[发明专利]一种网络保护及防御的系统

说明书

本发明公开了一种网络保护及防御的系统，自我保护模块以探针的形式，将保护引擎注入到应用服务中，对应用程序的执行流进行实时的检测，并拦截攻击；收到恶意请求时，保护引擎，结合上下文，识别用户输入，检查应用逻辑是否被用户输入所修改，决定是否阻断请求；特殊账户行为归类模块对特殊账户异常行为与正常行为进行区分，并记录特殊账户异常行为的登录时间、地点、入网方式、登录方式、登录密码；防御行为决策模块对日常处置的告警信息、威胁情报、处置措施的数据进行训练，构建出的安全防御行为决策模型，自动完成部分安全事件分析、决策及自动处置；实现能够及时准确发现未知威胁，弥补系统安全设备应对此类高级定向攻击行为的不足。

技术领域

本发明涉及信息技术与网络安全领域，特别涉及一种网络保护及防御的系统。

背景技术

网络技术的不断发展，网络安全已上升到国家安全高度。面对日趋复杂的网络安全形势，电力行业各业务系统显现“点多线长面广”的特点，任一风险均可能导致重大网络安全事件，由网络安全风险引发的大面积停电事故，将造成巨大的生命和财产损失。随着网络攻击手法越来越复杂，无特征、行为隐藏、0day漏洞攻击等手法层出不穷，针对这些复杂攻击手段，交流电压源远程校准系统的安全设备无此类攻击行为的防护能力。

发明内容

为解决上述问题，本发明提供一种远程校准系统的自我保护及安全防御网络流量装置，针对以上攻击行为进行收集整理、特征分析、数据建模，以实现能够及时准确发现未知威胁，弥补系统安全设备应对此类高级定向攻击行为的不足。

本发明采用的技术方案为：

一种网络保护及防御的系统，包括防御行为决策模块、自我保护模块、特殊账户行为归类模块；

所述自我保护模块以探针的形式，将保护引擎注入到应用服务中，对应用程序的执行流进行实时的检测，并拦截攻击；收到恶意请求时，保护引擎，结合上下文，识别用户输入，检查应用逻辑是否被用户输入所修改，决定是否阻断请求；

所述特殊账户行为归类模块对特殊账户异常行为与正常行为进行区分，并记录特殊账户异常行为的登录时间、地点、入网方式、登录方式、登录密码；

所述防御行为决策模块对日常处置的告警信息、威胁情报、处置措施的数据进行训练，构建出的安全防御行为决策模型，自动完成部分安全事件分析、决策及自动处置。

进一步，所述自我保护模块基于RASP引擎以javaagent的形式实现，并运行在JVM之上；在应用服务器启动的时候，RASP引擎借助JVM自身提供的instrumentation，通过替换字节码的方式对关键类进行挂钩，在执行的时候会被提前在关键类下放置的钩子函数捕获。

进一步，自我保护模块通过异步执行钩子函数，以异步执行的方式，避免阻塞应用程序的主线程。

进一步，该网络保护及防御的系统还包括漏洞自验证模块，漏洞自验证模块监控到异常API访问，对API未授权、越权进行验证并进行上报，在验证属实的情况下联动安全设备对异常用户IP进行封堵。

进一步，所述漏洞自验证模块能够进行敏感API接口梳理、敏感操作记录、API操作行为画像、敏感API异常访问告警及溯源。

进一步，所述敏感API接口梳理为：漏洞自验证模块基于自动化接口发现，将网络流量中大量的URL进行聚合归类，然后提取参数配置，还原接口的技术设计形式，按照接口资源类型展示各类接口；同时，漏洞自验证模块通过敏感数据识别引擎识别接口返回内容中包含的敏感数据类型并对接口进行打标签。

进一步，所述敏感操作记录为：漏洞自验证模块通过日志结构化引擎，自动将网络上流动的敏感数据进行记录，为信息泄露溯源、应用行为审计和数据流动分析提供基础；记录内容包括：操作时间、操作对象、操作用户、操作IP、操作内容，为信息泄露溯源、应用行为审计和数据流动分析打下坚实的基础。