[发明专利]基于深度学习和agent的联动防御系统

说明书

本发明公开了一种基于深度学习和agent的联动防御系统，包括高速流量获取模块、协议解析模块、文件还原及加密存储模块、敏感信息检测模块、敏感告警模块、联动防御策略决策模块、联动防御策略决策下发模块、联动防御策略执行模块和联动防御策略验证模块；本发明的实施过程为：检测监控范围内的异常行为，对异常行为生成告警；依据告警信息形成联动防御策略并下发到指定主机的agent；主机的agent接收到联动防御策略后执行策略定义的动作，完成联动防御。本发明使用策略联动机制，将检测结果与主机防御有机地联动，大大降低了联动防御的响应时间，增加了联动防御的有效性，具有明显的、重要的社会意义和实用意义。

技术领域

本发明涉及一种基于深度学习和agent的联动防御系统，属于安全监测和联动防御技术领域。

背景技术

2017年6月1日，国家正式施行《国家网络安全法》，其中强调敏感信息监测的重要性，数据泄露违规行为必定会给行业的社会形象及经济效益带来严重的负面影响。

数据泄露行为细分包括泄露存储于数据库中的结构数据，企业发展战略、合同、项目发展规划等企业运营过程中涉及商业秘密的办公文件。较为常用的数据泄露违规行为的检测基于敏感关键字匹配，该方法的漏报率和误报率都较高，例如一篇普通文件里面含有“不能说的秘密、规划、下一步、计划”等敏感关键字时，就会被基于敏感关键字匹配程序误判为敏感文件，后期需要耗费大量人力去复核。另一方面，现有的行为阻断方式大多为单体防御响应，即监控系统检测到数据泄露违规行为后产生告警，处置人员在看到告警信息后使用手工手段进行告警处置，当待处置告警量大时，首先操作人员难以有效确认告警信息；其次，操作人员不能快速处置及时有效阻断数据泄露违规行为。

综上所述，传统的数据泄露违规行为检测方法较为机械化，容易产生大量的漏报和误报，且防御响应方式较为单一、滞后，不利于事件的全面检测和及时处理。

发明内容

为解决上述问题，本发明提供一种基于深度学习和agent的联动防御系统，通过镜像流量过滤解析获得传输文件协议中传输的文件，还原并检测是否包含敏感信息，生成告警信息，并生成联动防御策略下发，进而实现数据泄露违规行为检测漏报率、误报率的改善和联动响应时间的减少。

为达到上述目的，本发明采用的技术方案如下：

基于深度学习和agent的联动防御系统，包括高速流量获取模块、协议解析模块、文件还原及加密存储模块、敏感信息检测模块、敏感告警模块、联动防御策略决策模块、联动防御策略决策下发模块、联动防御策略执行模块和联动防御策略验证模块；

所述高速流量获取模块，在数据平面基于高速流量技术抓取高速网络流数据包；

所述协议解析模块，采用多核多线程，实现网络流分流、流还原和协议解析，过滤出传输文件协议，还原协议中的文件，并将经过协议解析的文件作为文件还原及加密存储模块的输入；

所述文件还原及加密存储模块，针对还原的协议中的文件进行加密存储处理，同时将流量信息特征与还原文件关联，得到关联信息传递给敏感信息检测模块；

所述敏感信息检测模块，采用卷积神经网络算法，实现文件的敏感信息检测，将检测的敏感文件所带的关联信息发送给敏感告警模块；

所述敏感告警模块，根据文件敏感级别，对数据泄露违规行为进行分级告警，将数据泄露违规行为的主体IP和泄露内容，形成告警数据，下发到联动防御策略决策模块；

所述联动防御策略决策模块，依据接收到的告警数据，定位产生数据泄露违规行为的主机IP地址，根据IP地址通知接入控制平台监测/阻断/限制该IP地址的网络要求，生成联动防御策略；

所述联动防御策略决策下发模块，根据联动防御策略，确定接收联动防御策略的主机IP，将联动防御策略下发到该主机的agent；