一种新型网络安全联动系统及方法
【技术领域】
[0001]本发明涉及互联网网络安全技术领域,尤其涉及一种新型的网络安全联动系统及方法。
【背景技术】
[0002]随着我国互联网行业的高速发展,企业的网络基础架构正在发生深刻的变革,虚拟化及移动技术的兴起扩展了安全防御的边界。新形态的APT攻击,利用应用系统和移动终端中的漏洞,隐蔽的发起入侵,用户的生产网络和核心数据面临严重的安全风险。随着网络攻击的演进,APT攻击者不再使用单一的攻击手段,而采用多种攻击手段相结合的方式进行渗透。
[0003]单独部署的防火墙,其威胁误检出率比较高,在威胁的持续监控和未知威胁识别上功能较弱。而传统的威胁检测工具主要基于特征扫描技术,只能检测出已知威胁;另外在系统的防御体系中威胁发现设备和防火墙之间缺乏紧密联动,只能通过人工方式对威胁进行有限的处理,既消耗大量时间和人力资源,又无法在发现威胁的第一时间对系统进行保护。
【发明内容】
[0004]针对上述技术问题,本发明的目的在于提供一种新型网络安全联动系统及方法,具有全面的攻击阻载能力,能够自动识别威胁并进行处理,实时侦测和防御多种已知威胁和未知威胁。
[0005]为达此目的,本发明采用以下技术方案:
一种新型网络安全联动系统,包括威胁发现设备和下一代防火墙,所述威胁发现设备和下一代防火墙通过通信实现联动;所述威胁发现设备用于监测和分析所有的流量数据和事件,识别可疑的通信和隐蔽的攻击行为,对威胁源进行评级,生成威胁IP地址/域名数据;所述下一代防火墙用于定期同步威胁发现设备的威胁IP地址/域名数据,动态更新全局黑名单,对来自威胁源的攻击进行实时阻拦。
[0006]本发明还公开了一种新型网络安全联动方法,包括如下步骤:
A、威胁发现设备通过联动获取下一代防火墙的流量数据;
B、威胁发现设备分析流量数据,识别威胁;
C、下一代防火墙通过联动许同步威胁发现设备的威胁数据;
D、下一代防火墙阻止威胁。
[0007]特别地,所述新型网络安全联动方法,还包括步骤E:下一代防火墙以图形报表方式将威胁信息呈现给用户。
[0008]本发明提出的一种新型网络安全联动系统及方法,通过下一代防火墙和威胁发现设备的联动,实现了威胁识别、威胁预警、威胁阻止的自动处理,在发现未知威胁的第一时间对其进行拦截,保护用户核心系统和私有数据的安全,有效保障了用户业务的连续性。
【附图说明】
[0009]
图1是本发明实施例提供的新型网络安全联动系统应用于互联网的结构框图。
[0010]图2是本发明实施例提供的新型网络安全联动方法的流程图。
【具体实施方式】
[0011]下面结合附图和实施例对本发明作进一步说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容,除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
[0012]实施例一
请参照图1所示,图1为本发明实施例提供的新型网络安全联动系统应用于互联网的结构框图。
[0013]本实施例中,新型网络安全联动系统包括威胁发现设备和下一代防火墙。
[0014]所述威胁发现设备实时分析从网络层到应用层的80种以上的协议流量,清晰可见来自多种作业平台的可以活动,基于网络内容分析、异常行为侦测、多协议关联分析和沙盒动态分析等技术,快速精确的定位高危节点和攻击形态,对未知威胁及时预警。同时,威胁发现设备集成趋势科技“云安全”技术,可全面支持检测2-7层的恶意威胁,以识别和应对下一代网络威胁。可检测基于Web威胁或邮件内容的攻击,如Web攻击、跨站点脚本攻击和网络钓鱼,利用网络内容检测技术侦测网络流量以及趋势科技病毒扫描引擎对其进行内容分析,并采用在网络交换机上使用端口扫描并以创建网络数据包的镜像方式进行内容检查,确保网络服务不会被中断。
[0015]所述下一代防火墙在威胁发现设备识别未知设备后,自动同步分析结果,动态更新全局黑名单,对来自威胁元的攻击进行实时阻拦,下一代防火墙基于角色和深度应用识别的多核安全架构,具备大吞吐特性,可为用户提供2-7层全面的威胁过滤,可防范DOS/DDOS的攻击,各种FLOOD攻击、SQL注入、跨站脚本XSS等网络攻击,同时支持实施攻击源阻断,全局黑名单和WEB访问控制等多种威胁防御功能。同时,下一代防火墙基于全并行软硬件架构实现的“一次解包、并行检测”,可精确识别数千种网络应用,并提供详尽的应用风险分析和灵活的策略管控,结合用户识别、内容识别,为用户提供可视化及精细化的应用安全管理,有效保护用户网络健康及安全。
[0016]所述威胁发现设备和下一代防火墙通过通信实现联动,整合成为高级威胁防御平台;威胁发现设备能够快速精确地识别未知威胁,通过联动同步更新下一代防火墙的安全策略;下一代防火墙的防御能力得到了加强,能够更准确地对未知威胁实施阻截;同时,能够应对大流量的网络攻击,通过联动弥补威胁发现设备欠缺威胁处理的不足。所述高级威胁防御平台不仅可以提供图形界面配置联动规则,也可以以图形报表方式呈现威胁类型、威胁源地址、攻击频率、拦截日志等信息。能够有效防御恶意软件、Botent攻击、C&C攻击及APT攻击等多种威胁,为用户的核心网络提供全面的安全保护。
[0017]请参照图2所示,图2为本发明实施例提供的新型网络安全联动方法流程图。
[0018]本实施例中,新型网络安全联动方法具体包括:
S101、威胁发现设备通过联动获取下一代防火墙的流量数据。
[0019]威胁发现设备和下一代防火墙通过API接口的通信实现设备联动,威胁发现设备获得联动许可后,以镜像流量方式获取下一代防火墙的流量数据。
[0020]S102、威胁发现设备分析流量数据,识别威胁。
[0021]威胁发现设备监测和分析所有的流量数据和事件,识别可疑的通信和隐蔽的攻击行为,对威胁源进行评级,生成威胁IP地址/域名数据。
[0022]S103、下一代防火墙通过联动同步威胁发现设备的威胁数据。
[0023]下一代防火墙获得联动许可,定期同步威胁发现设备的威胁IP地址/域名数据。
[0024]S104、下一代防火墙阻止威胁。
[0025]下一代防火墙将威胁发现设备的威胁IP地址/域名数据添加到本地的黑名单中,并实时阻止来自这些危险源的攻击数据包。
[0026]S105、下一代防火墙以图形报表方式将威胁信息呈现给用户。
[0027]下一代防火墙以图形报表方式将威胁类型、威胁添加地址、攻击频率和拦截日志等信息呈现给用户。
[0028]本发明的技术方案,通过威胁发现设备和下一代防火墙联动,建立了高级威胁防御平台,充分发挥威胁发现设备和下一代防火墙各自的优势,实现了威胁识别、威胁预警、威胁阻止的自动处理,在发现未知威胁的第一时间对其进行拦截,保护用户核心系统和私有数据的安全,有效保障了用户业务的连续性。
[0029]注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
【主权项】
1.一种新型网络安全联动系统,其特征在于,包括威胁发现设备和下一代防火墙,所述威胁发现设备和下一代防火墙通过通信实现联动;所述威胁发现设备用于监测和分析所有的流量数据和事件,识别可疑的通信和隐蔽的攻击行为,对威胁源进行评级,生成威胁IP地址/域名数据;所述下一代防火墙用于定期同步威胁发现设备的威胁IP地址/域名数据,动态更新全局黑名单,对来自威胁源的攻击进行实时阻拦。2.—种新型网络安全联动方法,其特征在于,包括如下步骤: A、威胁发现设备通过联动获取下一代防火墙的流量数据; B、威胁发现设备分析流量数据,识别威胁; C、下一代防火墙通过联动许同步威胁发现设备的威胁数据; D、下一代防火墙阻止威胁。3.根据权利要求2所述的新型网络安全联动方法,其特征在于,还包括步骤E:下一代防火墙以图形报表方式将威胁信息呈现给用户。
【专利摘要】本发明公开了一种新型网络安全联动系统及方法,包括威胁发现设备和下一代防火墙,所述威胁发现设备监测和分析所有的流量数据和事件,识别可疑的通信和隐蔽的攻击行为,对威胁源进行评级,生成威胁IP地址/域名数据;所述下一代防火墙定期同步威胁发现设备的威胁IP地址/域名数据,动态更新全局黑名单,对来自威胁源的攻击进行实时阻拦。本发明中威胁发现设备和下一代防火墙联动,建立了高级威胁防御平台,能够充分发挥威胁发现设备和下一代防火墙各自的优势,实现威胁识别、威胁预警、威胁阻止的自动处理,在发现未知威胁的第一时间对其进行拦截,保护用户核心系统和私有数据的安全,有效保障了用户业务的连续性。
【IPC分类】H04L29/06
【公开号】CN105553958
【申请号】CN201510910432
【发明人】王电钢, 黄昆, 李静, 刘萧
【申请人】国网四川省电力公司信息通信公司, 国家电网公司
【公开日】2016年5月4日
【申请日】2015年12月10日