[发明专利]一种应对持续威胁攻击的信息网络安全预警系统

说明书

本发明公开了一种应对持续威胁攻击的信息网络安全预警系统，包括用户行为数据源模块、数据采集与预处理模块、数据库子系统、用户行为分析模块、特征提取与建模模块、异常检测与预警模块、输入输出界面模块。本发明针对持续威胁攻击样式特点，通过运用人工智能算法提取用户行为特征，建立用户行为特征库并不断自我优化，从而实现安全预警模型的自动升级，为应对持续威胁攻击进行有效预警，从而有效提高对信息网络的整体安全防护水平。

技术领域

本发明涉及网络安全防御技术领域，具体地，涉及一种应对持续威胁攻击的信息网络安全预警系统。

背景技术

互联网在给人们带来高效和便利的同时，网络安全问题也日趋严重。相关单位通过门户网站将各种信息系统、数据资源和互联网资源集成到一个信息管理平台上，并建立对外部客户和内部人员的信息通道，从而能够释放存储在内部和外部的各种信息。而对于攻击者来说，这些门户网站则成为他们进入内网的入口。由于网络攻击活动具有低成本、高收益的运行特点，一些持续威胁攻击者具备高深网络攻击技能，针对特定的重点网络系统，通过网络渗透的形式，进行有关情报刺探、系统分析、网络破坏的攻击及攻击准备活动，具有攻击目标专一、行动目的明确、攻击行动持久性开展的特点。这对相关的信息网络系统的安防及预警能力，提出了很高要求。然而，相关信息网络当前部署的各类网络安全防护系统，其作用还主要在于抵御低强度、非明确目标的网络攻击，而不足以应对高度集成和综合运用各种专业攻击渗透手段、持续攻击明确目标、具有极强的组织性和反侦察能力的持续威胁攻击。

发明内容

本发明的目的在于提供一种应对持续威胁攻击的信息网络安全预警系统，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种应对持续威胁攻击的信息网络安全预警系统，包括：用户行为数据源模块、数据采集与预处理模块、数据库子系统、用户行为分析模块、特征提取与建模模块、异常检测与预警模块、输入输出界面模块；所述用户行为数据源模块，用于实时采集用户行为数据，为建立数据仓库提供可靠数据来源；所述数据采集与预处理模块，用于将采集到的数据进行预处理；所述数据库子系统，用于对分类的数据进行存储；所述用户行为分析模块，用于对用户行为进行分析；所述特征提取与建模模块，针对用户行为数据进行特征提取与建模，构建用户行为特征库；所述异常检测与预警模块，对异常用户行为进行检测并预警；所述输入输出界面模块，用于输出监测预警结果、输入命令。

优选的，所述用户行为数据源模块，通过对信息传输网络中的数据流量、已部署的安全防护设备上报的数据进行统计，定义网络中固定区域或方向的业务参与程度和数据交互级别，数据源的数据包括网络旁路流量数据、主机管控数据、统一安全管理系统数据，形成用户行为数据。

优选的，所述数据采集与预处理模块，通过数据采集、数据识别、数据清洗、离散化、归一化、区间对齐子模块，将采集到的数据，以区间对齐的方式对数据进行识别和清洗，对信息传输网络中的所有合法业务流量的进行分类，对剩余无法识别数据，根据用户行为特征进行解析研判。

优选的，所述数据库子系统按照已经识别确认的正常业务数据、一时难以定性的灰色信息以及网络安全人员预先配置的具有攻击属性特征的黑色流量进行重新分类并存储，供用户行为分析模块、特征提取与建模模块、异常检测与预警模块分析研判；数据库子系统的数据分类包括原始历史数据、数据集市、行为模式库、实时数据。

优选的，所述用户行为分析模块分析的用户行为数据包括用户行为习惯、用户来源、用户分布、用户动态、用户关联、系统访问方面；所述用户行为分析模块通过对网络历史流量的无监督或半监督学习，完成对网络流量属性、分布信息的分类、统计工作。