[发明专利]基于智能行为分析的安全网关及安全防护系统

权利要求书

1.一种基于智能行为分析的安全网关，其特征在于，包括：

流量参数提取功能模块，其通过实时取样计算出用户的网络流量的行为模式参数；

用户行为智能分析模块，其与所述流量参数提取功能模块通讯连接；

应用智能识别和流量管控功能模块，其基于用户行为智能分析模块，对主流应用协议进行智能协议识别，且实现基于接口/区域、地址组/用户组、每IP/每用户三个级别的精细化应用流量控制。

2.如权利要求1所述的基于智能行为分析的安全网关，其特征在于，还包括：

防DDoS攻击功能模块，其用于构筑协议异常检测、源地址真实性验证、黑白名单、速率异常检测、访问控制、特征异常检测和流量管控七级防御体系；

入侵检测与防御功能模块，所述安全网关内置有入侵攻击行为特征库，所述入侵检测与防御模块根据客户实际网络设置独立的IPS规则，且还自动生成防御策略，智能防御网络入侵；

网络可视化管理功能模块，其提供图形化网络管理系统，通过选择自动生成多种视图和统计报表，所述视图和统计报表包括接口流量、流量趋势、会话监控、系统状态、事件统计、会话、Anti-DDoS视图和统计报表。

3.如权利要求1所述的基于智能行为分析的安全网关，其特征在于，还包括内容过滤功能模块和身份认证功能模块。

4.如权利要求1所述的基于智能行为分析的安全网关，其特征在于，所述行为模式参数包括连接方向、源IP、目的IP、源端口、目的端口、协议号、单IP连接数、连接速度、包速率、URL、控制命令及操作频率。

5.一种基于智能行为分析的安全防护系统，其特征在于，包括：

智能云安全中心，其部署在云端；

如权利要求1所述的安全网关，其部署在客户端；

其中，所述安全网关与所述智能云安全中心实时联动，所述安全网关将提取到的网络中用户网络流量行为模式参数传输到所述智能云安全中心，并实时执行所述智能云安全中心下发的防御指令，所述智能云安全中心对网络流量行为模式参数进行深度学习和安全分析，并基于对异常行为的风险量化结果生产防御指令且下发给所述安全网关。

6.如权利要求5所述的基于智能行为分析的安全防护系统，其特征在于，还包括：

所述智能云安全中心接收来自所述安全网关上传的用户网络流量行为模式参数，实时进行量化，生成矢量数据，并绘制网络行为曲面图，建立网络行为矢量坐标系；

所述智能云安全中心根据安全网络流量的行为参数，统计归纳业务网络行为的最小集合生成业务网络安全白环境；

所述智能云安全中心将实施网络行为矢量与业务网络安全白环境进行差分，根据概率和安全阈值区分出异常网络行为及其矢量参数，建立网络行为异常指数系统；

所述智能云安全中心依据异常网络行为的关键要素生成防御指令，下发给所述安全网关执行防御动作，所述关键要素包括源IP、源端口、目的IP、目的端口、协议和应用内容关键字。

7.如权利要求6所述的基于智能行为分析的安全防护系统，其特征在于，所述网络行为异常指数系统建立中，所述智能云安全中心还利用神经网络算法自动学习网络用户的流量数据，结合用户的业务网络安全白环境和有限的监督学习，生成安全基准坐标系，基于此，将被检测用户行为的异常和偏差进行量化，计算出用户网络行为风险值，并建立网络行为异常指数系统。

8.如权利要求7所述的基于智能行为分析的安全防护系统，其特征在于，结合所述安全白环境的深度学习方法包括：所述智能云安全中心首先采集、归并和过滤用户网络流量行为模式参数和资产状态，然后将其解析进行行为描述，之后再进行业务分析，若所述行为为正常行为，则归入安全白环境，并记录为白规则，若所述行为异常，则归入异常行为；

若所述行为为未知行为，则归入灰行为，并再次进行采集、归并和过滤步骤，并依次进行后续步骤。

9.如权利要求5所述的基于智能行为分析的安全防护系统，其特征在于，所述智能云终端与所述安全网关通过API接口实现实时联动。