本發(fā)明涉及網(wǎng)絡(luò)監(jiān)測防御領(lǐng)域，尤其是一種基于大數(shù)據(jù)分析的apt監(jiān)測防御平臺。

背景技術(shù)：

隨著國民經(jīng)濟和社會各領(lǐng)域信息化深入發(fā)展的同時，相應(yīng)的安全保障問題也更為凸顯。目前，網(wǎng)絡(luò)攻擊已被作為世界面臨的主要安全威脅之一。網(wǎng)絡(luò)竊密、個人隱私被濫用、敵對勢力利用網(wǎng)絡(luò)進(jìn)行意識形態(tài)滲透等問題日益突出，信息系統(tǒng)受到破壞后，對國家安全、社會秩序和公眾利益造成的損害也越嚴(yán)重。

近幾年來，apt(advancedpersistentthreat)攻擊已經(jīng)成為業(yè)界關(guān)注和討論的熱點。apt攻擊一般是指針對政府機關(guān)、研究機構(gòu)或特定企業(yè)的連續(xù)不間斷入侵滲透，利用軟硬件缺陷和社會工程學(xué)原理進(jìn)行的持續(xù)攻擊。它以其獨特的攻擊方式和手段，使得傳統(tǒng)的安全防御工具已無法進(jìn)行有效的防御。apt攻擊與普通木馬病毒的攻擊完全不同，它不是一個整體，而是將眾多入侵滲透技術(shù)進(jìn)行整合而實現(xiàn)的隱秘性的攻擊手法，其體現(xiàn)出兩個方面的特點，持續(xù)時間長和”高級”。apt是通過使用一系列復(fù)雜的攻擊手法，在相當(dāng)一段時間內(nèi)逐步完成突破、滲透、竊聽、偷取數(shù)據(jù)等幾步的一個過程。

apt攻擊已經(jīng)成為近年來為禍甚烈、行之有效、難以依靠傳統(tǒng)安全防御手段進(jìn)行防御反制的網(wǎng)絡(luò)攻擊手段。一旦成為apt攻擊的目標(biāo)，則意味著受攻擊者本身具備較高的價值和戰(zhàn)略意義。尤其對于處于高速發(fā)展期的我國而言，一旦敵對勢力或組織花費高昂代價進(jìn)行有的放矢的apt攻擊針對我國重要信息系統(tǒng)并且獲得成功，那么造成的危害將難以估量。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供基于大數(shù)據(jù)分析的apt監(jiān)測防御平臺，實現(xiàn)對apt攻擊的有效防御，并且監(jiān)測基礎(chǔ)信息網(wǎng)絡(luò)與重要信息網(wǎng)絡(luò)實現(xiàn)對apt攻擊的實時監(jiān)測與防護(hù)。

本發(fā)明的目的是通過以下技術(shù)方案來實現(xiàn)的：基于大數(shù)據(jù)分析的apt監(jiān)測防御平臺，其特征在于：它包括前端數(shù)據(jù)采集平臺、大數(shù)據(jù)挖掘分析平臺和結(jié)果呈現(xiàn)平臺；所述的前端數(shù)據(jù)采集平臺與大數(shù)據(jù)挖掘分析平臺通過無線或者有線網(wǎng)絡(luò)連接，大數(shù)據(jù)挖掘分析平臺與結(jié)果呈現(xiàn)平臺通過無線或者有線網(wǎng)絡(luò)連接。

進(jìn)一步限定，內(nèi)網(wǎng)流量分析單元、數(shù)據(jù)庫協(xié)議分析單元、遠(yuǎn)程控制協(xié)議分析單元、郵件協(xié)議分析單元、社交平臺應(yīng)用分析單元和證據(jù)保全數(shù)據(jù)庫。

進(jìn)一步限定，所述的前端數(shù)據(jù)采集平臺收集各收集區(qū)域的數(shù)據(jù)，收集區(qū)域可以是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的網(wǎng)管中心。

進(jìn)一步限定，在收集各個區(qū)域的數(shù)據(jù)時采用主機探針和網(wǎng)絡(luò)探針。

進(jìn)一步限定，所述的大數(shù)據(jù)挖掘分析平臺包括：關(guān)聯(lián)分析單元、跟蹤服務(wù)器、郵件特征庫、社交平臺數(shù)據(jù)庫、行為特征庫和內(nèi)網(wǎng)數(shù)據(jù)流量特征庫。

進(jìn)一步限定，所述的大數(shù)據(jù)挖掘分析平臺對前端數(shù)據(jù)采集平臺中的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并根據(jù)數(shù)據(jù)的內(nèi)容，對證據(jù)數(shù)據(jù)分類，生成網(wǎng)絡(luò)攻擊和破壞事件數(shù)據(jù)記錄。

進(jìn)一步限定，所述的結(jié)果呈現(xiàn)平臺包括郵件分析單元、社交平臺分析單元、內(nèi)網(wǎng)傳輸層數(shù)據(jù)分析單元和態(tài)勢分析單元。

進(jìn)一步限定，所述的結(jié)果表示平臺根據(jù)使用主體的需要，生成各類報表和分析報告。

進(jìn)一步限定，所述的結(jié)果表示平臺用友好的界面查詢數(shù)據(jù)倉庫內(nèi)容，并實現(xiàn)會話重放，對各平臺管理維護(hù)。

本發(fā)明的有益效果是：本發(fā)明能夠?qū)崿F(xiàn)對apt攻擊的有效防御，并且監(jiān)測基礎(chǔ)信息網(wǎng)絡(luò)與重要信息網(wǎng)絡(luò)實現(xiàn)對apt攻擊的實時監(jiān)測與防護(hù)。將各個收集區(qū)域內(nèi)的設(shè)備組成為一個內(nèi)部網(wǎng)，實現(xiàn)了對監(jiān)測數(shù)據(jù)的共享及關(guān)聯(lián)。部分設(shè)備之間數(shù)據(jù)傳輸采用加密方式進(jìn)行。通過用戶認(rèn)證，權(quán)限管理，確保證據(jù)保全數(shù)據(jù)的完整性、機密性和可用性。

附圖說明

圖1為本發(fā)明系統(tǒng)框架圖。

具體實施方式

下面結(jié)合附圖進(jìn)一步詳細(xì)描述本發(fā)明的技術(shù)方案，但本發(fā)明的保護(hù)范圍不局限于以下所述。

如圖1所示，基于大數(shù)據(jù)分析的apt監(jiān)測防御平臺，它包括前端數(shù)據(jù)采集平臺、大數(shù)據(jù)挖掘分析平臺和結(jié)果呈現(xiàn)平臺；所述的前端數(shù)據(jù)采集平臺與大數(shù)據(jù)挖掘分析平臺通過無線或者有線網(wǎng)絡(luò)連接，大數(shù)據(jù)挖掘分析平臺與結(jié)果呈現(xiàn)平臺通過無線或者有線網(wǎng)絡(luò)連接。

所述的前端數(shù)據(jù)采集平臺包括：內(nèi)網(wǎng)流量分析單元、數(shù)據(jù)庫協(xié)議分析單元、遠(yuǎn)程控制協(xié)議分析單元、郵件協(xié)議分析單元、社交平臺應(yīng)用分析單元和證據(jù)保全數(shù)據(jù)庫。內(nèi)網(wǎng)流量分析單元、數(shù)據(jù)庫協(xié)議分析單元、遠(yuǎn)程控制協(xié)議分析單元、郵件協(xié)議分析單元、社交平臺應(yīng)用分析單元和證據(jù)保全數(shù)據(jù)庫的數(shù)據(jù)輸入端通過無線或者有線網(wǎng)絡(luò)分別與收集器的數(shù)據(jù)輸出端相連，收集器的數(shù)據(jù)輸入端通過無線或者有線網(wǎng)絡(luò)分別與各個收集區(qū)域的主機與網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)輸出端相連。

前端數(shù)據(jù)采集平臺收集各收集區(qū)域的數(shù)據(jù)。收集區(qū)域可以是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的網(wǎng)管中心，例如，電子政務(wù)系統(tǒng)以及醫(yī)療、銀行、電力、物業(yè)等服務(wù)行業(yè)的信息系統(tǒng)的網(wǎng)絡(luò)中心，也可以是這些系統(tǒng)的下屬節(jié)點網(wǎng)絡(luò)。收集區(qū)域可以有多個。收集區(qū)域使用主機探針和網(wǎng)絡(luò)探針。主機探針完成本區(qū)域內(nèi)的主機日志采集任務(wù)；網(wǎng)絡(luò)探針完成本區(qū)域內(nèi)的郵件、社交平臺、傳輸層數(shù)據(jù)數(shù)、數(shù)據(jù)庫操作數(shù)據(jù)、遠(yuǎn)程控制數(shù)據(jù)、其他網(wǎng)絡(luò)用戶行為數(shù)據(jù)收集。收集器負(fù)責(zé)本探測區(qū)域的設(shè)備維護(hù)，并實現(xiàn)與前端數(shù)據(jù)采集平臺的通信；前端數(shù)據(jù)采集平臺將收集的各收集區(qū)域保存在證據(jù)保全數(shù)據(jù)庫中。證據(jù)收集區(qū)域的設(shè)備可以組成一個內(nèi)部網(wǎng)。

所述的大數(shù)據(jù)挖掘分析平臺包括：關(guān)聯(lián)分析單元、跟蹤服務(wù)器、郵件特征庫、社交平臺數(shù)據(jù)庫、行為特征庫和內(nèi)網(wǎng)數(shù)據(jù)流量特征庫。大數(shù)據(jù)挖掘分析平臺對前端數(shù)據(jù)采集平臺中的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并根據(jù)數(shù)據(jù)的內(nèi)容，對證據(jù)數(shù)據(jù)分類，生成網(wǎng)絡(luò)攻擊和破壞事件數(shù)據(jù)記錄。

所述的結(jié)果呈現(xiàn)平臺包括郵件分析單元、社交平臺分析單元、內(nèi)網(wǎng)傳輸層數(shù)據(jù)分析單元和態(tài)勢分析單元。結(jié)果表示平臺主要是各類查詢/管理終端。結(jié)果表示平臺根據(jù)使用主體的需要，生成各類報表和分析報告。結(jié)果表示平臺用友好的界面查詢數(shù)據(jù)倉庫內(nèi)容，并實現(xiàn)會話重放，對各平臺管理維護(hù)，如備份、刪除等。

系統(tǒng)運行時，三部分設(shè)備保持動態(tài)、高速的連接。一方面，證據(jù)區(qū)域的設(shè)備通過收集器從平臺的規(guī)則庫獲取規(guī)則，并將采集數(shù)據(jù)動態(tài)保存到平臺中，并實現(xiàn)報警；另一方面，用戶認(rèn)證機制接收用戶分析平臺各設(shè)備的查詢/管理請求，提供數(shù)據(jù)分析或修改規(guī)則服務(wù)。系統(tǒng)部署可以采用分布式方式，可以根據(jù)網(wǎng)絡(luò)和系統(tǒng)規(guī)模建立總?cè)∽C中心和分取證中心。每個中心都可以包括前端數(shù)據(jù)采集平臺、大數(shù)據(jù)挖掘分析平臺、結(jié)果表示平臺三部分。每個組成部分都可以分擔(dān)整個系統(tǒng)的計算和傳輸任務(wù)。三部分設(shè)備之間數(shù)據(jù)傳輸采用加密方式進(jìn)行。通過用戶認(rèn)證，權(quán)限管理，確保證據(jù)保全數(shù)據(jù)的完整性、機密性和可用性。

以上所述僅是本發(fā)明的優(yōu)選實施方式，應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式，不應(yīng)看作是對其他實施例的排除，而可用于各種其他組合、修改和環(huán)境，并能夠在本文所述構(gòu)想范圍內(nèi)，通過上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識進(jìn)行改動。而本領(lǐng)域人員所進(jìn)行的改動和變化不脫離本發(fā)明的精神和范圍，則都應(yīng)在本發(fā)明所附權(quán)利要求的保護(hù)范圍內(nèi)。

技術(shù)特征：

技術(shù)總結(jié)
本發(fā)明公開了一種基于大數(shù)據(jù)分析的APT監(jiān)測防御平臺，本發(fā)明涉及網(wǎng)絡(luò)監(jiān)測防御領(lǐng)域。一種基于大數(shù)據(jù)分析的APT監(jiān)測防御平臺，其特征在于：它包括前端數(shù)據(jù)采集平臺、大數(shù)據(jù)挖掘分析平臺和結(jié)果呈現(xiàn)平臺；所述的前端數(shù)據(jù)采集平臺與大數(shù)據(jù)挖掘分析平臺通過無線或者有線網(wǎng)絡(luò)連接，大數(shù)據(jù)挖掘分析平臺與結(jié)果呈現(xiàn)平臺通過無線或者有線網(wǎng)絡(luò)連接。本發(fā)明能夠?qū)崿F(xiàn)對APT攻擊的有效防御，并且監(jiān)測基礎(chǔ)信息網(wǎng)絡(luò)與重要信息網(wǎng)絡(luò)實現(xiàn)對APT攻擊的實時監(jiān)測與防護(hù)。將各個收集區(qū)域內(nèi)的設(shè)備組成為一個內(nèi)部網(wǎng)，實現(xiàn)了對監(jiān)測數(shù)據(jù)的共享及關(guān)聯(lián)。部分設(shè)備之間數(shù)據(jù)傳輸采用加密方式進(jìn)行。通過用戶認(rèn)證，權(quán)限管理，確保證據(jù)保全數(shù)據(jù)的完整性、機密性和可用性。

技術(shù)研發(fā)人員：彭光輝;屈立笳;陶磊;蘇禮剛;林偉;何羽霏
受保護(hù)的技術(shù)使用者：成都國騰實業(yè)集團(tuán)有限公司
技術(shù)研發(fā)日：2017.05.03
技術(shù)公布日：2017.10.13