基于高速网络环数据采集的APT防御方法和系统技术方案

本发明专利技术公开了基于高速网络环数据采集的APT防御方法和系统，其利用高速数据采集板卡采集多种易被利用于鱼叉式钓鱼的协议流量数据及多个设备的运行状态信息，将云分析和虚拟化动态分析相结合，在保证处理速度的情况下实现用户输入信息的综合分析，在最大程度上保护系统免受恶意信息的侵害。

APT defense method and system based on high speed network loop data acquisition

The invention discloses a method and system for high-speed APT defense network based on data acquisition, operation state information protocol traffic data using the high-speed data acquisition card to collect a variety of easy to be used to spear phishing and multiple devices, the analysis of cloud analysis and virtual dynamic combination, to ensure achieve comprehensive analysis of user input information the processing speed of the situation, to protect the system from malicious information to the maximum extent of infringement.

【技术实现步骤摘要】
基于高速网络环数据采集的APT防御方法和系统
本专利技术涉及网络监测防御领域，尤其涉及基于高速网络环数据采集的APT防御方法和系统。
技术介绍
随着国民经济和社会各领域信息化深入发展的同时，相应的安全保障问题也更为凸显。目前，网络攻击已被作为世界面临的主要安全威胁之一。网络窃密、个人隐私被滥用、敌对势力利用网络进行意识形态渗透等问题日益突出，信息系统受到破坏后，对国家安全、社会秩序和公众利益造成的损害也越严重。APT（AdvancedPersistentThreat）是指高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。它以其独特的攻击方式和手段，使得传统的安全防御工具已无法进行有效的防御。APT攻击与普通木马病毒的攻击完全不同，它不是一个整体，而是将众多入侵渗透技术进行整合而实现的隐秘性的本文档来自技高网...

【技术保护点】
一种基于高速网络环数据采集的APT防御系统，其特征在于，所述APT防御系统包括数据预处理器、云分析平台、探针和虚拟主机；数据预处理器是整个系统的核心，实现系统间的数据传输以及数据的预处理，并且通过高速数据采集板卡采集来自多个设备的信息；云分析平台包含知识库，其根据数据预处理器采集并预处理过的数据，结合知识库判断用户输入信息是否安全；探针和虚拟主机相结合实现未触发攻击的恶意信息的检验。

【技术特征摘要】
1.一种基于高速网络环数据采集的APT防御系统，其特征在于，所述APT防御系统包括数据预处理器、云分析平台、探针和虚拟主机；数据预处理器是整个系统的核心，实现系统间的数据传输以及数据的预处理，并且通过高速数据采集板卡采集来自多个设备的信息；云分析平台包含知识库，其根据数据预处理器采集并预处理过的数据，结合知识库判断用户输入信息是否安全；探针和虚拟主机相结合实现未触发攻击的恶意信息的检验。2.根据权利要求1所述的APT防御系统，其特征在于，所述多个设备包括数据库服务器、通信中间件服务器、业务中间件服务器、业务系统服务器、网络通信设备、网络安全设备、业务终端主机和办公终端主机。3.根据权利要求1所述的APT防御系统，其特征在于，所述高速数据采集板卡基于32G专用包处理交换芯片，并行进行包分类、包过滤、负载均衡、流量统计、流量控制、流量复制镜像和Layer3/Layer4/MPLS线速转发。4.根据权利要求3所述的APT防御系统，其特征在于，所述高速数据采集板卡的数据处理方法包括如下步骤：a.线路输入与接口处理，从接口模块接收接入数据流，经过串并转换后，送往Framer，Framer从POS同步比特流中解出相应的PPP数据包，解出的数据包格式为“PPP头部＋IP数据包”，并且不带有链路层的CRC；b.数据包处理，网络处理模块完成了对数据包的分类、过滤转发、包头处理，对需要转发的数据包封装为以太网数据包格式，并通过10Gbps的接口送往交换模块；c.数据包汇聚和输出，按照数据包中的TAG信息进行汇聚转发，将数据包转发到相应的一个或多个GE口，在转发的同时，去掉VLANTAG信息，并给数据包加上以太网CRC校验。5.根据权利要求1所述的APT防御系统，其特征在于，所述知识库中包含病毒信息和利用大数据挖掘技术得到的用户正常行为列表。6.根据权利要求5所述的APT防御系统，其特征在于，所述云分析平台会定期收集用户操作产生的日志信息，利用大数据挖掘技术进行分析，得出用户的正常行为列表，将其与知识库中已存的用户正常行为列表进行比较，将新产生的正常行为模式加入知识库。7.根据权利要求1所述的APT...

【专利技术属性】
技术研发人员：陶磊，屈立笳，彭光辉，代琪怡，
申请(专利权)人：成都艾尔普科技有限责任公司，
类型：发明
国别省市：四川,51