[发明专利]基于大数据分析的APT监测防御平台

说明书

技术领域

本发明涉及网络监测防御领域，尤其是一种基于大数据分析的APT监测防御平台。

背景技术

随着国民经济和社会各领域信息化深入发展的同时，相应的安全保障问题也更为凸显。目前，网络攻击已被作为世界面临的主要安全威胁之一。网络窃密、个人隐私被滥用、敌对势力利用网络进行意识形态渗透等问题日益突出，信息系统受到破坏后，对国家安全、社会秩序和公众利益造成的损害也越严重。

近几年来，APT(Advanced Persistent Threat)攻击已经成为业界关注和讨论的热点。APT攻击一般是指针对政府机关、研究机构或特定企业的连续不间断入侵渗透，利用软硬件缺陷和社会工程学原理进行的持续攻击。它以其独特的攻击方式和手段，使得传统的安全防御工具已无法进行有效的防御。APT攻击与普通木马病毒的攻击完全不同，它不是一个整体，而是将众多入侵渗透技术进行整合而实现的隐秘性的攻击手法，其体现出两个方面的特点，持续时间长和”高级”。APT是通过使用一系列复杂的攻击手法，在相当一段时间内逐步完成突破、渗透、窃听、偷取数据等几步的一个过程。

APT攻击已经成为近年来为祸甚烈、行之有效、难以依靠传统安全防御手段进行防御反制的网络攻击手段。一旦成为APT攻击的目标，则意味着受攻击者本身具备较高的价值和战略意义。尤其对于处于高速发展期的我国而言，一旦敌对势力或组织花费高昂代价进行有的放矢的APT攻击针对我国重要信息系统并且获得成功，那么造成的危害将难以估量。

发明内容

本发明的目的在于克服现有技术的不足，提供基于大数据分析的APT监测防御平台，实现对APT攻击的有效防御，并且监测基础信息网络与重要信息网络实现对APT攻击的实时监测与防护。

本发明的目的是通过以下技术方案来实现的：基于大数据分析的APT监测防御平台，其特征在于：它包括前端数据采集平台、大数据挖掘分析平台和结果呈现平台；所述的前端数据采集平台与大数据挖掘分析平台通过无线或者有线网络连接，大数据挖掘分析平台与结果呈现平台通过无线或者有线网络连接。

进一步限定，内网流量分析单元、数据库协议分析单元、远程控制协议分析单元、邮件协议分析单元、社交平台应用分析单元和证据保全数据库。

进一步限定，所述的前端数据采集平台收集各收集区域的数据，收集区域可以是基础信息网络和重要信息系统的网管中心。

进一步限定，在收集各个区域的数据时采用主机探针和网络探针。

进一步限定，所述的大数据挖掘分析平台包括：关联分析单元、跟踪服务器、邮件特征库、社交平台数据库、行为特征库和内网数据流量特征库。

进一步限定，所述的大数据挖掘分析平台对前端数据采集平台中的数据进行关联分析，并根据数据的内容，对证据数据分类，生成网络攻击和破坏事件数据记录。

进一步限定，所述的结果呈现平台包括邮件分析单元、社交平台分析单元、内网传输层数据分析单元和态势分析单元。

进一步限定，所述的结果表示平台根据使用主体的需要，生成各类报表和分析报告。

进一步限定，所述的结果表示平台用友好的界面查询数据仓库内容，并实现会话重放，对各平台管理维护。

本发明的有益效果是：本发明能够实现对APT攻击的有效防御，并且监测基础信息网络与重要信息网络实现对APT攻击的实时监测与防护。将各个收集区域内的设备组成为一个内部网，实现了对监测数据的共享及关联。部分设备之间数据传输采用加密方式进行。通过用户认证，权限管理，确保证据保全数据的完整性、机密性和可用性。

附图说明

图1为本发明系统框架图。

具体实施方式

下面结合附图进一步详细描述本发明的技术方案，但本发明的保护范围不局限于以下所述。

如图1所示，基于大数据分析的APT监测防御平台，它包括前端数据采集平台、大数据挖掘分析平台和结果呈现平台；所述的前端数据采集平台与大数据挖掘分析平台通过无线或者有线网络连接，大数据挖掘分析平台与结果呈现平台通过无线或者有线网络连接。