[发明专利]基于威胁情报的智能安全防御平台

说明书

技术领域

本发明涉及一种安全防御系统。更具体地，涉及一种基于威胁情报的智能安全防御平台。

背景技术

目前全球网络威胁有增无减，网络罪犯愈发趋于专业化，目的愈发商业化，行为愈发组织化，手段愈发多样化，背后的黑色产业链获利能力大幅提高，信息安全形势愈发严峻。尤其是近年来随着各行业信息化程度的进一步提高和两化融合的深度推进，关系国计民生、社会稳定和国家安全的重要行业，如金融、能源、政府、电信、大中型企业等对安全产品的需求进一步快速增长。同时，随着云计算、物联网、移动互联网、三网融合、手机支付等新技术新应用的快速发展，信息安全行业必将迎来新的爆发点。

此外，国际上围绕信息资源和互联网发展主控权的争夺愈演愈烈，发达国家争相出台网络空间发展战略，斯诺登事件更是彰显了信息安全已经上升到了国家安全战略高度。

发明内容

针对上述技术问题，本发明提供了一种基于威胁情报的智能安全防御平台，基于全息流量检测、威胁情报等技术，建立安全基线-智能检测-主动防御-自适应学习的智能安全防御闭环，对用户网络流量进行多维、实时的检测和统计分析，建立智能安全模型，可以基于网络行为异常来检测和防御网络中潜藏的复杂攻击，如分布式拒绝服务攻击(DDoS攻击)、高级可持续性攻击(APT攻击)、零日漏洞攻击(Zero-Day攻击)等，广泛应用于政府、军队、军工等涉密网络及金融、电信、企事业单位等商业网络，保障我国的网络安全。

本发明所述基于威胁情报的智能安全防御平台一种基于威胁情报的智能安全防御平台，包括安全智能云中心与部署在客户端的安全防护引擎，所述安全智能云中心设置有安全数据仓库，所述安全数据仓库通过整合多种开源和商业威胁情报信息，经过二次深度分析而生产；所述智能安全防御平台参考所述安全数据仓库，对被保护网络的所有流量和连接进行实时检索，并可以基于检索内容进行攻击路径回溯，同时生成防御指令，所述安全防护引擎接受防御指令，实时阻断攻击。

优选的是，所述安全防护引擎包括：

UI子系统，其用于配置初始安全基线；

管理子系统，其用于系统设置、管理员账号、网络管理协议和系统升级维护；

监控子系统，其用于企业网络中用户连接、重要链路、服务器设备的状态监控；

报告子系统，其用于生产系统各工种安全报表；

ACL子系统，其用于负责对检测出而流量进行访问控制；

内容过滤子系统，其用于负责对流量数据进行细粒度过滤；

网络子系统，其用于提供网络层功能；

tunnel子系统，其用于充当网络加密协商代理，实现网络流量的加解密；

虚拟子系统，其用于适应VLAN的环境和网络流量的安全隔离；

HA子系统，其用于在重要业务场景保障系统的高可靠性。

所述安全报表包括网络管理协议报告、流量报表、DDoS报表、会话报表、系统状态报表和日志统计报表。

优选的是，所述安全基线通过以下方法获得：所述安全智能云中心自动学习其内存储的历史网络流量数据，基于行为安全指数P，结合用户信息安全策略和业务特点构建，建立流量安全基线T0；

之后根据时间t和流量数据进行不断的智能学习和动态调整，形成自适应的流量安全基线：

T0(t)＝Ф[P10(t),P20(t),…Pn0(t)]

实时比对行为安全指数与所述安全基线，生成网络安全行为异常指数Δ(t):

Δ(t)＝T(t)-T0(t)

网络安全行为异常指数之间根据逻辑相关性进行加权计算，构建起一个系统性的流量安全模型S:

S(t)＝Ψ[Δ(t)]＝Ψ{Ф[P1(t),P2(t),…Pn(t)]-Ф[P10(t),P20(t),…Pn0(t)]}。

优选的是，所述UI子系统包括Web界面、命令行界面以及网络集中管理界面；操作人员根据企业实际情况进行配置初始安全基线。

优选的是，所述管理子系统包括系统设置、管理员账号、网络管理协议和系统升级维护模块；用于对安全防护引擎用户进行管理。

优选的是，所述监控子系统负责企业网络中用户连接、重要链路、服务器等设备的状态监控；并生成系统各工种安全报表，其包括网络管理协议报告、流量报表、DDoS报表、会话报表、系统状态报表和日志统计报表。