[发明专利]一种精细化安全防护系统和方法及其应用

说明书

本发明涉及一种精细化安全防护系统和方法及其应用，该系统包括：协议引擎与应用过滤模块、WEB认证和域控制认证模块、统计报表和策略管理模块。本发明通过智能应用识别技术，能够高速、准确地识别出通过动态端口或者智能隧道中使用的真正应用；能够免打扰的实现身份识别，增强用户接入验证的灵活性、安全性和准确性；采用内网应用资产风险识别方法，通过制定策略，发现内网易受攻击资产并进行风险提前评估和预警，实现双向安全和双向保障。

技术领域

本发明涉及网络安全技术领域，更具体地说，涉及一种基于Web应用识别的精细化安全防护系统和方法及其应用。

背景技术

目前，业内常用的现有技术是这样的：现有电网防火墙只能对网络流量进行静态的、基于端口或协议的过滤，而对目前大量应用端口复用的情况(比如80端口已不再专属HTTP，而是可被P2P使用)束手无策，更无法实现精确管控，比如，允许访问80端口的策略很可能会让P2P通过，甚至让黑客程序借此漏洞发动网络攻击，如果直接禁止80端口则会殃及Web应用，导致正常的网页访问无法进行。同样，流量控制和管理也到了对应用种类进行细分的管理粒度，传统的基于端口的粗放型流量管理不仅会“误伤”应该保证的良性应用，更可能会“助长”不良应用的入侵。

现有防火墙通过IP地址对各安全区域进行访问控制，对威胁和应用来源进行跟踪审计的做法也存在隐患，除了固定的IP接入方案，随着无线设备的飞速发展，电网内部移动设备快速增多。在多网多终端接入环境下，IP地址分配具有极强的随机性和不唯一性，IP地址本身对用户身份信息的传递已经越来越不具有代表性，因此，传统的通过IP地址来进行用户访问控制已不再完全有效。

现有防火墙目前基于UTM架构，在架构上，UTM设备只是将各个安全模块串在一起，各模块间彼此分离，虽比单一防火墙提供了更全面的安全防护能力，但其性能却始终存在问题。例如对数据包的重复解码会导致性能随着模块的逐个开启而大幅递减。

同时现有技术中以IP和端口来辨别应用的传统管控已失效；大量应用可以占用知名端口，或直接承载在标准协议中；同一应用，通信端口和协议会动态跳变；需要通过网络应用进行有效的识别和管控的手段。

移动设备接入，无线网络接入，访问临时IP的使用促使网络边界越来越复杂和模糊；入网地址和身份的变换使传统边界设备捉襟见肘；如何有效应用身份识别从而精细化的执行接入控制，是急需解决的问题。

传统的WAF、IPS对内部攻击无能为力，而这些攻击的破坏性不亚于外部攻击。利用WEB应用漏洞，已成为0-day攻击、APT攻击的常用方式，造成的危害很大。如何通过异常web应用识别来定位内部资产风险，从而建立应用-身份-资产的管控策略也是一个新的课题。

传统UTM模式只是将各个安全模块类似“糖葫芦”串在一起。这种模式下，各模块间实际彼此分离，并重复对数据包解码，安全性能随着模块的逐个开启而逐级大幅递减。如何改变安全防护模式，从而提升安全防护效率也是一个新的挑战。

综上所述，现有技术存在的问题是：(1)网络复杂化使得网络管控艰难，基于传统IP及端口的网络管控已失效，现有安全防护模式处理性能低下，应用漏洞攻击使得防范困难。(2)数据包分析不准确且效率低。(3)复杂过滤器或应用特征码的串过长会影响实际分析中的效率。

发明内容

(一)要解决的技术问题

为解决现有技术存在的问题，本发明提供一种基于Web应用识别的精细化安全防护系统和方法及其应用。

(二)技术方案

为了达到上述目的，本发明采用的主要技术方案包括：

设计一种精细化安全防护系统，该系统包括：

协议引擎与应用过滤模块，用于进行协议处理、应用过滤、安全策略管理、流量管控、实时统计相关数据并生成历史报表；