[发明专利]一种主动威胁发现系统

说明书

技术领域

本发明涉及信息服务平台技术领域，特别是涉及一种主动威胁发现系统。

背景技术

近年来，互联网在我国发展迅猛，已经成为我国政治、经济、文化、军事等诸多领域重要的信息基础设施。同时，网络安全形势日益严峻，病毒、木马等网络安全威胁日益增多，网络攻击行为趋利性表现愈加明显，关系我国国计民生的重要信息系统（如银行、证券、保险、铁道、航空、海关、税务、电力）的网络安全事件数量呈现上升趋势，一旦发生针对这些系统的严重网络攻击事件，势必会损坏公众利益，甚至影响国家安全和社会稳定。

发明内容

为了克服上述现有技术的不足，本发明提供了一种主动威胁发现系统。

本发明所采用的技术方案是：一种主动威胁发现系统，通过部署在所要监测单位的互联网出口，监测主机、网络设备、安全设备产生的分散且海量的安全信息进行规范、汇总、过滤和关联分析，网关监测系统与国家互联网应急中心的病毒特征库、恶意域名库等国家级网络安全数据中心实现联动，充分利用国家级的各类基础资源进行联动分析和智能判决，实现对各类复杂网络安全事件的精准发现，通过比对相应的流量特征，发现网内主机存在的安全隐患，实现对关口流量的监测、预警、过滤功能。

 与现有技术相比，本发明的有益效果是：防御能力强，能够充分保证金融信息系统的安全。 

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

 图1为本发明的结构图。

具体实施方式

为了能更清楚地理解本发明的技术方案，下面结合附图对本发明进一步说明。

如图1所示的一种主动威胁发现系统，通过部署在所要监测单位的互联网出口，监测主机、网络设备、安全设备产生的分散且海量的安全信息进行规范、汇总、过滤和关联分析，形成基于五源组信息的统一威胁与风险管理数据，并依托安全知识库对风险管理数据整合处理，自动生成数据报表，网关监测系统与国家互联网应急中心的病毒特征库、恶意域名库等国家级网络安全数据中心实现联动，充分利用国家级的各类基础资源进行联动分析和智能判决，实现对各类复杂网络安全事件的精准发现，通过比对相应的流量特征，发现网内主机存在的安全隐患，实现对关口流量的监测、预警、过滤功能。

    安全事件统计

    安全事件统计可以对用户所有威胁与风险事件归纳总结，清晰且直观的反映用户曾今发生过的安全事件名称和次数，有利于帮助用户分析体系中存在的安全隐患，便于用户更好的建立信息安全防御体系，创建信息安全管理规范。

    安全事件趋势分析

    安全事件趋势分析反映了一段时间内用户信息安全态势，有助于用户了解现阶段信息安全工作取得的成果以及不足，便于用户及时调整信息安全工作的方向。

    风险排行分析

    展现最近一周用户体系内部出现次数最多10个风险事件和IP地址，可以使用户有针对性的排查风险事件的源头，从根本上排除安全隐患。

    原始数据查询

    对体系内所有数据规范、汇总、过滤和关联分析后，用户可以根据自己的需要任意查询安全事件。支持多种查询方式，包括：时间范围查询、源IP查询、目的IP查询、事件名称查询等。帮助用户更方便、更快捷、更高效的锁定原始数据。

    分析报告

    根据用户的需求生成各种数据报告，结合行业知识库为用户分析当前存在的安全隐患，并提出合理化建议。

    监测网内主机感染病毒、木马等安全隐患

现行的病毒、木马有其明显的网络特征，如“飞客”病毒会尝试攻击局域网内主机；木马与其控制端进行通信，偷窥、窃取用户重要信息。通过部署在互联网出口的网关设备，监测流经网关设备的海量网络流量，利用恶意主机库、被控主机库、恶意 URL 库、恶意域名库、网关通信模式库、网关流量信息库等特征信息发现网内病毒木马事件。

监测外网攻击、失窃密事件等可疑行为。

对流经网关设备的海量网络流量进行关联分析、智能判决，从而实时发现网络攻击、侵入控制和窃密活动。对可疑的网络行为，网关设备将进行自动分析，由系统决策行为的安全性并将结果反馈。