[发明专利]用于高效网络保护的方法和系统

权利要求书

1.一种方法，其包括：

接收与由网关保护的网络相关联的多个分组，所述网关配置有多个分组过滤规则；

通过配置有所述多个分组过滤规则的所述网关，对所述多个分组中的每个分组进行过滤；

通过配置有所述多个分组过滤规则的所述网关，生成与所述多个分组的至少第一部分相关联的威胁元数据；

通过至少一个威胁分析设备，接收所述多个分组的所述第一部分以及与所述多个分组的所述第一部分相关联的所述威胁元数据；

通过所述至少一个威胁分析设备，基于分组数据并且基于与所述分组数据相关联的所述威胁元数据，确定针对所述多个分组的至少第二部分的至少一个保护动作；以及

基于所确定的至少一个保护动作，处理所述多个分组的所述第二部分。

2.根据权利要求1所述的方法，通过配置有所述多个分组过滤规则的所述网关对所述多个分组中的每个分组进行过滤包括：针对所述多个分组中的每个分组，基于所述多个分组过滤规则将分组数据与威胁情报数据进行比较。

3.根据权利要求1所述的方法，其进一步包括：通过配置有所述多个分组过滤规则的所述网关将所述多个分组的第三部分转发到它们的预期目的地，其中所述多个分组的所述第三部分与所述多个分组过滤规则中的任何一个都不匹配。

4.根据权利要求1所述的方法，其中通过配置有所述多个分组过滤规则的所述网关对所述多个分组中的每个分组进行过滤包括：

基于所述多个分组过滤规则中的至少一个，确定分组威胁等级；和

基于所确定的低分组威胁等级，向其预期目的地发送低威胁分组；

基于所确定的中等分组威胁等级，向所述至少一个威胁分析设备发送中等威胁分组；以及

基于所确定的高分组威胁等级，防止高威胁分组向其预期目的地前进。

5.根据权利要求4所述的方法，其中基于所确定的中等分组威胁等级向所述至少一个威胁分析设备发送所述中等威胁分组包括：

基于所确定的中等分组威胁等级，将所述中等威胁分组的第一副本发送至所述中等威胁分组的预期目的地；

基于所确定的中等分组威胁等级，将所述中等威胁分组的第二副本发送至所述至少一个威胁分析设备；

通过所述至少一个威胁分析设备确定所述中等分组威胁等级与确认的威胁相关联；以及

基于所述至少一个威胁分析设备的处理，更新与所述中等威胁分组相关联的至少一个分组过滤规则，以防止与所述中等威胁分组相关联的分组向其预期目的地发送。

6.根据权利要求4所述的方法，其中基于所确定的中等分组威胁等级向所述至少一个威胁分析设备发送所述中等威胁分组包括：

基于所确定的中等分组威胁等级，将所述中等威胁分组的第一副本发送至所述中等威胁分组的所述预期目的地；

基于所确定的中等分组威胁等级，将所述中等威胁分组的第二副本发送至所述至少一个威胁分析设备；

通过所述至少一个威胁分析设备确定所述中等分组威胁等级不与威胁相关联；以及

基于所述至少一个威胁分析设备的处理，更新与所述中等威胁分组相关联的至少一个分组过滤规则，以允许与所述中等威胁分组相关联的分组向其预期目的地发送。

7.根据权利要求4所述的方法，其中基于所述多个分组过滤规则中的所述至少一个确定所述分组威胁等级包括：

确定分组过滤威胁情报数据的保真度；

为与低保真度分组过滤威胁情报数据相关联的分组分配中等分组威胁等级；以及

为与高保真度分组过滤威胁情报数据相关联的分组分配高分组威胁等级。

8.根据权利要求4所述的方法，其进一步包括：基于与所确定的高分组威胁等级相关联的威胁元数据，配置高保真度分组过滤规则。

9.根据权利要求1所述的方法，其进一步包括：通过代理并且基于与所述多个分组的至少第一部分相关联的威胁元数据，确定多个威胁分析设备中的一个来处理所述多个分组的所述第一部分。