技術(shù)特征:1.一種基于云和本地平臺(tái)的網(wǎng)絡(luò)攻擊防御裝置�����,其特征在于��,包括:
云中心�����,其用于收集威脅情報(bào)��,對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分析�,并根據(jù)網(wǎng)絡(luò)流量安全模型判斷潛在的網(wǎng)絡(luò)攻擊并生成相關(guān)防御指令��;
本地防御平臺(tái)�,其與所述云中心通過網(wǎng)絡(luò)連接,用于實(shí)施網(wǎng)絡(luò)流量檢測���,根據(jù)防御指令對檢測出的存在威脅的流量進(jìn)行訪問控制���。
2.根據(jù)權(quán)利要求1所述的裝置,其特征在于���,所述本地防御平臺(tái)包括:UI子系統(tǒng)�、管理子系統(tǒng)、監(jiān)控子系統(tǒng)����、報(bào)告子系統(tǒng)�、ACL子系統(tǒng)、內(nèi)容過濾子系統(tǒng)�、網(wǎng)絡(luò)子系統(tǒng)、tunnel子系統(tǒng)��、虛擬子系統(tǒng)����、HA子系統(tǒng)。
3.根據(jù)權(quán)利要求2所述的裝置�����,其特征在于���,
UI子系統(tǒng)是所述本地防御平臺(tái)的人機(jī)交互界面�����,用于向安全管理員提供置初始安全基線的配置界面以及進(jìn)行各種安全功能的人工配置和策略干預(yù)的界面��;該子系統(tǒng)包括Web界面��、命令行界面�、網(wǎng)絡(luò)集中管理界面。
4.根據(jù)權(quán)利要求3所述的裝置�����,其特征在于��,
ACL子系統(tǒng)是所述本地防御平臺(tái)的核心子系統(tǒng)����,用于對檢測出的流量進(jìn)行訪問控制,并根據(jù)管理員配置的安全基線����,以及云中心下發(fā)的防御指令對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)過濾;ACL子系統(tǒng)包括DDoS����、流量控制、入侵防御、身份認(rèn)證�、智能協(xié)議識別和訪問控制列表;
內(nèi)容過濾子系統(tǒng)用于對流量數(shù)據(jù)進(jìn)行細(xì)粒度過濾����,該子系統(tǒng)基于本地安全基線和云中心的安全指令自動(dòng)過濾非法流量;內(nèi)容過濾子系統(tǒng)包括Web內(nèi)容過濾�����、FTP內(nèi)容過濾�����、病毒文件過濾���、垃圾郵件過濾和惡意代碼過濾。
5.根據(jù)權(quán)利要求2所述的裝置���,其特征在于����,
Tunnel子系統(tǒng)是針對加密流量處理的一個(gè)子系統(tǒng)��,充當(dāng)網(wǎng)絡(luò)加密協(xié)商代理���,實(shí)現(xiàn)網(wǎng)絡(luò)流量的加解密�;該Tunnel子系統(tǒng)包括IPsec、PPTP�����、SSL VPN模塊�����。
6.一種基于云和本地平臺(tái)的網(wǎng)絡(luò)攻擊防御方法具體包括以下步驟:
在云中心收集威脅情報(bào)�,對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分析,并根據(jù)網(wǎng)絡(luò)流量安全模型判斷潛在的網(wǎng)絡(luò)攻擊并生成相關(guān)防御指令���;
在本地平臺(tái)實(shí)施網(wǎng)絡(luò)流量檢測��,根據(jù)防御指令對檢測出的存在威脅的流量進(jìn)行訪問控制��。
7.根據(jù)權(quán)利要求6所述的方法����,其特征在于�����,
對于網(wǎng)絡(luò)流量實(shí)時(shí)分析包括對歷史網(wǎng)絡(luò)流量的學(xué)習(xí),生成網(wǎng)絡(luò)流量安全基線�,并根據(jù)時(shí)間和流量數(shù)據(jù)進(jìn)行不斷的學(xué)習(xí)和動(dòng)態(tài)調(diào)整,形成自適應(yīng)的網(wǎng)絡(luò)流量安全模型���;
通過將未知流量行為參數(shù)與所述安全模型進(jìn)行對比和關(guān)聯(lián)分析鑒定未知威脅和異常�。
8.根據(jù)權(quán)利要求6所述的方法�����,其特征在于����,所述流量檢測包括:
檢查IP包的格式是否正確����,和/或檢查IP包的協(xié)議是否異常,實(shí)現(xiàn)協(xié)議異常檢測����;
監(jiān)測統(tǒng)計(jì)指標(biāo)是否突然出現(xiàn)異常;所述統(tǒng)計(jì)指標(biāo)包括網(wǎng)絡(luò)流量的帶寬��、會(huì)話建立速度。
9.根據(jù)權(quán)利要求8所述的方法��,其特征在于��,所述流量檢測還包括:
檢查數(shù)據(jù)包的IP地址��,并且監(jiān)測數(shù)據(jù)包的連接狀態(tài)變化�����,建立狀態(tài)連接表��,并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話�����,利用狀態(tài)表跟蹤每一個(gè)會(huì)話的狀態(tài)�����;
基于特征的異常檢測�,包括實(shí)時(shí)針對異常流量與數(shù)據(jù)包內(nèi)容進(jìn)行檢驗(yàn)與示警,并根據(jù)所做設(shè)置加以阻絕����、丟棄或日志記錄��。
10.根據(jù)權(quán)利要求6所述的方法�,其特征在于�����,還包括:根據(jù)管理員配置的安全基線���,以及云中心下發(fā)的防御指令對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)過濾���;
所述實(shí)時(shí)過濾包括對流量數(shù)據(jù)進(jìn)行細(xì)粒度過濾,包括Web內(nèi)容過濾��、FTP內(nèi)容過濾��、病毒文件過濾��、垃圾郵件過濾和惡意代碼過濾���。