基于威胁情报的智能安全防御平台的制作方法

本发明涉及一种安全防御系统。更具体地，涉及一种基于威胁情报的智能安全防御平台。

背景技术：

目前全球网络威胁有增无减，网络罪犯愈发趋于专业化，目的愈发商业化，行为愈发组织化，手段愈发多样化，背后的黑色产业链获利能力大幅提高，信息安全形势愈发严峻。尤其是近年来随着各行业信息化程度的进一步提高和两化融合的深度推进，关系国计民生、社会稳定和国家安全的重要行业，如金融、能源、政府、电信、大中型企业等对安全产品的需求进一步快速增长。同时，随着云计算、物联网、移动互联网、三网融合、手机支付等新技术新应用的快速发展，信息安全行业必将迎来新的爆发点。

此外，国际上围绕信息资源和互联网发展主控权的争夺愈演愈烈，发达国家争相出台网络空间发展战略，斯诺登事件更是彰显了信息安全已经上升到了国家安全战略高度。

技术实现要素：

针对上述技术问题，本发明提供了一种基于威胁情报的智能安全防御平台，基于全息流量检测、威胁情报等技术，建立安全基线-智能检测-主动防御-自适应学习的智能安全防御闭环，对用户网络流量进行多维、实时的检测和统计分析，建立智能安全模型，可以基于网络行为异常来检测和防御网络中潜藏的复杂攻击，如分布式拒绝服务攻击(ddos攻击)、高级可持续性攻击(apt攻击)、零日漏洞攻击(zero-day攻击)等，广泛应用于政府、军队、军工等涉密网络及金融、电信、企事业单位等商业网络，保障我国的网络安全。

本发明所述基于威胁情报的智能安全防御平台一种基于威胁情报的智能安全防御平台，包括安全智能云中心与部署在客户端的安全防护引擎，所述安全智能云中心设置有安全数据仓库，所述安全数据仓库通过整合多种开源和商业威胁情报信息，经过二次深度分析而生产；所述智能安全防御平台参考所述安全数据仓库，对被保护网络的所有流量和连接进行实时检索，并可以基于检索内容进行攻击路径回溯，同时生成防御指令，所述安全防护引擎接受防御指令，实时阻断攻击。

优选的是，所述安全防护引擎包括：

ui子系统，其用于配置初始安全基线；

管理子系统，其用于系统设置、管理员账号、网络管理协议和系统升级维护；

监控子系统，其用于企业网络中用户连接、重要链路、服务器设备的状态监控；

报告子系统，其用于生产系统各工种安全报表；

acl子系统，其用于负责对检测出而流量进行访问控制；

内容过滤子系统，其用于负责对流量数据进行细粒度过滤；

网络子系统，其用于提供网络层功能；

tunnel子系统，其用于充当网络加密协商代理，实现网络流量的加解密；

虚拟子系统，其用于适应vlan的环境和网络流量的安全隔离；

ha子系统，其用于在重要业务场景保障系统的高可靠性。

所述安全报表包括网络管理协议报告、流量报表、ddos报表、会话报表、系统状态报表和日志统计报表。

优选的是，所述安全基线通过以下方法获得：所述安全智能云中心自动学习其内存储的历史网络流量数据，基于行为安全指数p，结合用户信息安全策略和业务特点构建，建立流量安全基线t0；

之后根据时间t和流量数据进行不断的智能学习和动态调整，形成自适应的流量安全基线：

t0(t)＝ф[p10(t),p20(t),…pn0(t)]

实时比对行为安全指数与所述安全基线，生成网络安全行为异常指数δ(t):

δ(t)＝t(t)-t0(t)

网络安全行为异常指数之间根据逻辑相关性进行加权计算，构建起一个系统性的流量安全模型s:

s(t)＝ψ[δ(t)]＝ψ{ф[p1(t),p2(t),…pn(t)]-ф[p10(t),p20(t),…pn0(t)]}。

优选的是，所述ui子系统包括web界面、命令行界面以及网络集中管理界面；操作人员根据企业实际情况进行配置初始安全基线。

优选的是，所述管理子系统包括系统设置、管理员账号、网络管理协议和系统升级维护模块；用于对安全防护引擎用户进行管理。

优选的是，所述监控子系统负责企业网络中用户连接、重要链路、服务器等设备的状态监控；并生成系统各工种安全报表，其包括网络管理协议报告、流量报表、ddos报表、会话报表、系统状态报表和日志统计报表。

优选的是，所述acl子系统英语根据管理员配置的安全基线，以及安全智能云中心下发的安全指令对网络流量进行实时过滤；所述acl子系统包括ddos、流量控制、入侵防御、身份认证、智能协议识别和访问控制列表模块。

优选的是，所述内容过滤子系统基于本地安全基线和安全智能云中心的安全指令自动过滤非法流量；所述内容过滤子系统包括web内容过滤、ftp内容过滤、病毒文件过滤、垃圾邮件过滤和恶意代码过滤模块。

本发明通过专业安全分析团队，以及整合各种开源和商业威胁情报信息，并进行二次深度分析，生成企业的安全数据仓库。智能安全防御平台参照该数据仓库，能够对被保护网络的所有流量和连接进行实时检索，并可以基于检索内容进行攻击路径回溯，同时生成防御指令，与用户现场的防御引擎设备联动，实时阻断攻击。世界任何地域已经和正在发生的攻击行为，都几乎可以同时在被保护网络有效识别并防御,做到了由点及面的主动快速防御。

通过安全智能云中心与部署在客户端的新一代安全防护引擎实时联动，基于全息流量检测、威胁情报等技术，建立安全基线-智能检测-主动防御-自适应学习的智能安全防御闭环，对用户网络流量进行多维、实时的检测和统计分析，建立智能安全模型，可以基于网络行为异常来检测和防御网络中潜藏的复杂攻击，如分布式拒绝服务攻击(ddos攻击)、高级可持续性攻击(apt攻击)、零日漏洞攻击(zero-day攻击)等。

附图说明

图1为本发明的安全防护引擎的结构示意图；

图2为本发明所述网络流量实时统计时的界面截图；

图3为本发明所述创新流标签和快速转发技术架构示意图。

具体实施方式

下面对本发明做进一步的详细说明，以令本领域技术人员参照说明书文字能够据以实施。

应当理解，本文所使用的诸如“具有”、“包含”以及“包括”术语并不配出一个或多个其它元件或其组合的存在或添加。

本发明所述基于威胁情报的智能安全防御平台一种基于威胁情报的智能安全防御平台，包括安全智能云中心与部署在客户端的安全防护引擎，所述安全智能云中心设置有安全数据仓库，所述安全数据仓库通过整合多种开源和商业威胁情报信息，经过二次深度分析而生产；所述智能安全防御平台参考所述安全数据仓库，对被保护网络的所有流量和连接进行实时检索，并可以基于检索内容进行攻击路径回溯，同时生成防御指令，所述安全防护引擎接受防御指令，实时阻断攻击。本发明利用hadoop平台和json接口，整合5个以上开源和商用威胁情报源，形成自己的安全数据仓库，并通过深度设局挖掘，形成自有安全威胁情报中心。所述安全智能云中心能够自动接收和检测外部的安全数据样本，并实时形成安全指令，通过自有的安全联动api接口向安全防护引擎设备下发。所述安全防护引擎具备下一代防火墙、入侵检测与防御、全息流量大数据统计、ddos防护、流量控制、安全审计与可视化监控功能，同时通过安全api接口实现与idefendcloud的无缝连接，实时上传安全数据样本、接收并执行安全指令。通过机器挖掘、人工分析、开源情报等多种方式，形成具有国际水平的威胁情报数据库，每日均能批量产出高精度、有丰富上下文以指导行动的威胁情报。综合威胁情报和大数据机器分析两种检测技术，同时提供实时检测及回溯检测机制，实现强大的失陷主机检测能力，及时发现企业被外部渗透的问题。所述安全智能云中心利用流量统计分析模块，对历史网络流量进行自动学习，生成网络流量安全基线。在实际使用中，能够持续实时检测和统计网络流量的行为参数，以便借助网络流量安全模型得出网络行为异常参数。

在其中一个实施例中，如图1所示，所述安全防护引擎包括：

ui子系统，其用于配置初始安全基线；

管理子系统，其用于系统设置、管理员账号、网络管理协议和系统升级维护；

监控子系统，其用于企业网络中用户连接、重要链路、服务器设备的状态监控；

报告子系统，其用于生产系统各工种安全报表；

acl子系统，其用于负责对检测出而流量进行访问控制；

内容过滤子系统，其用于负责对流量数据进行细粒度过滤；

网络子系统，其用于提供网络层功能；

tunnel子系统，其用于充当网络加密协商代理，实现网络流量的加解密；

虚拟子系统，其用于适应vlan的环境和网络流量的安全隔离；

ha子系统，其用于在重要业务场景保障系统的高可靠性。

所述安全报表包括网络管理协议报告、流量报表、ddos报表、会话报表、系统状态报表和日志统计报表。

在其中一个实施例中，如图2所示，所述安全基线通过以下方法获得：所述安全智能云中心自动学习其内存储的历史网络流量数据，基于行为安全指数p，结合用户信息安全策略和业务特点构建，建立流量安全基线t0；

之后根据时间t和流量数据进行不断的智能学习和动态调整，形成自适应的流量安全基线：

t0(t)＝ф[p10(t),p20(t),…pn0(t)]

实时比对行为安全指数与所述安全基线，生成网络安全行为异常指数δ(t):

δ(t)＝t(t)-t0(t)

网络安全行为异常指数之间根据逻辑相关性进行加权计算，构建起一个系统性的流量安全模型s:

s(t)＝ψ[δ(t)]＝ψ{ф[p1(t),p2(t),…pn(t)]-ф[p10(t),p20(t),…pn0(t)]}。

在其中一个实施例中，所述ui子系统包括web界面、命令行界面以及网络集中管理界面；操作人员根据企业实际情况进行配置初始安全基线。

在其中一个实施例中，所述管理子系统包括系统设置、管理员账号、网络管理协议和系统升级维护模块；用于对安全防护引擎用户进行管理。

在其中一个实施例中，所述监控子系统负责企业网络中用户连接、重要链路、服务器等设备的状态监控；并生成系统各工种安全报表，其包括网络管理协议报告、流量报表、ddos报表、会话报表、系统状态报表和日志统计报表。

在其中一个实施例中，所述acl子系统英语根据管理员配置的安全基线，以及安全智能云中心下发的安全指令对网络流量进行实时过滤；所述acl子系统包括ddos、流量控制、入侵防御、身份认证、智能协议识别和访问控制列表模块。

在其中一个实施例中，所述内容过滤子系统基于本地安全基线和安全智能云中心的安全指令自动过滤非法流量；所述内容过滤子系统包括web内容过滤、ftp内容过滤、病毒文件过滤、垃圾邮件过滤和恶意代码过滤模块。

本发明所述基于威胁情报的智能安全防御平台，结合威胁情报技术和对网络流量的实时智能分析，并结合成熟的安全流量模型智能判断潜在的网络攻击，主要包括：

a、协议异常检测技术

协议异常检查，包括检查ip包的格式是否正确，例如ip包的校验码是否正确、是否是错误分片。也包括对协议异常的ip包检查，例如源和目的ip相同的landattack攻击等。

b、源地址真实性验证技术

3种方法做源地址真实性验证：syncookie、反向路径过滤、ip/mac绑定。

c、黑白名单技术

白名单用户可以避免限制，直接通过syncookie检查以及adl限制。黑名单用于直接封堵非法ip，或者是不允许访问的ip。

d、统计异常检测和速率限制技术

攻击发生时，网络流量的带宽、会话建立速度等统计指标会突然出现异常，通过监测这些统计指标并对攻击流量进行速率限制，可以比较有效的防范这种类型的攻击。

e、访问控制技术

基于状态检测的防火墙模块可以对进出的流量做访问控制。状态检测防火墙不仅要考查数据包的ip地址等参数，并且要关心数据包的连接状态变化，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话的状态。状态检测对每一个数据包的检查不仅根据规则表，还考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。

f、基于特征的异常检测技术

可实时针对异常流量与数据包内容进行检验与示警，并根据所做设置加以阻绝、丢弃或日志记录，从而有效预防可疑程序入侵企业内部网络，提高了信息传输的安全性，为企业网络的安全稳定运行提供保障。

g、流量管理技术

通过综合运用这三个层次的流量控制功能，可完全实现对网络流量的精确、透明控制。

h、网络流量实时统计分析技术

如图2所示，流量统计分析系统对历史网络流量进行自动学习，生成网络流量安全基线。在实际使用中，能够持续实时检测和统计网络流量的行为参数，以便借助网络流量安全模型得出网络行为异常参数。并在界面上显示。

i、智能行为检测和分析技术

网络攻击行为都有一定的模式，通过对服务器等关键it资产和用户等风险对象的流量数据(如“连接数”、“包速率”、“会话新建速度”、“系统资源指数”等几十种参数)进行持续、实时监控和分析，并利用统计学分析、相关性分析、机器学习和智能模式识别等多种技术手段来检测网络行为中的异常模式，用于发现潜在的威胁和异常。

j、自适应流量安全模型

该产品通过自动学习历史流量数据，结合“安全白环境”技术，生成网络流量的安全基线，并根据时间和流量数据进行不断的智能学习和动态调整，形成自适应的流量安全模型。通过将未知流量行为参数与安全模型进行对比和关联分析鉴定未知威胁和异常。

k、创新流标签和快速转发技术架构

如图3所示，本发明将业务数据通道细分为首包处理通道和快速转发通道，基于创新的会话标签技术和快速转发技术，该产品能够大大提高数据流的检测和转发效率，尤其是对于应用层流量，只需要对少量数据包进行深度协议识别和安全检测，后续流量会基于会话标记直接进行快速转发，应用层处理能力得到了极大提高。

另外，管理数据通道和业务数据通道是彼此分离的，产品管理数据和业务转发数据互不干扰，这与一般的安全产品的设计不同，从而保证了产品在使用中的转发效率和管理可靠性。

尽管本发明的实施方案已公开如上，但其并不仅仅限于说明书和实施方式中所列运用，它完全可以被适用于各种适合本发明的领域，对于熟悉本领域的人员而言，可容易地实现另外的修改，因此在不背离权利要求及等同范围所限定的一般概念下，本发明并不限于特定的细节和这里示出与描述的图例。