[发明专利]用于高效网络保护的方法和系统

说明书

公开了用于将网络威胁情报(CTI)、威胁元数据和威胁情报网关与分析系统集成在一起以形成用于主动、前摄性以及被动网络保护的有效且高效的系统的方法和系统。网络网关可以由多级构成。第一级可以包括威胁情报网关(TIG)。第二级可以包括一个或多个网络分析系统，这些系统摄取经TIG过滤的通信和相关联的威胁元数据信号。第三级可以包括确定哪些保护动作的网络保护逻辑。网关可以提供和配置有规则，这些规则指定要实施的网络保护策略。网关可以摄取受保护的网络和不受保护的网络之间流动的所有通信。

相关申请的交叉引用

本申请要求于2018年7月9日提交的美国非临时专利申请第16/030,374号的优先权，其内容通过引用明确地整体并入本文。

技术领域

本文描述的方面总体上涉及计算机硬件和软件以及网络安全性。具体地，本公开的一个或多个方面总体上涉及用于对网络通信的高效、高保真、低延迟网络分析的计算机硬件和软件，其可以用于保护TCP/IP网络免受互联网传播的威胁和攻击。

背景技术

随着信息时代的不断发展，网络安全正变得越来越重要。网络威胁/攻击可能采取多种形式，包括未经授权的请求或数据传输、病毒、恶意软件、旨在淹没资源的大量流量等。已经开发了各种自动化网络分析系统来保护网络免受此类网络威胁。实际上，网络分析系统通常以非常低效的方式运行。

常规的网络保护解决方案，诸如网络防火墙和网络入侵检测系统，效率通常过于低下且速度慢，无法主动和前摄性地保护网络免受现代互联网传播的网络威胁和攻击。因此，这些解决方案无法有效地保护企业网络。这些系统通过使用基于签名的方法、基于异常的方法、基于行为的方法、基于情报的方法、恶意软件分析方法等来分析网络通信，从而检测网络威胁。通常，这些网络分析系统用于对网络进行被动防御，例如，在发生威胁/攻击后对其进行检测和缓解。

在TCP/IP网络中，通信是两个端点之间的分组流(通常是双向的)，并且可以通过源IP地址和目的IP地址的L3/L4“5元组”、源端口和目的端口以及L4协议类型(例如，TCP、UDP等)来表征。常规解决方案可能会记录跨企业网络周界的所有分组通信，这些通信通常可能位于受保护网络和互联网之间的边界处。还可以捕获、复制和/或存储分组，以用于后续的网络分析。可以在所存储的日志中搜索成为潜在威胁/攻击的通信。所存储的分组可以被输入到自动化网络分析系统中，该自动化网络分析系统搜索指示潜在威胁的签名和行为。自动化网络分析系统通常不部署为内联系统，因为随着流量负荷的增加，它们可能会将网络性能降低到无法接受的水平。

任何潜在的威胁都可以报告给人类网络分析师，他们可以：(a)判定通信可能是威胁，并识别可以减轻该威胁的任何补救措施；或者(b)判定通信可能不是威胁；或者(c)不做出判定，因为例如可能没有足够的信息来做出判定，或者例如由于其工作队列中潜在威胁的数量过多，他们没有调查威胁。

由于已确认的威胁/攻击通常只占企业与互联网通信量的不到1％，因此常规的解决方案方法可能效率极低、速度缓慢且不准确。大量的可用时间和资源可能会浪费在搜索和分析合法(非威胁的，良性)通信上。此外，由于威胁的多样性和复杂性使得难以生成能够检测所有威胁的搜索标准以及分析规则和算法，因此许多实际威胁并未被发现。搜索标准和分析规则可能会将相对大量的合法通信识别为潜在威胁，这可能会进一步加剧效率低下和内联处理时滞(例如，发生威胁通信的时刻和检测到、确认并修复该威胁通信的时间之间的时间间隔)。另外，搜索标准和分析规则的量和复杂性的增加可能会导致延迟的显著增加。因此，尽管在常规网络保护解决方案上可能有大量的资本和运营支出，但许多实际威胁仍从未被发现过，或者在发生任何资产损坏、损失和窃取之后很长时间才被发现。

因此，需要有效且高性能地操作网络分析系统，这将显著提高网络保护系统的有效性。特别是，需要能够主动检测和减轻威胁和相关攻击的高效且准确的网络保护系统。

发明内容