[发明专利]基于威胁情报的智能安全防御平台

权利要求书

1.一种基于威胁情报的智能安全防御平台，包括安全智能云中心与部署在客户端的安全防护引擎，其特征在于，所述安全智能云中心设置有安全数据仓库，所述安全数据仓库通过整合多种开源和商业威胁情报信息，经过二次深度分析而生产；所述智能安全防御平台参考所述安全数据仓库，对被保护网络的所有流量和连接进行实时检索，并可以基于检索内容进行攻击路径回溯，同时生成防御指令，所述安全防护引擎接受防御指令，实时阻断攻击。

2.根据权利要求1所述的基于威胁情报的智能安全防御平台，其特征在于，所述安全防护引擎包括：

UI子系统，其用于配置初始安全基线；

管理子系统，其用于系统设置、管理员账号、网络管理协议和系统升级维护；

监控子系统，其用于企业网络中用户连接、重要链路、服务器设备的状态监控；

报告子系统，其用于生产系统各工种安全报表；

ACL子系统，其用于负责对检测出而流量进行访问控制；

内容过滤子系统，其用于负责对流量数据进行细粒度过滤；

网络子系统，其用于提供网络层功能；

tunnel子系统，其用于充当网络加密协商代理，实现网络流量的加解密；

虚拟子系统，其用于适应VLAN的环境和网络流量的安全隔离；

HA子系统，其用于在重要业务场景保障系统的高可靠性。

所述安全报表包括网络管理协议报告、流量报表、DDoS报表、会话报表、系统状态报表和日志统计报表。

3.根据权利要求2所述的基于威胁情报的智能安全防御平台，其特征在于，所述安全基线通过以下方法获得：所述安全智能云中心自动学习其内存储的历史网络流量数据，基于行为安全指数P，结合用户信息安全策略和业务特点构建，建立流量安全基线T0；

之后根据时间t和流量数据进行不断的智能学习和动态调整，形成自适应的流量安全基线：

T0(t)＝Ф[P10(t),P20(t),…Pn0(t)]

实时比对行为安全指数与所述安全基线，生成网络安全行为异常指数Δ(t):

Δ(t)＝T(t)-T0(t)

网络安全行为异常指数之间根据逻辑相关性进行加权计算，构建起一个系统性的流量安全模型S:

S(t)＝Ψ[Δ(t)]＝Ψ{Ф[P1(t),P2(t),…Pn(t)]-Ф[P10(t),P20(t),…Pn0(t)]}。

4.根据权利要求2所述的基于威胁情报的智能安全防御平台，其特征在于，所述UI子系统包括Web界面、命令行界面以及网络集中管理界面；操作人员根据企业实际情况进行配置初始安全基线。

5.根据权利要求2所述的基于威胁情报的智能安全防御平台，其特征在于，所述管理子系统包括系统设置、管理员账号、网络管理协议和系统升级维护模块；用于对安全防护引擎用户进行管理。

6.根据权利要求2所述的基于威胁情报的智能安全防御平台，其特征在于，所述监控子系统负责企业网络中用户连接、重要链路、服务器等设备的状态监控；并生成系统各工种安全报表，其包括网络管理协议报告、流量报表、DDoS报表、会话报表、系统状态报表和日志统计报表。

7.根据权利要求2所述的基于威胁情报的智能安全防御平台，其特征在于，所述ACL子系统英语根据管理员配置的安全基线，以及安全智能云中心下发的安全指令对网络流量进行实时过滤；所述ACL子系统包括DDoS、流量控制、入侵防御、身份认证、智能协议识别和访问控制列表模块。

8.根据权利要求2所述的基于威胁情报的智能安全防御平台，其特征在于，所述内容过滤子系统基于本地安全基线和安全智能云中心的安全指令自动过滤非法流量；所述内容过滤子系统包括Web内容过滤、FTP内容过滤、病毒文件过滤、垃圾邮件过滤和恶意代码过滤模块。