[发明专利]一种网络安全防护方法和网络安全防护系统

权利要求书

1.一种网络安全防护方法，其特征在于，包括：

获取多维度数据；

对获取到的所述多维度数据进行预处理，生成待分析数据；

对所述待分析数据进行分析并生成预警报告，所述预警报告用于预告威胁；

对所述待分析数据分析并生成预警报告至少包括：态势感知、实时分析预警或网络入侵攻击路径及威胁溯源分析；

所述态势感知包括使用机器学习从所述待分析数据中提取正常网络状态下的流量上限，根据所述流量上限从所述待分析数据中划分出信任的流量数据，根据所述信任的流量数据建立流量评估模型，根据所述流量评估模型评估网络流量，如果监测到异常流量则生成所述预警报告；

所述实时分析预警用于对所述待分析数据中的异常数据进行预警。

2.根据权利要求1所述的网络安全防护方法，其特征在于，所述使用机器学习从所述待分析数据中提取正常网络状态下的流量上限包括记录网络的流量变化特征，根据所述流量变化特征进行基础数据建模；所述根据所述信任的流量数据建立流量评估模型包括设置时间点，针对不同时间点下的所述信任的流量数据进行学习建模。

3.根据权利要求1所述的网络安全防护方法，其特征在于，所述态势感知还包括蠕虫态势感知、木马态势感知；使用防病毒引擎监控网络流量，从而发现蠕虫病毒或木马；使用所述防病毒引擎监控蠕虫态势和木马态势。

4.根据权利要求1所述的网络安全防护方法，其特征在于，所述态势感知还包括APT攻击态势感知，所述APT攻击态势感知包括部署未知威胁态势感知传感器，利用所述未知威胁态势传感器检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知恶意软件；至少利用应用层即文件层解码、智能ShellCode检测、动态沙箱检检测或基于漏洞的静态检测对未知威胁感知和检测。

5.根据权利要求1所述的网络安全防护方法，其特征在于，所述态势感知还包括入侵意图识别，所述入侵意图识别包括利用动态贝叶斯网络模型、基于三层攻击图的入侵意图的自动识别模型及基于概率推理的入侵意图模型分析所述待分析数据中的不确定信息，预测攻击规划和攻击目标，生成所述预警报告。

6.根据权利要求1所述的网络安全防护方法，其特征在于，所述实时分析预警至少包括阈值预警、趋势预警或关联预警；所述阈值预警包括预先设置指标数据的阈值参数，如果所述待分析数据中的指标数据超出阈值范围，则预警所述待分析数据中的指标数据异常；所述趋势预警包括预先建立趋势预警模型和算法，根据当前时间内的指标数据后推预设时间范围内的指标数据，对后推出的所述预设时间范围内的指标数据进行趋势分析，如果所述预设范围内的指标数据的趋势符合所述趋势预警模型，则预警当前时间内的指标数据异常；所述关联预警包括对多个指标数据进行关联，分析关联后的多个指标数据，根据对所述关联后的多个指标数据的分析结果评估故障影响、查找故障源。

7.根据权利要求1所述的网络安全防护方法，其特征在于，所述网络入侵攻击路径及威胁溯源分析包括构建覆盖全网络的监测点，对检测到异常流量进行可视化；存储流经路由器的所有数据包，如果受到攻击，则查询所述流经所有路由器的所有数据包，进而确定攻击路径。

8.根据权利要求7所述的网络安全防护方法，其特征在于，所述网络入侵攻击路径及威胁溯源分析还包括根据确定的攻击路径确定攻击源，对确定的攻击源进行拦截或隔离；根据所述攻击源制定防御建议，然后将所述防御建议写入所述预警报告。

9.根据权利要求1所述的网络安全防护方法，其特征在于，所述多维度数据的获取方式至少包括日志采集、流量采集、情境数据采集或外部支持数据；所述对获取到的所述多维度数据进行预处理包括结构化处理或非结构化处理；所述对所述待分析数据进行分析至少包括特征提取、统计分析、模型训练、取证溯源或全文检索。

10.一种网络安全防护系统，其特征在于，包括：

数据获取模块，用于获取多维度数据；

预处理模块，用于接收获取到的所述多维度数据并进行预处理，生成待分析数据并发送至分析单元；

所述分析单元用于对所述待分析数据进行分析并生成预警报告，所述预警报告用于预告威胁；

所述分析单元至少包括态势感知模块、实时分析预警模块或网络入侵攻击路径及威胁溯源分析模块；

所述态势感知模块通过机器学习从所述待分析数据中提取正常网络状态下的流量上限，根据所述流量上限从所述分析数据中划分出信任的的流量数据，根据所述信任的流量数据建立流量评估模型，根据所述流量评估模型评估网络流量，如果监测到异常流量则生成所述预警报告；

所述实时分析预警模块用于对所述待分析数据中的异常数据进行预警；

所述网络入侵攻击路径及威胁溯源分析模块用于确定攻击源，对确定的攻击源进行拦截或隔离。