本發(fā)明涉及網(wǎng)絡(luò)監(jiān)測防御領(lǐng)域,尤其是一種基于大數(shù)據(jù)分析的apt監(jiān)測防御平臺(tái)。
背景技術(shù):
隨著國民經(jīng)濟(jì)和社會(huì)各領(lǐng)域信息化深入發(fā)展的同時(shí),相應(yīng)的安全保障問題也更為凸顯。目前,網(wǎng)絡(luò)攻擊已被作為世界面臨的主要安全威脅之一。網(wǎng)絡(luò)竊密、個(gè)人隱私被濫用、敵對勢力利用網(wǎng)絡(luò)進(jìn)行意識形態(tài)滲透等問題日益突出,信息系統(tǒng)受到破壞后,對國家安全、社會(huì)秩序和公眾利益造成的損害也越嚴(yán)重。
近幾年來,apt(advancedpersistentthreat)攻擊已經(jīng)成為業(yè)界關(guān)注和討論的熱點(diǎn)。apt攻擊一般是指針對政府機(jī)關(guān)、研究機(jī)構(gòu)或特定企業(yè)的連續(xù)不間斷入侵滲透,利用軟硬件缺陷和社會(huì)工程學(xué)原理進(jìn)行的持續(xù)攻擊。它以其獨(dú)特的攻擊方式和手段,使得傳統(tǒng)的安全防御工具已無法進(jìn)行有效的防御。apt攻擊與普通木馬病毒的攻擊完全不同,它不是一個(gè)整體,而是將眾多入侵滲透技術(shù)進(jìn)行整合而實(shí)現(xiàn)的隱秘性的攻擊手法,其體現(xiàn)出兩個(gè)方面的特點(diǎn),持續(xù)時(shí)間長和”高級”。apt是通過使用一系列復(fù)雜的攻擊手法,在相當(dāng)一段時(shí)間內(nèi)逐步完成突破、滲透、竊聽、偷取數(shù)據(jù)等幾步的一個(gè)過程。
apt攻擊已經(jīng)成為近年來為禍甚烈、行之有效、難以依靠傳統(tǒng)安全防御手段進(jìn)行防御反制的網(wǎng)絡(luò)攻擊手段。一旦成為apt攻擊的目標(biāo),則意味著受攻擊者本身具備較高的價(jià)值和戰(zhàn)略意義。尤其對于處于高速發(fā)展期的我國而言,一旦敵對勢力或組織花費(fèi)高昂代價(jià)進(jìn)行有的放矢的apt攻擊針對我國重要信息系統(tǒng)并且獲得成功,那么造成的危害將難以估量。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供基于大數(shù)據(jù)分析的apt監(jiān)測防御平臺(tái),實(shí)現(xiàn)對apt攻擊的有效防御,并且監(jiān)測基礎(chǔ)信息網(wǎng)絡(luò)與重要信息網(wǎng)絡(luò)實(shí)現(xiàn)對apt攻擊的實(shí)時(shí)監(jiān)測與防護(hù)。
本發(fā)明的目的是通過以下技術(shù)方案來實(shí)現(xiàn)的:基于大數(shù)據(jù)分析的apt監(jiān)測防御平臺(tái),其特征在于:它包括前端數(shù)據(jù)采集平臺(tái)、大數(shù)據(jù)挖掘分析平臺(tái)和結(jié)果呈現(xiàn)平臺(tái);所述的前端數(shù)據(jù)采集平臺(tái)與大數(shù)據(jù)挖掘分析平臺(tái)通過無線或者有線網(wǎng)絡(luò)連接,大數(shù)據(jù)挖掘分析平臺(tái)與結(jié)果呈現(xiàn)平臺(tái)通過無線或者有線網(wǎng)絡(luò)連接。
進(jìn)一步限定,內(nèi)網(wǎng)流量分析單元、數(shù)據(jù)庫協(xié)議分析單元、遠(yuǎn)程控制協(xié)議分析單元、郵件協(xié)議分析單元、社交平臺(tái)應(yīng)用分析單元和證據(jù)保全數(shù)據(jù)庫。
進(jìn)一步限定,所述的前端數(shù)據(jù)采集平臺(tái)收集各收集區(qū)域的數(shù)據(jù),收集區(qū)域可以是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的網(wǎng)管中心。
進(jìn)一步限定,在收集各個(gè)區(qū)域的數(shù)據(jù)時(shí)采用主機(jī)探針和網(wǎng)絡(luò)探針。
進(jìn)一步限定,所述的大數(shù)據(jù)挖掘分析平臺(tái)包括:關(guān)聯(lián)分析單元、跟蹤服務(wù)器、郵件特征庫、社交平臺(tái)數(shù)據(jù)庫、行為特征庫和內(nèi)網(wǎng)數(shù)據(jù)流量特征庫。
進(jìn)一步限定,所述的大數(shù)據(jù)挖掘分析平臺(tái)對前端數(shù)據(jù)采集平臺(tái)中的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,并根據(jù)數(shù)據(jù)的內(nèi)容,對證據(jù)數(shù)據(jù)分類,生成網(wǎng)絡(luò)攻擊和破壞事件數(shù)據(jù)記錄。
進(jìn)一步限定,所述的結(jié)果呈現(xiàn)平臺(tái)包括郵件分析單元、社交平臺(tái)分析單元、內(nèi)網(wǎng)傳輸層數(shù)據(jù)分析單元和態(tài)勢分析單元。
進(jìn)一步限定,所述的結(jié)果表示平臺(tái)根據(jù)使用主體的需要,生成各類報(bào)表和分析報(bào)告。
進(jìn)一步限定,所述的結(jié)果表示平臺(tái)用友好的界面查詢數(shù)據(jù)倉庫內(nèi)容,并實(shí)現(xiàn)會(huì)話重放,對各平臺(tái)管理維護(hù)。
本發(fā)明的有益效果是:本發(fā)明能夠?qū)崿F(xiàn)對apt攻擊的有效防御,并且監(jiān)測基礎(chǔ)信息網(wǎng)絡(luò)與重要信息網(wǎng)絡(luò)實(shí)現(xiàn)對apt攻擊的實(shí)時(shí)監(jiān)測與防護(hù)。將各個(gè)收集區(qū)域內(nèi)的設(shè)備組成為一個(gè)內(nèi)部網(wǎng),實(shí)現(xiàn)了對監(jiān)測數(shù)據(jù)的共享及關(guān)聯(lián)。部分設(shè)備之間數(shù)據(jù)傳輸采用加密方式進(jìn)行。通過用戶認(rèn)證,權(quán)限管理,確保證據(jù)保全數(shù)據(jù)的完整性、機(jī)密性和可用性。
附圖說明
圖1為本發(fā)明系統(tǒng)框架圖。
具體實(shí)施方式
下面結(jié)合附圖進(jìn)一步詳細(xì)描述本發(fā)明的技術(shù)方案,但本發(fā)明的保護(hù)范圍不局限于以下所述。
如圖1所示,基于大數(shù)據(jù)分析的apt監(jiān)測防御平臺(tái),它包括前端數(shù)據(jù)采集平臺(tái)、大數(shù)據(jù)挖掘分析平臺(tái)和結(jié)果呈現(xiàn)平臺(tái);所述的前端數(shù)據(jù)采集平臺(tái)與大數(shù)據(jù)挖掘分析平臺(tái)通過無線或者有線網(wǎng)絡(luò)連接,大數(shù)據(jù)挖掘分析平臺(tái)與結(jié)果呈現(xiàn)平臺(tái)通過無線或者有線網(wǎng)絡(luò)連接。
所述的前端數(shù)據(jù)采集平臺(tái)包括:內(nèi)網(wǎng)流量分析單元、數(shù)據(jù)庫協(xié)議分析單元、遠(yuǎn)程控制協(xié)議分析單元、郵件協(xié)議分析單元、社交平臺(tái)應(yīng)用分析單元和證據(jù)保全數(shù)據(jù)庫。內(nèi)網(wǎng)流量分析單元、數(shù)據(jù)庫協(xié)議分析單元、遠(yuǎn)程控制協(xié)議分析單元、郵件協(xié)議分析單元、社交平臺(tái)應(yīng)用分析單元和證據(jù)保全數(shù)據(jù)庫的數(shù)據(jù)輸入端通過無線或者有線網(wǎng)絡(luò)分別與收集器的數(shù)據(jù)輸出端相連,收集器的數(shù)據(jù)輸入端通過無線或者有線網(wǎng)絡(luò)分別與各個(gè)收集區(qū)域的主機(jī)與網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)輸出端相連。
前端數(shù)據(jù)采集平臺(tái)收集各收集區(qū)域的數(shù)據(jù)。收集區(qū)域可以是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的網(wǎng)管中心,例如,電子政務(wù)系統(tǒng)以及醫(yī)療、銀行、電力、物業(yè)等服務(wù)行業(yè)的信息系統(tǒng)的網(wǎng)絡(luò)中心,也可以是這些系統(tǒng)的下屬節(jié)點(diǎn)網(wǎng)絡(luò)。收集區(qū)域可以有多個(gè)。收集區(qū)域使用主機(jī)探針和網(wǎng)絡(luò)探針。主機(jī)探針完成本區(qū)域內(nèi)的主機(jī)日志采集任務(wù);網(wǎng)絡(luò)探針完成本區(qū)域內(nèi)的郵件、社交平臺(tái)、傳輸層數(shù)據(jù)數(shù)、數(shù)據(jù)庫操作數(shù)據(jù)、遠(yuǎn)程控制數(shù)據(jù)、其他網(wǎng)絡(luò)用戶行為數(shù)據(jù)收集。收集器負(fù)責(zé)本探測區(qū)域的設(shè)備維護(hù),并實(shí)現(xiàn)與前端數(shù)據(jù)采集平臺(tái)的通信;前端數(shù)據(jù)采集平臺(tái)將收集的各收集區(qū)域保存在證據(jù)保全數(shù)據(jù)庫中。證據(jù)收集區(qū)域的設(shè)備可以組成一個(gè)內(nèi)部網(wǎng)。
所述的大數(shù)據(jù)挖掘分析平臺(tái)包括:關(guān)聯(lián)分析單元、跟蹤服務(wù)器、郵件特征庫、社交平臺(tái)數(shù)據(jù)庫、行為特征庫和內(nèi)網(wǎng)數(shù)據(jù)流量特征庫。大數(shù)據(jù)挖掘分析平臺(tái)對前端數(shù)據(jù)采集平臺(tái)中的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,并根據(jù)數(shù)據(jù)的內(nèi)容,對證據(jù)數(shù)據(jù)分類,生成網(wǎng)絡(luò)攻擊和破壞事件數(shù)據(jù)記錄。
所述的結(jié)果呈現(xiàn)平臺(tái)包括郵件分析單元、社交平臺(tái)分析單元、內(nèi)網(wǎng)傳輸層數(shù)據(jù)分析單元和態(tài)勢分析單元。結(jié)果表示平臺(tái)主要是各類查詢/管理終端。結(jié)果表示平臺(tái)根據(jù)使用主體的需要,生成各類報(bào)表和分析報(bào)告。結(jié)果表示平臺(tái)用友好的界面查詢數(shù)據(jù)倉庫內(nèi)容,并實(shí)現(xiàn)會(huì)話重放,對各平臺(tái)管理維護(hù),如備份、刪除等。
系統(tǒng)運(yùn)行時(shí),三部分設(shè)備保持動(dòng)態(tài)、高速的連接。一方面,證據(jù)區(qū)域的設(shè)備通過收集器從平臺(tái)的規(guī)則庫獲取規(guī)則,并將采集數(shù)據(jù)動(dòng)態(tài)保存到平臺(tái)中,并實(shí)現(xiàn)報(bào)警;另一方面,用戶認(rèn)證機(jī)制接收用戶分析平臺(tái)各設(shè)備的查詢/管理請求,提供數(shù)據(jù)分析或修改規(guī)則服務(wù)。系統(tǒng)部署可以采用分布式方式,可以根據(jù)網(wǎng)絡(luò)和系統(tǒng)規(guī)模建立總?cè)∽C中心和分取證中心。每個(gè)中心都可以包括前端數(shù)據(jù)采集平臺(tái)、大數(shù)據(jù)挖掘分析平臺(tái)、結(jié)果表示平臺(tái)三部分。每個(gè)組成部分都可以分擔(dān)整個(gè)系統(tǒng)的計(jì)算和傳輸任務(wù)。三部分設(shè)備之間數(shù)據(jù)傳輸采用加密方式進(jìn)行。通過用戶認(rèn)證,權(quán)限管理,確保證據(jù)保全數(shù)據(jù)的完整性、機(jī)密性和可用性。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式,不應(yīng)看作是對其他實(shí)施例的排除,而可用于各種其他組合、修改和環(huán)境,并能夠在本文所述構(gòu)想范圍內(nèi),通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識進(jìn)行改動(dòng)。而本領(lǐng)域人員所進(jìn)行的改動(dòng)和變化不脫離本發(fā)明的精神和范圍,則都應(yīng)在本發(fā)明所附權(quán)利要求的保護(hù)范圍內(nèi)。