[发明专利]一种可与应用系统联动的网络安全系统及方法

权利要求书

1.可与应用系统联动的网络安全系统，其特征在于，由分布式蜜罐系统、漏洞检测系统、等保云查系统、等保云防系统配合构成，所述分布式蜜罐系统部署在业务网络区域中，所述漏洞检测系统、等保云查系统以及等保云防系统部署在管理网络区域中；其中业务网络区域包含业务使用的网络安全设备和应用系统，管理网络区域包含对网络安全设备和应用系统进行管理的设备，实现独立的网络管理；所述业务网络区域和管理网络区域之间进行网域隔离，业务网络区域受到攻击后业务流量堵塞不会影响到管理流量；

部署在业务网络区域中的分布式蜜罐系统主动采集并分析安全事件数据，将安全事件主动上报等保云查系统；

部署在管理网络区域中的漏洞检测系统主动进行网络和应用系统的漏洞检测，并将检测到的漏洞主动上报给等保云查系统；

所述等保云查系统根据采集自分布式蜜罐系统、漏洞检测系统和业务系统日志等数据，进行事件关联分析分析，预测和展示安全态势，并向等保云防系统上报安全态势；

所述等保云防系统通过等保云查系统上报的安全态势，根据内置的应急处置措施，以供管理员采取防御措施，下发安全策略至应用系统及安全设备，实现安全联动，主动防御，并对应急处置进行效用评估，判断应急处置措施的效用，并提供给管理员来改善应急处置措施，提高系统主动防御能力。

2.根据权利要求1所述的网络安全系统，其特征在于，所述分布式蜜罐系统包括Web管理子系统、核心业务子系统和蜜罐节点，所述Web管理子系统采用支持RESTFulAPI接口，与后端服务之间通过标准JSON协议进行通信，实现前后端的数据交换，以用于管理蜜罐和查询统计安全事件信息；

所述核心业务子系统用以汇总、处理蜜罐节点收集的攻击者行为和分析数据进行融合分析，并将分析结果上报到等保云查系统；

所述蜜罐节点部署蜜罐，用以采集安全事件，向核心业务子系统实时发送攻击者行为和分析数据。

3.根据权利要求2所述的网络安全系统，其特征在于，所述蜜罐节点可扩展性。

4.根据权利要求1所述的网络安全系统，其特征在于，所述漏洞检测系统配置主机配置检测工具、病毒检测工具、网站恶意代码检测工具、网络设备配置检测工具、安全设备配置检测工具、弱口令检测工具、数据库安全检测工具、网站安全检测工具和系统脆弱性检测工具的一种或多种。

5.根据权利要求1所述的网络安全系统，其特征在于，所述等保云查系统通过融合多源数据，对数据进行预处理和事件关联，识别网络威胁和对安全趋势进行分析。

6.根据权利要求1所述的网络安全系统，其特征在于，所述等保云查系统实时展示当前的安全态势及从数据源采集到的安全事件信息，并对分布式蜜罐系统上报的安全事件数据，漏洞检测系统检测到的安全漏洞数据，进行归一化处理，作为事件关联分析的数据源；所述等保云查系统进行事件关联时，通过基于事件序列的关联方发检测已知攻击，通过启发式关联分析方法检测位置攻击，并进一步分析关联相应的安全事件、安全漏洞业务系统运行日志等数据，评估整个网络的安全态势、安全风险、脆弱性，通过评估手段配合安全态势给出安全问题。

7.根据权利要求1所述的网络安全系统，其特征在于，所述等保云防系统基于WAF的规则防御体系，结合等保云查系统所提供安全态势数据，并对未来一段时间可能面对的事件进行预估，在基础防御的基础上结合应急处置策略形成相应的专属防御，下发安全策略至应用服务和安全设备，实现安全联动，并进行动态防护策略效用评估。

8.根据权利要求7所述的网络安全系统，其特征在于，所述等保云防系统进行动态防护策略效用评估时，依据不同的处理链处理结果，依据不同的阶梯处理触发条件自主选择应急处置措施，进行动态防护策略效用评估。