[发明专利]一种精准式网络攻击检测预警平台

权利要求书

1.一种精准式网络攻击检测预警平台，包括多引擎沙箱子系统(1)、辅助检测子系统(2)和数据分析子系统(3)，其特征在于：所述多引擎沙箱子系统(1)包括应用级沙箱(11)、系统沙箱(12)和并发样本执行模块(13)，所述多引擎沙箱子系统(1)的输出端通过信号与数据分析子系统(3)的输入端连接，所述数据分析子系统(3)包括关联分析系统(31)和基于大数据架构的数据分析系统(32)，所述关联分析系统(31)包括沙箱中间结果关联模块(311)、报警规则关联模块(312)、报警和流量关联模块(313)和流量建模分析模块(314)；

所述沙箱中间结果关联模块(311)：将沙箱运行过程中产生的原始数据，如文件系统监控数据、注册表修改数据、网络连接行为数据等，通过综合分析进行文件异常度判断，提升单一检测模块报警的准确度；

所述报警规则关联模块(312)：通过分析人员的经验，根据典型攻击场景设置关联分析规则，将一次攻击过程触发的多条相关事件组合成完整的攻击场景，以便对攻击进行回溯分析；

所述报警和流量关联模块(313)：对于通过沙箱分析到的恶意文件可能会触发的网络连接行为，如木马文件下载、恶意网站访问、反向连接通道等，在真实的网络流量中进行匹配，实现事后的恶意代码行为审计；

所述流量建模分析模块(314)：通过对历史流量进行特征参数提取，建立能反映设备间正常访问关系的流量模型，并基于正常模型进行异常检测；流量建模分析的结果，还可用于同沙箱报警间的关联分析；

所述数据分析子系统(3)的输出端通过信号与辅助检测子系统(2)连接，所述辅助检测子系统(2)包括AV模块(21)和IDS模块(22)，所述基于大数据架构的数据分析系统(32)包括数据快速检索模块(321)、攻击行为历史回溯模块(322)和可视化分析平台(323)，所述可视化分析平台(323)包括快速定位单元、详细信息查询单元和可视化分析操作单元。

2.根据权利要求1所述的一种精准式网络攻击检测预警平台，其特征在于：所述应用级沙箱(11)部模拟了WEB、Office、Flash等应用运行环境，每个应用都是独立的沙箱分析引擎，在应用级上实现：

1)对应用去除混淆；

2)识别潜在的恶意行为；

3)识别应用在执行过程中出现的溢出攻击代码。

3.根据权利要求1所述的一种精准式网络攻击检测预警平台，其特征在于：所述系统沙箱(12)：

1)利用全虚拟化技术构建操作系统环境以及各种软件环境；

2)让待检测文档、可执行程序在该环境中充分运行；

3)实时分析可执行程序以及文档在运行过程中的行为。

4.根据权利要求1所述的一种精准式网络攻击检测预警平台，其特征在于：所述并发样本执行模块(13)采用隔离技术，用于同时检测多个样本。

5.根据权利要求1所述的一种精准式网络攻击检测预警平台，其特征在于：所述AV模块(21)为一种入侵检测模块，防护500万种以上的病毒和木马，且病毒特征库每日更新。

6.根据权利要求1所述的一种精准式网络攻击检测预警平台，其特征在于：所述IDS模块(22)为一种防病毒模块，包括超过5000种漏洞特征的攻击检测，且支持Web攻击识别，如跨站脚本攻击、SQL注入攻击。

7.根据权利要求1所述的一种精准式网络攻击检测预警平台，其特征在于：所述可视化分析平台(323)通过编辑器自定义数据关联展现规则。