基于智能行为分析的安全网关及安全防护系统技术方案

本发明专利技术公开了基于智能行为分析的安全网关，包括：流量参数提取功能模块，通过实时取样计算出用户网络流量行为模式参数；用户行为智能分析模块；应用智能识别和流量管控功能模块，基于用户行为智能分析模块，对主流应用协议进行智能协议识别。本发明专利技术还公开了安全防护系统，包括：智能云安全中心；安全网关；二者中心实时联动，安全网关将提取到的网络中用户网络流量行为模式参数传输到智能云安全中心，并实时执行其下发的防御指令，智能云安全中心对流量行为模式参数进行深度学习和安全分析，并基于对异常行为的风险量化结果生产防御指令且下发给安全网关。本发明专利技术适用于绝大部分网络流量的安全检测，在实际网络测试中可以达到80％以上的准确率。

Security Gateway and Security Protection System Based on Intelligent Behavior Analysis

The present invention discloses a security gateway based on intelligent behavior analysis, which includes: function module of extracting traffic parameters, calculating traffic behavior pattern parameters of user network through real-time sampling; intelligent analysis module of user behavior; intelligent identification and flow control module, intelligent protocol identification of mainstream application protocols based on intelligent analysis module of user behavior. The invention also discloses a security protection system, which includes: an Intelligent Cloud Security center; a security gateway; a real-time linkage between the two centers. The security gateway transmits the extracted network traffic behavior mode parameters to the Intelligent Cloud Security center, and executes the defense instructions issued by the Intelligent Cloud Security Center in real time. The Intelligent Cloud Security Center conducts in-depth learning and security analysis of the traffic behavior mode parameters. Based on the risk quantification results of abnormal behavior, defense instructions are produced and sent to the security gateway. The invention is suitable for the safety detection of most network traffic, and can achieve more than 80% accuracy in actual network testing.

【技术实现步骤摘要】
基于智能行为分析的安全网关及安全防护系统
本专利技术属于网络安全防护
，涉及一种基于智能行为分析的安全网关，还涉及基于智能行为分析的安全防护系统。
技术介绍
当前网络安全事件频发，网络安全形势日益严峻，国际上围绕信息资源和互联网发展主控权的争夺愈演愈烈，发达国家争相出台网络空间发展战略，我国也于2016年正式发布了网络安全法和国家网络安全战略，信息安全已经完全上升到了国家安全战略高度。目前国内外安全检测数据分析技术主要分为两类：误用检测和异常检测。误用检测搜索审计事件数据，查看是否存在预先定义的误用模式，其典型代表是特征模式匹配技术、协议分析技术和状态协议分析技术等。传统的攻击检测技术，诸如入侵检测和防御产品、漏洞扫描产品、传统防火墙等，都是基于已有攻击特征库工作的。该类产品的根本局限性在于所依赖的特征库只能收集已知攻击的特征，对于未知的，或者复杂度高、持续时间长的攻击无能为力，因为这种攻击与之前的恶意软件模式完全不同。于是，攻击检测产品越来越多地采用异常检测技术，该技术假设所有攻击活动都异常于正常用户的活动，对正常用户的活动特征进行分析并构建模型，统计所有不同于正常模型的用户活动状态的数量，当其违反统计规律时，认为该活动可能是攻击行为。这种技术的优点是可检测到未知的攻击和更为复杂的攻击。但是，在许多环境中，建立正常用户活动模式的特征轮廓以及对活动的异常性进行报警的阈值的确定都是比较困难的。
技术实现思路
要改变上述现状，一种行之有效的方法是从网络行为的深度学习和分析入手，实时、智能地检测异常网络行为，从而有效防御最新的网络攻击。本专利技术的一个目的是解决至少上述问题和/或缺陷，并提供至少后面将说明的优点。本专利技术还有一个目的是提供一种基于智能行为分析的安全网关。本专利技术再有一个目的是提供包含基于智能行为分析的安全网关的安全防护系统。为此，本专利技术提供的技术方案为：一种基于智能行为分析的安全网关，包括：流量参数提取功能模块，其通过实时取样计算出用户的网络流量的行为模式参数；用户行为智能分析模块，其与所述流量参数提取功能模块通讯连接；应用智能识别和流量管控功能模块，其基于用户行为智能分析模块，对主流应用协议进行智能协议识别，且实现基于接口/区域、地址组/用户组、每IP/每用户三个级别的精细化应用流量控制。优选的是，所述的基于智能行为分析的安全网关，还包括：防DDoS攻击功能模块，其用于构筑协议异常检测、源地址真实性验证、黑白名单、速率异常检测、访问控制、特征异常检测和流量管控七级防御体系；入侵检测与防御功能模块，所述安全网关内置有入侵攻击行为特征库，所述入侵检测与防御模块根据客户实际网络设置独立的IPS规则，且还自动生成防御策略，智能防御网络入侵；网络可视化管理功能模块，其提供图形化网络管理系统，通过选择自动生成多种视图和统计报表，所述视图和统计报表包括接口流量、流量趋势、会话监控、系统状态、事件统计、会话、Anti-DDoS视图和统计报表。优选的是，所述的基于智能行为分析的安全网关，还包括内容过滤功能模块和身份认证功能模块。优选的是，所述的基于智能行为分析的安全网关中，所述行为模式参数包括连接方向、源IP、目的IP、源端口、目的端口、协议号、单IP连接数、连接速度、包速率、URL、控制命令及操作频率。一种包含所述的基于智能行为分析的安全网关的安全防护系统，包括：智能云安全中心，其部署在云端；所述的安全网关，其部署在客户端；其中，所述安全网关与所述智能云安全中心实时联动，所述安全网关将提取到的网络中用户网络流量行为模式参数传输到所述智能云安全中心，并实时执行所述智能云安全中心下发的防御指令，所述智能云安全中心对网络流量行为模式参数进行深度学习和安全分析，并基于对异常行为的风险量化结果生产防御指令且下发给所述安全网关。优选的是，所述的基于智能行为分析的安全防护系统，还包括：所述智能云安全中心接收来自所述安全网关上传的用户网络流量行为模式参数，实时进行量化，生成矢量数据，并绘制网络行为曲面图，建立网络行为矢量坐标系；所述智能云安全中心根据安全网络流量的行为参数，统计归纳业务网络行为的最小集合生成业务网络安全白环境；所述智能云安全中心将实施网络行为矢量与业务网络安全白环境进行差分，根据概率和安全阈值区分出异常网络行为及其矢量参数，建立网络行为异常指数系统；所述智能云安全中心依据异常网络行为的关键要素生成防御指令，下发给所述安全网关执行防御动作，所述关键要素包括源IP、源端口、目的IP、目的端口、协议和应用内容关键字。优选的是，所述的基于智能行为分析的安全防护系统中，所述网络行为异常指数系统建立中，所述智能云安全中心还利用神经网络算法自动学习网络用户的流量数据，结合用户的业务网络安全白环境和有限的监督学习，生成安全基准坐标系，基于此，将被检测用户行为的异常和偏差进行量化，计算出用户网络行为风险值，并建立网络行为异常指数系统。优选的是，所述的基于智能行为分析的安全防护系统中，结合所述安全白环境的深度学习方法包括：所述智能云安全中心首先采集、归并和过滤用户网络流量行为模式参数和资产状态，然后将其解析进行行为描述，之后再进行业务分析，若所述行为为正常行为，则归入安全白环境，并记录为白规则，若所述行为异常，则归入异常行为；若所述行为为未知行为，则归入灰行为，并再次进行采集、归并和过滤步骤，并依次进行后续步骤。优选的是，所述的基于智能行为分析的安全防护系统中，所述智能云终端与所述安全网关通过API接口实现实时联动。本专利技术首次将神经网络学习和风险度量的思想方法运用到网络安全网关产品，而且其云+端联动的安全机制也是对单一产品安全技术孤岛的创新。本专利技术至少包括以下有益效果：本专利技术利用人工智能神经网络和深度学习算法为目标网络中的用户行为建立全息矢量模型，实现了自适应学习-安全基线-风险量化-智能防御-的智能安全防御闭环，能够有效检测和防御异常网络行为和复杂网络攻击。基于深度智能行为分析的技术克服了传统安全产品对攻击特征库的依赖性，将安全防御的时间节点大大提前，使得安全防御同步于甚至超前于攻击行为的实施。基于此技术的新一代安全网关已经小批量生产，该产品是将最新的人工智能算法应用到网络安全领域的创新型安全产品，在国内处于前沿地位，具有较大的创新性。通过在大中型网络的边界部署该网关，并与申请人智能安全云中心实时联动，能够有效检测和防御包括分布式拒绝服务攻击(DDoS攻击)、高级可持续性攻击(APT攻击)、零日漏洞攻击(Zero-Day攻击)等在内的复杂网络攻击，可以广泛应用于政府、军队、军工等涉密网络及金融、电信、企事业单位等商业网络，保障我国的网络安全。本专利技术已成功部署到十余个大中型网络，产生直接经济效益超过1300万，间接经济效益约3000万，未来预期经济效益超过1亿。本专利技术属于人工智能技术在网络安全领域的创新性应用，将会大大促进新一代智能网络安全技术的进步，为我国网络安全战略、互联网+行动战略和我区向高端产业战略转型做出贡献。本发适用于绝大部分网络流量的安全检测，在实际网络测试中可以达到80％以上的准确率。本专利技术的其它优点、目标和特征将部分通过下面的说明体现，部分还将通过对本专利技术的研究和实践而为本领域的技术人员所理解。附图说明本文档来自技高网...

【技术保护点】
1.一种基于智能行为分析的安全网关，其特征在于，包括：流量参数提取功能模块，其通过实时取样计算出用户的网络流量的行为模式参数；用户行为智能分析模块，其与所述流量参数提取功能模块通讯连接；应用智能识别和流量管控功能模块，其基于用户行为智能分析模块，对主流应用协议进行智能协议识别，且实现基于接口/区域、地址组/用户组、每IP/每用户三个级别的精细化应用流量控制。

【技术特征摘要】
1.一种基于智能行为分析的安全网关，其特征在于，包括：流量参数提取功能模块，其通过实时取样计算出用户的网络流量的行为模式参数；用户行为智能分析模块，其与所述流量参数提取功能模块通讯连接；应用智能识别和流量管控功能模块，其基于用户行为智能分析模块，对主流应用协议进行智能协议识别，且实现基于接口/区域、地址组/用户组、每IP/每用户三个级别的精细化应用流量控制。2.如权利要求1所述的基于智能行为分析的安全网关，其特征在于，还包括：防DDoS攻击功能模块，其用于构筑协议异常检测、源地址真实性验证、黑白名单、速率异常检测、访问控制、特征异常检测和流量管控七级防御体系；入侵检测与防御功能模块，所述安全网关内置有入侵攻击行为特征库，所述入侵检测与防御模块根据客户实际网络设置独立的IPS规则，且还自动生成防御策略，智能防御网络入侵；网络可视化管理功能模块，其提供图形化网络管理系统，通过选择自动生成多种视图和统计报表，所述视图和统计报表包括接口流量、流量趋势、会话监控、系统状态、事件统计、会话、Anti-DDoS视图和统计报表。3.如权利要求1所述的基于智能行为分析的安全网关，其特征在于，还包括内容过滤功能模块和身份认证功能模块。4.如权利要求1所述的基于智能行为分析的安全网关，其特征在于，所述行为模式参数包括连接方向、源IP、目的IP、源端口、目的端口、协议号、单IP连接数、连接速度、包速率、URL、控制命令及操作频率。5.一种基于智能行为分析的安全防护系统，其特征在于，包括：智能云安全中心，其部署在云端；如权利要求1所述的安全网关，其部署在客户端；其中，所述安全网关与所述智能云安全中心实时联动，所述安全网关将提取到的网络中用户网络流量行为模式参数传输到所述智能云安全中心，并实时执行所述智能云安全中心下发的防御指令，所述智能云安全中心对网络流量行为模式...

【专利技术属性】
技术研发人员：田新远，
申请(专利权)人：北京华清信安科技有限公司，
类型：发明
国别省市：北京,11