[发明专利]一种应对网络威胁与攻击的一体化实时检测系统及方法

权利要求书

1.一种应对网络威胁与攻击的一体化实时检测系统，其特征在于，包括：

分流设备，用于接收来自网络交换机的镜像流量，并将所述镜像流量部分或全部转发至检测子系统；

检测子系统，用于对分流设备转发的流量进行接入检测，将检测出的安全事件发送至控制中心；

控制中心，用于接收检测子系统上报的安全事件，根据事件结果进行综合处理后，进行统一的关联和展示，还用于向检测子系统下发管理配置。

2.如权利要求1所述的一体化实时检测系统，其特征在于，

所述分流设备是用于将镜像流量全部直接转发给检测子系统的以太网交换机，或者是对镜像流量进行基于五元组过滤的专用分流设备。

3.如权利要求1所述的一体化实时检测系统，其特征在于，所述检测子系统，包括：IDS入侵检测子系统、异常流量检测子系统、恶意代码检测子系统、敏感信息检测子系统，各个功能的检测子系统并行地从所述分流设备接收流量并检测。

4.如权利要求3所述的一体化实时检测系统，其特征在于：

所述IDS入侵检测子系统，用于接收来自分流设备的流量，根据控制中心下发的安全策略进行入侵检测，将检测到的安全事件上报给控制中心；

所述异常流量检测子系统，用于接收来自分流设备的流量，进行异常流量检测，将检测到的安全事件上报给控制中心；

所述恶意代码检测子系统，用于接收来自分流设备的流量，进行恶意代码检测，将检测到的安全事件上报给控制中心；

所述敏感信息检测子系统，用于接收来自分流设备的流量，进行敏感信息检测，将检测到的安全事件上报给控制中心。

5.如权利要求1或4所述的一体化实时检测系统，其特征在于：所述控制中心包括：

配置管理模块，用于管理检测子系统的配置；

智能关联模块，对检测子系统上报的安全事件进行智能关联，生成综合处理结果；

统计报表模块，用于对上报的安全事件及智能关联得到的综合处理结果进行统计记录；

实时显示模块，用于实施显示智能关联得到的综合处理结果以及检测子系统上报的安全事件。

6.如权利要求5所述的一体化实时检测系统，其特征在于：

所述智能关联模块对检测子系统上报的安全事件进行智能关联，包括：根据多个安全事件发生的顺序，还原威胁及攻击发生序列。

7.一种应对网络威胁与攻击的一体化实时检测的方法，其特征在于，包括：

利用分流设备将来自网络交换机的镜像流量部分或全部转发至检测子系统；

通过检测子系统对分流设备转发的流量进行接入检测，将检测出的事件发送至控制中心；

通过控制中心接收检测子系统上报的安全事件，根据事件结果进行综合处理后，进行统一的关联和展示。

8.如权利要求7所述的一体化实时检测的方法，其特征在于，

所述分流设备对镜像流量进行分流转发是进行筛选后部分转发，或者是直接全部转发。

9.如权利要求7所述的一体化实时检测的方法，其特征在于，所述检测子系统并行地利用IDS入侵检测子系统根据控制中心下发的安全策略进行入侵检测、利用异常流量检测子系统进行异常流量检测、利用恶意代码检测子系统进行恶意代码检测、利用敏感信息检测子系统进行敏感信息检测，各个功能检测子系统将检测到的安全事件上报至控制中心。

10.如权利要求7所述的一体化实时检测的方法，其特征在于，

所述控制中心对接收到的安全事件进行智能关联，并对关联结果及上报的安全事件进行实时显示和统计记录，其中：

所述对接受到的安全事件进行智能关联，包括：根据多个安全事件发生的顺序，还原威胁及攻击发生序列。