[发明专利]一种安全防护系统

权利要求书

1.一种安全防护系统，其特征在于，应用于数据处理平台，所述数据处理平台连接多个部署于业务系统中的安全设备；

所述数据处理平台，用于接收多个所述安全设备发送的安全数据，对所述安全数据进行关联分析，并基于分析结果对所述业务系统进行安全防护，其中，所述安全数据包括流量数据和/或进程数据。

2.根据权利要求1所述的安全防护系统，其特征在于，所述数据处理平台包括多种检测引擎，各检测引擎分别检测不同维度的安全事件；

所述对所述安全数据进行关联分析，包括：

利用多种检测引擎对所述流量数据和/或所述进程数据进行关联分析，生成安全事件。

3.根据权利要求2所述的安全防护系统，其特征在于，还包括：

基于所述安全事件确定所述业务系统中的风险主机。

4.根据权利要求3所述的安全防护系统，其特征在于，所述基于所述安全事件确定所述业务系统中的风险主机，包括：

基于所述安全事件的威胁等级判定所述业务系统中相应主机的风险等级；

将风险等级大于设定等级阈值的主机确定为风险主机。

5.根据权利要求1所述的安全防护系统，其特征在于，所述流量数据和/或进程数据包括漏洞数据；所述对所述安全数据进行关联分析，包括：

对所述漏洞数据进行脆弱性感知，确定所述业务系统存在的资产暴露面。

6.根据权利要求5所述的安全防护系统，其特征在于，还包括：

按照多个暴露维度输出展示所述资产暴露面，所述暴露维度包括弱密码维度、网页明文传输维度和漏洞维度。

7.根据权利要求1所述的安全防护系统，其特征在于，所述基于分析结果对所述业务系统进行安全防护，包括：

基于分析结果，如果确定存在外部攻击者或者内部中毒主机，则向相应的安全设备发送封锁所述外部攻击者或者所述内部中毒主机的网络地址的指令；

和/或，

如果确定所述业务系统中有主机存在访问恶意域名或恶意链接地址的行为，则向相应的安全设备发送封锁所述恶意域名或所述恶意链接地址的指令；

和/或，

如果确定所述业务系统有业务存在风险，则向相应的安全设备发送通过五元组封锁相应业务路径的指令；

和/或，

如果确定所述业务系统中有主机的端口被恶意程序利用，则向相应的安全设备发送封锁相应端口的指令；

和/或，

如果确定所述业务系统中有发生上网行为的主机存在安全风险，则向相应的安全设备发送冻结在相应主机上登录的账号的指令；

和/或，

如果确定所述业务系统中有主机中毒，则向相应的安全设备发送对中毒主机进行病毒查杀，并对查杀出的病毒文件进行隔离处置的指令；

和/或，

如果确定所述业务系统中有主机存在与僵尸网络恶意域名的通信行为，则向相应的安全设备发送取证并获取相应访问进程相关信息的指令；

和/或，

如果确定所述业务系统中有虚拟机中了勒索病毒，则向相应的安全设备发送对相应虚拟机进行数据备份的指令；

和/或，

如果确定所述业务系统中有虚拟机存在可疑行为，则向相应的安全设备发送快照指令。

8.根据权利要求1至7之中任一项所述的安全防护系统，其特征在于，

所述数据处理平台，还用于接收信息展示指令，所述信息展示指令包括场景信息；根据所述场景信息对所述安全数据和/或所述分析结果和/或安全防护结果进行梳理并输出。