[发明专利]基于云和本地平台的网络攻击防御装置和方法

说明书

技术领域

本发明属于网络攻击防御领域，特别是一种基于云和本地平台的网络攻击防御装置和方法。

背景技术

目前全球网络威胁有增无减，网络罪犯愈发趋于专业化，目的愈发商业化，行为愈发组织化，手段愈发多样化，背后的黑色产业链获利能力大幅提高，信息安全形势愈发严峻。尤其是近年来随着各行业信息化程度的进一步提高和两化融合的深度推进，关系国计民生、社会稳定和国家安全的重要行业，如金融、能源、政府、电信、大中型企业等对安全产品的需求进一步快速增长。

然而随着黑客技术的日益发展，APT(Advanced Persistent Threat)高级持续性威胁、零日(Zero Day)漏洞攻击和DDoS(Distributed Deby of Service)攻击越来越越盛行，传统安全防御产品主要基于攻击特征库进行监测和防御，对于此类攻击无能为力。

目前，国内基于行为分析技术的安全防御产品并不多，且大多而是仅仅通过有限数据和网络连接情况，加上人工判断来定义网络行为的信誉指数，误判率高，而且需要人工干预。

发明内容

本发明的目的在于提供一种基于云和本地平台的网络攻击防御装置和方法，以解决上文所述的技术问题。

本发明提供的一种基于云和本地平台的网络攻击防御装置，包括：

云中心，其用于收集威胁情报，对网络流量进行实时分析，并根据网络流量安全模型判断潜在的网络攻击并生成相关防御指令；

本地防御平台，其与所述云中心通过网络连接，用于实施网络流量检测，根据防御指令对检测出的存在威胁的流量进行访问控制。

优选地，所述本地防御平台包括：UI子系统、管理子系统、监控子系统、报告子系统、ACL子系统、内容过滤子系统、网络子系统、tunnel子系统、虚拟子系统、HA子系统。

优选地，UI子系统是所述本地防御平台的人机交互界面，用于向安全管理员提供置初始安全基线的配置界面以及进行各种安全功能的人工配置和策略干预的界面；该子系统包括Web界面、命令行界面、网络集中管理界面。

优选地，ACL子系统是所述本地防御平台的核心子系统，用于对检测出的流量进行访问控制，并根据管理员配置的安全基线，以及云中心下发的防御指令对网络流量进行实时过滤；ACL子系统包括DDoS、流量控制、入侵防御、身份认证、智能协议识别和访问控制列表；

内容过滤子系统用于对流量数据进行细粒度过滤，该子系统基于本地安全基线和云中心的安全指令自动过滤非法流量；内容过滤子系统包括Web内容过滤、FTP内容过滤、病毒文件过滤、垃圾邮件过滤和恶意代码过滤。

优选地，Tunnel子系统是针对加密流量处理的一个子系统，充当网络加密协商代理，实现网络流量的加解密；该Tunnel子系统包括IPsec、PPTP、SSL VPN模块。

本发明还提供了一种基于云和本地平台的网络攻击防御方法，包括以下步骤：

在云中心收集威胁情报，对网络流量进行实时分析，并根据网络流量安全模型判断潜在的网络攻击并生成相关防御指令；

在本地平台实施网络流量检测，根据防御指令对检测出的存在威胁的流量进行访问控制。

优选地，对于网络流量实时分析包括对历史网络流量的学习，生成网络流量安全基线，并根据时间和流量数据进行不断的学习和动态调整，形成自适应的网络流量安全模型；

通过将未知流量行为参数与所述安全模型进行对比和关联分析鉴定未知威胁和异常。

优选地，所述流量检测包括：检查IP包的格式是否正确，和/或检查IP包的协议是否异常，实现协议异常检测；

监测统计指标是否突然出现异常；所述统计指标包括网络流量的带宽、会话建立速度。

优选地，所述流量检测还包括：

检查数据包的IP地址，并且监测数据包的连接状态变化，建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话的状态；

基于特征的异常检测，包括实时针对异常流量与数据包内容进行检验与示警，并根据所做设置加以阻绝、丢弃或日志记录。

优选地，所述方法，还包括：根据管理员配置的安全基线，以及云中心下发的防御指令对网络流量进行实时过滤；

所述实时过滤包括对流量数据进行细粒度过滤，包括Web内容过滤、FTP内容过滤、病毒文件过滤、垃圾邮件过滤和恶意代码过滤。