本發(fā)明涉及網(wǎng)絡(luò)安全監(jiān)測(cè)領(lǐng)域，尤其是一種基于大數(shù)據(jù)分析的apt監(jiān)測(cè)防御平臺(tái)的監(jiān)測(cè)防御系統(tǒng)。

背景技術(shù)：

在全球網(wǎng)絡(luò)信息化程度高速發(fā)展的大背景下，具備隱蔽性、滲透性和針對(duì)性的高級(jí)持續(xù)性威脅（apt,advancedpersistentthreat）對(duì)各類高等級(jí)信息安全系統(tǒng)造成的威脅日益嚴(yán)重，針對(duì)特定目標(biāo)的有組織的apt攻擊日益增多國家、企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)和數(shù)據(jù)安全面臨嚴(yán)峻挑戰(zhàn)。例如，2008年中國長城網(wǎng)遭遇到美國國防部網(wǎng)絡(luò)黑客的攻擊滲透，被植入后門并竊取情報(bào)；2010年的“震網(wǎng)”。

經(jīng)過多年的準(zhǔn)備和潛伏，成功攻擊了位于物理隔離內(nèi)網(wǎng)中的工業(yè)控制系統(tǒng)，遲滯了伊朗的核計(jì)劃；2011年的“夜龍行動(dòng)”竊取了多個(gè)跨國能源巨頭公司的高度敏感內(nèi)部文件；2012年的超級(jí)病毒“火焰”成功獲取了中東各國大量的機(jī)密信息?？梢钥闯觯琣pt攻擊已經(jīng)對(duì)各類關(guān)鍵信息基礎(chǔ)設(shè)施安全造成巨大威脅，開展apt攻擊防御工作刻不容緩。apt攻擊防御工作中，攻擊檢測(cè)是安全防護(hù)和加固的前提和依據(jù)，也是apt攻擊防御中最困難的部分，因此檢測(cè)技術(shù)已成為當(dāng)前apt攻擊防御領(lǐng)域的研究熱點(diǎn)。然而，從典型案例來看，apt攻擊具有極強(qiáng)的隱蔽能力和針對(duì)性，傳統(tǒng)的檢測(cè)設(shè)備面對(duì)apt攻擊大多束手無策。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種基于大數(shù)據(jù)分析的apt監(jiān)測(cè)防御平臺(tái)的監(jiān)測(cè)防御系統(tǒng)，實(shí)現(xiàn)對(duì)檢測(cè)區(qū)域內(nèi)的所有網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)采集，并將采集的證據(jù)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析判斷出潛在的apt攻擊威脅。

本發(fā)明的目的是通過以下技術(shù)方案來實(shí)現(xiàn)的：一種基于大數(shù)據(jù)分析的apt監(jiān)測(cè)防御平臺(tái)的監(jiān)測(cè)防御系統(tǒng)，其特征在于：它包括總?cè)∽C中心和多個(gè)分取證中心，所述的總?cè)∽C中心和多個(gè)分取證中心都包括前端數(shù)據(jù)采集平臺(tái)、大數(shù)據(jù)挖掘分析平臺(tái)和結(jié)果表示平臺(tái)；前端數(shù)據(jù)采集平臺(tái)的數(shù)據(jù)輸出端與大數(shù)據(jù)挖掘分析平臺(tái)的輸出輸入端相連，大數(shù)據(jù)挖掘分析平臺(tái)的數(shù)據(jù)輸出端與結(jié)果表示平臺(tái)的數(shù)據(jù)輸入端相連。

進(jìn)一步限定，所述的前端數(shù)據(jù)采集平臺(tái)的主機(jī)探針與網(wǎng)絡(luò)探針分別對(duì)監(jiān)測(cè)區(qū)域內(nèi)的所有網(wǎng)絡(luò)設(shè)備的終端證據(jù)采集和網(wǎng)絡(luò)證據(jù)采集。

進(jìn)一步限定，所述的終端證據(jù)采集包括終端信息記錄、進(jìn)線程記錄、外設(shè)設(shè)備記錄、端口信息記錄、三方軟件記錄、磁盤數(shù)據(jù)操作記錄和注冊(cè)表信息記錄。

進(jìn)一步限定，所述的網(wǎng)絡(luò)證據(jù)采集包括遠(yuǎn)程控制協(xié)議分析、分光數(shù)據(jù)獲取、網(wǎng)絡(luò)設(shè)備遠(yuǎn)程配置協(xié)議分析、標(biāo)準(zhǔn)協(xié)議分析、非標(biāo)準(zhǔn)協(xié)議分析、用戶定制協(xié)議分析和未知協(xié)議分析。

進(jìn)一步限定，所述的大數(shù)據(jù)挖掘分析平臺(tái)包括行為數(shù)據(jù)分析模塊、知識(shí)庫和證據(jù)保全模塊。

進(jìn)一步限定，所述的知識(shí)庫包括用戶信息備案庫、用戶安全需求庫、威脅模型庫、行為風(fēng)險(xiǎn)法律法規(guī)庫、行為法規(guī)庫和用戶規(guī)章庫。

進(jìn)一步限定，所述的行為證據(jù)關(guān)聯(lián)分析模塊將采集到的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析。

進(jìn)一步限定，所述的行為數(shù)據(jù)分析模塊進(jìn)行ip關(guān)聯(lián)、用戶關(guān)聯(lián)、時(shí)間關(guān)聯(lián)、類型關(guān)聯(lián)和結(jié)構(gòu)關(guān)聯(lián)并做出主機(jī)操作行為、網(wǎng)絡(luò)通信行為、業(yè)務(wù)行為和遠(yuǎn)程服務(wù)行為的行為類型判斷。

進(jìn)一步限定，所述的知識(shí)庫包括用戶基礎(chǔ)信息備案、授權(quán)行為白名單、非授權(quán)行為黑名單、取證策略、證據(jù)記錄、行為風(fēng)險(xiǎn)標(biāo)準(zhǔn)、國家法律法規(guī)和自身監(jiān)測(cè)防御系統(tǒng)的系統(tǒng)配置。

進(jìn)一步限定，所述的證據(jù)保全模塊包括數(shù)據(jù)存儲(chǔ)單元和法規(guī)化處理單元，所述的數(shù)據(jù)存儲(chǔ)單元進(jìn)行數(shù)據(jù)的存儲(chǔ)，法規(guī)化處理單元將數(shù)據(jù)進(jìn)行統(tǒng)一標(biāo)示、統(tǒng)一字段和統(tǒng)一格式。

本發(fā)明的有益效果是：實(shí)現(xiàn)對(duì)檢測(cè)區(qū)域內(nèi)的所有網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)采集，并將采集的證據(jù)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析判斷出潛在的apt攻擊威脅，對(duì)網(wǎng)絡(luò)通信過程進(jìn)行過濾阻斷具有信息流檢測(cè)與報(bào)警。建立黑名單與白名單，對(duì)不同對(duì)象進(jìn)行分級(jí)被的監(jiān)測(cè)，最后將分析結(jié)果進(jìn)行呈現(xiàn)，并與知識(shí)庫信息參考進(jìn)行對(duì)比使其準(zhǔn)確度更高。

附圖說明

圖1為本發(fā)明系統(tǒng)框架圖；圖2為本發(fā)明取證系統(tǒng)部署示意圖。

具體實(shí)施方式

下面結(jié)合附圖進(jìn)一步詳細(xì)描述本發(fā)明的技術(shù)方案，但本發(fā)明的保護(hù)范圍不局限于以下所述。

如圖1所示，一種基于大數(shù)據(jù)分析的apt監(jiān)測(cè)防御平臺(tái)的監(jiān)測(cè)防御系統(tǒng)，其特征在于：它包括總?cè)∽C中心和多個(gè)分取證中心，所述的總?cè)∽C中心和多個(gè)分取證中心都包括前端數(shù)據(jù)采集平臺(tái)、大數(shù)據(jù)挖掘分析平臺(tái)和結(jié)果表示平臺(tái)；前端數(shù)據(jù)采集平臺(tái)的數(shù)據(jù)輸出端與大數(shù)據(jù)挖掘分析平臺(tái)的輸出輸入端相連，大數(shù)據(jù)挖掘分析平臺(tái)的數(shù)據(jù)輸出端與結(jié)果表示平臺(tái)的數(shù)據(jù)輸入端相連。

進(jìn)一步限定，所述的前端數(shù)據(jù)采集平臺(tái)的主機(jī)探針與網(wǎng)絡(luò)探針分別對(duì)監(jiān)測(cè)區(qū)域內(nèi)的所有網(wǎng)絡(luò)設(shè)備的終端證據(jù)采集和網(wǎng)絡(luò)證據(jù)采集。

進(jìn)一步限定，所述的終端證據(jù)采集包括終端信息記錄、進(jìn)線程記錄、外設(shè)設(shè)備記錄、端口信息記錄、三方軟件記錄、磁盤數(shù)據(jù)操作記錄和注冊(cè)表信息記錄。

進(jìn)一步限定，所述的網(wǎng)絡(luò)證據(jù)采集包括遠(yuǎn)程控制協(xié)議分析、分光數(shù)據(jù)獲取、網(wǎng)絡(luò)設(shè)備遠(yuǎn)程配置協(xié)議分析、標(biāo)準(zhǔn)協(xié)議分析、非標(biāo)準(zhǔn)協(xié)議分析、用戶定制協(xié)議分析和未知協(xié)議分析。

進(jìn)一步限定，所述的大數(shù)據(jù)挖掘分析平臺(tái)包括行為數(shù)據(jù)分析模塊、知識(shí)庫和證據(jù)保全模塊。

進(jìn)一步限定，所述的知識(shí)庫包括用戶信息備案庫、用戶安全需求庫、威脅模型庫、行為風(fēng)險(xiǎn)法律法規(guī)庫、行為法規(guī)庫和用戶規(guī)章庫。

進(jìn)一步限定，所述的行為證據(jù)關(guān)聯(lián)分析模塊將采集到的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析。

進(jìn)一步限定，所述的行為數(shù)據(jù)分析模塊進(jìn)行ip關(guān)聯(lián)、用戶關(guān)聯(lián)、時(shí)間關(guān)聯(lián)、類型關(guān)聯(lián)和結(jié)構(gòu)關(guān)聯(lián)并做出主機(jī)操作行為、網(wǎng)絡(luò)通信行為、業(yè)務(wù)行為和遠(yuǎn)程服務(wù)行為的行為類型判斷。

進(jìn)一步限定，所述的知識(shí)庫包括用戶基礎(chǔ)信息備案、授權(quán)行為白名單、非授權(quán)行為黑名單、取證策略、證據(jù)記錄、行為風(fēng)險(xiǎn)標(biāo)準(zhǔn)、國家法律法規(guī)和自身監(jiān)測(cè)防御系統(tǒng)的系統(tǒng)配置。

進(jìn)一步限定，所述的證據(jù)保全模塊包括數(shù)據(jù)存儲(chǔ)單元和法規(guī)化處理單元，所述的數(shù)據(jù)存儲(chǔ)單元進(jìn)行數(shù)據(jù)的存儲(chǔ)，法規(guī)化處理單元將數(shù)據(jù)進(jìn)行統(tǒng)一標(biāo)示、統(tǒng)一字段和統(tǒng)一格式。

系統(tǒng)工作過程具體為：

知識(shí)庫的取證策略庫將取證策略發(fā)布給前端數(shù)據(jù)采集平臺(tái)，前端數(shù)據(jù)采集平臺(tái)所采集的對(duì)象寶庫數(shù)據(jù)庫服務(wù)器、通信中間服務(wù)器、業(yè)務(wù)中間服務(wù)器、業(yè)務(wù)系統(tǒng)服務(wù)器、網(wǎng)絡(luò)通信設(shè)備、網(wǎng)絡(luò)安全設(shè)備、業(yè)務(wù)終端主機(jī)和辦公終端主機(jī)等。

知識(shí)庫的用戶基礎(chǔ)信息備案庫用戶信息終端信息進(jìn)行備案。

在采集時(shí)核對(duì)判斷是否為知識(shí)庫的授權(quán)行為白名單庫包括，所述的授權(quán)行為白名單庫包括：操作系統(tǒng)配置行為白名單、操作系統(tǒng)數(shù)據(jù)操作行為白名單、數(shù)據(jù)庫配置行為白名單、數(shù)據(jù)庫數(shù)據(jù)操作行為白名單、網(wǎng)絡(luò)設(shè)備遠(yuǎn)程配置管理行為白名單、業(yè)務(wù)系統(tǒng)操作行為白名單和遠(yuǎn)程控制行為白名單。

在采集時(shí)核對(duì)判斷是否為知識(shí)庫的安全義務(wù)行為名單庫，所述的安全義務(wù)行為名單庫是根據(jù)行業(yè)安全業(yè)務(wù)需求制定相關(guān)應(yīng)履行的責(zé)任行為的名單。

在采集時(shí)核對(duì)判斷是否為知識(shí)庫的禁止行為黑名單庫，所述的禁止行為黑名單庫是根據(jù)用戶需求已經(jīng)明確的禁止行為做出黑名單配置。

利用對(duì)所述監(jiān)測(cè)區(qū)域內(nèi)的所有用戶進(jìn)行證據(jù)采集，主機(jī)探針采集包括終端信息記錄、進(jìn)線程記錄、外設(shè)設(shè)備記錄、端口信息記錄、三方軟件記錄、磁盤數(shù)據(jù)操作記錄和注冊(cè)表信息記錄等終端數(shù)據(jù)；網(wǎng)絡(luò)探針采集包括終端信息記錄、進(jìn)線程記錄、外設(shè)設(shè)備記錄、端口信息記錄、三方軟件記錄、磁盤數(shù)據(jù)操作記錄和注冊(cè)表信息記錄等網(wǎng)絡(luò)證據(jù)。

數(shù)據(jù)采集完成后，知識(shí)庫的行為風(fēng)險(xiǎn)標(biāo)準(zhǔn)庫針對(duì)非授權(quán)行為產(chǎn)生的影響嚴(yán)重性進(jìn)行分級(jí)。

系統(tǒng)配置管理庫對(duì)取證系統(tǒng)內(nèi)部的管理配置。包括系統(tǒng)用戶管理、前端證據(jù)采集點(diǎn)認(rèn)證等。

知識(shí)庫的行為證據(jù)庫對(duì)取證結(jié)果進(jìn)行記錄以供查詢時(shí)使用。

行為數(shù)據(jù)分析模塊進(jìn)行ip關(guān)聯(lián)、用戶關(guān)聯(lián)、時(shí)間關(guān)聯(lián)、類型關(guān)聯(lián)和結(jié)構(gòu)關(guān)聯(lián)并做出主機(jī)操作行為、網(wǎng)絡(luò)通信行為、業(yè)務(wù)行為和遠(yuǎn)程服務(wù)行為的行為類型判斷。

所述的證據(jù)保全模塊包括數(shù)據(jù)存儲(chǔ)單元和法規(guī)化處理單元，所述的數(shù)據(jù)存儲(chǔ)單元進(jìn)行數(shù)據(jù)的存儲(chǔ)，法規(guī)化處理單元將數(shù)據(jù)進(jìn)行統(tǒng)一標(biāo)示、統(tǒng)一字段和統(tǒng)一格式。

結(jié)果表示平臺(tái)主要是各類查詢/管理終端。結(jié)果表示平臺(tái)根據(jù)使用主體的需要，生成各類報(bào)表和分析報(bào)告。結(jié)果表示平臺(tái)用友好的界面查詢數(shù)據(jù)倉庫內(nèi)容，并實(shí)現(xiàn)會(huì)話重放，對(duì)各平臺(tái)管理維護(hù)，如備份、刪除等。并且操作員還可以調(diào)用知識(shí)庫數(shù)據(jù)進(jìn)行輔助分析。

如圖2所示，一個(gè)在多個(gè)isp環(huán)境下基于主動(dòng)防御的取證系統(tǒng)部署示意圖。在isp建立分中心，每個(gè)分中心可以有自己的前端數(shù)據(jù)采集平臺(tái)、大數(shù)據(jù)挖掘分析平臺(tái)、結(jié)果表示平臺(tái)?？傊行模▍R聚點(diǎn)）位于中心機(jī)房，匯聚點(diǎn)到各采集點(diǎn)可以采取xdsl或其它專線，為了保密，匯聚點(diǎn)到各采集點(diǎn)均采取私有線路，不通過internet。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為了描述的方便和簡(jiǎn)潔，上述描述的方法、系統(tǒng)和模塊的具體工作過程，可以參考前述方法實(shí)施例中的對(duì)應(yīng)過程，在此不再贅述。

本發(fā)明所揭露的方法、系統(tǒng)和模塊，可以通過其它的方式實(shí)現(xiàn)。例如，以上所描述的實(shí)施例僅是示意性的，例如，所述模塊的劃分，可以僅僅是一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)模塊或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以說通過一些接口，系統(tǒng)或模塊的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

所述分立部件說明的模塊可以是或者也可以不是物理上分開的，作為模塊顯示的部件可以是或者可以不是物理模塊，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)模塊上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例的方案目的。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能模塊可以集成在一個(gè)處理模塊中，也可以是各個(gè)模塊單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上模塊集成在一個(gè)模塊中。

所述功能如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備（可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等）執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：u盤、移動(dòng)硬盤、制度存儲(chǔ)器（read-onlymemory，rom）、隨機(jī)存取存儲(chǔ)器（randomaccessmemory，ram）、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)

以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式，不應(yīng)看作是對(duì)其他實(shí)施例的排除，而可用于各種其他組合、修改和環(huán)境，并能夠在本文所述構(gòu)想范圍內(nèi)，通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識(shí)進(jìn)行改動(dòng)。而本領(lǐng)域人員所進(jìn)行的改動(dòng)和變化不脫離本發(fā)明的精神和范圍，則都應(yīng)在本發(fā)明所附權(quán)利要求的保護(hù)范圍內(nèi)。