[发明专利]基于智能行为分析的安全网关及安全防护系统

说明书

本发明公开了基于智能行为分析的安全网关，包括：流量参数提取功能模块，通过实时取样计算出用户网络流量行为模式参数；用户行为智能分析模块；应用智能识别和流量管控功能模块，基于用户行为智能分析模块，对主流应用协议进行智能协议识别。本发明还公开了安全防护系统，包括：智能云安全中心；安全网关；二者中心实时联动，安全网关将提取到的网络中用户网络流量行为模式参数传输到智能云安全中心，并实时执行其下发的防御指令，智能云安全中心对流量行为模式参数进行深度学习和安全分析，并基于对异常行为的风险量化结果生产防御指令且下发给安全网关。本发明适用于绝大部分网络流量的安全检测，在实际网络测试中可以达到80％以上的准确率。

技术领域

本发明属于网络安全防护技术领域，涉及一种基于智能行为分析的安全网关，还涉及基于智能行为分析的安全防护系统。

背景技术

当前网络安全事件频发，网络安全形势日益严峻，国际上围绕信息资源和互联网发展主控权的争夺愈演愈烈，发达国家争相出台网络空间发展战略，我国也于2016年正式发布了网络安全法和国家网络安全战略，信息安全已经完全上升到了国家安全战略高度。

目前国内外安全检测数据分析技术主要分为两类：误用检测和异常检测。误用检测搜索审计事件数据，查看是否存在预先定义的误用模式，其典型代表是特征模式匹配技术、协议分析技术和状态协议分析技术等。传统的攻击检测技术，诸如入侵检测和防御产品、漏洞扫描产品、传统防火墙等，都是基于已有攻击特征库工作的。该类产品的根本局限性在于所依赖的特征库只能收集已知攻击的特征，对于未知的，或者复杂度高、持续时间长的攻击无能为力，因为这种攻击与之前的恶意软件模式完全不同。

于是，攻击检测产品越来越多地采用异常检测技术，该技术假设所有攻击活动都异常于正常用户的活动，对正常用户的活动特征进行分析并构建模型，统计所有不同于正常模型的用户活动状态的数量，当其违反统计规律时，认为该活动可能是攻击行为。这种技术的优点是可检测到未知的攻击和更为复杂的攻击。但是，在许多环境中，建立正常用户活动模式的特征轮廓以及对活动的异常性进行报警的阈值的确定都是比较困难的。

发明内容

要改变上述现状，一种行之有效的方法是从网络行为的深度学习和分析入手，实时、智能地检测异常网络行为，从而有效防御最新的网络攻击。

本发明的一个目的是解决至少上述问题和/或缺陷，并提供至少后面将说明的优点。

本发明还有一个目的是提供一种基于智能行为分析的安全网关。

本发明再有一个目的是提供包含基于智能行为分析的安全网关的安全防护系统。

为此，本发明提供的技术方案为：

一种基于智能行为分析的安全网关，包括：

流量参数提取功能模块，其通过实时取样计算出用户的网络流量的行为模式参数；

用户行为智能分析模块，其与所述流量参数提取功能模块通讯连接；

应用智能识别和流量管控功能模块，其基于用户行为智能分析模块，对主流应用协议进行智能协议识别，且实现基于接口/区域、地址组/用户组、每IP/每用户三个级别的精细化应用流量控制。

优选的是，所述的基于智能行为分析的安全网关，还包括：

防DDoS攻击功能模块，其用于构筑协议异常检测、源地址真实性验证、黑白名单、速率异常检测、访问控制、特征异常检测和流量管控七级防御体系；

入侵检测与防御功能模块，所述安全网关内置有入侵攻击行为特征库，所述入侵检测与防御模块根据客户实际网络设置独立的IPS规则，且还自动生成防御策略，智能防御网络入侵；