[发明专利]一种基于微隔离和自适应的安全防御系统

权利要求书

1.一种基于微隔离和自适应的安全防御系统，其特征在于，包括：应用层(100)、隔离层(200)、自适应层(300)以及基础设备层(400)；

所述应用层(100)，用于为用于通信的应用程序和用于消息传输的底层网络提供接口；

所述隔离层(200)，用于使网间数据交换通过安全通道完成，所述安全通道由定制通信硬件、专有交换协议和加密签名机制隔离组成；

所述自适应层(300)，用于将主动防御与弹性部署相结合，主动响应与被动防御相补充，建立协同统一的闭环安全体系，面对新型持续性攻击时，通过软硬件解耦、策略管理、安全能力封装实现防护能力的提升；

所述基础设备层(400)，用于为运行应用层的组件提供硬件支撑。

2.如权利要求1所述的一种基于微隔离和自适应的安全防御系统，其特征在于，所述自适应层(300)包括预测单元(301)，所述预测单元用于实现情报订阅和攻击预测。

3.如权利要求2所述的一种基于微隔离和自适应的安全防御系统，其特征在于，所述自适应层(300)包括防御单元(302)，所述防御单元(302)用于WAF网站安全防护、网站漏洞监测以及网站挂马监测，以实现云WAF防护策略联动、漏洞告警分级及处置建议。

4.如权利要求3所述的一种基于微隔离和自适应的安全防御系统，其特征在于，所述自适应层(300)包括监测单元(303)，所述监测单元(303)用于实现资产监控和构建情报画像，以实现未知威胁检测和高危威胁检测。

5.如权利要求4所述的一种基于微隔离和自适应的安全防御系统，其特征在于，所述自适应层(300)包括响应单元(304)，所述响应单元(304)用于展现安全态势和情报查询，以实现数据可视化及威胁挖掘溯源。

6.如权利要求5所述的一种基于微隔离和自适应的安全防御系统，其特征在于，所述自适应层(300)还用于利用神经网络算法，基于字段特征值，对收集的安全设备数据特征信息进行建模提取，对于多事件之间的告警信息进行上下文联动分析。

7.如权利要求6所述的一种基于微隔离和自适应的安全防御系统，其特征在于，所述自适应层(300)还用于利用神经网络算法进行计算信息相似度，并针对单一特定场景对特定攻击的特征向量进行分类，形成防御模型，并利用策略管理对某一攻击行为匹配相应的最优防御策略，提高防御决策精准度。

8.如权利要求7所述的一种基于微隔离和自适应的安全防御系统，其特征在于，所述自适应层(300)还拥有对攻击行为采取动态防御策略与响应，并根据防御结果将系统中新学习的策略对状态特征库进行更新与迭代，整体上做到各环节联动，在自适应安全闭环上实现防护的自动化、灵活化、精准化。

9.如权利要求8所述的一种基于微隔离和自适应的安全防御系统，其特征在于，所述自适应层(300)还用于使用分布式行矩阵，将海量数据暂时进行分布式存储，分布式行矩阵中，每一行表示一个数据，表示方法如下：m，[x_m1，x_m2，...，x_mn]，其中，m为矩阵的行坐标，即为数据存储时的关键词，行向量为数据值；数据按照数据的位数顺序存储、访问，数据存储至分布式矩阵后，按照下式对数据进行标准化处理：

其中，为数据的均值，s_j为数据的标准差，y_ij为标准化处理后的数据，计算得到分布式行矩阵的相关系数矩阵，对该矩阵进行特征分解，得到行矩阵的特征向量，提取特征向量，基于网络入侵规则库根据特征向量进行网络入侵检测。

10.如权利要求9所述的一种基于微隔离和自适应的安全防御系统，其特征在于，所述自适应层(300)，还用于检测网络入侵数据后，接收入侵数据包，计算入侵数据与标准数据之间的距离和标准偏差，按照系统设定的阈值，将网络入侵数据分为重度危险、重度危险和轻度危险；按照不同的危险等级，采取阻断数据传输、系统报警和日志记录三种对应的处理方法；确定处理方法后处理网络入侵数据，将处理过程记录至系统的日志记录服务器，日志信息与防御节点交互，设置日志收集、发送、接收程序，每日定时读取各节点的日志信息，以便于系统调取处理记录。