一种未知威胁检测的协同防御系统技术方案

一种未知威胁检测的协同防御系统，包括入侵防御模块、入侵检测模块、调度模块、信誉模块。系统通过对网络系统的流量进行包括恶意软件检测、应用行为检测、业务规则检测、攻击行为检测等的入侵防御并进一步对未识别数据流进行包括AV检测、智能ShellCode检测、虚拟执行检测等入侵检测，然后把检测到的威胁结果送至集中管理中心进行分析和告警，并把威胁详情添加入本地信誉库，本地信誉库可以与云安全中心进行数据交换，得到全球其它位置生成的信誉。本发明专利技术通过入侵检测模块和入侵防御模块协同防御，构建了一个预防、检测、控制、响应一体的安全闭环的方案，不仅发现高级恶意软件威胁，而且能控制、清除威胁，提升应对新一代威胁及高级恶意软件的安全能力。

A cooperative defense system for unknown threat detection

A cooperative defense system for unknown threat detection, including intrusion prevention module, intrusion detection module, scheduling module and reputation module. The system based on the network traffic system including malware detection, behavior detection, business rules detection, attack behavior detection such as intrusion prevention and further to unreconized data stream including AV detection, ShellCode detection, intelligent virtual execution detection of intrusion detection, then the detected threat results sent to the centralized management center analysis and alarm, and the threat of details added to the local reputation database, local reputation database can exchange data with the cloud security center, other position of the global reputation formation. The intrusion detection module and intrusion prevention module cooperative defense, build a prevention, detection, control, safety and development of the closed-loop response scheme, not only found in advanced malware threats, but also to control and remove threats, enhance the ability to deal with the new generation of security threats and the high level of malicious software.

【技术实现步骤摘要】
一种未知威胁检测的协同防御系统
本专利技术涉及恶意程序检测技术和网络安全防御领域，特别涉及一种未知威胁检测的协同防御系统。
技术介绍
信息与互联网技术的发展，在带来生活上的便利和工作效率上的提升的同时，也增加了网络系统遭受未知威胁攻击的风险。特别是当前面对新一代威胁时传统安全技术需要有一段时间来发现攻击并提供相对应的检测签名，而这段时间有可能攻击者已经造成了实质性的重大损失。而且新一代威胁往往使用多态、变形等高级逃避技术，无疑使发现攻击所需要的时间大大增加，并很难持续有效，新一代威胁具有极强的目标性，往往面对特定的组织目标进行定制化的攻击，在不知情的状态下，悄悄的已经达成了攻击目的。网络罪犯、地下黑客产业者、黑客行动主义者以及有国家背景的攻击者等团体利用极具技术含量的新一代威胁来规避传统安全技术，窃取敏感的知识产权或个人数据，对企业造成财务和声誉上的损害，也会针对国家的关键基础设施进行网络间谍活动甚至网络战争，包括供电网络、银行业务以及涉及国家安全的高度敏感信息等。特别是国家电网公司具有网络规模大、部署环境复杂等特点，如何在如此大规模的网络中实现网络数据流的攻击检测，对建立网络攻击检本文档来自技高网...

【技术保护点】
一种未知威胁检测的协同防御系统，包括：入侵防御模块、入侵检测模块、调度模块和信誉库模块；所述的入侵防御模块，用于进行初步威胁识别，对可信数据进行放行，对非可信数据进行阻断，对既不是可信数据也不是非可信数据转发给入侵检查模块，并发送日志信息至调度模块；所述的入侵检测模块，用于进行深入威胁检测，将攻击行为传送到调度模块；所述的调度模块，用于进行集中管理和威胁告警，即将入侵防御模块发送的威胁数据流进行阻断，并向信誉库模块发出报警；所述的信誉库模块，用于生成威胁特征，便于威胁识别。

【技术特征摘要】
1.一种未知威胁检测的协同防御系统，包括：入侵防御模块、入侵检测模块、调度模块和信誉库模块；所述的入侵防御模块，用于进行初步威胁识别，对可信数据进行放行，对非可信数据进行阻断，对既不是可信数据也不是非可信数据转发给入侵检查模块，并发送日志信息至调度模块；所述的入侵检测模块，用于进行深入威胁检测，将攻击行为传送到调度模块；所述的调度模块，用于进行集中管理和威胁告警，即将入侵防御模块发送的威胁数据流进行阻断，并向信誉库模块发出报警；所述的信誉库模块，用于生成威胁特征，便于威胁识别。2.根据权利要求1所述的未知威胁检测的协同防御系统，其特征在于，所述的入侵防御模块接收到数据流量，通过预设的策略进行动作，策略的检测方法包括恶意软件检测、应用行为检测、业务规则检测和攻击行为检测，策略的动作包括：对已知具有明威胁特征的数据流进行阻断；对提前预设的可信流量进行放行；对既不属于威胁流量也不属于可信流量的数据进行标记，并发送给入侵检测模块进行下一步检测，同时发送日志信息至调度模块进行数据流情况记录。3.根据权利要求1所述的未知威胁检测的协同防御系统，其特征在于，所述的入侵检测模块接收到未知数据流，首选对数据流进行应用协议的解码还原，其次对关键文件类型进行完整的文件还原解析，然后通过智能ShellCode检测与虚拟执行检测判断是否存在攻击行为，最后将检测到的疑似攻击行为的流量、文件、威胁特征等信息传送至调度模块。4.根据权利要求3所述的未知威胁检测的协同防御系统，其...

【专利技术属性】
技术研发人员：王红凯，张旭东，郑生军，李建华，夏正敏，南淑君，伍军，夏业超，党林涛，
申请(专利权)人：国家电网公司，国网浙江省电力公司信息通信分公司，国网甘肃省电力公司信息通信公司，国网冀北电力有限公司信息通信分公司，北京国电通网络技术有限公司，上海交通大学，
类型：发明
国别省市：北京,11