基于云端的智能安全防御系統(tǒng)及防御方法
【專利摘要】本發(fā)明提供了一種基于云端的智能安全防御系統(tǒng)及防御方法�,通過系統(tǒng)核心功能調(diào)度模塊根據(jù)所述云端智能處理組件進(jìn)行交互調(diào)度所述智能處理平臺,構(gòu)成一個對異常信息進(jìn)行檢測���、監(jiān)控�����、查殺�����、阻斷��、防御���、審計和恢復(fù)功能模塊的網(wǎng)絡(luò)安全防御體系,有效地提高了整個網(wǎng)絡(luò)的動態(tài)智能檢測�����、辨識和阻斷防御的性能����,增強(qiáng)了整體智能防御的效能。
【專利說明】基于云端的智能安全防御系統(tǒng)及防御方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)信息安全【技術(shù)領(lǐng)域】�����,特別涉及一種基于云端的智能安全防御系統(tǒng)及防御方法。
【背景技術(shù)】
[0002]云安全(Cloud Security)是云計算的發(fā)展和網(wǎng)絡(luò)安全應(yīng)用模式�,是一種全網(wǎng)防御的安全體系結(jié)構(gòu),以智能化客戶端�����、集群式服務(wù)端和開放式平臺三個層次��,有效地保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全高效運(yùn)行����。基于云安全的現(xiàn)有的入侵防御系統(tǒng)(Intrusion PreventionSystem, IPS)集成并融合了云火墻和入侵檢測系統(tǒng)(Intrusion Detection System, IDS)技術(shù)��,可以為整個局域網(wǎng)提供深層次高效的動態(tài)性主動安全防御���,屬于基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(Network Intrusion Protection System, NIPS)�。
[0003]現(xiàn)有的網(wǎng)絡(luò)安全防御技術(shù)���,基本上都是采用傳統(tǒng)的防火墻技術(shù)�、網(wǎng)絡(luò)入侵檢測系統(tǒng)(Intrusion Detection System, IDS)和網(wǎng)絡(luò)安全防御技術(shù),面臨著以下網(wǎng)絡(luò)安全問題:
1����、病毒和黑客攻擊��。云端為各種網(wǎng)絡(luò)用戶提供連續(xù)服務(wù)�����,病毒和黑客攻擊及鏈路結(jié)點時常出現(xiàn)一些安全問題,將會嚴(yán)重影響到信息資源安全和社會穩(wěn)定等�����。2�、隱私泄密及非授權(quán)訪問。電子商務(wù)及網(wǎng)銀�、電子政務(wù)、郵箱或帳號信息等����,容易被內(nèi)部不法人員或非授權(quán)者竊取及泄漏,對網(wǎng)絡(luò)正常運(yùn)營帶來嚴(yán)重后果��。3���、跨平臺的安全問題�����。黑客可利用系統(tǒng)漏洞�����、手機(jī)木馬遠(yuǎn)程竊取資料���、操縱用戶電腦或手機(jī)等����。特別是移動跨平臺的安全防御����,已成為最薄弱環(huán)節(jié)。上述網(wǎng)絡(luò)安全所存在的問題���,嚴(yán)重地影響了網(wǎng)絡(luò)系統(tǒng)的安全和社會穩(wěn)定�,嚴(yán)重地阻礙了計算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用和正常運(yùn)行����,對網(wǎng)絡(luò)資源和廣大用戶信息安全具有很大的安全風(fēng)險和隱患。
[0004]綜上����,可知傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)的不足和局限性:一是動態(tài)防御能力弱����?����;究總鹘y(tǒng)防火墻和對設(shè)備靜態(tài)配置防御����,難以應(yīng)對越來越多且技術(shù)手段高深的動態(tài)攻擊��。二是不能進(jìn)行主動防御��。傳統(tǒng)防火墻和IDS只能被動地應(yīng)對各種攻擊�����,而不能主動阻斷�。三是難以識別新型病毒或網(wǎng)絡(luò)攻擊。依靠基于特征庫的檢測技術(shù)���,使網(wǎng)絡(luò)防御始終落后于網(wǎng)絡(luò)攻擊����。四是檢測及防御能力弱,漏報誤報率高��。特別是對大型網(wǎng)絡(luò)各種數(shù)據(jù)傳輸過程中�,出現(xiàn)的各種繁雜病毒或網(wǎng)絡(luò)攻擊。五是不能聯(lián)動及整體協(xié)同防御���,智能性及交互性差�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于提供一種基于云端的智能安全防御系統(tǒng)及防御方法�,以改進(jìn)現(xiàn)有傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)的不足和欠缺。
[0006]為解決上述技術(shù)問題���,本發(fā)明提供一種基于云端的智能安全防御系統(tǒng)及防御方法����,所述基于云端的智能安全防御系統(tǒng)包括:云端智能處理組件��、智能處理平臺�����、及系統(tǒng)核心功能調(diào)度模塊�����;其中,
[0007]所述云端智能處理組件用于辨識和分析一客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中的異常信息��;[0008]所述智能處理平臺用于對所述云端智能處理組件中的異常信息進(jìn)行全方位維護(hù)�;
[0009]所述系統(tǒng)核心功能調(diào)度模塊用于根據(jù)所述云端智能處理組件進(jìn)行交互調(diào)度所述智能處理平臺。
[0010]可選的���,在所述的基于云端的智能安全防御系統(tǒng)中�,所述云端智能處理組件包括:數(shù)據(jù)采集下載模塊�、主機(jī)數(shù)據(jù)采集模塊、及辨識分析分類模塊�;其中��,
[0011]所述數(shù)據(jù)采集下載模塊用于下載實時更新的特征數(shù)據(jù)庫和對客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中異常事件信息進(jìn)行采集�����、分類����、過濾和分析;
[0012]所述主機(jī)數(shù)據(jù)采集模塊用于采集客戶端系統(tǒng)的惡意文件�、病毒特征庫和攻擊事件的樣本數(shù)據(jù)���;
[0013]所述辨識分析分類模塊用于初步辨識分析分類處理所述數(shù)據(jù)采集下載模塊和主機(jī)數(shù)據(jù)采集模塊中的異常信息。
[0014]可選的��,在所述的基于云端的智能安全防御系統(tǒng)中�����,所述特征數(shù)據(jù)庫包括:診斷特征庫��、病毒特征庫�、漏洞特征庫、及攻擊特征庫��。
[0015]可選的�,在所述的基于云端的智能安全防御系統(tǒng)中,所述智能處理平臺包括設(shè)置在應(yīng)用層的系統(tǒng)診斷評估模塊���、系統(tǒng)攻擊檢測模塊���、惡意軟件查殺模塊、漏洞檢測修復(fù)模塊����、痕跡檢測清除模塊��、分析阻斷防御模塊�、高級診斷修復(fù)模塊����、評價審計報告模塊、進(jìn)程注冊表驅(qū)動監(jiān)控模塊���、及系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊��;其中�����,
[0016]所述系統(tǒng)診斷評估模塊和系統(tǒng)攻擊檢測模塊���,用于對所述客戶端系統(tǒng)的安全狀況進(jìn)行綜合診斷評估和檢測��;
[0017]所述惡意軟件查殺模塊用于對所述客戶端系統(tǒng)進(jìn)行快速掃描����、特征辨識、清除駐留的病毒����;
[0018]所述漏洞檢測修復(fù)模塊用于對所述客戶端系統(tǒng)的漏洞和隱患進(jìn)行掃描����、檢測�����、報警和下載補(bǔ)丁及修復(fù)�����;
[0019]所述痕跡檢測清除模塊用于對所述客戶端系統(tǒng)在網(wǎng)絡(luò)中出現(xiàn)的病毒及攻擊的異常事件痕跡的檢測和清除�;
[0020]所述分析阻斷防御模塊用于對所述客戶端系統(tǒng)的異常事件進(jìn)行辨識、分析和阻斷防御����;
[0021]所述高級診斷修復(fù)模塊用于對所述客戶端系統(tǒng)的異常事件進(jìn)行更深層次的分析、診斷和修復(fù)評價審計報告模塊用于對異常事件和處理過程形成安全評價審計報告�����;
[0022]所述評價審計報告模塊用于對所述客戶端系統(tǒng)的異常事件具體數(shù)據(jù)進(jìn)行評價及記載形成審計報告��。
[0023]所述進(jìn)程注冊表驅(qū)動監(jiān)控模塊用于在其余模塊調(diào)用異常事件進(jìn)程之前進(jìn)行監(jiān)控、辨識和阻斷運(yùn)行���;
[0024]所述系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊用于掃描檢測所述客戶端系統(tǒng)服務(wù)���、派發(fā)系統(tǒng)服務(wù)描述符表以所述客戶端系統(tǒng)的原文件恢復(fù)系統(tǒng)服務(wù)描述符表。
[0025]可選的��,在所述的基于云端的智能安全防御系統(tǒng)中��,所述智能處理平臺還包括設(shè)置在內(nèi)核層的專家系統(tǒng)��、特征知識庫��、及監(jiān)控規(guī)則庫���;其中���,
[0026]所述專家系統(tǒng)根據(jù)所述特征知識庫和監(jiān)控規(guī)則庫自動獲取知識、特征辨識�����、分析和監(jiān)控�。
[0027]本發(fā)明還提供一種基于云端的智能安全防御方法,使用上述所述的基于云端的智能安全防御系統(tǒng)�;其中,所述系統(tǒng)核心功能調(diào)度模塊根據(jù)所述云端智能處理組件進(jìn)行交互調(diào)度所述智能處理平臺��;所述云端智能處理組件辨識和分析一客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中的異常信息�;所述智能處理平臺對所述云端智能處理組件中的異常信息進(jìn)行全方位維護(hù)。
[0028]可選的�����,在基于云端的智能安全防御方法中���,所述云端智能處理組件包括:數(shù)據(jù)采集下載模塊�����、主機(jī)數(shù)據(jù)采集模塊��、及辨識分析分類模塊���;其中,
[0029]所述數(shù)據(jù)采集下載模塊下載實時更新的特征數(shù)據(jù)庫和對客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中異常事件信息進(jìn)行采集����、分類、過濾和分析;
[0030]所述主機(jī)數(shù)據(jù)采集模塊采集客戶端系統(tǒng)的惡意文件�、病毒特征庫和攻擊事件的樣本數(shù)據(jù);
[0031]所述辨識分析分類模塊初步辨識分析分類處理所述數(shù)據(jù)采集下載模塊和主機(jī)數(shù)據(jù)采集模塊中的異常信息����。
[0032]可選的,在基于云端的智能安全防御方法中���,在下載實時更新的特征數(shù)據(jù)庫和對網(wǎng)絡(luò)中異常事件信息進(jìn)行采集�、分類�����、過濾和分析的步驟中��,所述特征數(shù)據(jù)庫包括:診斷特征庫�、病毒特征庫、漏洞特征庫和攻擊特征庫��。
[0033]可選的��,在基于云端的智能安全防御方法中���,所述智能處理平臺包括設(shè)置在應(yīng)用層的系統(tǒng)診斷評估模塊�����、系統(tǒng)攻擊檢測模塊�、惡意軟件查殺模塊�、漏洞檢測修復(fù)模塊、痕跡檢測清除模塊����、分析阻斷防御模塊、高級診斷修復(fù)模塊�����、評價審計報告模塊��、進(jìn)程注冊表驅(qū)動監(jiān)控模塊����、及系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊;
[0034]所述系統(tǒng)診斷評估模塊和系統(tǒng)攻擊檢測模塊�����,用于對所述客戶端系統(tǒng)的安全狀況進(jìn)行綜合診斷評估和檢測��;
[0035]所述惡意軟件查殺模塊用于對所述客戶端系統(tǒng)進(jìn)行快速掃描、特征辨識����、清除駐留的病毒;
[0036]所述漏洞檢測修復(fù)模塊用于對所述客戶端系統(tǒng)的漏洞和隱患進(jìn)行掃描�、檢測����、報警和下載補(bǔ)丁及修復(fù)�����;
[0037]所述痕跡檢測清除模塊用于對所述客戶端系統(tǒng)在網(wǎng)絡(luò)中出現(xiàn)的病毒及攻擊的異常事件痕跡的檢測和清除����;
[0038]所述分析阻斷防御模塊用于對所述客戶端系統(tǒng)的異常事件進(jìn)行辨識、分析和阻斷防御�����;
[0039]所述高級診斷修復(fù)模塊用于對所述客戶端系統(tǒng)的異常事件進(jìn)行更深層次的分析����、診斷和修復(fù)評價審計報告模塊用于對異常事件和處理過程形成安全評價審計報告;
[0040]所述評價審計報告模塊用于對所述客戶端系統(tǒng)的異常事件具體數(shù)據(jù)進(jìn)行評價及記載形成審計報告����;
[0041]所述進(jìn)程注冊表驅(qū)動監(jiān)控模塊用于在其余模塊調(diào)用異常事件進(jìn)程之前進(jìn)行監(jiān)控�、辨識和阻斷運(yùn)行��;
[0042]所述系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊用于掃描檢測所述客戶端系統(tǒng)服務(wù)����、派發(fā)系統(tǒng)服務(wù)描述符表以所述客戶端系統(tǒng)的原文件恢復(fù)系統(tǒng)服務(wù)描述符表��。
[0043]可選的�,在基于云端的智能安全防御方法中,所述智能處理平臺還包括設(shè)置在內(nèi)核層的專家系統(tǒng)����、特征知識庫、及監(jiān)控規(guī)則庫�����;其中���,
[0044]所述專家系統(tǒng)根據(jù)所述特征知識庫和監(jiān)控規(guī)則庫自動獲取知識�、特征辨識�、分析和監(jiān)控����。
[0045]可選的���,在基于云端的智能安全防御方法中��,將所述智能處理平臺的應(yīng)用層與內(nèi)核層聯(lián)動交互和協(xié)同�����。
[0046]可選的��,在基于云端的智能安全防御方法中����,所述聯(lián)動包括利用本地服務(wù)器群響應(yīng)���、緩存支持和企業(yè)內(nèi)部云服務(wù)器同步����。
[0047]本發(fā)明所提供的一種基于云端的智能安全防御系統(tǒng)和防御方法�,具有以下有益效果:通過系統(tǒng)核心功能調(diào)度模塊根據(jù)所述云端智能處理組件進(jìn)行交互調(diào)度所述智能處理平臺,構(gòu)成一個對異常信息進(jìn)行檢測�、監(jiān)控�、查殺�、阻斷、防御��、審計和恢復(fù)功能模塊的網(wǎng)絡(luò)安全防御體系�,有效地提高了整個網(wǎng)絡(luò)的動態(tài)智能檢測、辨識和阻斷防御的性能�����,增強(qiáng)了整體智能防御的效能���。
【專利附圖】
【附圖說明】
[0048]圖1是本發(fā)明實施例的基于云端的智能安全防御系統(tǒng)和防御方法的結(jié)構(gòu)示意圖;
[0049]圖2是本發(fā)明實施例的基于云端的智能安全防御系統(tǒng)和防御方法部署在客戶端系統(tǒng)的結(jié)構(gòu)示意圖�����。
[0050]圖1至圖2中���,
[0051]10-云端智能處理組件�����;11-數(shù)據(jù)采集下載模塊����;12-主機(jī)數(shù)據(jù)采集模塊;13_辨識分析分類模塊����;20_智能處理平臺;201_系統(tǒng)診斷評估模塊�����;202_系統(tǒng)攻擊檢測模塊�;203-惡意軟件查殺模塊;204_漏洞檢測修復(fù)模塊���;205_痕跡檢測清除模塊�����;206_分析阻斷防御模塊�����;207_高級診斷修復(fù)模塊���;208_評價審計報告模塊�;209_進(jìn)程注冊表驅(qū)動監(jiān)控模塊���;210-系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊���;211-專家系統(tǒng);212-特征知識庫�����;213-及監(jiān)控規(guī)則庫�;30_系統(tǒng)核心功能調(diào)度模塊;40_特征數(shù)據(jù)庫�����;41_診斷特征庫�;42_病毒特征庫�;43-漏洞特征庫;44_攻擊特征庫����。
【具體實施方式】
[0052]以下結(jié)合附圖和具體實施例對本發(fā)明提出的封裝載板及其制造方法作進(jìn)一步詳細(xì)說明。根據(jù)下面說明和權(quán)利要求書,本發(fā)明的優(yōu)點和特征將更清楚����。需說明的是,附圖均采用非常簡化的形式且均使用非精準(zhǔn)的比例�����,僅用以方便���、明晰地輔助說明本發(fā)明實施例的目的����。
[0053]網(wǎng)絡(luò)安全已經(jīng)成為21世紀(jì)世界十大熱門課題之一����,已經(jīng)引起社會廣泛關(guān)注。隨著信息化建設(shè)和IT技術(shù)的快速發(fā)展��,計算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用更加廣泛深入���,網(wǎng)絡(luò)安全問題不斷出現(xiàn)���,致使網(wǎng)絡(luò)安全技術(shù)的重要性更加突出��,網(wǎng)絡(luò)安全已經(jīng)成為各國關(guān)注的焦點�����,不僅關(guān)系到用戶的信息和資產(chǎn)風(fēng)險�,也關(guān)系到國家安全和社會穩(wěn)定���,已成為熱門研究和人才需求的新領(lǐng)域�。網(wǎng)絡(luò)安全是個系統(tǒng)工程�����,已經(jīng)成為網(wǎng)絡(luò)建設(shè)的重要任務(wù)�����。不僅關(guān)系到國計民生����,還與國家安全密切相關(guān)�。網(wǎng)絡(luò)安全防御技術(shù)是“預(yù)防為主”確保網(wǎng)絡(luò)安全的關(guān)鍵技術(shù),非常急需研發(fā)新云安全技術(shù)����。
[0054]請參考圖1及圖2���,圖1為本發(fā)明實施例的基于云端的智能安全防御系統(tǒng)和防御方法的結(jié)構(gòu)示意圖;圖2是本發(fā)明實施例的基于云端的智能安全防御系統(tǒng)和防御方法部署在客戶端系統(tǒng)的結(jié)構(gòu)示意圖�����。如圖1所示��,所述的基于云端的智能安全防御系統(tǒng)包括:云端智能處理組件10�、智能處理平臺20、及系統(tǒng)核心功能調(diào)度模塊30 ;其中��,所述云端智能處理組件10用于辨識和分析一客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中的異常信息��;所述智能處理平臺20用于對所述云端智能處理組件10中的異常信息進(jìn)行全方位維護(hù)�����;所述系統(tǒng)核心功能調(diào)度模塊30用于根據(jù)所述云端智能處理組件10進(jìn)行交互調(diào)度所述智能處理平臺20���。
[0055]優(yōu)選的�,所述云端智能處理組件10包括:數(shù)據(jù)采集下載模塊11����、主機(jī)數(shù)據(jù)采集模塊12��、及辨識分析分類模塊13 ;其中��,
[0056]所述數(shù)據(jù)采集下載模塊11下載實時更新的特征數(shù)據(jù)庫和對客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中異常事件信息進(jìn)行采集����、分類�、過濾和分析;
[0057]所述主機(jī)數(shù)據(jù)采集模塊12采集客戶端系統(tǒng)的惡意文件�����、病毒特征庫和攻擊事件的樣本數(shù)據(jù)��;
[0058]所述辨識分析分類模塊13初步辨識分析分類處理所述數(shù)據(jù)采集下載模塊11和主機(jī)數(shù)據(jù)采集模塊12中的異常信息����。
[0059]優(yōu)選的,所述特征數(shù)據(jù)庫40包括:診斷特征庫41����、病毒特征庫42����、漏洞特征庫43�、及攻擊特征庫44����。
[0060]優(yōu)選的,所述智能處理平臺20包括設(shè)置在應(yīng)用層的系統(tǒng)診斷評估模塊201��、系統(tǒng)攻擊檢測模塊202��、惡意軟件查殺模塊203�、漏洞檢測修復(fù)模塊204、痕跡檢測清除模塊205��、分析阻斷防御模塊206�����、高級診斷修復(fù)模塊207�����、評價審計報告模塊208��、進(jìn)程注冊表驅(qū)動監(jiān)控模塊209����、及系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊210 (即SSDT表檢測恢復(fù)模塊)����;其中���,
[0061]所述系統(tǒng)診斷評估模塊201和系統(tǒng)攻擊檢測模塊202�����,用于對所述客戶端系統(tǒng)的安全狀況進(jìn)行綜合診斷評估和檢測�����;
[0062]所述惡意軟件查殺模塊203用于對所述客戶端系統(tǒng)進(jìn)行快速掃描�、特征辨識��、清除駐留的病毒����;
[0063]所述漏洞檢測修復(fù)模塊204用于對所述客戶端系統(tǒng)的漏洞和隱患進(jìn)行掃描、檢測�、報警和下載補(bǔ)丁及修復(fù);
[0064]所述痕跡檢測清除模塊205用于對所述客戶端系統(tǒng)在網(wǎng)絡(luò)中出現(xiàn)的病毒及攻擊的異常事件痕跡的檢測和清除;
[0065]所述分析阻斷防御模塊206用于對所述客戶端系統(tǒng)的異常事件進(jìn)行辨識��、分析和阻斷防御���;
[0066]所述高級診斷修復(fù)模塊207用于對所述客戶端系統(tǒng)的異常事件進(jìn)行更深層次的分析、診斷和修復(fù)評價審計報告模塊208用于對異常事件和處理過程形成安全評價審計報
生P=I ;
[0067]所述評價審計報告模塊208用于對所述客戶端系統(tǒng)的異常事件具體數(shù)據(jù)進(jìn)行評價及記載形成審計報告���;
[0068]所述進(jìn)程注冊表驅(qū)動監(jiān)控模塊209用于在其余模塊調(diào)用異常事件進(jìn)程之前進(jìn)行監(jiān)控����、辨識和阻斷運(yùn)行���;
[0069]所述系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊210用于掃描檢測所述客戶端系統(tǒng)服務(wù)����、派發(fā)系統(tǒng)服務(wù)描述符表以所述客戶端系統(tǒng)的原文件恢復(fù)系統(tǒng)服務(wù)描述符表���。[0070]優(yōu)選的����,所述智能處理平臺20還包括設(shè)置在內(nèi)核層的專家系統(tǒng)211���、特征知識庫212���、及監(jiān)控規(guī)則庫213 ;其中���,
[0071]所述專家系統(tǒng)211根據(jù)所述特征知識庫212和監(jiān)控規(guī)則庫213自動獲取知識、特征辨識�、分析和監(jiān)控。
[0072]本發(fā)明還提供一種基于云端的智能安全防御方法,所述基于云端的智能安全防御方法包括:使用如上所述的基于云端的智能安全防御系統(tǒng)�;其中,所述系統(tǒng)核心功能調(diào)度模塊30根據(jù)所述云端智能處理組件10進(jìn)行交互調(diào)度所述智能處理平臺20 ;所述云端智能處理組件10辨識和分析一客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中的異常信息�;所述智能處理平臺20對所述云端智能處理組件10中的異常信息進(jìn)行全方位維護(hù)。
[0073]優(yōu)選的����,所述云端智能處理組件10包括:數(shù)據(jù)采集下載模塊11、主機(jī)數(shù)據(jù)采集模塊12���、及辨識分析分類模塊13 ;其中��,
[0074]所述數(shù)據(jù)采集下載模塊11下載實時更新的特征數(shù)據(jù)庫和對客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中異常事件信息進(jìn)行采集�����、分類��、過濾和分析�����;
[0075]所述主機(jī)數(shù)據(jù)采集模塊12采集客戶端系統(tǒng)的惡意文件��、病毒特征庫和攻擊事件的樣本數(shù)據(jù)����;
[0076]所述辨識分析分類模塊13初步辨識分析分類處理所述數(shù)據(jù)采集下載模塊11和主機(jī)數(shù)據(jù)采集模塊12中的異常信息��。
[0077]優(yōu)選的�����,在下載實時更新的特征數(shù)據(jù)庫40和對網(wǎng)絡(luò)中異常事件信息進(jìn)行采集��、分類�、過濾和分析的步驟中,所述特征數(shù)據(jù)庫40包括:診斷特征庫41���、病毒特征庫42�����、漏洞特征庫43和攻擊特征庫44���。
[0078]優(yōu)選的�,所述智能處理平臺20包括設(shè)置在應(yīng)用層的系統(tǒng)診斷評估模塊201�����、系統(tǒng)攻擊檢測模塊202����、惡意軟件查殺模塊203、漏洞檢測修復(fù)模塊204��、痕跡檢測清除模塊205�、分析阻斷防御模塊206、高級診斷修復(fù)模塊207�����、評價審計報告模塊208�、進(jìn)程注冊表驅(qū)動監(jiān)控模塊209、及系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊210 (即SSDT表檢測恢復(fù)模塊)�����;
[0079]所述系統(tǒng)診斷評估模塊201和系統(tǒng)攻擊檢測模塊202,用于對所述客戶端系統(tǒng)的安全狀況進(jìn)行綜合診斷評估和檢測�����;
[0080]所述惡意軟件查殺模塊203用于對所述客戶端系統(tǒng)進(jìn)行快速掃描�、特征辨識、清除駐留的病毒�;
[0081]所述漏洞檢測修復(fù)模塊204用于對所述客戶端系統(tǒng)的漏洞和隱患進(jìn)行掃描、檢測���、報警和下載補(bǔ)丁及修復(fù)����;
[0082]所述痕跡檢測清除模塊205用于對所述客戶端系統(tǒng)在網(wǎng)絡(luò)中出現(xiàn)的病毒及攻擊的異常事件痕跡的檢測和清除���;
[0083]所述分析阻斷防御模塊206用于對所述客戶端系統(tǒng)的異常事件進(jìn)行辨識、分析和阻斷防御����;
[0084]所述高級診斷修復(fù)模塊207用于對所述客戶端系統(tǒng)的異常事件進(jìn)行更深層次的分析、診斷和修復(fù)評價審計報告模塊208用于對異常事件和處理過程形成安全評價審計報
生P=I ;
[0085]所述評價審計報告模塊208用于對所述客戶端系統(tǒng)的異常事件具體數(shù)據(jù)進(jìn)行評價及記載形成審計報告��。[0086]所述進(jìn)程注冊表驅(qū)動監(jiān)控模塊209用于在其余模塊調(diào)用異常事件進(jìn)程之前進(jìn)行監(jiān)控�、辨識和阻斷運(yùn)行�;
[0087]所述系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊210用于掃描檢測所述客戶端系統(tǒng)服務(wù)���、派發(fā)系統(tǒng)服務(wù)描述符表以所述客戶端系統(tǒng)的原文件恢復(fù)系統(tǒng)服務(wù)描述符表��。
[0088]優(yōu)選的�����,所述智能處理平臺20還包括設(shè)置在內(nèi)核層的專家系統(tǒng)211���、特征知識庫212、及監(jiān)控規(guī)則庫213 ;其中�,
[0089]所述專家系統(tǒng)211根據(jù)所述特征知識庫212和監(jiān)控規(guī)則213庫自動獲取知識、特征辨識����、分析和監(jiān)控。
[0090]優(yōu)選的�����,將所述智能處理平臺20的應(yīng)用層與內(nèi)核層聯(lián)動交互和協(xié)同�。進(jìn)一步的,本發(fā)明實現(xiàn)的關(guān)鍵在于功能集成�����,將所述智能處理平臺20的應(yīng)用層與內(nèi)核層聯(lián)動交互和協(xié)同,實現(xiàn)自動獲取知識����、學(xué)習(xí)與推理、云計算與符號匹配的集成���,解決知識獲取����、特征辨識��、分析��、監(jiān)控和阻斷����。
[0091]進(jìn)一步的����,除了與相應(yīng)的特征庫及所述云端智能處理組件I交互外,還需要網(wǎng)絡(luò)連接��、應(yīng)用程序、啟動項�����、進(jìn)程��、服務(wù)和輸出報告�。
[0092]優(yōu)選的,所述聯(lián)動包括利用本地服務(wù)器群響應(yīng)�����、緩存支持和企業(yè)內(nèi)部云服務(wù)器同
止/J/ O
[0093]本發(fā)明改進(jìn)了現(xiàn)有傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)��,具有動態(tài)及主動防御能力差�����,漏報誤報率高����,難以識別新病毒及網(wǎng)絡(luò)攻擊,不能聯(lián)動及協(xié)同防御��、智能性及交互性弱等不足和局限性���,以及難以有效防御復(fù)雜病毒和網(wǎng)絡(luò)攻擊的缺陷�����。
[0094]綜上�,在本發(fā)明所提供的基于云端的智能安全防御系統(tǒng)和防御方法中,通過系統(tǒng)核心功能調(diào)度模塊根據(jù)所述云端智能處理組件進(jìn)行交互調(diào)度所述智能處理平臺���,構(gòu)成一個對異常信息進(jìn)行檢測��、監(jiān)控���、查殺、阻斷���、防御����、審計和恢復(fù)功能模塊的網(wǎng)絡(luò)安全防御體系���,有效地提高了整個網(wǎng)絡(luò)的動態(tài)智能檢測、辨識和阻斷防御的性能��,增強(qiáng)了整體智能防御的效能。
[0095]上述描述僅是對本發(fā)明較佳實施例的描述����,并非對本發(fā)明范圍的任何限定,本發(fā)明領(lǐng)域的普通技術(shù)人員根據(jù)上述揭示內(nèi)容做的任何變更��、修飾����,均屬于權(quán)利要求書的保護(hù)范圍。
【權(quán)利要求】
1.一種基于云端的智能安全防御系統(tǒng)��,其特征在于����,包括:云端智能處理組件、智能處理平臺��、及系統(tǒng)核心功能調(diào)度模塊��;其中���, 所述云端智能處理組件用于辨識和分析一客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中的異常信息�����; 所述智能處理平臺用于對所述云端智能處理組件中的異常信息進(jìn)行全方位維護(hù)��; 所述系統(tǒng)核心功能調(diào)度模塊用于根據(jù)所述云端智能處理組件進(jìn)行交互調(diào)度所述智能處理平臺��。
2.根據(jù)權(quán)利要求1所述的基于云端的智能安全防御系統(tǒng)�,其特征在于,所述云端智能處理組件包括:數(shù)據(jù)采集下載模塊���、主機(jī)數(shù)據(jù)采集模塊����、及辨識分析分類模塊��;其中��, 所述數(shù)據(jù)采集下載模塊用于下載實時更新的特征數(shù)據(jù)庫和對客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中異常事件信息進(jìn)行采集��、分類����、過濾和分析; 所述主機(jī)數(shù)據(jù)采集模塊用于采集客戶端系統(tǒng)的惡意文件����、病毒特征庫和攻擊事件的樣本數(shù)據(jù); 所述辨識分析分類模塊用于初步辨識分析分類處理所述數(shù)據(jù)采集下載模塊和主機(jī)數(shù)據(jù)采集模塊中的異常信息��。
3.根據(jù)權(quán)利要求 2所述的基于云端的智能安全防御系統(tǒng)���,其特征在于�����,所述特征數(shù)據(jù)庫包括:診斷特征庫���、病毒特征庫、漏洞特征庫�����、及攻擊特征庫����。
4.根據(jù)權(quán)利要求1所述的基于云端的智能安全防御系統(tǒng),其特征在于�����,所述智能處理平臺包括設(shè)置在應(yīng)用層的系統(tǒng)診斷評估模塊、系統(tǒng)攻擊檢測模塊�、惡意軟件查殺模塊、漏洞檢測修復(fù)模塊�、痕跡檢測清除模塊、分析阻斷防御模塊�����、高級診斷修復(fù)模塊��、評價審計報告模塊����、進(jìn)程注冊表驅(qū)動監(jiān)控模塊、及系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊���;其中���, 所述系統(tǒng)診斷評估模塊和系統(tǒng)攻擊檢測模塊,用于對所述客戶端系統(tǒng)的安全狀況進(jìn)行綜合診斷評估和檢測���; 所述惡意軟件查殺模塊用于對所述客戶端系統(tǒng)進(jìn)行快速掃描����、特征辨識、清除駐留的病毒; 所述漏洞檢測修復(fù)模塊用于對所述客戶端系統(tǒng)的漏洞和隱患進(jìn)行掃描���、檢測�����、報警和下載補(bǔ)丁及修復(fù); 所述痕跡檢測清除模塊用于對所述客戶端系統(tǒng)在網(wǎng)絡(luò)中出現(xiàn)的病毒及攻擊的異常事件痕跡的檢測和清除���; 所述分析阻斷防御模塊用于對所述客戶端系統(tǒng)的異常事件進(jìn)行辨識����、分析和阻斷防御�; 所述高級診斷修復(fù)模塊用于對所述客戶端系統(tǒng)的異常事件進(jìn)行更深層次的分析、診斷和修復(fù)評價審計報告模塊用于對異常事件和處理過程形成安全評價審計報告��; 所述評價審計報告模塊用于對所述客戶端系統(tǒng)的異常事件具體數(shù)據(jù)進(jìn)行評價及記載形成審計報告��。 所述進(jìn)程注冊表驅(qū)動監(jiān)控模塊用于在其余模塊調(diào)用異常事件進(jìn)程之前進(jìn)行監(jiān)控�����、辨識和阻斷運(yùn)行���; 所述系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊用于掃描檢測所述客戶端系統(tǒng)服務(wù)���、派發(fā)系統(tǒng)服務(wù)描述符表以所述客戶端系統(tǒng)的原文件恢復(fù)系統(tǒng)服務(wù)描述符表���。
5.根據(jù)權(quán)利要求1所述的基于云端的智能安全防御系統(tǒng),其特征在于��,所述智能處理平臺還包括設(shè)置在內(nèi)核層的專家系統(tǒng)���、特征知識庫�����、及監(jiān)控規(guī)則庫�;其中���, 所述專家系統(tǒng)根據(jù)所述特征知識庫和監(jiān)控規(guī)則庫自動獲取知識�、特征辨識�����、分析和監(jiān)控����。
6.一種基于云端的智能安全防御方法�,其特征在于��,包括:使用如權(quán)利要求1所述的基于云端的智能安全防御系統(tǒng)�;其中,所述系統(tǒng)核心功能調(diào)度模塊根據(jù)所述云端智能處理組件進(jìn)行交互調(diào)度所述智能處理平臺�;所述云端智能處理組件辨識和分析一客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中的異常信息;所述智能處理平臺對所述云端智能處理組件中的異常信息進(jìn)行全方位維護(hù)���。
7.根據(jù)權(quán)利要求6所述的基于云端的智能安全防御方法,其特征在于��,所述云端智能處理組件包括:數(shù)據(jù)采集下載模塊����、主機(jī)數(shù)據(jù)采集模塊、及辨識分析分類模塊����;其中, 所述數(shù)據(jù)采集下載模塊下載實時更新的特征數(shù)據(jù)庫和對客戶端系統(tǒng)發(fā)送到網(wǎng)絡(luò)中異常事件信息進(jìn)行采集�、分類、過濾和分析�����; 所述主機(jī)數(shù)據(jù)采集模塊采集客戶端系統(tǒng)的惡意文件、病毒特征庫和攻擊事件的樣本數(shù)據(jù)�; 所述辨識分析分類模塊初步辨識分析分類處理所述數(shù)據(jù)采集下載模塊和主機(jī)數(shù)據(jù)采集模塊中的異常信息。
8.根據(jù)權(quán)利要求7所述的基于云端的智能安全防御方法��,其特征在于���,在下載實時更新的特征數(shù)據(jù)庫和對網(wǎng)絡(luò)中異常事件信息進(jìn)行采集��、分類�����、過濾和分析的步驟中����,所述特征數(shù)據(jù)庫包括:診斷特征庫����、病毒特征庫、漏洞特征庫和攻擊特征庫�。
9.根據(jù)權(quán)利要求6所述的基于云端的智能安全防御方法,其特征在于�����,所述智能處理平臺包括設(shè)置在應(yīng)用層的系統(tǒng)診斷評估模塊、系統(tǒng)攻擊檢測模塊���、惡意軟件查殺模塊����、漏洞檢測修復(fù)模塊�����、痕跡檢測清除模塊����、分析阻斷防御模塊�����、高級診斷修復(fù)模塊�����、評價審計報告模塊����、進(jìn)程注冊表驅(qū)動監(jiān)控模塊���、及系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊; 所述系統(tǒng)診斷評估模塊和系統(tǒng)攻擊檢測模塊��,用于對所述客戶端系統(tǒng)的安全狀況進(jìn)行綜合診斷評估和檢測��; 所述惡意軟件查殺模塊用于對所述客戶端系統(tǒng)進(jìn)行快速掃描��、特征辨識�、清除駐留的病毒; 所述漏洞檢測修復(fù)模塊用于對所述客戶端系統(tǒng)的漏洞和隱患進(jìn)行掃描、檢測�、報警和下載補(bǔ)丁及修復(fù); 所述痕跡檢測清除模塊用于對所述客戶端系統(tǒng)在網(wǎng)絡(luò)中出現(xiàn)的病毒及攻擊的異常事件痕跡的檢測和清除���; 所述分析阻斷防御模塊用于對所述客戶端系統(tǒng)的異常事件進(jìn)行辨識����、分析和阻斷防御��; 所述高級診斷修復(fù)模塊用于對所述客戶端系統(tǒng)的異常事件進(jìn)行更深層次的分析�����、診斷和修復(fù)評價審計報告模塊用于對異常事件和處理過程形成安全評價審計報告; 所述評價審計報告模塊用于對所述客戶端系 統(tǒng)的異常事件具體數(shù)據(jù)進(jìn)行評價及記載形成審計報告��; 所述進(jìn)程注冊表驅(qū)動監(jiān)控模塊用于在其余模塊調(diào)用異常事件進(jìn)程之前進(jìn)行監(jiān)控���、辨識和阻斷運(yùn)行�����;所述系統(tǒng)服務(wù)描述符表檢測恢復(fù)模塊用于掃描檢測所述客戶端系統(tǒng)服務(wù)���、派發(fā)系統(tǒng)服務(wù)描述符表以所述客戶端系統(tǒng)的原文件恢復(fù)系統(tǒng)服務(wù)描述符表。
10.根據(jù)權(quán)利要求6所述的基于云端的智能安全防御系統(tǒng)�����,其特征在于����,所述智能處理平臺還包括設(shè)置在內(nèi)核層的專家系統(tǒng)�、特征知識庫、及監(jiān)控規(guī)則庫��;其中, 所述專家系統(tǒng)根據(jù)所述特征知識庫和監(jiān)控規(guī)則庫自動獲取知識��、特征辨識�����、分析和監(jiān)控��。
11.根據(jù)權(quán)利要求6所述的基于云端的智能安全防御方法�����,其特征在于�,將所述智能處理平臺的應(yīng)用層與內(nèi)核層聯(lián)動交互和協(xié)同。
12.根據(jù)權(quán)利要求11所述的基于云端的智能安全防御方法�����,其特征在于����,所述聯(lián)動包括利用本地服務(wù)器群響應(yīng)、緩存支持和企業(yè)內(nèi)部云服務(wù)器同步�。
【文檔編號】H04L29/08GK103905459SQ201410148428
【公開日】2014年7月2日 申請日期:2014年4月14日 優(yōu)先權(quán)日:2014年4月14日
【發(fā)明者】賈鐵軍, 肖惜明, 張福杰 申請人:上海電機(jī)學(xué)院