[发明专利]多方法混合的分布式APT恶意流量检测防御系统及方法

权利要求书

1.一种多方法混合的分布式APT恶意流量检测防御系统，其特征在于，所述多方法混合的分布式APT恶意流量检测防御系统包括：

网络设备层、检测与防护层、分析与控制层和展示与管理层；

网络设备层，用于进行流量旁路与设备管控，同时用于将旁路流量送往检测与防御层进行检测；

检测与防护层，用于进行流量检测与指令执行；

分析与控制层，用于进行检测日志汇总分析与指令下达；

展示与管理层，用于进行数据展示与用户交互；

所述网络设备层与检测与防护层在同一台主机上运行，所述主机为Sensor；

所述分析与控制层和展示与管理层在同一台主机上运行，所述主机为Tower；

所述检测与防护层包括：

检测模块，用于利用基于传统检测手段和深度学习检测手段的混合的恶意流量探测器进行流量检测；用于利用恶意流量探测器实时收集使用各不同检测方法产生的告警日志，并通过可靠链接将不同恶意流量检测方法、不同Sensor上产生的告警日志转发至预先指定的Tower分析与控制层进行汇总；

防御模块，用于利用运行在不同Sensor上的防御执行器通过RPC协议接收并执行Tower分析与控制层的控制塔台下发的操作指令，并对恶意流量探测器与下层网络设备执行指令相应的处理；

所述分析与控制层包括：

控制塔台，用于收集下层呈递的日志信息，并将非结构化日志数据归一化为相同结构的入侵报警信息，并对其进行索引；

知识图谱推演模块，用于运用Cyber Kill Chain(CKC)模型，提取各网络报警日志所对应的网络威胁之间深层次的相互关联性，设计算法对攻击日志数据库中的每一条入侵警告信息进行时间尺度及空间尺度上的前推与后演，绘制攻击者画像，预警潜在APT攻击；同时用于根据预定义的防护策略，通过RPC协议向检测与防护层的防御执行器下达相应指令。

2.如权利要求1所述多方法混合的分布式APT恶意流量检测防御系统，其特征在于，所述网络设备层包括：

旁路模块，用于利用高性能网络流量I/O框架对网络设备上的流量进行旁路；

设备管控模块，设置有对网络设备进行管控的接口，进行设备管控。

3.如权利要求1所述多方法混合的分布式APT恶意流量检测防御系统，其特征在于，所述展示与管理层包括：

可视化展示模块，用于将控制塔台整合上传的入侵警告信息、统计信息、网络系统安全态势及其他数据以图表的形式进行展示；

管理功能模块，用于根据网络中安全态势自动变更防御策略，同时用于启停恶意流量探测器、进行规则的加载或卸载及其他调节项的管理；

防御响应管理模块，用于将系统的未决入侵警告信息暴露给用户。

4.一种应用于如权利要求1-3任意一项所述多方法混合的分布式APT恶意流量检测防御系统的多方法混合的分布式APT恶意流量检测防御方法，其特征在于，所述多方法混合的分布式APT恶意流量检测防御方法包括：

步骤一，恶意流量探测器从网络设备层捕获流量并对捕获的流量进行实时检测，并将实时检测的结果通过预处理后以日志流的形式汇总转发到控制塔台；

步骤二，控制塔台先对日志数据进行过滤处理，再使用索引化，并使用数据库结构化存储；

步骤三，将结构化后的攻击日志分别送入知识图谱推理模块与展示与管理层进行不同处理；

步骤四，展示与管理层利用分析得到的数据绘制实时数据展示看板，并通过Web页面进行展示，发出网络进攻进行防御响应提醒；

步骤五，对数据展示作出进行规则的加载和卸载、IP封禁及其他响应；控制塔台基于所述响应触发防御执行器对恶意流量探测器和网络设备层执行相应控制处理。

5.如权利要求4所述多方法混合的分布式APT恶意流量检测防御方法，其特征在于，步骤一中，所述对捕获的流量进行实时检测包括：

提取数据包的特定字段并根据规则进行特异性匹配，判定是否触发规则，并执行规则指定的行为，同时使用Lua语言进行字段检测的拓展支持。