[发明专利]一种网络安全防御系统

权利要求书

1.一种网络安全防御系统，其特征在于，包括数据接收单元、来源监测模块、转送模块、安全沙箱、沙箱监控单元、馈送单元、控制器、告警单元、接入单元、显示单元、安全接入库；

所述数据接收单元用于接收非本机传输的数据信息，并将接收的数据信息传输至来源监测模块，所述来源监测模块将接收的数据信息与安全接入库内存储的信息进行匹配；

所述安全接入库内存储有安全设备的IP地址，其中，安全设备的IP地址为用户预先录入或者之前安全使用过的IP地址；

当接收消息的IP地址与安全接入库内存储的安全IP地址一致时，则来源监测模块自动将数据信息借助转送模块传输到安全沙箱；当接收消息的IP地址与安全接入库内存储的安全IP地址不一致时，则来源监测模块自动将数据信息传输到安全沙箱；

所述安全沙箱将转送模块、来源监测模块传输的数据信息进行隔离，之后借助沙箱监控单元对数据信息的安全性进行分析，并将分析结果传输至控制器；

所述沙箱监控单元对数据信息的安全性分析方法为：

步骤一：获取到该IP地址对应设备的消息发送习惯性数据，即获取该设备对应的常规发送时段、冷门发送时段，消息发送习惯性数据的获取方法为：

SS01：将一个月均等划分为若干时段或非均等划分为若干时段；

SS02：沙箱监控单元分别统计出每个时段接收到每一设备发送信息的数量；

SS03：将每一设备发送信息数量超过一定值的时段标记为该设备的常规发送时段，低于该值的则标记为该设备的冷门发送时段；

步骤二：若接收到数据信息的时间处于该IP地址对应设备的冷门发送时段，则接收到的数据信息需要警惕，并将该数据信息标记为警惕信息；若接收到数据信息的时间处于该IP地址对应设备的常规发送时段，则将接收到的数据信息标记为安全信息，并将安全信息传输至控制器；

步骤三：若接收到的数据信息的IP地址与安全接入库内存储的安全IP地址不一致时，将该消息标记为警惕信息；

步骤四：将警惕信息放到安全沙箱内，并进一步的对警惕信息进行安全分析；对警惕信息进行安全分析的方法为：

S01：获取到警惕信息并判断其是否为纯粹信息，若为纯粹信息则直接将其标记为安全信息，其中，纯粹信息为不需要借助跳转的信息；

S02：若为带跳转链接的消息，则在安全沙箱内跳转该链接，若该跳转链接需要多次转跳，则将该警惕信息标记为危险信息，并将其留在安全沙箱内，同时通过告警单元发出警报；若只存在一次跳转，则将该警惕信息标记为安全消息。

2.根据权利要求1所述的一种网络安全防御系统，其特征在于，所述沙箱监控单元将安全信息通过馈送单元传输到显示单元进行显示。

3.根据权利要求1所述的一种网络安全防御系统，其特征在于，若用户给危险信息对应的IP地址回复了确认安全消息，则将该IP地址标记为安全地址，并通过接入单元接入该IP地址，将安全地址传输到安全接入库进行存储。