[发明专利]一种精准式网络攻击检测预警平台在审
| 申请号: | 201910948998.0 | 申请日: | 2019-10-08 |
| 公开(公告)号: | CN110545293A | 公开(公告)日: | 2019-12-06 |
| 发明(设计)人: | 田洪鸿;尚华;马德龙 | 申请(专利权)人: | 贵州银智科技发展有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/24 |
| 代理公司: | 32323 无锡市才标专利代理事务所(普通合伙) | 代理人: | 张迎召<国际申请>=<国际公布>=<进入 |
| 地址: | 550000 贵州省贵阳市南*** | 国省代码: | 贵州;52 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种精准式网络攻击检测预警平台,包括多引擎沙箱子系统、辅助检测子系统和数据分析子系统,数据分析子系统包括关联分析系统和基于大数据架构的数据分析系统,关联分析系统包括沙箱中间结果关联模块、报警规则关联模块、报警和流量关联模块和流量建模分析模块;辅助检测子系统包括AV模块和IDS模块;该发明,采用分层防御的结构,将系统划分为专注于已知威胁检测的辅助检测子系统系统,专注于基于恶意行为检测的多引擎沙箱检测子系统,以及数据分析子系统;针对APT攻击的各个阶段,精准式网络攻击检测预警平台可以在单点突破、后门安装、建立隐密通道、盗取数据等阶段对APT攻击进行有效的检测和及时预警。 | ||
| 搜索关键词: | 数据分析子系统 辅助检测 关联模块 沙箱 关联分析系统 网络攻击检测 预警平台 引擎 恶意行为检测 数据分析系统 报警规则 建模分析 威胁检测 中间结果 攻击 大数据 检测 单点 分层 后门 架构 预警 报警 防御 | ||
【主权项】:
1.一种精准式网络攻击检测预警平台,包括多引擎沙箱子系统(1)、辅助检测子系统(2)和数据分析子系统(3),其特征在于:所述多引擎沙箱子系统(1)包括应用级沙箱(11)、系统沙箱(12)和并发样本执行模块(13),所述多引擎沙箱子系统(1)的输出端通过信号与数据分析子系统(3)的输入端连接,所述数据分析子系统(3)包括关联分析系统(31)和基于大数据架构的数据分析系统(32),所述关联分析系统(31)包括沙箱中间结果关联模块(311)、报警规则关联模块(312)、报警和流量关联模块(313)和流量建模分析模块(314);/n所述沙箱中间结果关联模块(311):将沙箱运行过程中产生的原始数据,如文件系统监控数据、注册表修改数据、网络连接行为数据等,通过综合分析进行文件异常度判断,提升单一检测模块报警的准确度;/n所述报警规则关联模块(312):通过分析人员的经验,根据典型攻击场景设置关联分析规则,将一次攻击过程触发的多条相关事件组合成完整的攻击场景,以便对攻击进行回溯分析;/n所述报警和流量关联模块(313):对于通过沙箱分析到的恶意文件可能会触发的网络连接行为,如木马文件下载、恶意网站访问、反向连接通道等,在真实的网络流量中进行匹配,实现事后的恶意代码行为审计;/n所述流量建模分析模块(314):通过对历史流量进行特征参数提取,建立能反映设备间正常访问关系的流量模型,并基于正常模型进行异常检测;流量建模分析的结果,还可用于同沙箱报警间的关联分析;/n所述数据分析子系统(3)的输出端通过信号与辅助检测子系统(2)连接,所述辅助检测子系统(2)包括AV模块(21)和IDS模块(22),所述基于大数据架构的数据分析系统(32)包括数据快速检索模块(321)、攻击行为历史回溯模块(322)和可视化分析平台(323),所述可视化分析平台(323)包括快速定位单元、详细信息查询单元和可视化分析操作单元。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于贵州银智科技发展有限公司,未经贵州银智科技发展有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910948998.0/,转载请声明来源钻瓜专利网。
