[发明专利]基于深度学习和agent的联动防御系统

权利要求书

1.基于深度学习和agent的联动防御系统，其特征在于，包括高速流量获取模块、协议解析模块、文件还原及加密存储模块、敏感信息检测模块、敏感告警模块、联动防御策略决策模块、联动防御策略决策下发模块、联动防御策略执行模块和联动防御策略验证模块；

所述高速流量获取模块，在数据平面基于高速流量技术抓取高速网络流数据包；

所述协议解析模块，采用多核多线程，实现网络流分流、流还原和协议解析，过滤出传输文件协议，还原协议中的文件，并将经过协议解析的文件作为文件还原及加密存储模块的输入；

所述文件还原及加密存储模块，针对还原的协议中的文件进行加密存储处理，同时将流量信息特征与还原文件关联，得到关联信息传递给敏感信息检测模块；

所述敏感信息检测模块，采用卷积神经网络算法，实现文件的敏感信息检测，将检测的敏感文件所带的关联信息发送给敏感告警模块；

所述敏感告警模块，根据文件敏感级别，对数据泄露违规行为进行分级告警，将数据泄露违规行为的主体IP和泄露内容，形成告警数据，下发到联动防御策略决策模块；

所述联动防御策略决策模块，依据接收到的告警数据，定位产生数据泄露违规行为的主机IP地址，根据IP地址通知接入控制平台监测/阻断/限制该IP地址的网络要求，生成联动防御策略；

所述联动防御策略决策下发模块，根据联动防御策略，确定接收联动防御策略的主机IP，将联动防御策略下发到该主机的agent；

所述联动防御策略执行模块，实现联动防御策略的接收和执行，主机agent接收到联动防御策略决策下发模块下发的联动防御策略后，识别联动防御策略并执行联动防御策略定义的动作，完成实际泄露违规行为的监测/阻断/限制；

所述联动防御策略验证模块，采用自动处理或者人工验证告警信息的准确与否。

2.根据权利要求1所述的基于深度学习和agent的联动防御系统，其特征在于，所述协议解析模块的协议解析过程为：协议解析模块基于协议格式对协议内容进行解析，通过在不同网络层次按照不同的网络协议规范来解析各网络层数据包的头部及其载荷，按照先解析头部，然后去掉头部获取数据内容，再解析下一网络层数据包的头部，获取数据内容的步骤，层层解析，最终还原出完整的协议原始信息。

3.根据权利要求1所述的基于深度学习和agent的联动防御系统，其特征在于，所述协议解析模块在进行协议解析之前，在TCP层根据网络流数据包是否分片，网络流数据包的方向和网络流数据包的序号，判断当前网络流数据包是否进行报文重组，将分片网络流数据包送入缓存队列，等分片报文搜集完毕进行重组后再进行协议解析。

4.根据权利要求1所述的基于深度学习和agent的联动防御系统，其特征在于，所述流量信息特征包括源IP地址/目的IP地址，源端口/目的端口以及协议特征。

5.根据权利要求1所述的基于深度学习和agent的联动防御系统，其特征在于，所述文件还原及加密存储模块基于国密SM4对协议解析模块还原的文件进行加密，并存储在指定加密文件存储位置。

6.根据权利要求1所述的基于深度学习和agent的联动防御系统，其特征在于，所述敏感信息检测模块的检测过程为：首先使用与加密对应的解密算法对加密文件进行解密，然后提取解密后文件中的流量特征信息，即词向量，利用余弦相似度获取文件词向量特征，形成词向量矩阵，接着将词向量矩阵作为卷积神经网络CNN的输入，进行卷积、平滑操作，最后通过交叉验证算法确认文件是否为敏感文件。