[发明专利]网络安全感知系统、方法及可读存储介质

权利要求书

1.一种网络安全感知系统，其特征在于，所述感知系统包括：

多个探针，分别部署在各监控网络区域的交换机或路由器上，用于动态获取各自监控网络区域的镜像流量并从中采集特定流量信息；将采集的流量信息通过加密通信通道上传分析平台；

分析平台，用于动态接收各探针上传的流量信息，并进行多维度关联分析，以识别全网络中存在的安全威胁；将分析结果以可视化方式进行呈现。

2.如权利要求1所述的感知系统，其特征在于，所述监控网络区域至少包括：内网办公区、数据中心区、网络管理区、外联服务区、广域网接入区、互联网接入区。

3.如权利要求1或2所述的感知系统，其特征在于，所述探针具有管理接口与数据传输接口，所述管理接口用于接收所述分析平台下发的管理指令，以供管理探针设备，所述数据传输接口用于向所述分析平台上传数据；

所述探针配备有用于辅助分析所述流量信息的基础特征库，所述基础特征库至少包括：网络攻击特征库、恶意代码特征库、僵尸网络特征库、恶意IP特征库、恶意域名特征库、漏洞特征库。

4.一种如权利要求1至3中任一项所述感知系统的实现方法，其特征在于，所述方法包括以下步骤：

与所述分析平台建立加密通信连接；

从对应部署的交换机或路由器上，动态获取监控网络区域的镜像流量，以供从中采集特定流量信息；

将采集的流量信息通过加密通信通道上传所述分析平台，以供所述分析平台进行多维度关联分析，以识别全网络中存在的安全威胁，并将分析结果以可视化方式进行呈现。

5.如权利要求4所述的感知系统的实现方法，其特征在于，所述方法还包括：

对采集的流量信息进行基础检测，并将所述基础检测的结果上传所述分析平台；

其中，所述基础检测的内容至少包括以下一项或多项：

基于预置的基础特征库，从所述流量信息中至少识别出网络攻击、恶意代码、僵尸网络通信、恶意IP、恶意域名、可疑漏洞中的一种或多种；

基于预置的基础应用识别库，从所述流量信息中识别出请求访问的应用，所述应用至少包括业务相关应用、上网应用、办公应用；

对所述流量信息进行报文检测，以识别出报文中携带的异常数据。

6.如权利要求4或5所述的感知系统的实现方法，其特征在于，所述方法还包括：

接收所述分析平台下发的重点监控指令，以供对所述分析平台所确定的异常IP或异常网络区域进行监控；

采集异常IP或异常网络区域的流量信息，并上传所述分析平台。

7.一种如权利要求1至3中任一项所述感知系统的实现方法，其特征在于，所述方法包括以下步骤：

与所述探针建立加密通信连接；

动态接收所述探针上传的流量信息，并进行多维度关联分析，以识别全网络中存在的安全威胁；其中，所述流量信息为所述探针从对应部署的交换机或路由器上，动态获取监控网络区域的镜像流量中采集得到；

将分析结果以可视化方式进行呈现。

8.如权利要求7所述的感知系统的实现方法，其特征在于，所述进行多维度关联分析的内容至少包括以下一项或多项：

基于漏洞利用攻击规则、WEB应用攻击规则以及内网业务系统配置信息，区分全网络中各网络资产的价值，并根据网络资产的价值，对安全威胁事件进行威胁度评估；

基于漏洞利用攻击规则、WEB应用攻击规则以及僵尸网络通信行为，识别失陷主机与攻击场景；

当识别出全网络中存在安全威胁事件时，分析该安全威胁事件的事件类型，并将该安全威胁事件与该事件类型进行关联，以供进行事件关联呈现；

当识别出全网络中存在安全威胁事件时，基于预置的编码基础规则，识别该安全威胁事件是否为不规范编码所导致的误判，若是，则撤销该安全威胁事件。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有安全感知程序，所述安全感知程序被处理器执行时实现如权利要求4至6所述的感知系统的实现方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有安全感知程序，所述安全感知程序被处理器执行时实现如权利要求7或8所述的感知系统的实现方法的步骤。