[发明专利]一种网络保护及防御的系统

权利要求书

1.一种网络保护及防御的系统，其特征在于：包括防御行为决策模块、自我保护模块、特殊账户行为归类模块；

所述自我保护模块以探针的形式，将保护引擎注入到应用服务中，对应用程序的执行流进行实时的检测，并拦截攻击；收到恶意请求时，保护引擎，结合上下文，识别用户输入，检查应用逻辑是否被用户输入所修改，决定是否阻断请求；

所述特殊账户行为归类模块对特殊账户异常行为与正常行为进行区分，并记录特殊账户异常行为的登录时间、地点、入网方式、登录方式、登录密码；

所述防御行为决策模块对日常处置的告警信息、威胁情报、处置措施的数据进行训练，构建出的安全防御行为决策模型，自动完成部分安全事件分析、决策及自动处置。

2.根据权利要求1所述的网络保护及防御的系统，其特征在于：自我保护模块基于RASP引擎以javaagent的形式实现，并运行在JVM之上；在应用服务器启动的时候，RASP引擎借助JVM自身提供的instrumentation，通过替换字节码的方式对关键类进行挂钩，在执行的时候会被提前在关键类下放置的钩子函数捕获。

3.根据权利要求2所述的网络保护及防御的系统，其特征在于：自我保护模块通过异步执行钩子函数，以异步执行的方式，避免阻塞应用程序的主线程。

4.根据权利要求1所述的网络保护及防御的系统，其特征在于：该网络保护及防御的系统还包括漏洞自验证模块，漏洞自验证模块监控到异常API访问，对API未授权、越权进行验证并进行上报，在验证属实的情况下联动安全设备对异常用户IP进行封堵。

5.根据权利要求3所述的网络保护及防御的系统，其特征在于：漏洞自验证模块能够进行敏感API接口梳理、敏感操作记录、API操作行为画像、敏感API异常访问告警及溯源。

6.根据权利要求4所述的网络保护及防御的系统，其特征在于：敏感API接口梳理为：漏洞自验证模块基于自动化接口发现，将网络流量中大量的URL进行归类整合，结合提取的URL参数配置信息，还原API原有的设计形式，按照接口资源类型展示各类接口；同时，漏洞自验证模块通过敏感数据识别引擎识别接口返回内容中包含的敏感数据类型并对接口进行打标签。

7.根据权利要求4所述的网络保护及防御的系统，其特征在于：敏感操作记录为：漏洞自验证模块通过日志结构化引擎，自动将网络上流动的敏感数据进行记录，为信息泄露溯源、应用行为审计和数据流动分析提供基础；记录内容包括：操作时间、操作对象、操作用户、操作IP、操作内容，为信息泄露溯源、应用行为审计和数据流动分析作基础。

8.根据权利要求4所述的网络保护及防御的系统，其特征在于：API操作行为画像为：漏洞自验证模块通过深度API访问分析，对账号、IP进行画像，同时进行交互式搜索与分析，从行为概览、访问趋势、关联风险、行为轨迹维度对账号和IP进行刻画，实现对关键账号、特权账号、重点IP的操作进行细粒度审计。

9.根据权利要求4所述的网络保护及防御的系统，其特征在于：敏感API异常访问告警及溯源为：漏洞自验证模块通过对用户的API操作行为画像，及时发现恶意用户的敏感API操作，然后产生告警，帮助监控人员及时阻断攻击行为，同时在系统中进行回溯，将所有访问过泄露内容的记录进行提取，并基于User-Agent、Referrer、账号、接口进行集中度分析，进而锁定攻击者和攻击方式。

10.根据权利要求1所述的网络保护及防御的系统，其特征在于：防御行为决策模块通过以下步骤建立决策模型；

步骤1，获取处置的告警信息、威胁情报、处置措施；

步骤2，对训练样本和预测样本进行归一化处理，离散化处理以属性约简的方法，在保留数据极值信息的同时，将数据映射到一个固定的区间内，确定校正后的影响因素集合；

步骤3对训练样本进行训练，并以十折交叉验证作为测试模式，基于朴素贝叶斯分类器，建立安全防御行为决策模型，利用预测模型对预测样本进行数据分类挖掘分析，对训练样本进行训练，得到最优安全防御行为决策模型。