一种针对网络信息的安全分析系统的制作方法

1.本发明涉及数据处理技术领域，具体涉及一种针对网络信息的安全分析系统。


背景技术：

2.现有的网络安全检测中，多数异常检测模型的检测率、误报率和漏报率不够理想，检测率和误报率很难平衡，也就是检测率较高的情况下不能降低误报率。这也是异常检测和入侵检测面临的主要问题。目前大量的商业入侵检测系统仍然主要是基于误用检测的特征匹配，然而异常检测虽然能够捕获误用检测特征编码，但是不能捕获到涵盖攻击的数据，和发现未曾定义的异常情况；而且现有的依靠流量分析对数据包进行过滤的手段只会拦截一些在流量异常下的恶意数据包，而对于一些伪装后的恶意数据包并不能准确的检测出来，从而使得系统遭受到入侵。


技术实现要素：

3.本发明提供一种针对网络信息的安全分析系统，以解决现有的问题。
4.本发明的一种针对网络信息的安全分析系统采用如下技术方案：本发明一个实施例提供了一种针对网络信息的安全分析系统，该系统包括以下模块：数据包采集模块：获取待检测网络信息数据包和恶意数据包样本库，所述恶意数据包样本库由若干个历史网络信息数据包组成；数据包特征量化模块：解析待检测网络信息数据包获得待检测网络信息数据包若干个个体特征；通过对待检测网络信息数据包若干个个体特征进行量化得到待检测网络信息数据包的每个特征量化值；获取数据包特征权重模块：根据恶意数据包样本库得到历史网络信息数据包每个个体特征异常频率；根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到历史网络信息数据包每个个体特征的权重影响值；根据历史网络信息数据包每个个体特征异常频率和历史网络信息数据包每个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值；获取数据包风险度模块：根据历史网络信息数据包的每个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度；数据包安全划分模块：根据待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分，并对划分后的待检测网络信息数据包进行处理。
5.优选的，所述获取待检测网络信息数据包和恶意数据包样本库，包括的具体步骤如下：利用抓包软件获取待检测网络信息数据包；收集若干个恶意的历史网络信息数据包作为恶意数据包样本库。
6.优选的，所述解析待检测网络信息数据包获得待检测网络信息数据包若干个个体
特征，包括的具体步骤如下：对获取到的待检测网络信息数据包进行解析，获得待检测网络信息数据包的若干个个体特征，即mac地址、ip地址、数据长度、请求调用的端口以及所使用的协议。
7.优选的，所述通过对待检测网络信息数据包若干个个体特征进行量化得到待检测网络信息数据包的每个特征量化值，包括的具体步骤如下：预设三个参数；对于待检测网络信息数据包的个体特征mac地址，记为mac特征；在本地查询mac地址表，若待检测网络信息数据包的mac地址存在于mac地址表，则将待检测网络信息数据包的mac特征量化值记为；若不存在于mac地址表中，将待检测网络信息数据包的mac特征量化值记为；对于待检测网络信息数据包的个体特征ip地址，记为ip特征；若待检测网络信息数据包的ip地址为常用的ip地址，则将待检测网络信息数据包的ip特征量化值记为；若待检测网络信息数据包的ip地址为不常用的ip地址，则将待检测网络信息数据包的ip特征量化值记为；若待检测网络信息数据包的ip地址为异常的ip地址，则将待检测网络信息数据包的ip特征量化值记为；对于待检测网络信息数据包的个体特征数据长度，记为数据长度特征；若待检测网络信息数据包的数据长度在常用的网络信息数据包的数据长度范围内，则将待检测网络信息数据包的数据长度特征量化值记为；若待检测网络信息数据包的数据长度不在常用的网络信息数据包的数据长度范围内，则将待检测网络信息数据包的数据长度特征量化值记为；对于待检测网络信息数据包的个体特征请求调用的端口，记为端口特征；若待检测网络信息数据包的请求调用的端口不是常用端口或者是关闭端口，则将待检测网络信息数据包的端口特征量化值记为；对于其他情况，一致将待检测网络信息数据包的端口特征量化值记为；对于待检测网络信息数据包的个体特征所使用的协议，记为协议特征；根据待检测网络信息数据包解析出的协议号对待检测网络信息数据包结构进行解析，得到待检测网络信息数据包结构；若待检测网络信息数据包结构正常，则将待检测网络信息数据包的协议特征量化值记为；否则，将待检测网络信息数据包的协议特征量化值记为。
8.优选的，所述根据恶意数据包样本库得到历史网络信息数据包每个个体特征异常频率，包括的具体步骤如下：对于恶意数据包样本库中任意一个历史网络信息数据包，若该历史网络信息数据包的mac特征量化值为，则认为该历史网络信息数据包mac特征异常；若该历史网络信息数据包的ip特征量化值为，则认为该历史网络信息数据包ip特征异常；若该历史网络信息数据包的数据长度特征量化值为，则认为该历史网络信息数据包数据长度特征异常；若该历史网络信息数据包的端口特征量化值记，则认为该历史网络信息数据包端口特征异常；若该历史网络信息数据包的协议特征量化值为，则认为该历史网络信息数据包协议特征异常；通过对恶意数据包样本库的五个个体特征异常频率进行统计，获得历史网络信息数据包的五个个体特征异常频率，mac特征异常频率、ip特征异常频率、数据长度特征异常
频率、端口特征异常频率以及协议特征异常频率，分别记为。
9.优选的，所述根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到历史网络信息数据包每个个体特征的权重影响值，包括的具体步骤如下：根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到每个个体特征的权重影响值，其计算表达式为：式中，表示历史网络信息数据包的ip特征的权重影响值；表示恶意数据包样本库中只具有ip特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常和其他任意一个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常和其他任意两个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常和其他任意三个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常的历史网络信息数据包数量；为五个预设参数值的均值；为预设参数；同理，获得历史网络信息数据包每个个体特征的权重影响值。
10.优选的，所述根据历史网络信息数据包每个个体特征异常频率和历史网络信息数据包每个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值，包括的具体步骤如下：获得历史网络信息数据包的ip特征的危险度权重值的计算表达式为：式中，表示历史网络信息数据包的ip特征的危险度权重值；表示历史网络信息数据包的ip特征异常频率；表示历史网络信息数据包的ip特征的权重影响值；表示在恶意数据包样本库中具有ip特征异常的历史网络信息数据包数量；表示在恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量均值；表示历史网络信息数据包的第个个体特征异常频率；表示历史网络信息数据包的第个个体特征的权重影响值；表示在恶意数据包样本库中具有第个个体特征异常的历史网络信息数据包数量；表示自然常数；同理，获得待检测历史网络信息数据包的其余四个个体特征危险度权重值，最终获得历史网络信息数据包的每个个体特征的危险度权重值。
11.优选的，所述根据历史网络信息数据包的每个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度，包括的具体公式如下：
式中，表示待检测网络信息数据包的风险度；表示待检测网络信息数据包的ip特征量化值；表示历史网络信息数据包的ip特征的危险度权重值；表示待检测网络信息数据包的mac特征量化值；表示历史网络信息数据包的mac特征的危险度权重值；表示待检测网络信息数据包的数据长度特征量化值；表示历史网络信息数据包的数据长度特征的危险度权重值；表示待检测网络信息数据包的端口特征量化值；表示历史网络信息数据包的端口特征的危险度权重值；表示待检测网络信息数据包的协议特征量化值；表示历史网络信息数据包的协议特征的危险度权重值；为预设参数；表示待检测网络信息数据包所在数据流的流量大小；表示本系统所介入网络的流量带宽。
12.优选的，所述根据待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分，并对划分后的待检测网络信息数据包进行处理，包括的具体步骤如下：将待检测网络信息数据包的风险度记为，若，则将待检测网络信息数据包划分为安全网络信息数据包；若，则将待检测网络信息数据包划分为待定网络信息数据包；若，则将待检测网络信息数据包划分为高危网络信息数据包。
13.优选的，所述对划分后的待检测网络信息数据包进行处理，包括的具体步骤如下：在对待检测网络信息数据包进行划分后，对于安全网络信息数据包，将其进行接收；对于高危网络信息数据包，直接将其丢弃；而对于待定网络信息数据包，利用安全沙盒对这些网络信息数据包进行接收，在接收后进行病毒检测，对于通过病毒检测的网络信息数据包进行系统接收，完成数据传输，否则直接丢弃。
14.本发明的技术方案的有益效果是：针对现有的依靠流量分析对数据包进行过滤的手段只会拦截一些在流量异常下的恶意数据包，而对于一些伪装后的恶意数据包并不能准确的检测出来，从而使得系统遭受到入侵的问题，本发明在对传向主机的网络信息进行安全分析时，不是利用流量分析阻拦一部分特征明显的危险数据后进行单一流量包危险匹配判断，而是在接收前，对每一个网络信息数据包进行基于数据包自身特征和流量信息的危险度检测，从而最大程度的过滤网络威胁，维护系统安全。
附图说明
15.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
16.图1为本发明一种针对网络信息的安全分析系统的模块框架图。
具体实施方式
17.为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效，以下结合附图及较佳实施例，对依据本发明提出的一种针对网络信息的安全分析系统，其具体实施方式、结构、特征及其功效，详细说明如下。在下述说明中，不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外，一或多个实施例中的特定特征、结构或特点可
由任何合适形式组合。
18.除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。
19.下面结合附图具体的说明本发明所提供的一种针对网络信息的安全分析系统的具体方案。
20.请参阅图1，其示出了本发明一个实施例提供的一种针对网络信息的安全分析系统的模块框架图，该系统包括以下模块：数据包采集模块：获取待检测网络信息数据包和恶意数据包样本库。
21.需要说明的是，本实施例主要是对网络信息数据包进行安全性分析，从而筛选出恶意数据拒绝接收，从而达到保护系统的目的，因此，需要收集到所需要进行分析的网络信息数据包以及该网络信息数据包所在数据流的流量信息，此外，还需要收集一些恶意的网络信息数据包作为样本库，以方便后续对网络信息数据包样本特征的权重分析。
22.具体的，利用抓包软件获取待检测网络信息数据包；收集若干个现有的恶意的历史网络信息数据包作为恶意数据包样本库。
23.至此，获得待检测网络信息数据包和恶意数据包样本库。
24.数据包特征量化模块：解析待检测网络信息数据包获得待检测网络信息数据包个体特征信息，并对其个体特征进行量化处理。
25.需要说明的是，对于一个网络信息数据包而言，其ip地址可以进行伪造，但由于mac地址是由设备制造商写入的全球唯一的序列号，其在传播过程中无法伪装改造，表示了该网络信息数据包的唯一来源，若数据包所来源的mac地址为非常见地址，即在本地mac表中不存在的地址，则该网络信息数据包为危险数据包的可能性就大大的提升；同理，虽然网络信息数据包的ip地址可以伪造，但却仍然可以携带信息，当ip地址经过查询后若其来自于异常或者是不常用的来源地址，则该网络信息数据包所携带的数据危险程度也就较高；而网络数据包的数据长度作为表征网络信息数据包外显特征的一个量，除去一些特殊用途的网络信息数据包外，正常网络信息数据包的数据长度一般都会在一个稳定的范围内，对于任意一个网络信息数据包来说，过空或过满都有可能是危险的网络信息数据包，过空的网络信息数据包有可能是用来造成信道堵塞，泛洪攻击的工具包，而过满的网络信息数据包则有可能携带蠕虫等病毒信息，因此，网络信息数据包的数据长度可以作为表征数据包危险性的一个指标；对于网络信息数据包所请求的端口来说。由于不同的端口其用处是不同的，而一些恶意的网络信息数据包会通过调用一些特殊端口完成对系统的提权，从而入侵系统；另外，还有一些网络信息数据包，会利用协议格式的漏洞，构造不符合协议规定的数据结构或字段，从而欺骗系统进行解析而出现异常，从而导致系统崩溃、拒绝访问或利用其他安全漏洞。
26.预设三个参数，其中本实施例以例进行叙述，本实施例不进行具体限定，其中根据具体实施情况而定。
27.进一步需要说明的是，若网络信息数据包的个体特征在经过初步判断是属于正常的，则将其量化值记为，对于网络信息数据包的个体特征可能有危险但不确定是否是由特
殊情况而造成的对于一些不常用的参数使用，将其量化值记为；对于只要出现这种情况，在正常情况下网络信息数据包的个体特征一定是在进行一些非法访问或者是遭受恶意入侵，则将其量化值记为。
28.具体的，对获取到的待检测网络信息数据包进行解析，获得待检测网络信息数据包的多个个体特征，即mac地址、ip地址、数据长度、请求调用的端口以及所使用的协议；并对待检测网络信息数据包的五个个体特征进行量化，其量化过程如下：(1)对于待检测网络信息数据包的个体特征mac地址，记为mac特征；在本地查询mac地址表，若待检测网络信息数据包的mac地址存在于mac地址表，则将待检测网络信息数据包的mac特征量化值记为；若不存在于mac地址表中，将待检测网络信息数据包的mac特征量化值记为；(2)对于待检测网络信息数据包的个体特征ip地址，记为ip特征；若待检测网络信息数据包的ip地址为常用的ip地址，则将待检测网络信息数据包的ip特征量化值记为；若待检测网络信息数据包的ip地址为不常用的ip地址，则将待检测网络信息数据包的ip特征量化值记为；若待检测网络信息数据包的ip地址为异常的ip地址，则将待检测网络信息数据包的ip特征量化值记为；(3)对于待检测网络信息数据包的个体特征数据长度，记为数据长度特征；若待检测网络信息数据包的数据长度在常用的网络信息数据包的数据长度范围内，则将待检测网络信息数据包的数据长度特征量化值记为；若待检测网络信息数据包的数据长度不在常用的网络信息数据包的数据长度范围内，则将待检测网络信息数据包的数据长度特征量化值记为；(4)对于待检测网络信息数据包的个体特征请求调用的端口，记为端口特征；若待检测网络信息数据包的请求调用的端口不是常用端口或者是关闭端口，则将待检测网络信息数据包的端口特征量化值记为；对于其他情况，一致将待检测网络信息数据包的端口特征量化值记为；(5)对于待检测网络信息数据包的个体特征所使用的协议，记为协议特征；根据待检测网络信息数据包解析出的协议号对待检测网络信息数据包结构进行解析，得到待检测网络信息数据包结构；若待检测网络信息数据包结构正常，则将待检测网络信息数据包的协议特征量化值记为；否则，将待检测网络信息数据包的协议特征量化值记为。
29.至此，完成待检测网络信息数据包的五个个体特征的量化，得到待检测网络信息数据包的五个特征量化值。
30.获取数据包特征权重模块：根据恶意数据包样本库中每种个体特征异常频率得到历史网络信息数据包的每个个体特征的危险度权重值。
31.具体的，对于恶意数据包样本库中任意一个历史网络信息数据包，若该历史网络信息数据包的mac特征量化值为，则认为该历史网络信息数据包mac特征异常；若该历史网络信息数据包的ip特征量化值为，则认为该历史网络信息数据包ip特征异常；若该历史网络信息数据包的数据长度特征量化值为，则认为该历史网络信息数据包数据长度特征异常；若该历史网络信息数据包的端口特征量化值记，则认为该历史网络信息数据包端口特征异常；若该历史网络信息数据包的协议特征量化值为，则认为该历史网络信息数据包协
议特征异常；进而通过对恶意数据包样本库的五个个体特征异常的频率进行统计，获得历史网络信息数据包的五个个体特征异常频率，mac特征异常频率、ip特征异常频率、数据长度特征异常频率、端口特征异常频率以及协议特征异常频率，分别记为。
32.预设五个参数，其中本实施例以例进行叙述，本实施例不进行具体限定，其中且可根据具体实施情况而定。
33.需要说明的是，对于历史网络信息数据包的任意一个个体特征来说，若其对于该历史网络信息数据包的恶意程度影响越大，则在恶意数据包样本库中具有该个体特征异常的历史网络信息数据包越多；同时，对于恶意数据包样本库中任意一个历史网络信息数据包来说，若其在某个个体特征上该个体特征造成的恶意程度越高，这说明该个体特征对于历史网络信息数据包的安全性就越重要，相应的该个体特征的权重影响值也就越高，因此统计出恶意数据包样本库中与具有该个体特征相关的历史网络信息数据包对其进行聚类后统计数量，针对具有不同的个体特征异常的历史网络信息数据包数量，给其赋予不同的权值，来达到所述个体特征对于历史网络信息数据包重要性的不同影响程度的目的。
34.具体的，根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到每个个体特征的权重影响值，其计算表达式为(以历史网络信息数据包的ip特征为例)：式中，表示历史网络信息数据包的ip特征的权重影响值；表示恶意数据包样本库中只具有ip特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常和其他任意一个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常和其他任意两个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常和其他任意三个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常的历史网络信息数据包数量；为五个预设参数值的均值；为预设参数。
35.需要说明的是，利用历史网络信息数据包的个体特征在恶意数据包样本库出现频率以及其数量关系，来表征历史网络信息数据包的个体特征对于历史网络信息数据包危险程度的影响程度，并利用其计算出给每个历史网络信息数据包的个体特征的指标权值。其中若在某个历史网络信息数据包的个体特征异常状态下的频率出现越高，说明这种个体特征更容易被用来篡改传播危险信息；而在整体数量中，若某历史网络信息数据包的个体特征异常状态下的异常历史网络信息数据包数量越多，其与平均数量的差值越大，则该历史网络信息数据包的个体特征的危险性越高，其对于指标权值的影响也越大，使用以自然常数为底数的指数函数来增强这种影响，同时差值为0的情况进行调整，不会使得最终的计算为0。
36.具体的，则通过历史网络信息数据包的五个个体特征异常频率和历史网络信息数
据包的五个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值的计算表达式如下：式中，表示历史网络信息数据包的ip特征的危险度权重值；表示历史网络信息数据包的ip特征异常频率；表示历史网络信息数据包的ip特征的权重影响值；表示在恶意数据包样本库中具有ip特征异常的历史网络信息数据包数量；表示在恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量均值；表示历史网络信息数据包的第个个体特征异常频率；表示历史网络信息数据包的第个个体特征的权重影响值；表示在恶意数据包样本库中具有第个个体特征异常的历史网络信息数据包数量；表示自然常数。
37.对于待检测历史网络信息数据包的其余四个个体特征危险度权重值，同理通过上述方法获得，将历史网络信息数据包的mac特征的危险度权重值、历史网络信息数据包的数据长度特征的危险度权重值、历史网络信息数据包的端口特征的危险度权重值和历史网络信息数据包的协议特征的危险度权重值分别记为。
38.至此，获得历史网络信息数据包的五个个体特征的危险度权重值。
39.获取数据包风险度模块：根据历史网络信息数据包的五个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度。
40.需要说明的是，一般来说，待检测网络信息数据包的流量是恒稳不变的，当系统遭受泛洪攻击时，则会突然遭受到大量的网络信息数据包请求，因此，当待检测网络信息数据包所在的数据流量过多时，其传输过来的数据就很有可能是危险数据，因此，需要在对待检测网络信息数据包进行危险度计算时，需要对所在数据流量进行考虑。
41.具体的，根据历史网络信息数据包的五个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度的计算表达式为：式中，表示待检测网络信息数据包的风险度；表示待检测网络信息数据包的ip特征量化值；表示历史网络信息数据包的ip特征的危险度权重值；表示待检测网络信息数据包的mac特征量化值；表示历史网络信息数据包的mac特征的危险度权重值；表示待检测网络信息数据包的数据长度特征量化值；表示历史网络信息数据包的数据长度特征的危险度权重值；表示待检测网络信息数据包的端口特征量化值；表示历史网络信息数据包的端口特征的危险度权重值；表示待检测网络信息数据包的协议特征量化值；表示历史网络信息数据包的协议特征的危险度权重值；b和c表示预设参数，表示表示待检测网络信息数据包的每个个体特征量化值最大值之和，用于进行归一化；表示待检测网络信息数据包所在数据流的流量大小；表示本系统所介入网络的流
量带宽。
42.其中和都可以通过测网速的方法直接获得，而使用15的目的为对上述表达式的结果进行调整，使其可以归置到区间中。
43.至此，获得待检测网络信息数据包的风险度。
44.数据包安全划分模块：根据待检测网络信息数据包的风险度对其进行安全性划分。
45.根据上述所得待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分的具体操作为：将待检测网络信息数据包的风险度记为，若，则将待检测网络信息数据包划分为安全网络信息数据包；若，则将待检测网络信息数据包划分为待定网络信息数据包；若，则将待检测网络信息数据包划分为高危网络信息数据包。
46.在对待检测网络信息数据包进行划分后，对于安全网络信息数据包，将其进行接收，以确保系统的正常运行；对于高危网络信息数据包，其一定为威胁网络信息数据包或者是来自网络的无用网络信息数据包，直接将其丢弃；而对于待定网络信息数据包，其有可能是伪装成正常网络信息数据包的恶意数据，也有可能是某些具有特殊用途的特殊网络信息数据包；因此需要利用安全沙盒对这些网络信息数据包进行接收，在接收后进行病毒检测，对于通过病毒检测的网络信息数据包进行系统接收，完成数据传输，否则直接丢弃。
47.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种针对网络信息的安全分析系统，其特征在于，该系统包括以下模块：数据包采集模块：获取待检测网络信息数据包和恶意数据包样本库，所述恶意数据包样本库由若干个历史网络信息数据包组成；数据包特征量化模块：解析待检测网络信息数据包获得待检测网络信息数据包若干个个体特征；通过对待检测网络信息数据包若干个个体特征进行量化得到待检测网络信息数据包的每个特征量化值；获取数据包特征权重模块：根据恶意数据包样本库得到历史网络信息数据包每个个体特征异常频率；根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到历史网络信息数据包每个个体特征的权重影响值；根据历史网络信息数据包每个个体特征异常频率和历史网络信息数据包每个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值；获取数据包风险度模块：根据历史网络信息数据包的每个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度；数据包安全划分模块：根据待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分，并对划分后的待检测网络信息数据包进行处理。2.根据权利要求1所述一种针对网络信息的安全分析系统，其特征在于，所述获取待检测网络信息数据包和恶意数据包样本库，包括的具体步骤如下：利用抓包软件获取待检测网络信息数据包；收集若干个恶意的历史网络信息数据包作为恶意数据包样本库。3.根据权利要求1所述一种针对网络信息的安全分析系统，其特征在于，所述解析待检测网络信息数据包获得待检测网络信息数据包若干个个体特征，包括的具体步骤如下：对获取到的待检测网络信息数据包进行解析，获得待检测网络信息数据包的若干个个体特征，即mac地址、ip地址、数据长度、请求调用的端口以及所使用的协议。4.根据权利要求1所述一种针对网络信息的安全分析系统，其特征在于，所述通过对待检测网络信息数据包若干个个体特征进行量化得到待检测网络信息数据包的每个特征量化值，包括的具体步骤如下：预设三个参数；对于待检测网络信息数据包的个体特征mac地址，记为mac特征；在本地查询mac地址表，若待检测网络信息数据包的mac地址存在于mac地址表，则将待检测网络信息数据包的mac特征量化值记为；若不存在于mac地址表中，将待检测网络信息数据包的mac特征量化值记为；对于待检测网络信息数据包的个体特征ip地址，记为ip特征；若待检测网络信息数据包的ip地址为常用的ip地址，则将待检测网络信息数据包的ip特征量化值记为；若待检测网络信息数据包的ip地址为不常用的ip地址，则将待检测网络信息数据包的ip特征量化值记为；若待检测网络信息数据包的ip地址为异常的ip地址，则将待检测网络信息数据包的ip特征量化值记为；对于待检测网络信息数据包的个体特征数据长度，记为数据长度特征；若待检测网络信息数据包的数据长度在常用的网络信息数据包的数据长度范围内，则将待检测网络信息数据包的数据长度特征量化值记为；若待检测网络信息数据包的数据长度不在常用的网
络信息数据包的数据长度范围内，则将待检测网络信息数据包的数据长度特征量化值记为；对于待检测网络信息数据包的个体特征请求调用的端口，记为端口特征；若待检测网络信息数据包的请求调用的端口不是常用端口或者是关闭端口，则将待检测网络信息数据包的端口特征量化值记为；对于其他情况，一致将待检测网络信息数据包的端口特征量化值记为；对于待检测网络信息数据包的个体特征所使用的协议，记为协议特征；根据待检测网络信息数据包解析出的协议号对待检测网络信息数据包结构进行解析，得到待检测网络信息数据包结构；若待检测网络信息数据包结构正常，则将待检测网络信息数据包的协议特征量化值记为；否则，将待检测网络信息数据包的协议特征量化值记为。5.根据权利要求4所述一种针对网络信息的安全分析系统，其特征在于，所述根据恶意数据包样本库得到历史网络信息数据包每个个体特征异常频率，包括的具体步骤如下：对于恶意数据包样本库中任意一个历史网络信息数据包，若该历史网络信息数据包的mac特征量化值为，则认为该历史网络信息数据包mac特征异常；若该历史网络信息数据包的ip特征量化值为，则认为该历史网络信息数据包ip特征异常；若该历史网络信息数据包的数据长度特征量化值为，则认为该历史网络信息数据包数据长度特征异常；若该历史网络信息数据包的端口特征量化值记，则认为该历史网络信息数据包端口特征异常；若该历史网络信息数据包的协议特征量化值为，则认为该历史网络信息数据包协议特征异常；通过对恶意数据包样本库的五个个体特征异常频率进行统计，获得历史网络信息数据包的五个个体特征异常频率，mac特征异常频率、ip特征异常频率、数据长度特征异常频率、端口特征异常频率以及协议特征异常频率，分别记为。6.根据权利要求1所述一种针对网络信息的安全分析系统，其特征在于，所述根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到历史网络信息数据包每个个体特征的权重影响值，包括的具体步骤如下：根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到每个个体特征的权重影响值，其计算表达式为：式中，表示历史网络信息数据包的ip特征的权重影响值；表示恶意数据包样本库中只具有ip特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常和其他任意一个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常和其他任意两个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常和其他任意三个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量；表示恶意数据包样本库中具有ip特征异常的历史网络信息数据包数量；为五个预设参数值的均值；为预设参数；同理，获得历史网络信息数据包每个个体特征的权重影响值。
7.根据权利要求1所述一种针对网络信息的安全分析系统，其特征在于，所述根据历史网络信息数据包每个个体特征异常频率和历史网络信息数据包每个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值，包括的具体步骤如下：获得历史网络信息数据包的ip特征的危险度权重值的计算表达式为：式中，表示历史网络信息数据包的ip特征的危险度权重值；表示历史网络信息数据包的ip特征异常频率；表示历史网络信息数据包的ip特征的权重影响值；表示在恶意数据包样本库中具有ip特征异常的历史网络信息数据包数量；表示在恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量均值；表示历史网络信息数据包的第个个体特征异常频率；表示历史网络信息数据包的第个个体特征的权重影响值；表示在恶意数据包样本库中具有第个个体特征异常的历史网络信息数据包数量；表示自然常数；同理，获得待检测历史网络信息数据包的其余四个个体特征危险度权重值，最终获得历史网络信息数据包的每个个体特征的危险度权重值。8.根据权利要求1所述一种针对网络信息的安全分析系统，其特征在于，所述根据历史网络信息数据包的每个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度，包括的具体公式如下：式中，表示待检测网络信息数据包的风险度；表示待检测网络信息数据包的ip特征量化值；表示历史网络信息数据包的ip特征的危险度权重值；表示待检测网络信息数据包的mac特征量化值；表示历史网络信息数据包的mac特征的危险度权重值；表示待检测网络信息数据包的数据长度特征量化值；表示历史网络信息数据包的数据长度特征的危险度权重值；表示待检测网络信息数据包的端口特征量化值；表示历史网络信息数据包的端口特征的危险度权重值；表示待检测网络信息数据包的协议特征量化值；表示历史网络信息数据包的协议特征的危险度权重值；为预设参数；表示待检测网络信息数据包所在数据流的流量大小；表示本系统所介入网络的流量带宽。9.根据权利要求1所述一种针对网络信息的安全分析系统，其特征在于，所述根据待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分，并对划分后的待检测网络信息数据包进行处理，包括的具体步骤如下：将待检测网络信息数据包的风险度记为，若，则将待检测网络信息数据包划分为安全网络信息数据包；若，则将待检测网络信息数据包划分为待定网络信息数据包；若，则将待检测网络信息数据包划分为高危网络信息数据包。10.根据权利要求9所述一种针对网络信息的安全分析系统，其特征在于，所述对划分
后的待检测网络信息数据包进行处理，包括的具体步骤如下：在对待检测网络信息数据包进行划分后，对于安全网络信息数据包，将其进行接收；对于高危网络信息数据包，直接将其丢弃；而对于待定网络信息数据包，利用安全沙盒对这些网络信息数据包进行接收，在接收后进行病毒检测，对于通过病毒检测的网络信息数据包进行系统接收，完成数据传输，否则直接丢弃。

技术总结
本发明涉及数据处理技术领域，具体涉及一种针对网络信息的安全分析系统，包括：获取待检测网络信息数据包和恶意数据包样本库；解析待检测网络信息数据包获得待检测网络信息数据包个体特征信息，并对其个体特征进行量化处理；根据恶意数据包样本库中每种个体特征异常频率得到网络信息数据包的每个个体特征的危险度权重值；根据网络信息数据包的五个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度；根据待检测网络信息数据包的风险度对其进行安全性划分。本发明对每一个网络信息数据包进行基于数据包自身特征和流量信息的危险度检测，从而最大程度的过滤网络威胁，维护系统安全。安全。安全。


技术研发人员：付勇 田智育
受保护的技术使用者：湖南润科通信科技有限公司
技术研发日：2023.08.10
技术公布日：2023/9/9