[发明专利]基于大数据分析的APT监测防御系统

说明书

技术领域

本发明涉及网络监测防御领域，尤其是一种基于大数据分析的APT监测防御系统。

背景技术

随着国民经济和社会各领域信息化深入发展的同时，相应的安全保障问题也更为凸显。目前，网络攻击已被作为世界面临的主要安全威胁之一。网络窃密、个人隐私被滥用、敌对势力利用网络进行意识形态渗透等问题日益突出，信息系统受到破坏后，对国家安全、社会秩序和公众利益造成的损害也越严重。

近几年来，APT(Advanced Persistent Threat)攻击已经成为业界关注和讨论的热点。APT攻击一般是指针对政府机关、研究机构或特定企业的连续不间断入侵渗透，利用软硬件缺陷和社会工程学原理进行的持续攻击。它以其独特的攻击方式和手段，使得传统的安全防御工具已无法进行有效的防御。APT攻击与普通木马病毒的攻击完全不同，它不是一个整体，而是将众多入侵渗透技术进行整合而实现的隐秘性的攻击手法，其体现出两个方面的特点，持续时间长和“高级”。APT是通过使用一系列复杂的攻击手法，在相当一段时间内逐步完成突破、渗透、窃听、偷取数据等几步的一个过程。

APT攻击已经成为近年来为祸甚烈、行之有效、难以依靠传统安全防御手段进行防御反制的网络攻击手段。一旦成为APT攻击的目标，则意味着受攻击者本身具备较高的价值和战略意义。尤其对于处于高速发展期的我国而言，一旦敌对势力或组织花费高昂代价进行有的放矢的APT攻击针对我国重要信息系统并且获得成功，那么造成的危害将难以估量。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于大数据分析的APT监测防御系统，可用于财政、工商、税务、党政等信息网络安全防御，保证正常业务应用系统的合法通讯，抵御网络APT攻击。

本发明的目的是通过以下技术方案来实现的：一种基于大数据分析的APT监测防御系统，包括：数据采集层、信息预处理层、综合分析与数据存储层和表现层；所述的数据采集层与信息预处理层相连，信息预处理层与综合分析与数据存储层相连，综合分析与数据存储层与表现层相连。

一种基于大数据分析的APT监测防御系统，还包括安全信息传输层、布控规则与信源管理层和报警管理信息数据库。

优选的，所述的安全信息传输层由安全机制和传输模块组成。

优选的，所述的安全信息传输层是基于主动防御的取证系统与互联网的广域网络连接。

优选的，所述的布控规则与信源管理层由信息接收模块、布控规则模块与信源管理模块组成。

优选的，所述的布控规则与信源管理层，接收各类原始报警信息，对各类采集设备统一发布、下达布控规则；集中监控管理各前端信源设备的运行状态。

优选的，所述的信息预处理层包括数据的甄别、筛选、过滤模块和自动分类模块。

优选的，所述的综合分析与安全服务层对数据进行深度分析和知识发现，同时向使用人员提供各种信息内容安全服务。

优选的，表现层提供调用接口或查询界面，使网络管理人员易于对整个系统的操作

本发明的有益效果是：本发明可用于财政、工商、税务、党政等信息网络安全防御之用，保证正常业务应用系统的合法通讯，抵御网络APT攻击，为我国信息安全基础设施和重要网络信息系统保驾护航。本发明具有信息流检测与报警、操作过程监察与审计、数据还原与恢复支持等多项功能。本项目采用的上述关键技术，对提高国内取证产品技术的整体提升，有着明显的推动作用。

附图说明

图1为本发明系统框架图；

图2为本发明系统组成图；

图3为本发明平台示意图；

图4为本发明采集器处理逻辑流程示意图。

具体实施方式

下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

如图1所示和图2所示，一种基于大数据分析的APT监测防御系统，包括数据采集层、安全信息传输层、布控规则与信源管理层、信息预处理层、综合分析与数据存储层、表现层和报警数据库。

数据采集层：数据采集层实现对网络信息基于主动防御的取证系统需要的各种数据的采集。数据采集层由各类技术探测器和主机代理软件实现。数据采集层采集的数据经过信息安全传输传递到第三层的信息接收模块，然后经过第四层的数据预处理，传递到综合分析层和AMMIB中。