[发明专利]双向机顶盒入侵检测系统及其检测方法

权利要求书

1.一种双向机顶盒入侵检测方法，其特征在于：包含如下步骤：

步骤1.前端子系统对出/入OLT上游双向链路的双向流量进行筛选采集，剔除已知确定无危害的流量数据，采集剩余的可疑流量数据并传输至后端子系统；

步骤2.后端子系统根据接收到的可疑流 量数据判定是否包含已知威胁特征，若包含，则根据已知安全威胁库对接收到的可疑流量数据进行安全威胁检测并清除，否则，通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测，并对检测出的安全威胁进行特征分析，将分析结果加入已知安全威胁库中；还包含广电网回传流量检测，所述广电网回传流量检测具体包含如下内容：对用户流量进行检测，是否有大规模流量回传，如果没有，则判定属于正常行为，如果有，则检测大规模流量回传的时间是否为约定的时间节点，若是，则判定属于正常流量回传行为，否则，判定为入侵行为，并对入侵行为采取入侵响应。

2.根据权利要求1所述的双向机顶盒入侵检测方法，其特征在于：所述步骤1具体包含如下步骤：

步骤1.1.根据广电网流量的特点判断出/入OLT上游双向链路的双向流量是否是已知合法音视频内容，若是，则剔除，否则进行下一步，则判定为可疑流量数据；

步骤1.2.对可疑流量数据进行采集；

步骤1.3.将采集到的可疑流量数据传输至后端子系统进行分析处理；

步骤1.4.后端子系统分析通过分析判定该可疑流量数据是否为攻击流量数据，若是，则进行下一步，否则，剔除；

步骤1.5.通过后端子系统对数据分析处理后，前端子系统发送响应处理命令，进入步骤1.6；

步骤1.6.根据响应命令，前端子系统对该攻击流量数据做出相应处理。

3.根据权利要求1所述的双向机顶盒入侵检测方法，其特征在于：所述步骤2具体包含如下步骤：

步骤2.1.接收可疑流量数据，将该可疑流量数据传输至安全检测模块；

步骤2.2.安全检测模块通过比对已知安全威胁特征库，判断可疑流量数据是否存在已知安全威胁，若存在，则向前端子系统发送异常处理指令，否则，进入下一步骤2.3；

步骤2.3.根据大数据关联分析方法检测可疑流量数据，判断可疑流量数据是否存在未知安全威胁，若存在，则向前端子系统发送异常处理指令，否则，执行步骤2.4；

步骤2.4.将检测完的可疑流量数据传送到相应光线路终端。

4.根据权利要求1所述的双向机顶盒入侵检测方法，其特征在于：所述步骤2中通过统计行为特征并根据大数据关联分析方法对该可疑流量数据进行安全威胁检测，并对检测出的安全威胁进行特征分析，具体包含如下步骤：步骤（1）从受保护的业务系统中取出用户历史数据，将历史数据进行转换得到供双向机顶盒入侵检测系统使用的对应数据；步骤（2）根据转换得到的对应数据生成用户正常行为规范模型，根据网络安全技术在双向机顶盒入侵检测系统中生成用户正常行为规范，用于作为检测用户当前行为是否为正常行为的标准；步骤（3）检测用户当前行为，从受保护的业务系统中提取需要进行检测的用户的当前行为数据，根据步骤（2）中生成的用户正常行为规范，进行检测对比分析，若当前行为数据与正常行为数据的差别大于规定阈值，则判定用户当前行为异常，有安全风险，双向机顶盒入侵检测系统发出被非法入侵的安全警报；若当前行为数据符合正常行为数据规范，则判定用户当前行为为正常行为；步骤（4）从受保护的业务系统中取出用户当前行为数据，将用户当前行为数据通过算法转换，供双向机顶盒入侵检测系统管理员进行数据分析；步骤（5）将当前用户行为数据转为用户历史数据，供后续用户行为检测分析使用。