The present invention discloses a security gateway based on intelligent behavior analysis, which includes: function module of extracting traffic parameters, calculating traffic behavior pattern parameters of user network through real-time sampling; intelligent analysis module of user behavior; intelligent identification and flow control module, intelligent protocol identification of mainstream application protocols based on intelligent analysis module of user behavior. The invention also discloses a security protection system, which includes: an Intelligent Cloud Security center; a security gateway; a real-time linkage between the two centers. The security gateway transmits the extracted network traffic behavior mode parameters to the Intelligent Cloud Security center, and executes the defense instructions issued by the Intelligent Cloud Security Center in real time. The Intelligent Cloud Security Center conducts in-depth learning and security analysis of the traffic behavior mode parameters. Based on the risk quantification results of abnormal behavior, defense instructions are produced and sent to the security gateway. The invention is suitable for the safety detection of most network traffic, and can achieve more than 80% accuracy in actual network testing.
【技术实现步骤摘要】
基于智能行为分析的安全网关及安全防护系统
本专利技术属于网络安全防护
,涉及一种基于智能行为分析的安全网关,还涉及基于智能行为分析的安全防护系统。
技术介绍
当前网络安全事件频发,网络安全形势日益严峻,国际上围绕信息资源和互联网发展主控权的争夺愈演愈烈,发达国家争相出台网络空间发展战略,我国也于2016年正式发布了网络安全法和国家网络安全战略,信息安全已经完全上升到了国家安全战略高度。目前国内外安全检测数据分析技术主要分为两类:误用检测和异常检测。误用检测搜索审计事件数据,查看是否存在预先定义的误用模式,其典型代表是特征模式匹配技术、协议分析技术和状态协议分析技术等。传统的攻击检测技术,诸如入侵检测和防御产品、漏洞扫描产品、传统防火墙等,都是基于已有攻击特征库工作的。该类产品的根本局限性在于所依赖的特征库只能收集已知攻击的特征,对于未知的,或者复杂度高、持续时间长的攻击无能为力,因为这种攻击与之前的恶意软件模式完全不同。于是,攻击检测产品越来越多地采用异常检测技术,该技术假设所有攻击活动都异常于正常用户的活动,对正常用户的活动特征进行分析并构建模型,统计所有不同于正常模型的用户活动状态的数量,当其违反统计规律时,认为该活动可能是攻击行为。这种技术的优点是可检测到未知的攻击和更为复杂的攻击。但是,在许多环境中,建立正常用户活动模式的特征轮廓以及对活动的异常性进行报警的阈值的确定都是比较困难的。
技术实现思路
要改变上述现状,一种行之有效的方法是从网络行为的深度学习和分析入手,实时、智能地检测异常网络行为,从而有效防御最新的网络攻击。本专利技术的一个目的是解 ...
【技术保护点】
1.一种基于智能行为分析的安全网关,其特征在于,包括:流量参数提取功能模块,其通过实时取样计算出用户的网络流量的行为模式参数;用户行为智能分析模块,其与所述流量参数提取功能模块通讯连接;应用智能识别和流量管控功能模块,其基于用户行为智能分析模块,对主流应用协议进行智能协议识别,且实现基于接口/区域、地址组/用户组、每IP/每用户三个级别的精细化应用流量控制。
【技术特征摘要】
1.一种基于智能行为分析的安全网关,其特征在于,包括:流量参数提取功能模块,其通过实时取样计算出用户的网络流量的行为模式参数;用户行为智能分析模块,其与所述流量参数提取功能模块通讯连接;应用智能识别和流量管控功能模块,其基于用户行为智能分析模块,对主流应用协议进行智能协议识别,且实现基于接口/区域、地址组/用户组、每IP/每用户三个级别的精细化应用流量控制。2.如权利要求1所述的基于智能行为分析的安全网关,其特征在于,还包括:防DDoS攻击功能模块,其用于构筑协议异常检测、源地址真实性验证、黑白名单、速率异常检测、访问控制、特征异常检测和流量管控七级防御体系;入侵检测与防御功能模块,所述安全网关内置有入侵攻击行为特征库,所述入侵检测与防御模块根据客户实际网络设置独立的IPS规则,且还自动生成防御策略,智能防御网络入侵;网络可视化管理功能模块,其提供图形化网络管理系统,通过选择自动生成多种视图和统计报表,所述视图和统计报表包括接口流量、流量趋势、会话监控、系统状态、事件统计、会话、Anti-DDoS视图和统计报表。3.如权利要求1所述的基于智能行为分析的安全网关,其特征在于,还包括内容过滤功能模块和身份认证功能模块。4.如权利要求1所述的基于智能行为分析的安全网关,其特征在于,所述行为模式参数包括连接方向、源IP、目的IP、源端口、目的端口、协议号、单IP连接数、连接速度、包速率、URL、控制命令及操作频率。5.一种基于智能行为分析的安全防护系统,其特征在于,包括:智能云安全中心,其部署在云端;如权利要求1所述的安全网关,其部署在客户端;其中,所述安全网关与所述智能云安全中心实时联动,所述安全网关将提取到的网络中用户网络流量行为模式参数传输到所述智能云安全中心,并实时执行所述智能云安全中心下发的防御指令,所述智能云安全中心对网络流量行为模式...
【专利技术属性】
技术研发人员:田新远,
申请(专利权)人:北京华清信安科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。