本發(fā)明屬于網(wǎng)絡(luò)攻擊防御領(lǐng)域，特別是一種基于云和本地平臺的網(wǎng)絡(luò)攻擊防御裝置和方法。

背景技術(shù)：

目前全球網(wǎng)絡(luò)威脅有增無減，網(wǎng)絡(luò)罪犯愈發(fā)趨于專業(yè)化，目的愈發(fā)商業(yè)化，行為愈發(fā)組織化，手段愈發(fā)多樣化，背后的黑色產(chǎn)業(yè)鏈獲利能力大幅提高，信息安全形勢愈發(fā)嚴峻。尤其是近年來隨著各行業(yè)信息化程度的進一步提高和兩化融合的深度推進，關(guān)系國計民生、社會穩(wěn)定和國家安全的重要行業(yè)，如金融、能源、政府、電信、大中型企業(yè)等對安全產(chǎn)品的需求進一步快速增長。

然而隨著黑客技術(shù)的日益發(fā)展，APT(Advanced Persistent Threat)高級持續(xù)性威脅、零日(Zero Day)漏洞攻擊和DDoS(Distributed Deby of Service)攻擊越來越越盛行，傳統(tǒng)安全防御產(chǎn)品主要基于攻擊特征庫進行監(jiān)測和防御，對于此類攻擊無能為力。

目前，國內(nèi)基于行為分析技術(shù)的安全防御產(chǎn)品并不多，且大多而是僅僅通過有限數(shù)據(jù)和網(wǎng)絡(luò)連接情況，加上人工判斷來定義網(wǎng)絡(luò)行為的信譽指數(shù)，誤判率高，而且需要人工干預。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于提供一種基于云和本地平臺的網(wǎng)絡(luò)攻擊防御裝置和方法，以解決上文所述的技術(shù)問題。

本發(fā)明提供的一種基于云和本地平臺的網(wǎng)絡(luò)攻擊防御裝置，包括：

云中心，其用于收集威脅情報，對網(wǎng)絡(luò)流量進行實時分析，并根據(jù)網(wǎng)絡(luò)流量安全模型判斷潛在的網(wǎng)絡(luò)攻擊并生成相關(guān)防御指令；

本地防御平臺，其與所述云中心通過網(wǎng)絡(luò)連接，用于實施網(wǎng)絡(luò)流量檢測，根據(jù)防御指令對檢測出的存在威脅的流量進行訪問控制。

優(yōu)選地，所述本地防御平臺包括：UI子系統(tǒng)、管理子系統(tǒng)、監(jiān)控子系統(tǒng)、報告子系統(tǒng)、ACL子系統(tǒng)、內(nèi)容過濾子系統(tǒng)、網(wǎng)絡(luò)子系統(tǒng)、tunnel子系統(tǒng)、虛擬子系統(tǒng)、HA子系統(tǒng)。

優(yōu)選地，UI子系統(tǒng)是所述本地防御平臺的人機交互界面，用于向安全管理員提供置初始安全基線的配置界面以及進行各種安全功能的人工配置和策略干預的界面；該子系統(tǒng)包括Web界面、命令行界面、網(wǎng)絡(luò)集中管理界面。

優(yōu)選地，ACL子系統(tǒng)是所述本地防御平臺的核心子系統(tǒng)，用于對檢測出的流量進行訪問控制，并根據(jù)管理員配置的安全基線，以及云中心下發(fā)的防御指令對網(wǎng)絡(luò)流量進行實時過濾；ACL子系統(tǒng)包括DDoS、流量控制、入侵防御、身份認證、智能協(xié)議識別和訪問控制列表；

內(nèi)容過濾子系統(tǒng)用于對流量數(shù)據(jù)進行細粒度過濾，該子系統(tǒng)基于本地安全基線和云中心的安全指令自動過濾非法流量；內(nèi)容過濾子系統(tǒng)包括Web內(nèi)容過濾、FTP內(nèi)容過濾、病毒文件過濾、垃圾郵件過濾和惡意代碼過濾。

優(yōu)選地，Tunnel子系統(tǒng)是針對加密流量處理的一個子系統(tǒng)，充當網(wǎng)絡(luò)加密協(xié)商代理，實現(xiàn)網(wǎng)絡(luò)流量的加解密；該Tunnel子系統(tǒng)包括IPsec、PPTP、SSL VPN模塊。

本發(fā)明還提供了一種基于云和本地平臺的網(wǎng)絡(luò)攻擊防御方法，包括以下步驟：

在云中心收集威脅情報，對網(wǎng)絡(luò)流量進行實時分析，并根據(jù)網(wǎng)絡(luò)流量安全模型判斷潛在的網(wǎng)絡(luò)攻擊并生成相關(guān)防御指令；

在本地平臺實施網(wǎng)絡(luò)流量檢測，根據(jù)防御指令對檢測出的存在威脅的流量進行訪問控制。

優(yōu)選地，對于網(wǎng)絡(luò)流量實時分析包括對歷史網(wǎng)絡(luò)流量的學習，生成網(wǎng)絡(luò)流量安全基線，并根據(jù)時間和流量數(shù)據(jù)進行不斷的學習和動態(tài)調(diào)整，形成自適應(yīng)的網(wǎng)絡(luò)流量安全模型；

通過將未知流量行為參數(shù)與所述安全模型進行對比和關(guān)聯(lián)分析鑒定未知威脅和異常。

優(yōu)選地，所述流量檢測包括：檢查IP包的格式是否正確，和/或檢查IP包的協(xié)議是否異常，實現(xiàn)協(xié)議異常檢測；

監(jiān)測統(tǒng)計指標是否突然出現(xiàn)異常；所述統(tǒng)計指標包括網(wǎng)絡(luò)流量的帶寬、會話建立速度。

優(yōu)選地，所述流量檢測還包括：

檢查數(shù)據(jù)包的IP地址，并且監(jiān)測數(shù)據(jù)包的連接狀態(tài)變化，建立狀態(tài)連接表，并將進出網(wǎng)絡(luò)的數(shù)據(jù)當成一個個的會話，利用狀態(tài)表跟蹤每一個會話的狀態(tài)；

基于特征的異常檢測，包括實時針對異常流量與數(shù)據(jù)包內(nèi)容進行檢驗與示警，并根據(jù)所做設(shè)置加以阻絕、丟棄或日志記錄。

優(yōu)選地，所述方法，還包括：根據(jù)管理員配置的安全基線，以及云中心下發(fā)的防御指令對網(wǎng)絡(luò)流量進行實時過濾；

所述實時過濾包括對流量數(shù)據(jù)進行細粒度過濾，包括Web內(nèi)容過濾、FTP內(nèi)容過濾、病毒文件過濾、垃圾郵件過濾和惡意代碼過濾。

由上可以看出，本發(fā)明通過對服務(wù)器等關(guān)鍵IT資產(chǎn)和用戶等風險對象的大流量數(shù)據(jù)的統(tǒng)計分析和學習，例如：可以統(tǒng)計分析過去數(shù)月甚至數(shù)年的流量數(shù)據(jù)，統(tǒng)計出數(shù)十個流量安全參數(shù)，并分析各參數(shù)之間的相關(guān)性規(guī)律，從而構(gòu)建安全基線模型。在實際攻擊檢測時，同樣需要對當前流量數(shù)據(jù)進行實時多維分析，并持續(xù)跟蹤各安全參數(shù)的演變趨勢和相互影響，結(jié)合已建立的安全基線模型，就能夠檢測出潛在的網(wǎng)絡(luò)異常行為。有些APT攻擊可能持續(xù)數(shù)月，從短時間內(nèi)的行為特征判斷并無異常，但通過長時間持續(xù)跟蹤，及各安全參數(shù)之間的相互影響波動，就能夠比較容易地檢測出這種極其復雜的持續(xù)性攻擊行為。

附圖說明

圖1為本發(fā)明的基于云和本地平臺的網(wǎng)絡(luò)攻擊防御裝置在應(yīng)用環(huán)境下的示意圖；

圖2為圖1所示裝置的本地平臺的結(jié)構(gòu)示意圖；

圖3為本發(fā)明的基于云和本地平臺的網(wǎng)絡(luò)攻擊防御方法的流程圖；

圖4為“安全白環(huán)境”的方法流程圖。

具體實施方式

本發(fā)明提供的基于云和本地平臺的網(wǎng)絡(luò)攻擊防御裝置和方法根據(jù)威脅情報技術(shù)和對網(wǎng)絡(luò)流量的實時智能分析，并結(jié)合成熟的安全流量模型智能判斷潛在的網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)攻擊行為都有一定的模式，通過對服務(wù)器等關(guān)鍵IT資產(chǎn)和用戶等風險對象的流量數(shù)據(jù)(如“連接數(shù)”、“包速率”、“會話新建速度”、“系統(tǒng)資源指數(shù)”等幾十種參數(shù))進行持續(xù)、實時監(jiān)控和分析，并利用統(tǒng)計學分析、相關(guān)性分析、機器學習和智能模式識別等多種技術(shù)手段來檢測網(wǎng)絡(luò)行為中的異常模式，用于發(fā)現(xiàn)潛在的威脅和異常。

如圖1所示，本發(fā)明提供的基于云和本地平臺的網(wǎng)絡(luò)攻擊防御裝置包括：

云中心，其用于收集威脅情報，對網(wǎng)絡(luò)流量進行實時分析，并根據(jù)網(wǎng)絡(luò)流量安全模型判斷潛在的網(wǎng)絡(luò)攻擊并生成相關(guān)防御指令(安全指令)。

本地防御平臺，其與所述云中心通過網(wǎng)絡(luò)連接，用于實施網(wǎng)絡(luò)流量檢測，根據(jù)防御指令對檢測出的存在威脅的流量進行訪問控制。

所述本地防御平臺包括十個子系統(tǒng)：UI子系統(tǒng)、管理子系統(tǒng)、監(jiān)控子系統(tǒng)、報告子系統(tǒng)、ACL子系統(tǒng)、內(nèi)容過濾子系統(tǒng)、網(wǎng)絡(luò)子系統(tǒng)、tunnel子系統(tǒng)、虛擬子系統(tǒng)、HA子系統(tǒng)。具體架構(gòu)如圖2所示：

UI子系統(tǒng)

UI子系統(tǒng)是所述本地防御平臺的人機交互界面，通過UI子系統(tǒng)，安全管理員可以結(jié)合企業(yè)實際情況，配置初始安全基線，并進行各種安全功能的人工配置和策略干預。該子系統(tǒng)包括Web界面、命令行界面、網(wǎng)絡(luò)集中管理界面等模塊。

管理子系統(tǒng)

管理子系統(tǒng)負責系統(tǒng)的自身維護和管理功能，包括系統(tǒng)設(shè)置、管理員賬號、網(wǎng)絡(luò)管理協(xié)議和系統(tǒng)升級維護等模塊。

監(jiān)控子系統(tǒng)

監(jiān)控子系統(tǒng)負責企業(yè)網(wǎng)絡(luò)中用戶連接、重要鏈路、服務(wù)器等設(shè)備的狀態(tài)監(jiān)控。

報告子系統(tǒng)

報告子系統(tǒng)負責生成系統(tǒng)各工種安全報表，包括網(wǎng)絡(luò)管理協(xié)議報告、流量報表、DDoS報表、會話報表、系統(tǒng)狀態(tài)報表和日志統(tǒng)計報表等。

ACL子系統(tǒng)

ACL子系統(tǒng)是所述本地防御平臺的核心子系統(tǒng)，負責對檢測出而流量進行訪問控制。它能夠根據(jù)管理員配置的安全基線，以及云中心下發(fā)的安全指令對網(wǎng)絡(luò)流量進行實時過濾。ACL子系統(tǒng)包括DDoS、流量控制、入侵防御、身份認證、智能協(xié)議識別和訪問控制列表等模塊。

區(qū)域、用戶組、每用戶三個層次的流量控制，均可實現(xiàn)對不同流向、不同服務(wù)協(xié)議(支持智能協(xié)議識別，可識別出采用非標準端口進行網(wǎng)絡(luò)通訊的網(wǎng)絡(luò)應(yīng)用)以及總流量的細致控制。因此，通過綜合運用這三個層次的流量控制功能，可完全實現(xiàn)對網(wǎng)絡(luò)流量的精確、透明控制。

內(nèi)容過濾子系統(tǒng)

內(nèi)容過濾子系統(tǒng)負責對流量數(shù)據(jù)進行細粒度過濾，該子系統(tǒng)能夠基于本地安全基線和云中心的安全指令自動過濾非法流量。內(nèi)容過濾子系統(tǒng)包括Web內(nèi)容過濾、FTP內(nèi)容過濾、病毒文件過濾、垃圾郵件過濾和惡意代碼過濾等模塊。

網(wǎng)絡(luò)子系統(tǒng)

網(wǎng)絡(luò)子系統(tǒng)是iDefend Engine系統(tǒng)的基本子系統(tǒng)，主要功能是提供網(wǎng)絡(luò)層功能，如數(shù)據(jù)交換、路由、IP配置等，包括路由、ARP、地址轉(zhuǎn)換、IP防欺騙和接口IP地址配置等模塊。

Tunnel子系統(tǒng)

Tunnel子系統(tǒng)是針對加密流量處理的一個子系統(tǒng)，充當網(wǎng)絡(luò)加密協(xié)商代理，實現(xiàn)網(wǎng)絡(luò)流量的加解密。該子系統(tǒng)包括IPsec、PPTP、SSL VPN模塊。

虛擬子系統(tǒng)

虛擬系統(tǒng)是為了適應(yīng)VLAN的環(huán)境和網(wǎng)絡(luò)流量的安全隔離而設(shè)計的，包括VLAN模塊和虛擬化安全系統(tǒng)模塊。

HA子系統(tǒng)

HA子系統(tǒng)是高可用性子系統(tǒng)，用來在重要業(yè)務(wù)場景保障系統(tǒng)的高可靠性。包括狀態(tài)同步、配置同步、負載均衡和命令同步等模塊。

如圖3所示，本發(fā)明提供的基于云和本地平臺的網(wǎng)絡(luò)攻擊防御方法具體包括以下步驟：

步驟100：在云中心(云端或云平臺)收集威脅情報，對網(wǎng)絡(luò)流量進行實時分析，并根據(jù)網(wǎng)絡(luò)流量安全模型判斷潛在的網(wǎng)絡(luò)攻擊并生成相關(guān)防御指令(安全指令)。

在一些實施例中，對于網(wǎng)絡(luò)流量實時統(tǒng)計可包括對歷史網(wǎng)絡(luò)流量的學習，結(jié)合如圖4所示的“安全白環(huán)境”技術(shù)，生成網(wǎng)絡(luò)流量安全基線，并根據(jù)時間和流量數(shù)據(jù)進行不斷的智能學習和動態(tài)調(diào)整，形成自適應(yīng)的網(wǎng)絡(luò)流量安全模型。通過將未知流量行為參數(shù)與所述安全模型進行對比和關(guān)聯(lián)分析鑒定未知威脅和異常。

步驟200：在本地防御平臺實施網(wǎng)絡(luò)流量檢測，根據(jù)防御指令對檢測出的存在威脅的流量進行訪問控制。

在一些實施例中，上述流量檢測可包括：

協(xié)議異常檢測，包括檢查IP包的格式是否正確，例如IP包的校驗碼是否正確、是否是錯誤分片。也包括對協(xié)議異常的IP包檢查，例如源和目的IP相同的Land Attack攻擊等。

源地址真實性驗證。通常使用以下3種方法做源地址真實性驗證：SYN Cookie、反向路徑過濾、IP/MAC綁定。

統(tǒng)計異常檢測和速率限制技術(shù)。攻擊發(fā)生時，網(wǎng)絡(luò)流量的帶寬、會話建立速度等統(tǒng)計指標會突然出現(xiàn)異常，通過監(jiān)測這些統(tǒng)計指標，可以比較有效的防范這種類型的攻擊。

狀態(tài)檢測。不僅要考查數(shù)據(jù)包的IP地址等參數(shù)，并且要關(guān)心數(shù)據(jù)包的連接狀態(tài)變化，建立狀態(tài)連接表，并將進出網(wǎng)絡(luò)的數(shù)據(jù)當成一個個的會話，利用狀態(tài)表跟蹤每一個會話的狀態(tài)。狀態(tài)檢測對每一個數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，還考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力。

基于特征的異常檢測?？蓪崟r針對異常流量與數(shù)據(jù)包內(nèi)容進行檢驗與示警，并根據(jù)所做設(shè)置加以阻絕、丟棄或日志記錄，從而有效預防可疑程序入侵企業(yè)內(nèi)部網(wǎng)絡(luò)，提高了信息傳輸?shù)陌踩?，為企業(yè)網(wǎng)絡(luò)的安全穩(wěn)定運行提供保障。

此外，白名單用戶可以避免限制，直接通過SYN Cookie檢查以及ADL限制。黑名單用于直接封堵非法IP，或者是不允許訪問的IP。

在一些實施例中，還可根據(jù)管理員配置的安全基線，以及云中心下發(fā)的防御指令對網(wǎng)絡(luò)流量進行實時過濾。

所述實時過濾具體包括對流量數(shù)據(jù)進行細粒度過濾，即：基于本地安全基線和所述防御指令自動過濾非法流量，包括Web內(nèi)容過濾、FTP內(nèi)容過濾、病毒文件過濾、垃圾郵件過濾和惡意代碼過濾等。

本發(fā)明方法通過整合各種開源和商業(yè)威脅情報信息，并進行二次深度分析，生成企業(yè)的安全數(shù)據(jù)倉庫。參照該數(shù)據(jù)倉庫，能夠?qū)Ρ槐Ｗo網(wǎng)絡(luò)的所有流量和連接進行實時檢測，并可以基于檢測內(nèi)容進行攻擊路徑回溯，同時生成防御指令，與用戶現(xiàn)場的防御引擎設(shè)備聯(lián)動，實時阻斷攻擊。世界任何地域已經(jīng)和正在發(fā)生的攻擊行為，都幾乎可以同時在被保護網(wǎng)絡(luò)有效識別并防御,做到了由點及面的主動快速防御。