恶意流量识别系统及方法技术方案

本发明专利技术涉及一种恶意流量识别系统，包括探测模块，用于对主机端、服务器端和网络流量的数据进行采集和预处理；存储模块，用于存储探测模块采集的数据和恶意流量识别过程中产生的数据；分析模块，用于对主机端、服务器端和网络流量的数据进行分析，识别恶意流量；反馈模块，用于根据分析模块得出的结论进行反馈调节，还包括一种恶意流量识别方法。采用该恶意流量识别系统及方法，提高了IT系统的整体健壮性，提高了运维效率，提高了流量识别的准确率，可以识别和阻断APT攻击，可以作为网络犯罪的取证工具，具有广泛的应用范围。

Malicious traffic identification system and method

The invention relates to a malicious traffic identification system, which comprises a detection module for collecting and pre-processing data of host, server and network traffic, a storage module for storing data collected by detection module and data generated in the process of malicious traffic identification, and an analysis module for collecting data from host and service. The data of server and network traffic are analyzed to identify malicious traffic. The feedback module is used to adjust the traffic according to the conclusions of the analysis module. It also includes a malicious traffic identification method. This malicious traffic identification system and method can improve the overall robustness of IT system, improve the efficiency of operation and maintenance, improve the accuracy of traffic identification, identify and block APT attacks, and can be used as a forensic tool for network crimes, with a wide range of applications.

【技术实现步骤摘要】
恶意流量识别系统及方法
本专利技术涉及网络通信
，尤其涉及网络安全
，具体是指一种恶意流量识别系统及方法。
技术介绍
利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT(AdvancedPersistentThreat，高级持续性威胁)攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。APT攻击通过复杂的欺骗技术和基本协议，如HTTP，Email等协议，而不是采用可被阻断的非基本协议或高端口协议，非常难识别和防御，通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务，但同时合法用户的请求也被拒绝，造成业务的中断或服务质量的下降APT攻击具有潜伏周期长，隐蔽性高的特点，威胁着企业的数据安全，而现有单纯的防火墙技术，防病毒技术，DPI技术，DFI技术都无法有效应对APT攻击。
技术实现思路
本专利技术的目的是克服了上述现有技术的缺点，提供了一种能够实现的恶意流量识别系统及方法。为了实现上述目的，本专利技术具有如下构成：该恶意流量识别系统，其特征在于，所述的系统包括：探测模块，用于对主机端、服务器端和网络流量的数据进行采集和预处理；存储模块，用于存储探测模块采集的数据和恶意流量识别过程中产生的数据；分析模块，用于对主机端、服务器端和网络流量的数据进行分析，识别恶意流量；反馈模块，用于根据分析模块得出的结论进行反馈调节。较佳地，所述的探测模块包括：主机端探测单元，用于通过主机的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理；服务器端探测单元，用于通过服务器的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理；网络流量探测单元，用于对网络流量进行采集和预处理。较佳地，所述的存储模块包括：原始数据存储单元，用于保存系统采集到的所有原始数据；系统数据存储单元，用于保存系统配置数据；分析结论存储单元，用于保存系统生成的所有统计信息和结论信息。较佳地，所述的分析模块包括：初步分析单元，用于将采集到的数据根据模块划分，从多个维度进行初步分析，，建立并不断补充特征库；深入分析单元，用于识别加密数据分析、用户行为和用户身份；预测单元，用于预测用户行为和业务流量。更佳地，所述的多个维度包括时间，地址，端口，协议，用户，应用和服务器的服务。较佳地，所述的反馈模块包括：反馈通知单元，用于分析模块的分析结果和系统处理结果分别通知终端设备用户和管理员用户，当终端设备用户对分析模块的结论有异议时，为该终端设备用户提供申诉的通道；反馈调节单元，用于按照分析模块得出的结论对系统整体做调整。还包括一种恶意流量识别方法，所述的方法包括以下步骤：(1)所述的探测模块对主机端、服务器端和网络流量的数据进行采集和预处理；(2)所述的存储模块存储探测模块采集的数据和恶意流量识别过程中产生的数据；(3)所述的分析模块对主机端、服务器端和网络流量的数据进行分析，识别恶意流量；(4)所述的反馈模块根据分析模块得出的结论进行反馈调节。较佳地，所述的步骤(1)包括以下步骤：(1-1)主机端探测单元通过主机的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理；(1-2)服务器端探测单元通过服务器的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理；(1-3)网络流量探测单元对网络流量进行采集和预处理。较佳地，所述的步骤(2)包括以下步骤：(2-1)原始数据存储单元保存系统采集到的所有原始数据；(2-2)系统数据存储单元保存系统配置数据；(2-3)分析结论存储单元保存系统生成的所有统计信息和结论信息。较佳地，所述的步骤(3)包括以下步骤：(3-1)初步分析单元将采集到的数据根据模块划分，从多个维度进行初步分析，，建立并不断补充特征库；(3-2)深入分析单元识别加密数据分析、用户行为和用户身份；(3-3)预测单元预测用户行为和业务流量。更佳地，所述的多个维度包括时间，地址，端口，协议，用户，应用和服务器的服务。较佳地，所述的步骤(4)包括以下步骤：(4-1)反馈通知单元，用于分析模块的分析结果和系统处理结果分别通知终端设备用户和管理员用户，当终端设备用户和管理员用户对分析模块的结论有异议时，为该终端设备用户提供申诉的通道；(4-2)反馈调节单元，用于按照分析模块得出的结论对系统整体做调整。更佳地，所述的当终端设备用户对分析模块的结论有异议时，为该终端设备用户提供申诉的通道，具体包括以下步骤：(4-1-1)当所述的终端设备用户对分析模块的结论有异议时，通过所述的反馈通知单元提出申诉；(4-1-2)所述的反馈通知单元将申诉信息发送至管理员用户，该管理员用户启动复查流程；(4-1-3)管理员用户根据与该申诉相关的分析模块的结论的ID地址，找到该结论对应的存储模块保存的原始信息数据、系统配置数据和分析模块产生的数据，并取证分析；(4-1-4)管理员用户根据分析结果判断是否支持所述的分析模块的结论，如果是，继续步骤(4-1-5)，否则，继续步骤(4-1-6)；(4-1-5)所述的反馈通知单元将处理结果告知该终端设备用户，并继续执行分析模块的结论；(4-1-6)所述的反馈通知单元将处理结果告知该终端设备用户和所述的分析模块，所述的反馈调节单元撤销所述的分析模块的结论，所述的分析模块修正分析方法并继续步骤(3)；(4-1-7)当所述的终端设备用户对分析模块的结论有异议时，直接启动复查流程，继续步骤(4-1-3)。采用了该专利技术中的恶意流量识别系统及方法，提高了IT系统的整体健壮性，提高了运维效率，提高了流量识别的准确率，可以识别和阻断APT攻击，可以作为网络犯罪的取证工具，具有广泛的应用范围。附图说明图1为本专利技术的恶意流量识别系统的模块交互示意图。图2为本专利技术的恶意流量识别方法的复查流程的示意图。图3为本专利技术的恶意流量识别系统及方法的总拓扑示意图。具体实施方式为了能够更清楚地描述本专利技术的
技术实现思路
，下面结合具体实施例来进行进一步的描述。该恶意流量识别系统，其特征在于，所述的系统包括：探测模块，用于对主机端、服务器端和网络流量的数据进行采集和预处理；存储模块，用于存储探测模块采集的数据和恶意流量识别过程中产生的数据；分析模块，用于对主机端、服务器端和网络流量的数据进行分析，识别恶意流量；反馈模块，用于根据分析模块得出的结论进行反馈调节。较佳地，所述的探测模块包括：主机端探测单元，用于通过主机的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理；服务器端探测单元，用于通过服务器的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理；网络流量探测单元，用于对网络流量进行采集和预处理。较佳地，所述的存储模块包括：原始数据存储单元，用于保存系统采集到的所有原始数据；系统数据存储单元，用于保存系统配置数据；分析结论存储单元，用于保存系统生成的所有统计信息和结论信息。较佳地，所述的分析模块包括：初步分析单元，用于将采集到的数据根据模块划分，本文档来自技高网...

【技术保护点】
1.一种恶意流量识别系统，其特征在于，所述的系统包括：探测模块，用于对主机端、服务器端和网络流量的数据进行采集和预处理；存储模块，用于存储探测模块采集的数据和恶意流量识别过程中产生的数据；分析模块，用于对主机端、服务器端和网络流量的数据进行分析，识别恶意流量；反馈模块，用于根据分析模块得出的结论进行反馈调节。

【技术特征摘要】
1.一种恶意流量识别系统，其特征在于，所述的系统包括：探测模块，用于对主机端、服务器端和网络流量的数据进行采集和预处理；存储模块，用于存储探测模块采集的数据和恶意流量识别过程中产生的数据；分析模块，用于对主机端、服务器端和网络流量的数据进行分析，识别恶意流量；反馈模块，用于根据分析模块得出的结论进行反馈调节。2.根据权利要求1所述的恶意流量识别系统，其特征在于，所述的探测模块包括：主机端探测单元，用于通过主机的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理；服务器端探测单元，用于通过服务器的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理；网络流量探测单元，用于对网络流量进行采集和预处理。3.根据权利要求1所述的恶意流量识别系统，其特征在于，所述的存储模块包括：原始数据存储单元，用于保存系统采集到的所有原始数据；系统数据存储单元，用于保存系统配置数据；分析结论存储单元，用于保存系统生成的所有统计信息和结论信息。4.根据权利要求1所述的恶意流量识别系统，其特征在于，所述的分析模块包括：初步分析单元，用于将采集到的数据根据模块划分，从多个维度进行初步分析，，建立并不断补充特征库；深入分析单元，用于识别加密数据分析、用户行为和用户身份；预测单元，用于预测用户行为和业务流量。5.根据权利要求4所述的恶意流量识别系统，其特征在于，所述的多个维度包括时间，地址，端口，协议，用户，应用和服务器的服务。6.根据权利要求1所述的恶意流量识别系统，其特征在于，所述的反馈模块包括：反馈通知单元，用于分析模块的分析结果和系统处理结果分别通知终端设备用户和管理员用户，当终端设备用户对分析模块的结论有异议时，为该终端设备用户提供申诉的通道；反馈调节单元，用于按照分析模块得出的结论对系统整体做调整。7.一种恶意流量识别方法，其特征在于，所述的方法包括以下步骤：(1)所述的探测模块对主机端、服务器端和网络流量的数据进行采集和预处理；(2)所述的存储模块存储探测模块采集的数据和恶意流量识别过程中产生的数据；(3)所述的分析模块对主机端、服务器端和网络流量的数据进行分析，识别恶意流量；(4)所述的反馈模块根据分析模块得出的结论进行反馈调节。8.根据权利要求7所述的恶意流量识别方法，其特征在于，所述的步骤(1)包括以下步骤：(1-1)主机端探测单元通过主机的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理；(1-2)服务器端探测单元通过服...

【专利技术属性】
技术研发人员：龚瑞涛，李晏，逯利军，钱培专，
申请(专利权)人：上海赛特斯信息科技股份有限公司，
类型：发明
国别省市：上海,31