(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211487193.9 (22)申请日 2022.11.25 (71)申请人 国网四川省电力公司信息通信公司 地址 610000 四川省成 都市高新区蜀绣西 路366号2层、 4层、 5层、 8层 申请人 成都元来云志科技有限公司 (72)发明人 李嘉周　田园　谭堯木　谌文杰　 张旸　宋树迎　熊俊　廖文虎　 陈尚涛　 (74)专利代理 机构 成都欣圣知识产权代理有限 公司 512 92 专利代理师 胡小亮 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于大规模多数据源的一体化网络安全分 析系统及方法 (57)摘要 本发明提供了基于大规模多数据源的一体 化网络安全分析系统及方法， 其通过对网络进行 子网络划分和分区抽样排查的方式快速和准确 地定位到相应的数据源终端， 及时避免感染源终 端影响网络中其他数据源终端的正常工作， 提高 对网络的检查效率和准确性 以及保证互联网整 体工作的安全性和稳定性。 权利要求书3页 说明书8页 附图2页 CN 115550065 A 2022.12.30 CN 115550065 A 1.基于大规模多数据源的一体化网络安全分析 方法， 其特 征在于， 包括如下步骤： 步骤S1， 将网络划分为若干子网络， 并对每个子网络接入的所有数据源终端进行第一 抽样处理， 得到每个数据源终端的数据样本信息； 根据所述数据样本信息， 判断所述子网络 是否处于数据流异常状态； 步骤S2， 对所述网络中所有处于数据流异常状态 的子网络进行隔离处理， 并对每个处 于数据流异常状态的子网络进 行第二抽样处理， 得到处于数据流异常状态的子网络内部的 数据流信息； 根据所述数据流信息， 判断处于数据流异常状态的子网络是否属于僵尸 子网 络； 步骤S3， 根据所述是否属于僵尸子网络的判断结果， 调整对应的处于数据流异常状态 的子网络的隔离状态； 通过蜜罐对所述僵尸 子网络进行第三抽样处理， 得到来自所述僵尸 子网络包 含的每个数据源终端的报文数据； 步骤S4， 对所述报文数据进行分析处理， 确定所述僵尸子网络存在的感染源终端； 对所 述感染源终端进 行隔离处理后， 解除所述僵尸子网络中不属于感染源终端的所有 数据源终 端的隔离状态。 2.如权利要求1所述的基于大规模多数据源的一体化网络安全分析 方法， 其特 征在于： 在所述步骤S1中， 将网络划分为若干子网络， 并对每个子网络接入的所有数据源终端 进行第一抽样处 理， 得到每 个数据源终端的数据样本信息， 包括： 获取网络中所有网关的拓扑连接信息， 根据所述拓扑连接信息， 将所述网络划分为若 干子网络， 并且对不同子网络相互之间的共用网关进行标识处理， 确定所有共用网关在所 述网络的IP地址信息； 对每个子网络接入的所有数据源终端进行第 一抽样处理， 得到每个数据源终端在预设 时间长度内的所有上 行数据包样本和所有下 行数据包样本， 以此作为所述数据样本信息 。 3.如权利要求2所述的基于大规模多数据源的一体化网络安全分析 方法， 其特 征在于： 在所述步骤S1中， 根据所述数据样本信息， 判断所述子网络是否处于数据流异常状态， 包括： 对所有上行数据包样本和所有下行数据包样本进行分析处理， 确定对应子网络在第 一 预设时间长度内的上 行数据流量值和下行数据流量值； 若所述上行数据流量值或所述下行数据流量值大于预设数据流量阈值， 则判断所述子 网络处于数据流异常状态； 否则， 判断所述子网络不属于数据流异常状态。 4.如权利要求3所述的基于大规模多数据源的一体化网络安全分析 方法， 其特 征在于： 在所述步骤S2中， 对所述网络中所有处于数据流异常状态的子网络进行隔离处理， 并 对每个处于数据流异常状态的子网络进行第二抽样处理， 得到处于数据流异常状态的子网 络内部的数据流信息， 包括： 根据处于数据流异常状态的子网络的所有共用网关各自的地址信 息， 将所述所有共用 网关切换至 关闭状态， 以此将处于数据流异常状态的子网络与所述网络中不处于数据流异 常状态的子网络进行隔离； 对每个处于数据流异常状态的子网络进行第 二抽样处理， 得到处于数据流异常状态的 子网络的内部不同数据源终端之间传输的数据包内容信息和数据包传输路径信息， 以此作 为所述数据流信息 。权　利　要　求　书 1/3 页 2 CN 115550065 A 25.如权利要求 4所述的基于大规模多数据源的一体化网络安全分析 方法， 其特 征在于： 在所述步骤S2中， 根据所述数据流信息， 判断处于数据流异常状态 的子网络是否属于 僵尸子网络， 包括： 对所述数据包内容信 息进行解析处理， 确定不同数据源终端之间传输的数据包是否包 括预定数据代码字段； 对所述数据包传输路径信 息进行分析处理， 确定所有具有预定数据代码字段的数据包 是否在第二预定时间长度内具有相同的传输路径； 若是， 则判断处于数据流异常状态的子 网络属于 僵尸子网络； 否则， 判断处于数据流异常状态的子网络不属于 僵尸子网络 。 6.如权利要求5所述的基于大规模多数据源的一体化网络安全分析 方法， 其特 征在于： 在所述步骤S3中， 根据所述是否属于僵尸子网络的判断结果， 调整对应的处于数据流 异常状态的子网络的隔离状态， 具体包括： 当处于数据流异常状态的子网络不属于僵尸子网络， 则根据处于数据流异常状态的子 网络的所有共用网关各自的地址信息， 将所述所有共用网关切换至开 放状态； 当处于数据流异常状态的子网络属于僵尸子网络， 则根据处于数据流异常状态的子网 络的所有共用网关各自的地址信息， 保持所述所有共用网关 当前的关闭状态不变。 7.如权利要求6所述的基于大规模多数据源的一体化网络安全分析 方法， 其特 征在于： 在所述步骤S3中， 通过蜜罐对所述僵尸子网络进行第三抽样处理， 得到来自所述僵尸 子网络包 含的每个数据源终端的报文数据， 具体包括： 根据所述僵尸子网络包含的所有数据源终端各自的IP地址信 息， 指示蜜罐对每个数据 源终端分别发送预定请求消息， 并抽样截取每个数据源终端关于所述预定请求消息， 向所 述蜜罐返回的应答报文数据。 8.如权利要求7 所述的基于大规模多数据源的一体化网络安全分析 方法， 其特 征在于： 在所述步骤S4中， 对所述报文数据进行分析处理， 确定所述僵尸子网络存在的感染源 终端， 具体包括： 对所述应答报文数据进行反编译处理， 得到每个数据源终端的应答报文数据的代码 流； 对所述代码流进行分析处理， 确定所述代码流是否存在病毒代码； 若存在， 则将对应的 数据源终端确定为属于感染源终端； 并确定所述僵尸子网络中所有感染源终端的IP地址信 息和所有不属于感染源终端的数据源终端的IP地址信息 。 9.如权利要求8所述的基于大规模多数据源的一体化网络安全分析 方法， 其特 征在于： 在所述步骤S4中， 对所述感染源终端进行隔离处理后， 解除所述僵尸子网络中不属于 感染源终端的所有数据源终端的隔离状态， 具体包括： 根据所述僵尸子网络 中所有不属于感染源终端的数据源终端的IP地址信息， 对所有不 属于感染源终端的数据源终端 进行病毒查杀处 理； 根据所述僵尸子网络 中所有感染源终端的IP地址信息， 确定与所有感染源终端连接的 所有网关的IP地址信息， 以此将与所有感染源终端连接的所有网关切换至关闭状态， 从而 对所有感染源终端进 行隔离处理； 再解除所述僵尸子网络中所有不属于感染源终端的数据 源终端的隔离状态。 10.用于实现如权利要求1 ‑9中任一项所述的基于大规模多数据源的一体化网络安全权　利　要　求　书 2/3 页 3 CN 115550065 A 3