[发明专利]一种网络威胁检测系统及检测方法

说明书

本发明涉及一种网络威胁检测系统及检测方法，其中，检测系统包括：网络数据获取模块，实时采集网络流量数据；特征提取模块，用于获取网络流量数据的特征信息；流量分析模块，根据特征信息对网络流量数据进行特征匹配，获得可疑网络威胁事件；网络威胁确认模块，利用测试语句对可疑网络威胁事件进行深度检测，获得确实存在网络威胁的真实网络威胁事件，深度分析知识库存储多种带有相应检测规则的威胁模型；威胁态势生成模块，对可疑网络威胁事件和真实网络威胁事件进行大数据分析及数据挖掘，得出多个真实网络威胁事件的关联关系或者某个真实网络威胁事件的发生频率，形成威胁态势。与现有技术相比，本发明具有网络威胁检出率高、误报率低等优点。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种网络威胁检测系统及检测方法。

背景技术

随着现代网络尤其是互联网的不断发展和应用，网络已成为人们生活和工作的一部分。与此同时，来自各个层面的网络威胁也与日俱增，层出不穷。如何发现和检测网络威胁保障网络安全摆在每个网络用户尤其是网络运维人员的面前。

目前，针对发现和检测网络威胁，一种是：被动式监测，主要是IDS、IPS及防火墙。IDS、IPS及防火墙主要是对流量进行被动的检测，产生海量的信息，并且存在较多的误报，另外系统提供的安全威胁问题运维人员无法准确定位或还原，导致网络运维人员要花极大的精力来维护网络安全威胁。

另一种是：主动扫描技术，主要是各种网络漏洞扫描器，通过扫描等手段对指定的远程或者本地计算机系统或网络的安全脆弱性进行检测，发现可利用的网络威胁。但是，主动扫描技术对当前的网络威胁状态无法及时感知，不能第一时间发现当前环境下的网络安全威胁。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种网络威胁检出率高、误报率低的网络威胁检测系统及检测方法。

本发明的一个目的可以通过以下技术方案来实现：

一种网络威胁检测系统，包括：

网络数据获取模块，用于实时采集在互联网或局域网上所有的网络流量数据；

特征提取模块，用于获取所述网络流量数据的特征信息；

流量分析模块，用于调用流量分析特征库，根据所述特征信息对所述网络流量数据进行特征匹配，获得可疑网络威胁事件，存储于可疑网络威胁事件库中；

网络威胁确认模块，用于调用深度分析知识库中的检测规则构成测试语句，利用测试语句对所述可疑网络威胁事件进行深度检测，获得确实存在网络威胁的真实网络威胁事件，存储于真实网络威胁事件库中，所述深度分析知识库存储多种带有相应检测规则的威胁模型；

威胁态势生成模块，用于调用关联分析模型库对所述可疑网络威胁事件和真实网络威胁事件进行大数据分析及数据挖掘，得出多个真实网络威胁事件的关联关系或者某个真实网络威胁事件的发生频率，形成威胁态势。

所述网络流量数据包括网络设备、终端或服务器等设备上的网络数据，所述网络设备包括路由器、网关和分光器等，所述网络数据获取模块采用镜像方式获取网络流量中的网络数据包。

所述特征信息包括网络流量数据的五元组和数据载荷，所述五元组包括源IP地址、源端口、目标IP地址、目标端口和传输层协议。

所述网络数据获取模块部署于IDC机房、云计算数据中心、网络运营商出口或局域网等环境。

该系统还包括：

展示模块，用于将所述威胁态势进行web展示。

本发明的另一个目的可以通过以下技术方案来实现：

一种网络威胁检测方法，包括以下步骤：