[发明专利]基于VPN流量牵引的在线网络威胁检测方法及系统

权利要求书

1.一种基于VPN流量牵引的在线网络威胁检测方法，其特征在于，包括：

搭建云在线系统，所述云在线系统由至少一个云服务器组成；

在所述云服务器上搭建VPN服务；

在高带宽网络信道网关处部署旁路恶意威胁流量检测设备，网络威胁检测设备旁路部署于云端；检测目标与旁路恶意威胁流量检测设备不存在交互的点；

所述旁路恶意威胁流量检测设备中集成恶意流量特征库及僵尸网络控制节点信息；

检测目标通过VPN账户连接云在线系统；所述检测目标为终端设备或局域网络；

云在线系统将检测目标的网络流量牵引至旁路恶意威胁流量检测设备；

旁路恶意威胁流量检测设备检测接收到的网络流量，并存储检测结果供检测目标查看，所述检测结果中包括IP、Port、Time及恶意代码家族数据。

2.如权利要求1所述的方法，其特征在于，所述云在线系统的云服务器间相互联通，并实现负载均衡。

3.如权利要求1所述的方法，其特征在于，所述恶意流量特征库为，根据每个恶意代码家族筛选出的能够与C2正常通讯的样本，获取通信交互数据，分类提取每个请求类型的通信数据特征，生成恶意流量特征库。

4.如权利要求1所述的方法，其特征在于，在检测目标通过VPN账户连接云在线系统时，还提交自定义流量来源信息，在存储检测结果时根据流量来源信息分类存储，并设定存储位置的访问权限。

5.如权利要求1所述的方法，其特征在于，所述云服务器还作为检测目标的网络通信中转节点，实现网络代理服务。

6.一种基于VPN流量牵引的在线网络威胁检测系统，其特征在于，包括：

云在线系统，由至少一个云服务器组成；在所述云服务器上搭建VPN服务；

旁路恶意威胁流量检测设备，部署在高带宽网络信道网关处，网络威胁检测设备旁路部署于云端；检测目标与旁路恶意威胁流量检测设备不存在交互的点；所述旁路恶意威胁流量检测设备中集成恶意流量特征库及僵尸网络控制节点信息；

检测目标通过VPN账户连接云在线系统；所述检测目标为终端设备或局域网络；

云在线系统将检测目标的网络流量牵引至旁路恶意威胁流量检测设备；

旁路恶意威胁流量检测设备检测接收到的网络流量，并存储检测结果供检测目标查看，所述检测结果中包括IP、Port、Time及恶意代码家族数据。

7.如权利要求6所述的系统，其特征在于，所述云在线系统的云服务器间相互联通，并实现负载均衡。

8.如权利要求6所述的系统，其特征在于，所述恶意流量特征库为，根据每个恶意代码家族筛选出的能够与C2正常通讯的样本，获取通信交互数据，分类提取每个请求类型的通信数据特征，生成恶意流量特征库。

9.如权利要求6所述的系统，其特征在于，在检测目标通过VPN账户连接云在线系统时，还提交自定义流量来源信息，在存储检测结果时根据流量来源信息分类存储，并设定存储位置的访问权限。

10.如权利要求6所述的系统，其特征在于，所述云服务器还作为检测目标的网络通信中转节点，实现网络代理服务。