gè)事件的發(fā)生頻率，形成威脅態(tài)勢(shì)。

本發(fā)明中，依據(jù)對(duì)監(jiān)測(cè)的網(wǎng)絡(luò)流量進(jìn)行威脅檢測(cè)，找出五元組(源IP地址，源端口，目標(biāo)IP地址，目標(biāo)端口和傳輸層協(xié)議)及數(shù)據(jù)載荷等，對(duì)上述五元組及數(shù)據(jù)載荷進(jìn)行流量分析發(fā)現(xiàn)可疑的網(wǎng)絡(luò)威脅，形成可疑網(wǎng)絡(luò)威脅事件，然后對(duì)可疑網(wǎng)絡(luò)威脅事件進(jìn)行深度分析對(duì)網(wǎng)絡(luò)威脅進(jìn)行確認(rèn)，形成網(wǎng)絡(luò)威脅事件，最后對(duì)可疑網(wǎng)絡(luò)威脅事件及網(wǎng)絡(luò)威脅事件進(jìn)行大數(shù)據(jù)分析及數(shù)據(jù)挖掘，得出多個(gè)事件的關(guān)聯(lián)關(guān)系或者某個(gè)事件的發(fā)生頻率，形成威脅態(tài)勢(shì)。本方法還可對(duì)所形成的威脅態(tài)勢(shì)進(jìn)行web展示。

通過(guò)對(duì)當(dāng)前網(wǎng)絡(luò)的持續(xù)檢測(cè)，發(fā)現(xiàn)當(dāng)下的實(shí)時(shí)網(wǎng)絡(luò)威脅，從而形成網(wǎng)絡(luò)威脅的整體安全態(tài)勢(shì)，為網(wǎng)絡(luò)維護(hù)人員和網(wǎng)絡(luò)用戶提供參考及幫助。

基于上述方法的實(shí)現(xiàn)過(guò)程，本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)威脅的監(jiān)測(cè)系統(tǒng)，其框架流程示意圖詳見(jiàn)圖2所示。該檢測(cè)系統(tǒng)包括第一級(jí)引擎201、第二級(jí)引擎202和第三級(jí)引擎203。

第一級(jí)引擎201主要進(jìn)行流量分析，獲取可疑網(wǎng)絡(luò)威脅事件。第一級(jí)引擎201包括網(wǎng)絡(luò)數(shù)據(jù)獲取模塊204、特征提取模塊205、流量分析特征庫(kù)206、流量分析模塊207和可疑網(wǎng)絡(luò)威脅事件庫(kù)208。網(wǎng)絡(luò)數(shù)據(jù)獲取模塊204具體是獲取大流量環(huán)境下(單點(diǎn)檢測(cè)流量可達(dá)100G以上)鏡像網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)、分光器等)上的網(wǎng)絡(luò)實(shí)時(shí)流量。特征提取模塊205用于獲取網(wǎng)絡(luò)流量數(shù)據(jù)的特征信息，包括網(wǎng)絡(luò)流量數(shù)據(jù)的五元組和數(shù)據(jù)載荷等。流量分析模塊207調(diào)用流量分析特征庫(kù)206，根據(jù)所述特征信息對(duì)所述網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行特征匹配，獲得可疑網(wǎng)絡(luò)威脅事件，存儲(chǔ)于可疑網(wǎng)絡(luò)威脅事件庫(kù)208中。

流量分析模塊207解析TCP/UDP報(bào)文信息，保留流量分析系統(tǒng)分析后的報(bào)文，然后解析出TCP/UDP報(bào)文信息。TCP報(bào)首解析遵循RFC793，UDP報(bào)首解析遵循RFC768，HTTP報(bào)首解析遵守RFC2068。流量分析模塊207的運(yùn)行環(huán)境為CentOS 6.4及以上版本。

由于大流量環(huán)境，導(dǎo)致對(duì)系統(tǒng)的并發(fā)性要求比較高，能并行處理大流量下的大量數(shù)據(jù)。利用并行計(jì)算技術(shù)，將大規(guī)模網(wǎng)絡(luò)實(shí)時(shí)流量分發(fā)到多個(gè)處理器同時(shí)進(jìn)行處理，在同一個(gè)處理器內(nèi)，利用多進(jìn)程多線程技術(shù)，對(duì)報(bào)文抓取、協(xié)議解析、數(shù)據(jù)存儲(chǔ)等進(jìn)行高效處理。

流量分析特征庫(kù)206包含了大量的規(guī)則特征，一條規(guī)則里面包含了惡意流量的各種特征，可能是一個(gè)特征，也可能是多個(gè)特征。

可疑網(wǎng)絡(luò)威脅事件庫(kù)208可以全部采用關(guān)系型數(shù)據(jù)庫(kù)，也可以采用NoSql數(shù)據(jù)庫(kù)。

為了采集到大流量下的數(shù)據(jù)，上述第一級(jí)引擎201可以部署到大型IDC機(jī)房、云計(jì)算數(shù)據(jù)中心、網(wǎng)絡(luò)運(yùn)營(yíng)商出口等，為威脅檢測(cè)提供充足的數(shù)據(jù)流量，也可以處于大的局域網(wǎng)中。

第二級(jí)引擎202主要進(jìn)行威脅檢測(cè)和驗(yàn)證分析，驗(yàn)證威脅是否真實(shí)存在。第二級(jí)引擎202包括網(wǎng)絡(luò)威脅確認(rèn)模塊210、深度分析知識(shí)庫(kù)209和真實(shí)網(wǎng)絡(luò)威脅事件庫(kù)211。

網(wǎng)絡(luò)威脅確認(rèn)模塊210對(duì)可疑網(wǎng)絡(luò)威脅事件，通過(guò)深度分析知識(shí)庫(kù)209中的檢測(cè)規(guī)則構(gòu)成測(cè)試語(yǔ)句，利用測(cè)試語(yǔ)句來(lái)確認(rèn)網(wǎng)絡(luò)威脅是否真實(shí)存在，將形成的網(wǎng)絡(luò)威脅事件存儲(chǔ)到真實(shí)網(wǎng)絡(luò)威脅事件庫(kù)211；網(wǎng)絡(luò)威脅確認(rèn)模塊210采用深度檢測(cè)，對(duì)識(shí)別出的某個(gè)可疑事件會(huì)進(jìn)行多個(gè)測(cè)試語(yǔ)句來(lái)進(jìn)行主動(dòng)檢測(cè)驗(yàn)證是否確實(shí)存在網(wǎng)絡(luò)威脅。

深度分析知識(shí)庫(kù)209包含了多種威脅模型，每種模型包含1條或多條模型相關(guān)的威脅驗(yàn)證知識(shí)，威脅驗(yàn)證知識(shí)是安全人員經(jīng)過(guò)大量的安全研究工作得到的研究成果，它可以極大的提高威脅的檢出率和降低威脅的誤報(bào)率。

真實(shí)網(wǎng)絡(luò)威脅事件庫(kù)211可以全部采用關(guān)系型數(shù)據(jù)庫(kù)，也可以采用NoSql數(shù)據(jù)庫(kù)。

第三級(jí)引擎203主要對(duì)可疑網(wǎng)絡(luò)威脅事件及深度分析的真實(shí)網(wǎng)絡(luò)威脅事件進(jìn)行數(shù)據(jù)挖掘和統(tǒng)計(jì)，得出多個(gè)威脅事件的關(guān)聯(lián)關(guān)系或者某個(gè)事件的發(fā)生頻率。第三級(jí)引擎203包括威脅態(tài)勢(shì)生成模塊212、關(guān)聯(lián)分析模型庫(kù)213和威脅態(tài)勢(shì)數(shù)據(jù)庫(kù)214。

其中威脅態(tài)勢(shì)生成模塊212會(huì)利用關(guān)聯(lián)分析模型庫(kù)213及多種數(shù)據(jù)分析方法，對(duì)可疑網(wǎng)絡(luò)威脅事件及深度分析的真實(shí)網(wǎng)絡(luò)威脅事件進(jìn)行數(shù)據(jù)挖掘和分析統(tǒng)計(jì)，得出多個(gè)威脅事件的關(guān)聯(lián)關(guān)系或者某個(gè)事件的發(fā)生頻率，存儲(chǔ)于威脅態(tài)勢(shì)數(shù)據(jù)庫(kù)214中。

關(guān)聯(lián)分析模型庫(kù)213包含多種網(wǎng)絡(luò)威脅的關(guān)聯(lián)分析模型，包括但不限于僵尸網(wǎng)絡(luò)的關(guān)聯(lián)分析模型、常見(jiàn)Web應(yīng)用(比如JBoss)的關(guān)聯(lián)分析模型、網(wǎng)站后門與網(wǎng)頁(yè)篡改的關(guān)聯(lián)模型等。

威脅態(tài)勢(shì)數(shù)據(jù)庫(kù)214可以全部采用關(guān)系型數(shù)據(jù)庫(kù)，也可以采用NoSql數(shù)據(jù)庫(kù)。

本發(fā)明的另一實(shí)施例中，網(wǎng)絡(luò)威脅的監(jiān)測(cè)系統(tǒng)還包括展示模塊215，用于將所述威脅態(tài)勢(shì)進(jìn)行web展示。web展示為網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)的Web部分，讀取網(wǎng)絡(luò)威脅歷史事件數(shù)據(jù)或關(guān)聯(lián)事件并顯示在WEB界面中。該Web系統(tǒng)采用多層設(shè)計(jì)(表示層、業(yè)務(wù)層、數(shù)據(jù)層等)，功能模塊高內(nèi)聚，模塊間松耦合，系統(tǒng)可擴(kuò)展性強(qiáng)，利用響應(yīng)式交換頁(yè)面，用戶交互良好，具有良好的人性化設(shè)計(jì)；對(duì)關(guān)聯(lián)分析系統(tǒng)的可視化提供Web展示，便于管理人員對(duì)網(wǎng)絡(luò)的威脅態(tài)勢(shì)進(jìn)行及時(shí)感知及維護(hù)網(wǎng)絡(luò)的安全性。

本發(fā)明以一種以JBoss威脅分析為例，如圖3所示，通過(guò)JBoss威脅來(lái)闡釋本實(shí)例所述技術(shù)方案：在一個(gè)JBoss的網(wǎng)站應(yīng)用中，可能存在多個(gè)網(wǎng)絡(luò)威脅。

步驟301：獲取JBoss的應(yīng)用數(shù)據(jù)；

網(wǎng)絡(luò)數(shù)據(jù)利用流量分析系統(tǒng)分析里面包含JBoss的應(yīng)用數(shù)據(jù)，假設(shè)獲取到該URL為http://192.168.1.1/jboss.jsp，其中192.168.1.1可以是IP，也可以是域名。

步驟302：/jmx-console/是否存在問(wèn)題；