[发明专利]一种网络威胁识别系统

说明书

本发明公开了一种网络威胁识别系统，属于网络安全技术领域，包括数据采集子系统，通过布置各个采集节点，采集网络中的异常数据，其采集的数据包括实时流量异常数据和主机日志异常数据；威胁检测子系统，接收所述数据采集子系统发送的异常数据进行威胁检测，所述威胁检测子系统包括：实时流量威胁检测，用于对实时流量中的异常数据进行检测，并将检测结果发送给计算机；主机威胁检测，用于对主机日志中的异常数据进行检测，并将检测结果发送给计算机。通过对网络实时流量和主机日志异常数据进行威胁识别，不仅可有效地防止互联网终端设备在联网时被流量携带的病毒威胁，还可以防止主机日志中的病毒攻击到该终端设备，防护更全面。

技术领域

本发明属于网络安全技术领域，特别涉及一种网络威胁识别系统。

背景技术

计算机网络的飞速发展大大改变了人们的生活方式，人类进入了信息时代。通过计算机网络人们可以方便地存储、交换及搜索信息，给工作、生活、娱乐带来了极大的方便。然而因为计算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，由此使得网络安全问题日渐突出而且情况也越来越复杂。

传统的网络安全防护一般只能在主机设备下载或者通过U盘保存文件时，检测到该文件是否存在病毒威胁，但是这种类型的病毒威胁已经入侵到主机系统中，很容易因为杀毒软件的杀毒不彻底，导致病毒依旧跟随主机系统，从而影响主机使用的安全性。

发明内容

本发明的目的就在于为了解决上述网络安全防护单一，很容易导致病毒残留的问题提出一种网络威胁识别系统，具有在网络数据交换过程中进行病毒威胁识别，与主机日志病毒识别相结合，防护更全面，效果更佳的优点。

本发明通过以下技术方案来实现上述目的，一种网络威胁识别系统，包括：

数据采集子系统，通过布置各个采集节点，采集网络中的异常数据，其采集的数据包括实时流量异常数据和主机日志异常数据；

威胁检测子系统，接收所述数据采集子系统发送的异常数据进行威胁检测，所述威胁检测子系统包括：

实时流量威胁检测，用于对实时流量中的异常数据进行检测，并将检测结果发送给计算机；

主机威胁检测，用于对主机日志中的异常数据进行检测，并将检测结果发送给计算机。

优选的，所述实时流量威胁检测包括事件生成器、事件队列生成器、事件响应器和威胁状态记录器，其中事件响应器连接流量威胁模式库，通过对比流量威胁模式库与流量异常数据，标记出相似的威胁数据并转发给威胁状态记录器进行记录，威胁状态记录器再将记录的威胁数据发送给计算机。

优选的，所述实时流量威胁检测还包括事件数据库、事件队列数据库和威胁状态表数据库，事件数据库用于保存事件生成器生成的事件数据，事件队列数据库保存事件队列生成器和事件响应器生成的事件队列数据，威胁状态表数据库将威胁状态记录器记录的威胁数据以报表形式存储。

优选的，所述流量威胁模式库连接威胁模式加载器，用于加载不同中类的威胁模式。

优选的，所述主机威胁检测包括主机威胁模式库和入侵检测器，入侵检测器将采集到的系统日志数据和审计记录数据与主机威胁模式库中保存的威胁模式进行对比，从而检测出数据中包含的威胁数据，并将检测结果发送给计算机。

优选的，所述主机威胁检测还包括应急措施，用于连接被检测主机系统，应急措施通过入侵检测器发出的威胁报警信号对主机系统进行清理操作。

优选的，所述数据采集子系统包括数据采集卡，数据采集卡与代理程序和传感器连接，实时流量和主机日志数据，且采集方式分为集中式采集和分布式采集。