基于大数据分析的APT监测防御平台的监测防御系统的制作方法

本发明涉及网络安全监测领域，尤其是一种基于大数据分析的apt监测防御平台的监测防御系统。

背景技术：

在全球网络信息化程度高速发展的大背景下，具备隐蔽性、渗透性和针对性的高级持续性威胁（apt,advancedpersistentthreat）对各类高等级信息安全系统造成的威胁日益严重，针对特定目标的有组织的apt攻击日益增多国家、企业的网络信息系统和数据安全面临严峻挑战。例如，2008年中国长城网遭遇到美国国防部网络黑客的攻击渗透，被植入后门并窃取情报；2010年的“震网”。

经过多年的准备和潜伏，成功攻击了位于物理隔离内网中的工业控制系统，迟滞了伊朗的核计划；2011年的“夜龙行动”窃取了多个跨国能源巨头公司的高度敏感内部文件；2012年的超级病毒“火焰”成功获取了中东各国大量的机密信息。可以看出，apt攻击已经对各类关键信息基础设施安全造成巨大威胁，开展apt攻击防御工作刻不容缓。apt攻击防御工作中，攻击检测是安全防护和加固的前提和依据，也是apt攻击防御中最困难的部分，因此检测技术已成为当前apt攻击防御领域的研究热点。然而，从典型案例来看，apt攻击具有极强的隐蔽能力和针对性，传统的检测设备面对apt攻击大多束手无策。

技术实现要素：

本发明的目的在于克服现有技术的不足，提供一种基于大数据分析的apt监测防御平台的监测防御系统，实现对检测区域内的所有网络设备的数据采集，并将采集的证据数据进行关联分析判断出潜在的apt攻击威胁。

本发明的目的是通过以下技术方案来实现的：一种基于大数据分析的apt监测防御平台的监测防御系统，其特征在于：它包括总取证中心和多个分取证中心，所述的总取证中心和多个分取证中心都包括前端数据采集平台、大数据挖掘分析平台和结果表示平台；前端数据采集平台的数据输出端与大数据挖掘分析平台的输出输入端相连，大数据挖掘分析平台的数据输出端与结果表示平台的数据输入端相连。

进一步限定，所述的前端数据采集平台的主机探针与网络探针分别对监测区域内的所有网络设备的终端证据采集和网络证据采集。

进一步限定，所述的终端证据采集包括终端信息记录、进线程记录、外设设备记录、端口信息记录、三方软件记录、磁盘数据操作记录和注册表信息记录。

进一步限定，所述的网络证据采集包括远程控制协议分析、分光数据获取、网络设备远程配置协议分析、标准协议分析、非标准协议分析、用户定制协议分析和未知协议分析。

进一步限定，所述的大数据挖掘分析平台包括行为数据分析模块、知识库和证据保全模块。

进一步限定，所述的知识库包括用户信息备案库、用户安全需求库、威胁模型库、行为风险法律法规库、行为法规库和用户规章库。

进一步限定，所述的行为证据关联分析模块将采集到的数据进行关联分析。

进一步限定，所述的行为数据分析模块进行ip关联、用户关联、时间关联、类型关联和结构关联并做出主机操作行为、网络通信行为、业务行为和远程服务行为的行为类型判断。

进一步限定，所述的知识库包括用户基础信息备案、授权行为白名单、非授权行为黑名单、取证策略、证据记录、行为风险标准、国家法律法规和自身监测防御系统的系统配置。

进一步限定，所述的证据保全模块包括数据存储单元和法规化处理单元，所述的数据存储单元进行数据的存储，法规化处理单元将数据进行统一标示、统一字段和统一格式。

本发明的有益效果是：实现对检测区域内的所有网络设备的数据采集，并将采集的证据数据进行关联分析判断出潜在的apt攻击威胁，对网络通信过程进行过滤阻断具有信息流检测与报警。建立黑名单与白名单，对不同对象进行分级被的监测，最后将分析结果进行呈现，并与知识库信息参考进行对比使其准确度更高。

附图说明

图1为本发明系统框架图；图2为本发明取证系统部署示意图。

具体实施方式

下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

如图1所示，一种基于大数据分析的apt监测防御平台的监测防御系统，其特征在于：它包括总取证中心和多个分取证中心，所述的总取证中心和多个分取证中心都包括前端数据采集平台、大数据挖掘分析平台和结果表示平台；前端数据采集平台的数据输出端与大数据挖掘分析平台的输出输入端相连，大数据挖掘分析平台的数据输出端与结果表示平台的数据输入端相连。

进一步限定，所述的前端数据采集平台的主机探针与网络探针分别对监测区域内的所有网络设备的终端证据采集和网络证据采集。

进一步限定，所述的终端证据采集包括终端信息记录、进线程记录、外设设备记录、端口信息记录、三方软件记录、磁盘数据操作记录和注册表信息记录。

进一步限定，所述的网络证据采集包括远程控制协议分析、分光数据获取、网络设备远程配置协议分析、标准协议分析、非标准协议分析、用户定制协议分析和未知协议分析。

进一步限定，所述的大数据挖掘分析平台包括行为数据分析模块、知识库和证据保全模块。

进一步限定，所述的知识库包括用户信息备案库、用户安全需求库、威胁模型库、行为风险法律法规库、行为法规库和用户规章库。

进一步限定，所述的行为证据关联分析模块将采集到的数据进行关联分析。

进一步限定，所述的行为数据分析模块进行ip关联、用户关联、时间关联、类型关联和结构关联并做出主机操作行为、网络通信行为、业务行为和远程服务行为的行为类型判断。

进一步限定，所述的知识库包括用户基础信息备案、授权行为白名单、非授权行为黑名单、取证策略、证据记录、行为风险标准、国家法律法规和自身监测防御系统的系统配置。

进一步限定，所述的证据保全模块包括数据存储单元和法规化处理单元，所述的数据存储单元进行数据的存储，法规化处理单元将数据进行统一标示、统一字段和统一格式。

系统工作过程具体为：

知识库的取证策略库将取证策略发布给前端数据采集平台，前端数据采集平台所采集的对象宝库数据库服务器、通信中间服务器、业务中间服务器、业务系统服务器、网络通信设备、网络安全设备、业务终端主机和办公终端主机等。

知识库的用户基础信息备案库用户信息终端信息进行备案。

在采集时核对判断是否为知识库的授权行为白名单库包括，所述的授权行为白名单库包括：操作系统配置行为白名单、操作系统数据操作行为白名单、数据库配置行为白名单、数据库数据操作行为白名单、网络设备远程配置管理行为白名单、业务系统操作行为白名单和远程控制行为白名单。

在采集时核对判断是否为知识库的安全义务行为名单库，所述的安全义务行为名单库是根据行业安全业务需求制定相关应履行的责任行为的名单。

在采集时核对判断是否为知识库的禁止行为黑名单库，所述的禁止行为黑名单库是根据用户需求已经明确的禁止行为做出黑名单配置。

利用对所述监测区域内的所有用户进行证据采集，主机探针采集包括终端信息记录、进线程记录、外设设备记录、端口信息记录、三方软件记录、磁盘数据操作记录和注册表信息记录等终端数据；网络探针采集包括终端信息记录、进线程记录、外设设备记录、端口信息记录、三方软件记录、磁盘数据操作记录和注册表信息记录等网络证据。

数据采集完成后，知识库的行为风险标准库针对非授权行为产生的影响严重性进行分级。

系统配置管理库对取证系统内部的管理配置。包括系统用户管理、前端证据采集点认证等。

知识库的行为证据库对取证结果进行记录以供查询时使用。

行为数据分析模块进行ip关联、用户关联、时间关联、类型关联和结构关联并做出主机操作行为、网络通信行为、业务行为和远程服务行为的行为类型判断。

所述的证据保全模块包括数据存储单元和法规化处理单元，所述的数据存储单元进行数据的存储，法规化处理单元将数据进行统一标示、统一字段和统一格式。

结果表示平台主要是各类查询/管理终端。结果表示平台根据使用主体的需要，生成各类报表和分析报告。结果表示平台用友好的界面查询数据仓库内容，并实现会话重放，对各平台管理维护，如备份、删除等。并且操作员还可以调用知识库数据进行辅助分析。

如图2所示，一个在多个isp环境下基于主动防御的取证系统部署示意图。在isp建立分中心，每个分中心可以有自己的前端数据采集平台、大数据挖掘分析平台、结果表示平台。总中心（汇聚点）位于中心机房，汇聚点到各采集点可以采取xdsl或其它专线，为了保密，汇聚点到各采集点均采取私有线路，不通过internet。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的方法、系统和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本发明所揭露的方法、系统和模块，可以通过其它的方式实现。例如，以上所描述的实施例仅是示意性的，例如，所述模块的划分，可以仅仅是一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以说通过一些接口，系统或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述分立部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例的方案目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、制度存储器（read-onlymemory，rom）、随机存取存储器（randomaccessmemory，ram）、磁碟或者光盘等各种可以存储程序代码的介质

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。