基于云和本地平台的网络攻击防御装置和方法与流程

本发明属于网络攻击防御领域，特别是一种基于云和本地平台的网络攻击防御装置和方法。

背景技术：

目前全球网络威胁有增无减，网络罪犯愈发趋于专业化，目的愈发商业化，行为愈发组织化，手段愈发多样化，背后的黑色产业链获利能力大幅提高，信息安全形势愈发严峻。尤其是近年来随着各行业信息化程度的进一步提高和两化融合的深度推进，关系国计民生、社会稳定和国家安全的重要行业，如金融、能源、政府、电信、大中型企业等对安全产品的需求进一步快速增长。

然而随着黑客技术的日益发展，APT(Advanced Persistent Threat)高级持续性威胁、零日(Zero Day)漏洞攻击和DDoS(Distributed Deby of Service)攻击越来越越盛行，传统安全防御产品主要基于攻击特征库进行监测和防御，对于此类攻击无能为力。

目前，国内基于行为分析技术的安全防御产品并不多，且大多而是仅仅通过有限数据和网络连接情况，加上人工判断来定义网络行为的信誉指数，误判率高，而且需要人工干预。

技术实现要素：

本发明的目的在于提供一种基于云和本地平台的网络攻击防御装置和方法，以解决上文所述的技术问题。

本发明提供的一种基于云和本地平台的网络攻击防御装置，包括：

云中心，其用于收集威胁情报，对网络流量进行实时分析，并根据网络流量安全模型判断潜在的网络攻击并生成相关防御指令；

本地防御平台，其与所述云中心通过网络连接，用于实施网络流量检测，根据防御指令对检测出的存在威胁的流量进行访问控制。

优选地，所述本地防御平台包括：UI子系统、管理子系统、监控子系统、报告子系统、ACL子系统、内容过滤子系统、网络子系统、tunnel子系统、虚拟子系统、HA子系统。

优选地，UI子系统是所述本地防御平台的人机交互界面，用于向安全管理员提供置初始安全基线的配置界面以及进行各种安全功能的人工配置和策略干预的界面；该子系统包括Web界面、命令行界面、网络集中管理界面。

优选地，ACL子系统是所述本地防御平台的核心子系统，用于对检测出的流量进行访问控制，并根据管理员配置的安全基线，以及云中心下发的防御指令对网络流量进行实时过滤；ACL子系统包括DDoS、流量控制、入侵防御、身份认证、智能协议识别和访问控制列表；

内容过滤子系统用于对流量数据进行细粒度过滤，该子系统基于本地安全基线和云中心的安全指令自动过滤非法流量；内容过滤子系统包括Web内容过滤、FTP内容过滤、病毒文件过滤、垃圾邮件过滤和恶意代码过滤。

优选地，Tunnel子系统是针对加密流量处理的一个子系统，充当网络加密协商代理，实现网络流量的加解密；该Tunnel子系统包括IPsec、PPTP、SSL VPN模块。

本发明还提供了一种基于云和本地平台的网络攻击防御方法，包括以下步骤：

在云中心收集威胁情报，对网络流量进行实时分析，并根据网络流量安全模型判断潜在的网络攻击并生成相关防御指令；

在本地平台实施网络流量检测，根据防御指令对检测出的存在威胁的流量进行访问控制。

优选地，对于网络流量实时分析包括对历史网络流量的学习，生成网络流量安全基线，并根据时间和流量数据进行不断的学习和动态调整，形成自适应的网络流量安全模型；

通过将未知流量行为参数与所述安全模型进行对比和关联分析鉴定未知威胁和异常。

优选地，所述流量检测包括：检查IP包的格式是否正确，和/或检查IP包的协议是否异常，实现协议异常检测；

监测统计指标是否突然出现异常；所述统计指标包括网络流量的带宽、会话建立速度。

优选地，所述流量检测还包括：

检查数据包的IP地址，并且监测数据包的连接状态变化，建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话的状态；

基于特征的异常检测，包括实时针对异常流量与数据包内容进行检验与示警，并根据所做设置加以阻绝、丢弃或日志记录。

优选地，所述方法，还包括：根据管理员配置的安全基线，以及云中心下发的防御指令对网络流量进行实时过滤；

所述实时过滤包括对流量数据进行细粒度过滤，包括Web内容过滤、FTP内容过滤、病毒文件过滤、垃圾邮件过滤和恶意代码过滤。

由上可以看出，本发明通过对服务器等关键IT资产和用户等风险对象的大流量数据的统计分析和学习，例如：可以统计分析过去数月甚至数年的流量数据，统计出数十个流量安全参数，并分析各参数之间的相关性规律，从而构建安全基线模型。在实际攻击检测时，同样需要对当前流量数据进行实时多维分析，并持续跟踪各安全参数的演变趋势和相互影响，结合已建立的安全基线模型，就能够检测出潜在的网络异常行为。有些APT攻击可能持续数月，从短时间内的行为特征判断并无异常，但通过长时间持续跟踪，及各安全参数之间的相互影响波动，就能够比较容易地检测出这种极其复杂的持续性攻击行为。

附图说明

图1为本发明的基于云和本地平台的网络攻击防御装置在应用环境下的示意图；

图2为图1所示装置的本地平台的结构示意图；

图3为本发明的基于云和本地平台的网络攻击防御方法的流程图；

图4为“安全白环境”的方法流程图。

具体实施方式

本发明提供的基于云和本地平台的网络攻击防御装置和方法根据威胁情报技术和对网络流量的实时智能分析，并结合成熟的安全流量模型智能判断潜在的网络攻击。

网络攻击行为都有一定的模式，通过对服务器等关键IT资产和用户等风险对象的流量数据(如“连接数”、“包速率”、“会话新建速度”、“系统资源指数”等几十种参数)进行持续、实时监控和分析，并利用统计学分析、相关性分析、机器学习和智能模式识别等多种技术手段来检测网络行为中的异常模式，用于发现潜在的威胁和异常。

如图1所示，本发明提供的基于云和本地平台的网络攻击防御装置包括：

云中心，其用于收集威胁情报，对网络流量进行实时分析，并根据网络流量安全模型判断潜在的网络攻击并生成相关防御指令(安全指令)。

本地防御平台，其与所述云中心通过网络连接，用于实施网络流量检测，根据防御指令对检测出的存在威胁的流量进行访问控制。

所述本地防御平台包括十个子系统：UI子系统、管理子系统、监控子系统、报告子系统、ACL子系统、内容过滤子系统、网络子系统、tunnel子系统、虚拟子系统、HA子系统。具体架构如图2所示：

UI子系统

UI子系统是所述本地防御平台的人机交互界面，通过UI子系统，安全管理员可以结合企业实际情况，配置初始安全基线，并进行各种安全功能的人工配置和策略干预。该子系统包括Web界面、命令行界面、网络集中管理界面等模块。

管理子系统

管理子系统负责系统的自身维护和管理功能，包括系统设置、管理员账号、网络管理协议和系统升级维护等模块。

监控子系统

监控子系统负责企业网络中用户连接、重要链路、服务器等设备的状态监控。

报告子系统

报告子系统负责生成系统各工种安全报表，包括网络管理协议报告、流量报表、DDoS报表、会话报表、系统状态报表和日志统计报表等。

ACL子系统

ACL子系统是所述本地防御平台的核心子系统，负责对检测出而流量进行访问控制。它能够根据管理员配置的安全基线，以及云中心下发的安全指令对网络流量进行实时过滤。ACL子系统包括DDoS、流量控制、入侵防御、身份认证、智能协议识别和访问控制列表等模块。

区域、用户组、每用户三个层次的流量控制，均可实现对不同流向、不同服务协议(支持智能协议识别，可识别出采用非标准端口进行网络通讯的网络应用)以及总流量的细致控制。因此，通过综合运用这三个层次的流量控制功能，可完全实现对网络流量的精确、透明控制。

内容过滤子系统

内容过滤子系统负责对流量数据进行细粒度过滤，该子系统能够基于本地安全基线和云中心的安全指令自动过滤非法流量。内容过滤子系统包括Web内容过滤、FTP内容过滤、病毒文件过滤、垃圾邮件过滤和恶意代码过滤等模块。

网络子系统

网络子系统是iDefend Engine系统的基本子系统，主要功能是提供网络层功能，如数据交换、路由、IP配置等，包括路由、ARP、地址转换、IP防欺骗和接口IP地址配置等模块。

Tunnel子系统

Tunnel子系统是针对加密流量处理的一个子系统，充当网络加密协商代理，实现网络流量的加解密。该子系统包括IPsec、PPTP、SSL VPN模块。

虚拟子系统

虚拟系统是为了适应VLAN的环境和网络流量的安全隔离而设计的，包括VLAN模块和虚拟化安全系统模块。

HA子系统

HA子系统是高可用性子系统，用来在重要业务场景保障系统的高可靠性。包括状态同步、配置同步、负载均衡和命令同步等模块。

如图3所示，本发明提供的基于云和本地平台的网络攻击防御方法具体包括以下步骤：

步骤100：在云中心(云端或云平台)收集威胁情报，对网络流量进行实时分析，并根据网络流量安全模型判断潜在的网络攻击并生成相关防御指令(安全指令)。

在一些实施例中，对于网络流量实时统计可包括对历史网络流量的学习，结合如图4所示的“安全白环境”技术，生成网络流量安全基线，并根据时间和流量数据进行不断的智能学习和动态调整，形成自适应的网络流量安全模型。通过将未知流量行为参数与所述安全模型进行对比和关联分析鉴定未知威胁和异常。

步骤200：在本地防御平台实施网络流量检测，根据防御指令对检测出的存在威胁的流量进行访问控制。

在一些实施例中，上述流量检测可包括：

协议异常检测，包括检查IP包的格式是否正确，例如IP包的校验码是否正确、是否是错误分片。也包括对协议异常的IP包检查，例如源和目的IP相同的Land Attack攻击等。

源地址真实性验证。通常使用以下3种方法做源地址真实性验证：SYN Cookie、反向路径过滤、IP/MAC绑定。

统计异常检测和速率限制技术。攻击发生时，网络流量的带宽、会话建立速度等统计指标会突然出现异常，通过监测这些统计指标，可以比较有效的防范这种类型的攻击。

状态检测。不仅要考查数据包的IP地址等参数，并且要关心数据包的连接状态变化，建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话的状态。状态检测对每一个数据包的检查不仅根据规则表，还考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。

基于特征的异常检测。可实时针对异常流量与数据包内容进行检验与示警，并根据所做设置加以阻绝、丢弃或日志记录，从而有效预防可疑程序入侵企业内部网络，提高了信息传输的安全性，为企业网络的安全稳定运行提供保障。

此外，白名单用户可以避免限制，直接通过SYN Cookie检查以及ADL限制。黑名单用于直接封堵非法IP，或者是不允许访问的IP。

在一些实施例中，还可根据管理员配置的安全基线，以及云中心下发的防御指令对网络流量进行实时过滤。

所述实时过滤具体包括对流量数据进行细粒度过滤，即：基于本地安全基线和所述防御指令自动过滤非法流量，包括Web内容过滤、FTP内容过滤、病毒文件过滤、垃圾邮件过滤和恶意代码过滤等。

本发明方法通过整合各种开源和商业威胁情报信息，并进行二次深度分析，生成企业的安全数据仓库。参照该数据仓库，能够对被保护网络的所有流量和连接进行实时检测，并可以基于检测内容进行攻击路径回溯，同时生成防御指令，与用户现场的防御引擎设备联动，实时阻断攻击。世界任何地域已经和正在发生的攻击行为，都几乎可以同时在被保护网络有效识别并防御,做到了由点及面的主动快速防御。