The invention relates to a malicious traffic identification system, which comprises a detection module for collecting and pre-processing data of host, server and network traffic, a storage module for storing data collected by detection module and data generated in the process of malicious traffic identification, and an analysis module for collecting data from host and service. The data of server and network traffic are analyzed to identify malicious traffic. The feedback module is used to adjust the traffic according to the conclusions of the analysis module. It also includes a malicious traffic identification method. This malicious traffic identification system and method can improve the overall robustness of IT system, improve the efficiency of operation and maintenance, improve the accuracy of traffic identification, identify and block APT attacks, and can be used as a forensic tool for network crimes, with a wide range of applications.
【技术实现步骤摘要】
恶意流量识别系统及方法
本专利技术涉及网络通信
,尤其涉及网络安全
,具体是指一种恶意流量识别系统及方法。
技术介绍
利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT(AdvancedPersistentThreat,高级持续性威胁)攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。APT攻击通过复杂的欺骗技术和基本协议,如HTTP,Email等协议,而不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,造成业务的中断或服务质量的下降APT攻击具有潜伏周期长,隐蔽性高的特点,威胁着企业的数据安全,而现有单纯的防火墙技术,防病毒技术,DPI技术,DFI技术都无法有效应对APT攻击。
技术实现思路
本专利技术的目的是克服了上述现有技术的缺点,提供了一种能够实现的恶意流量识别系统及方法。为了实现上述目的,本专利技术具有如下构成:该恶意流量识别系统,其特征在于,所述的系统包括:探测模块,用于对主机端、服务器端和网络流量的数据进行采集和预处理;存储模块,用于存储探测模块采集的数据和恶意流量识别过程中产生的数据;分析模块,用于对主机端、服务器端和网络流量的数据进行分析,识别恶意流量;反馈模块,用于根据分析模块得出的结论进行反馈 ...
【技术保护点】
1.一种恶意流量识别系统,其特征在于,所述的系统包括:探测模块,用于对主机端、服务器端和网络流量的数据进行采集和预处理;存储模块,用于存储探测模块采集的数据和恶意流量识别过程中产生的数据;分析模块,用于对主机端、服务器端和网络流量的数据进行分析,识别恶意流量;反馈模块,用于根据分析模块得出的结论进行反馈调节。
【技术特征摘要】
1.一种恶意流量识别系统,其特征在于,所述的系统包括:探测模块,用于对主机端、服务器端和网络流量的数据进行采集和预处理;存储模块,用于存储探测模块采集的数据和恶意流量识别过程中产生的数据;分析模块,用于对主机端、服务器端和网络流量的数据进行分析,识别恶意流量;反馈模块,用于根据分析模块得出的结论进行反馈调节。2.根据权利要求1所述的恶意流量识别系统,其特征在于,所述的探测模块包括:主机端探测单元,用于通过主机的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理;服务器端探测单元,用于通过服务器的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理;网络流量探测单元,用于对网络流量进行采集和预处理。3.根据权利要求1所述的恶意流量识别系统,其特征在于,所述的存储模块包括:原始数据存储单元,用于保存系统采集到的所有原始数据;系统数据存储单元,用于保存系统配置数据;分析结论存储单元,用于保存系统生成的所有统计信息和结论信息。4.根据权利要求1所述的恶意流量识别系统,其特征在于,所述的分析模块包括:初步分析单元,用于将采集到的数据根据模块划分,从多个维度进行初步分析,,建立并不断补充特征库;深入分析单元,用于识别加密数据分析、用户行为和用户身份;预测单元,用于预测用户行为和业务流量。5.根据权利要求4所述的恶意流量识别系统,其特征在于,所述的多个维度包括时间,地址,端口,协议,用户,应用和服务器的服务。6.根据权利要求1所述的恶意流量识别系统,其特征在于,所述的反馈模块包括:反馈通知单元,用于分析模块的分析结果和系统处理结果分别通知终端设备用户和管理员用户,当终端设备用户对分析模块的结论有异议时,为该终端设备用户提供申诉的通道;反馈调节单元,用于按照分析模块得出的结论对系统整体做调整。7.一种恶意流量识别方法,其特征在于,所述的方法包括以下步骤:(1)所述的探测模块对主机端、服务器端和网络流量的数据进行采集和预处理;(2)所述的存储模块存储探测模块采集的数据和恶意流量识别过程中产生的数据;(3)所述的分析模块对主机端、服务器端和网络流量的数据进行分析,识别恶意流量;(4)所述的反馈模块根据分析模块得出的结论进行反馈调节。8.根据权利要求7所述的恶意流量识别方法,其特征在于,所述的步骤(1)包括以下步骤:(1-1)主机端探测单元通过主机的地址信息、端口信息、应用信息、时间信息和用户信息进行数据采集和预处理;(1-2)服务器端探测单元通过服...
【专利技术属性】
技术研发人员:龚瑞涛,李晏,逯利军,钱培专,
申请(专利权)人:上海赛特斯信息科技股份有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。