本发明专利技术提出了一种基于计算机硬件指征和行为分析的网络安全监控系统,包括若干个监控客户端和监控服务器;监控客户端安装于每台被监控的主机上,用于定期搜集主机上各个应用程序占用的CPU使用率、内存使用率和网卡收发包速率并发送到监控服务器;监控服务器分别对CPU使用率、内存使用率和网卡收发包速率进行基线建模,根据基线建模结果对被监控主机行为进行比对,若比对正常,则继续运行;若比对异常,则向对应的监控客户端反馈告警信息。本系统基于对计算机的硬件指征和行为进行持续的监控和分析,以判定计算机是否存在受到病毒感染的情况,做到主动发现、主动防御从而实现对攻击的提前阻拦,提升防范的及时性。提升防范的及时性。提升防范的及时性。
【技术实现步骤摘要】
基于计算机硬件指征和行为分析的网络安全监控系统
[0001]本专利技术涉及网络安全
,特别是涉及一种基于计算机硬件指征和行为分析的网络安全监控系统。
技术介绍
[0002]随着近年来网络攻击的频发,同时随着攻击主体由个人转为有组织的转变,网络安全已经成为了当今社会广泛关注的焦点领域。特别是针对商业公司、智能制造工厂和国家关键基础设施的攻击,已经将攻击的受害者从针对个人/组织转变为国家/地区。
[0003]网络安全从来没有像今天变得尤为重要,传统的实施网络安全的方式主要为被动地追赶,以一种“堵”的低效方式进行。比如,某天业界暴出了发现Windows操作系统的某个漏洞,基本都是“打补丁”进行补救;又如安装杀毒软件对病毒进行防范,核心技术就是病毒库,但是病毒库是黑名单的方式,即只能防范已知的病毒攻击,无法应对新的攻击方式。
[0004]公开号为CN103685575A的中国专利技术专利申请于2018年9月7日公开了一种基于云架构的网站安全监控方法,其便是采用黑白名单的形式实现对病毒攻击的检测应对,客户需要定期更新病毒库才可以应对新的攻击方式,对于新兴的病毒攻击无能为力,只有当被感染/攻击后对病毒进行分析提取特征后,才能对其进行防范,防范效果具有严重的滞后性。
技术实现思路
[0005]本专利技术为了解决以上至少一种技术缺陷,提供一种基于计算机硬件指征和行为分析的网络安全监控系统,实现对攻击的主动发现和主动防御,提升防范的及时性。
[0006]为解决上述技术问题,本专利技术的技术方案如下:
[0007]基于计算机硬件指征和行为分析的网络安全监控系统,包括若干个监控客户端和监控服务器;其中:
[0008]所述监控客户端安装于每台被监控的主机上,用于定期搜集主机上各个应用程序占用的CPU使用率、内存使用率和网卡收发包速率,然后按照通信协议格式将搜集的数据打包成报文并发送到所述监控服务器;
[0009]所述监控服务器依照通信协议对报文进行解析后,分别对CPU使用率、内存使用率和网卡收发包速率进行基线建模,根据基线建模结果对被监控主机行为进行比对,若比对正常,则继续运行;若比对异常,则向对应的监控客户端反馈告警信息。
[0010]其中,所述通信协议采用TLV格式设计;所述TLV格式包括命令字、类型、长度和值;所述命令字用于标记数据的发送或者接收情况;所述类型用于标记数据的类型;所述长度用于定义数值的长度;所述值用于表示实际的数值。
[0011]其中,所述类型包括CPU使用率、内存使用率和网卡收发包速率三种数据类型;其中,0x0000为CPU使用率;0x0100为内存使用率;0x0200为网卡发包速率;0x0201为网卡收包速率。
[0012]其中,所述监控客户端对被监控主机的资源使用情况实时获取并上传至所述监控服务器。
[0013]其中,所述监控服务器基于所述监控客户端上传的数据进行基线建模,获取合适的统计周期,避免统计周期过短加大被监控客户端的资源消耗或统计周期过长导致建模不精确的问题出现。
[0014]其中,所述基线建模的过程就是对各个被监控主机启动的共有操作系统进程核共有的程序的资源使用率进行记录、监控过程,把每一台被监控主机的每一个进程的资源使用率都写入监控服务器中,为后续数据比对奠定数据基础;具体操作为:
[0015]选定被监控的主机中某个操作系统里的共有进程作为参照点,动态调整统计周期,当所有被监控的主机的共有进程趋近于相同值或范围时,作为基线周期;
[0016]所述监控客户端根据基线周期将搜集的数据打包成报文并发送到所述监控服务器。
[0017]其中,在所述监控客户端对数据搜集过程中,同时对在数据搜集过程中对系统资源使用率造成的扰动进行记录、跟踪,找到扰动最大值和最小值,从而确定方差值;以基线周期为基础做线性回归,在方差范围内结合自动规避算法计算周期值,获取对系统资源造成最小扰动的周期作为统计周期。
[0018]其中,所述方差值b的具体计算过程为:
[0019][0020]其中,b2表示扰动最大值,b1表示扰动最小值。
[0021]其中,所述在方差范围内结合自动规避算法计算周期值的具体计算表达式为:
[0022]T
n
=k
n
X
n
+b;
[0023]其中,T
n
表示周期值;X
n
表示监控进程的资源使用率达到基线时所花费的时间,即监控进程在操作系统启动时的资源使用率稳定时所花费的时间;b表示周期值补偿;k
n
表示已经做的规避次数。
[0024]其中,所述k
n
进一步表示为:
[0025]k
n
=nlog(n
‑
1)
[0026]其中,参数n表示规避的次数,当k
n
值造成非线性取值时,开始进行规避,第n次在第n
‑
1次的基础上进行规避。
[0027]与现有技术相比,本专利技术技术方案的有益效果是:
[0028]本专利技术提出了一种基于计算机硬件指征和行为分析的网络安全监控系统,基于对计算机的硬件指征和行为进行持续的监控和分析,以判定计算机是否存在受到病毒感染的情况,做到主动发现、主动防御从而实现对攻击的提前阻拦,提升防范的及时性;采用该系统,可以实时获取计算机的资源使用率情况。
附图说明
[0029]图1为本专利技术所述系统整体框架示意图;
[0030]图2为本专利技术一实施例中系统造成扰动时的数据展示图;
[0031]图3为本专利技术一实施例中系统线性化后的数据展示图;
[0032]图4为本专利技术一实施例中系统在没有使用任何应用程序的管理界面图;
[0033]图5为本专利技术一实施例中系统在没有使用任何应用程序对应的进程界面图;
[0034]图6为本专利技术一实施例中系统在打开某一应用程序后的管理界面图;
[0035]图7为本专利技术一实施例中系统在打开某一应用程序后对应的进程界面图。
具体实施方式
[0036]附图仅用于示例性说明,不能理解为对本专利的限制;
[0037]为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
[0038]对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
[0039]下面结合附图和实施例对本专利技术的技术方案做进一步的说明。
[0040]实施例1
[0041]本实施例列举了两种典型的被攻击场景,通过对这两种场景被攻击的原因和本质进行分析,从而提出一种基于计算机硬件指征和行为分析的网络安全监控系统,以解决现有计算机只能被动防御、不能主动识别攻击,存在滞后性的问题。
[0042]具体的,电脑被中了挖矿病毒,帮助别人挖矿;其表象是CPU使用率快速升高,原因是挖矿这一行为属于CPU密集型,会导致CP本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于计算机硬件指征和行为分析的网络安全监控系统,其特征在于,包括若干个监控客户端和监控服务器;其中:所述监控客户端安装于每台被监控的主机上,用于定期搜集主机上各个应用程序占用的CPU使用率、内存使用率和网卡收发包速率,然后按照通信协议格式将搜集的数据打包成报文并发送到所述监控服务器;所述监控服务器依照通信协议对报文进行解析后,分别对CPU使用率、内存使用率和网卡收发包速率进行基线建模,根据基线建模结果对被监控主机行为进行比对,若比对正常,则继续运行;若比对异常,则向对应的监控客户端反馈告警信息。2.根据权利要求1所述的基于计算机硬件指征和行为分析的网络安全监控系统,其特征在于,所述通信协议采用TLV格式设计;所述TLV格式包括命令字、类型、长度和值;所述命令字用于标记数据的发送或者接收情况;所述类型用于标记数据的类型;所述长度用于定义数值的长度;所述值用于表示实际的数值。3.根据权利要求2所述的基于计算机硬件指征和行为分析的网络安全监控系统,其特征在于,所述类型包括CPU使用率、内存使用率和网卡收发包速率三种数据类型;其中,0x0000为CPU使用率;0x0100为内存使用率;0x0200为网卡发包速率;0x0201为网卡收包速率。4.根据权利要求1任一项所述的基于计算机硬件指征和行为分析的网络安全监控系统,其特征在于,所述监控客户端对被监控主机的资源使用情况实时获取并上传至所述监控服务器。5.根据权利要求1
‑
5任一项基于计算机硬件指征和行为分析的网络安全监控系统,其特征在于,所述监控服务器基于所述监控客户端上传的数据进行基线建模,获取合适的统计周期,避免统计周期过短加大被监控客户端的资源消耗或统计周期过长导致建模不精确的问题出现。6.根据权利要求5所述的基于计算机硬件指征和行为分析的网络安全监控系统,其特征在于,所述基线建模的过程就是对各个被监控主机启动的共有操作系统进程核共有的程序的资源使用率进行记录、监控过程,把每一台被监控主机的每...
【专利技术属性】
技术研发人员:桑海涛,陈波,陈世峰,雷海波,
申请(专利权)人:岭南师范学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。