[发明专利]一种网络威胁检测系统及检测方法

权利要求书

1.一种网络威胁检测系统，其特征在于，包括：

网络数据获取模块，用于实时采集在互联网或局域网上所有的网络流量数据；

特征提取模块，用于获取所述网络流量数据的特征信息；

流量分析模块，用于调用流量分析特征库，根据所述特征信息对所述网络流量数据进行特征匹配，获得可疑网络威胁事件，存储于可疑网络威胁事件库中；

网络威胁确认模块，用于调用深度分析知识库中的检测规则构成测试语句，利用测试语句对所述可疑网络威胁事件进行深度检测，获得确实存在网络威胁的真实网络威胁事件，存储于真实网络威胁事件库中，所述深度分析知识库存储多种带有相应检测规则的威胁模型；

威胁态势生成模块，用于调用关联分析模型库对所述可疑网络威胁事件和真实网络威胁事件进行大数据分析及数据挖掘，得出多个真实网络威胁事件的关联关系或者某个真实网络威胁事件的发生频率，形成威胁态势。

2.根据权利要求1所述的网络威胁检测系统，其特征在于，所述网络流量数据包括网络设备、终端或服务器的网络数据，所述网络设备包括路由器、网关和分光器，所述网络数据获取模块采用镜像方式获取网络流量中的网络数据包。

3.根据权利要求1所述的网络威胁检测系统，其特征在于，所述特征信息包括网络流量数据的五元组和数据载荷，所述五元组包括源IP地址、源端口、目标IP地址、目标端口和传输层协议。

4.根据权利要求1所述的网络威胁检测系统，其特征在于，所述网络数据获取模块部署于IDC机房、云计算数据中心、网络运营商出口或局域网。

5.根据权利要求1所述的网络威胁检测系统，其特征在于，该系统还包括：

展示模块，用于将所述威胁态势进行web展示。

6.一种网络威胁检测方法，其特征在于，包括以下步骤：

1)实时采集在互联网或局域网上所有的网络流量数据；

2)获取所述网络流量数据的特征信息；

3)调用流量分析特征库，根据所述特征信息对所述网络流量数据进行特征匹配，获得可疑网络威胁事件，存储于可疑网络威胁事件库中；

4)调用深度分析知识库中的检测规则构成测试语句，利用测试语句对所述可疑网络威胁事件进行深度检测，获得确实存在网络威胁的真实网络威胁事件，存储于真实网络威胁事件库中，所述深度分析知识库存储多种带有相应检测规则的威胁模型；

5)调用关联分析模型库对所述可疑网络威胁事件和真实网络威胁事件进行大数据分析及数据挖掘，得出多个真实网络威胁事件的关联关系或者某个真实网络威胁事件的发生频率，形成威胁态势。

7.根据权利要求6所述的网络威胁检测方法，其特征在于，所述网络流量数据包括网络设备、终端或服务器的网络数据，所述网络设备包括路由器、网关和分光器，所述网络数据获取模块采用镜像方式获取网络流量中的网络数据包。

8.根据权利要求6所述的网络威胁检测方法，其特征在于，所述特征信息包括网络流量数据的五元组和数据载荷，所述五元组包括源IP地址、源端口、目标IP地址、目标端口和传输层协议。

9.根据权利要求6所述的网络威胁检测方法，其特征在于，进行所述特征匹配时，将实时采集的网络流量数据分发到多个处理器同时处理，且在同一个处理器内，利用多进程多线程技术进行数据处理。

10.根据权利要求6所述的网络威胁检测方法，其特征在于，该方法还包括：

将所述威胁态势进行web展示。