The invention discloses a linkage defense system based on in-depth learning and agent, which includes high-speed traffic acquisition module, protocol analysis module, file restoration and encryption storage module, sensitive information detection module, sensitive alarm module, linkage defense strategy decision-making module, linkage defense strategy decision-making sending module, linkage defense strategy execution module and linkage defense strategy verification module. The implementation process of the present invention is as follows: detecting abnormal behavior within the scope of monitoring, generating an alarm for abnormal behavior; forming a linkage defense strategy based on the alarm information and sending it to the agent of the designated host; executing the action defined by the strategy after the agent of the host receives the linkage defense strategy and completing the linkage defense. The invention uses the strategy linkage mechanism to organically link the detection results with the host defense, greatly reduces the response time of the linkage defense, increases the effectiveness of the linkage defense, and has obvious and important social and practical significance.
【技术实现步骤摘要】
基于深度学习和agent的联动防御系统
本专利技术涉及一种基于深度学习和agent的联动防御系统,属于安全监测和联动防御
技术介绍
2017年6月1日,国家正式施行《国家网络安全法》,其中强调敏感信息监测的重要性,数据泄露违规行为必定会给行业的社会形象及经济效益带来严重的负面影响。数据泄露行为细分包括泄露存储于数据库中的结构数据,企业发展战略、合同、项目发展规划等企业运营过程中涉及商业秘密的办公文件。较为常用的数据泄露违规行为的检测基于敏感关键字匹配,该方法的漏报率和误报率都较高,例如一篇普通文件里面含有“不能说的秘密、规划、下一步、计划”等敏感关键字时,就会被基于敏感关键字匹配程序误判为敏感文件,后期需要耗费大量人力去复核。另一方面,现有的行为阻断方式大多为单体防御响应,即监控系统检测到数据泄露违规行为后产生告警,处置人员在看到告警信息后使用手工手段进行告警处置,当待处置告警量大时,首先操作人员难以有效确认告警信息;其次,操作人员不能快速处置及时有效阻断数据泄露违规行为。综上所述,传统的数据泄露违规行为检测方法较为机械化,容易产生大量的漏报和误报,且防御响应方式较为单一、滞后,不利于事件的全面检测和及时处理。
技术实现思路
为解决上述问题,本专利技术提供一种基于深度学习和agent的联动防御系统,通过镜像流量过滤解析获得传输文件协议中传输的文件,还原并检测是否包含敏感信息,生成告警信息,并生成联动防御策略下发,进而实现数据泄露违规行为检测漏报率、误报率的改善和联动响应时间的减少。为达到上述目的,本专利技术采用的技术方案如下:基于深度学习和agent...
【技术保护点】
1.基于深度学习和agent的联动防御系统,其特征在于,包括高速流量获取模块、协议解析模块、文件还原及加密存储模块、敏感信息检测模块、敏感告警模块、联动防御策略决策模块、联动防御策略决策下发模块、联动防御策略执行模块和联动防御策略验证模块;所述高速流量获取模块,在数据平面基于高速流量技术抓取高速网络流数据包;所述协议解析模块,采用多核多线程,实现网络流分流、流还原和协议解析,过滤出传输文件协议,还原协议中的文件,并将经过协议解析的文件作为文件还原及加密存储模块的输入;所述文件还原及加密存储模块,针对还原的协议中的文件进行加密存储处理,同时将流量信息特征与还原文件关联,得到关联信息传递给敏感信息检测模块;所述敏感信息检测模块,采用卷积神经网络算法,实现文件的敏感信息检测,将检测的敏感文件所带的关联信息发送给敏感告警模块;所述敏感告警模块,根据文件敏感级别,对数据泄露违规行为进行分级告警,将数据泄露违规行为的主体IP和泄露内容,形成告警数据,下发到联动防御策略决策模块;所述联动防御策略决策模块,依据接收到的告警数据,定位产生数据泄露违规行为的主机IP地址,根据IP地址通知接入控制平台监测/...
【技术特征摘要】
1.基于深度学习和agent的联动防御系统,其特征在于,包括高速流量获取模块、协议解析模块、文件还原及加密存储模块、敏感信息检测模块、敏感告警模块、联动防御策略决策模块、联动防御策略决策下发模块、联动防御策略执行模块和联动防御策略验证模块;所述高速流量获取模块,在数据平面基于高速流量技术抓取高速网络流数据包;所述协议解析模块,采用多核多线程,实现网络流分流、流还原和协议解析,过滤出传输文件协议,还原协议中的文件,并将经过协议解析的文件作为文件还原及加密存储模块的输入;所述文件还原及加密存储模块,针对还原的协议中的文件进行加密存储处理,同时将流量信息特征与还原文件关联,得到关联信息传递给敏感信息检测模块;所述敏感信息检测模块,采用卷积神经网络算法,实现文件的敏感信息检测,将检测的敏感文件所带的关联信息发送给敏感告警模块;所述敏感告警模块,根据文件敏感级别,对数据泄露违规行为进行分级告警,将数据泄露违规行为的主体IP和泄露内容,形成告警数据,下发到联动防御策略决策模块;所述联动防御策略决策模块,依据接收到的告警数据,定位产生数据泄露违规行为的主机IP地址,根据IP地址通知接入控制平台监测/阻断/限制该IP地址的网络要求,生成联动防御策略;所述联动防御策略决策下发模块,根据联动防御策略,确定接收联动防御策略的主机IP,将联动防御策略下发到该主机的agent;所述联动防御策略执行模块,实现联动防御策略的接收和执行,主机agent接收到联动防御策略决策下发模块下发的联动防御策略后,识别联动防御策略并执行联动防御策略定义的动作,完成实际泄露违规行为的监测/阻断/限制;所述联动防御策略验证模块,...
【专利技术属性】
技术研发人员:于晓文,陈春霖,赵俊峰,林学峰,金倩倩,姜帆,郭靓,李斌斌,廖鹏,刘剑,夏元轶,
申请(专利权)人:南瑞集团有限公司,南京南瑞信息通信科技有限公司,国网江苏省电力有限公司信息通信分公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。