[发明专利]一种应对网络威胁与攻击的一体化实时检测系统及方法

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种应对网络威胁与攻击的一体化实时检测系统及方法。

背景技术

随着网络技术的发展，各种网络信息安全问题越来越受到重视。现实网络环境中，面临多个方面的网络威胁与攻击，网络威胁与攻击行为通常分为：IDS（Intrusion Detection System，入侵检测系统）入侵，异常流量，敏感信息、恶意代码等几种类型。因而，针对不同类型的网络威胁与攻击，相应地出现了解决不同类型网络安全问题的多种检测或防御设备，但是，目前这些应对网络威胁的设备都是各自从不同的侧重点解决不同的问题。

随着网络安全问题的日益突出，人们更希望出现一种通过单一的设备就能实现所有网络威胁检测的方式。但从技术积累上来讲，很少有一家网络安全厂商可以涵盖所有的网络安全领域的每一个分支；同时，从设备实现角度上讲，即使存在一家全面的网络安全设备厂商，要想通过单一的设备进行全方位的威胁检测，但受制于目前的设备性能水平，也是不可能办到的。

即使有网络安全厂商在设备部署时，可以将多种设备部署到网络中，但按照现有检测技术检测得到的结果也是离散的，实质上检测结果之间内在的联系没有发掘出来。这就导致现有网络安全领域存在设备分散、检测结果彼此离散独立，无法关联起来综合应对网络威胁及攻击的问题。

发明内容

本发明所要解决的技术问题在于，提供一种应对网络威胁与攻击的一体化实时检测系统及方法，解决现有网络安全设备所存在的功能单一、分散布置且检测结果关联度不高的问题。

为了解决上述问题，本发明提出了一种应对网络威胁与攻击的一体化实时检测系统，该系统包括：

分流设备，用于接收来自网络交换机的镜像流量，并将所述镜像流量部分或全部转发至检测子系统；

检测子系统，用于对分流设备转发的流量进行接入检测，将检测出的安全事件发送至控制中心；

控制中心，用于接收检测子系统上报的安全事件，根据事件结果进行综合处理后，进行统一的关联和展示，还用于向检测子系统下发管理配置。

其中，所述分流设备是用于将镜像流量全部直接转发给检测子系统的以太网交换机，或者是对镜像流量进行基于五元组过滤的专用分流设备。

所述检测子系统，包括：IDS入侵检测子系统、异常流量检测子系统、恶意代码检测子系统、敏感信息检测子系统，各个功能的检测子系统并行地从所述分流设备接收流量并检测。

所述IDS入侵检测子系统，用于接收来自分流设备的流量，根据控制中心下发的安全策略进行入侵检测，将检测到的安全事件上报给控制中心；

所述异常流量检测子系统，用于接收来自分流设备的流量，进行异常流量检测，将检测到的安全事件上报给控制中心；

所述恶意代码检测子系统，用于接收来自分流设备的流量，进行恶意代码检测，将检测到的安全事件上报给控制中心；

所述敏感信息检测子系统，用于接收来自分流设备的流量，进行敏感信息检测，将检测到的安全事件上报给控制中心。

所述控制中心包括：配置管理模块，用于管理检测子系统的配置；智能关联模块，对检测子系统上报的安全事件进行智能关联，生成综合处理结果；统计报表模块，用于对上报的安全事件及智能关联得到的综合处理结果进行统计记录；实时显示模块，用于实施显示智能关联得到的综合处理结果以及检测子系统上报的安全事件。所述智能关联模块对检测子系统上报的安全事件进行智能关联，包括：根据多个安全事件发生的顺序，还原威胁及攻击发生序列。

本发明还提供一种应对网络威胁与攻击的一体化实时检测的方法，具体包括：

利用分流设备将来自网络交换机的镜像流量部分或全部转发至检测子系统；

通过检测子系统对分流设备转发的流量进行接入检测，将检测出的事件发送至控制中心；

通过控制中心接收检测子系统上报的安全事件，根据事件结果进行综合处理后，进行统一的关联和展示。

所述分流设备对镜像流量进行分流转发是进行筛选后部分转发，或者是直接全部转发。

所述检测子系统并行地利用IDS入侵检测子系统根据控制中心下发的安全策略进行入侵检测、利用异常流量检测子系统进行异常流量检测、利用恶意代码检测子系统进行恶意代码检测、利用敏感信息检测子系统进行敏感信息检测，各个功能检测子系统将检测到的安全事件上报至控制中心。