CN107248975A - 基于大数据分析的apt监测防御系统 - Google Patents
基于大数据分析的apt监测防御系统 Download PDFInfo
- Publication number
- CN107248975A CN107248975A CN201710303835.8A CN201710303835A CN107248975A CN 107248975 A CN107248975 A CN 107248975A CN 201710303835 A CN201710303835 A CN 201710303835A CN 107248975 A CN107248975 A CN 107248975A
- Authority
- CN
- China
- Prior art keywords
- layer
- information
- data
- defense
- apt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/042—Network management architectures or arrangements comprising distributed management centres cooperatively managing the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于大数据分析的APT监测防御系统,它包括数据采集层、信息预处理层、综合分析与数据存储层和表现层;所述的数据采集层与信息预处理层相连,信息预处理层与综合分析与数据存储层相连,综合分析与数据存储层与表现层相连;所述的数据采集层对终端的本地数据进行采集以及对网络数据进行采集。本发明可用于财政、工商、税务、党政等信息网络安全防御之用,保证正常业务应用系统的合法通讯,抵御网络APT攻击,为我国信息安全基础设施和重要网络信息系统保驾护航。本发明具有信息流检测与报警、操作过程监察与审计、数据还原与恢复支持等多项功能。
Description
技术领域
本发明涉及网络监测防御领域,尤其是一种基于大数据分析的APT监测防御系统。
背景技术
随着国民经济和社会各领域信息化深入发展的同时,相应的安全保障问题也更为凸显。目前,网络攻击已被作为世界面临的主要安全威胁之一。网络窃密、个人隐私被滥用、敌对势力利用网络进行意识形态渗透等问题日益突出,信息系统受到破坏后,对国家安全、社会秩序和公众利益造成的损害也越严重。
近几年来,APT(Advanced Persistent Threat)攻击已经成为业界关注和讨论的热点。APT攻击一般是指针对政府机关、研究机构或特定企业的连续不间断入侵渗透,利用软硬件缺陷和社会工程学原理进行的持续攻击。它以其独特的攻击方式和手段,使得传统的安全防御工具已无法进行有效的防御。APT攻击与普通木马病毒的攻击完全不同,它不是一个整体,而是将众多入侵渗透技术进行整合而实现的隐秘性的攻击手法,其体现出两个方面的特点,持续时间长和“高级”。APT是通过使用一系列复杂的攻击手法,在相当一段时间内逐步完成突破、渗透、窃听、偷取数据等几步的一个过程。
APT攻击已经成为近年来为祸甚烈、行之有效、难以依靠传统安全防御手段进行防御反制的网络攻击手段。一旦成为APT攻击的目标,则意味着受攻击者本身具备较高的价值和战略意义。尤其对于处于高速发展期的我国而言,一旦敌对势力或组织花费高昂代价进行有的放矢的APT攻击针对我国重要信息系统并且获得成功,那么造成的危害将难以估量。
发明内容
本发明的目的在于克服现有技术的不足,提供一种基于大数据分析的APT监测防御系统,可用于财政、工商、税务、党政等信息网络安全防御,保证正常业务应用系统的合法通讯,抵御网络APT攻击。
本发明的目的是通过以下技术方案来实现的:一种基于大数据分析的APT监测防御系统,包括:数据采集层、信息预处理层、综合分析与数据存储层和表现层;所述的数据采集层与信息预处理层相连,信息预处理层与综合分析与数据存储层相连,综合分析与数据存储层与表现层相连。
一种基于大数据分析的APT监测防御系统,还包括安全信息传输层、布控规则与信源管理层和报警管理信息数据库。
优选的,所述的安全信息传输层由安全机制和传输模块组成。
优选的,所述的安全信息传输层是基于主动防御的取证系统与互联网的广域网络连接。
优选的,所述的布控规则与信源管理层由信息接收模块、布控规则模块与信源管理模块组成。
优选的,所述的布控规则与信源管理层,接收各类原始报警信息,对各类采集设备统一发布、下达布控规则;集中监控管理各前端信源设备的运行状态。
优选的,所述的信息预处理层包括数据的甄别、筛选、过滤模块和自动分类模块。
优选的,所述的综合分析与安全服务层对数据进行深度分析和知识发现,同时向使用人员提供各种信息内容安全服务。
优选的,表现层提供调用接口或查询界面,使网络管理人员易于对整个系统的操作
本发明的有益效果是:本发明可用于财政、工商、税务、党政等信息网络安全防御之用,保证正常业务应用系统的合法通讯,抵御网络APT攻击,为我国信息安全基础设施和重要网络信息系统保驾护航。本发明具有信息流检测与报警、操作过程监察与审计、数据还原与恢复支持等多项功能。本项目采用的上述关键技术,对提高国内取证产品技术的整体提升,有着明显的推动作用。
附图说明
图1为本发明系统框架图;
图2为本发明系统组成图;
图3为本发明平台示意图;
图4为本发明采集器处理逻辑流程示意图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
如图1所示和图2所示,一种基于大数据分析的APT监测防御系统,包括数据采集层、安全信息传输层、布控规则与信源管理层、信息预处理层、综合分析与数据存储层、表现层和报警数据库。
数据采集层:数据采集层实现对网络信息基于主动防御的取证系统需要的各种数据的采集。数据采集层由各类技术探测器和主机代理软件实现。数据采集层采集的数据经过信息安全传输传递到第三层的信息接收模块,然后经过第四层的数据预处理,传递到综合分析层和AMMIB中。
安全信息传输层:是基于主动防御的取证系统内部通信基础设施和安全传输通道,它是基于主动防御的取证系统与外界信息交流的基础,实现基于主动防御的取证系统与互联网的广域网络连接。
安全信息传输层由各种安全机制和传输模块组成。安全机制是实现系统安全的各种功能的工具,如入侵检测、防火墙、身份认证等,这些工具主要是确保网络信息基于主动防御的取证系统的数据安全,防止被盗窃、篡改和泄密。
传输模块实现基于主动防御的取证系统各模块的可靠、方便地通信,主要是数据采集层与系统其它部分的通信。
布控规则与信源管理层:针对各个不同的采集设备统一接收各类原始报警信息,统一入库;二是针对各类采集设备统一或有选择的发布、下达布控规则;三是集中监控管理各前端信源设备的运行状态等。
该层由信息接收模块、布控规则模块与信源管理模块组成。
信息接收模块接收采集设备的各种报警或预警信息,根据这些信息的来源、种类和信息的属性,对信息进行粗分类,生成“格式化的信息”,送到信息预处理层。
布控规则模块根据综合分析模块提出的任务要求和规则,将这些规则发送到各类采集设备中去。在发送时,需要根据不同采集设备定制不同的数据格式。例如,对于自治类探测系统需要将规则转换为自治探测系统的数据库格式,并存放到这些自治探测系统的数据库中;对于垃圾邮件类探针,需要将规则分别转换为邮件标题、邮件正文、邮件附件的规则等。
信源管理模块对采集设备进行管理,包括设备状态检测、任务规划、负载均衡等。信源管理模块可以管理不同区域的探测器,比如探测器的合法性和安全接入等,同时使系统拓扑结构具有分布式的优点,布置灵活,管理方便。信源管理模块还可以具有负载均衡的功能,例如,在检测到数据中心的计算压力很大时,可以将一部分功能转移到采集设备的节点管理器上,从而减轻数据中心的压力,提高了系统的总体效率;在检测到某台探测器的运行压力过大时,可以通知节点管理器,将该台探测器的部分分析还原过滤工作转移到其它探测器上,从而实现了负载均衡。
信息预处理层:对采集的各类信息根据预先设定的规则自动进行预处理,包括数据的甄别、筛选、过滤模块和自动分类模块。
信息甄别、筛选与过滤模块对原始数据的分类标志、编号、源地址、目标地址等进行检查,如果不符合要求,则予以丢弃。例如,如果原始数据的分类标志不是预定的分类,则判断该数据是非法数据,丢弃;如果原始数据的编号有重复,则判断该数据是非法数据,也予以丢弃;如果原始数据的源地址、目标地址错误或不在规定的范围内,则判断该数据也是非法数据,丢弃。
信息经过预处理后,形成有效报警数据,该数据一方面发送到综合分析层进行进一步分析,同时存入AMMID永久保存。
综合分析与数据存储层:综合分析与安全服务对数据进行深度分析和知识发现,同时向使用人员提供各种信息内容安全服务。
深度分析和知识发现实现对报警信息的深度分析工作,以发现当前网络的安全状态。基于主动防御的取证系统通过该层提供各种数据挖掘和知识发现算法,实现在各种海量、异构的数据环境中发现有价值的情报。
表现层:信息内容安全服务提供调用接口或查询界面,使网络管理人员易于对整个系统的操作。例如,查询日志,设置布控规则,信息查询及深度分析调用接口和操作界面等。
如图3所示,一种基于大数据分析的APT监测防御系统,由前端数据采集、大数据挖掘分析平台、结果呈现三部分组成。
整个系统采用Intranet技术连接,前端数据采集平台收集各收集区域的数据。收集区域可以是基础信息网络和重要信息系统的网管中心,例如,电子政务系统以及医疗、银行、电力、物业等服务行业的信息系统的网络中心,也可以是这些系统的下属节点网络。
收集区域可以有多个,收集区域使用主机探针和网络探针。主机探针完成本区域内的主机日志采集任务;网络探针完成本区域内的邮件、社交平台、传输层数据数、数据库操作数据、远程控制数据、其他网络用户行为数据收集。
收集器负责本探测区域的设备维护,并实现与前端数据采集平台的通信;前端数据采集平台将收集的各收集区域保存在证据保全数据库中。
证据收集区域的设备可以组成一个内部网。数据挖掘分析平台对前端数据采集平台中的数据进行关联分析,并根据数据的内容,对证据数据分类,生成网络攻击和破坏事件数据记录。
结果表示平台主要是各类查询/管理终端。结果表示平台根据使用主体的需要,生成各类报表和分析报告。结果表示平台用友好的界面查询数据仓库内容,并实现会话重放,对各平台管理维护,如备份、删除等。
系统运行时,三部分设备保持动态、高速的连接。一方面,证据区域的设备通过收集器从平台的规则库获取规则,并将采集数据动态保存到平台中,并实现报警;另一方面,用户认证机制接收用户分析平台各设备的查询/管理请求,提供数据分析或修改规则服务。
系统部署可以采用分布式方式,可以根据网络和系统规模建立总取证中心和分取证中心。每个中心都可以包括前端数据采集平台、大数据挖掘分析平台、结果表示平台三部分。每个组成部分都可以分担整个系统的计算和传输任务。
如图4所示,数据采集器基于32G专用包处理交换芯片,可同时并行进行包分类、包过滤、负载均衡、流量统计、流量控制、流量复制镜像、Layer3/Layer4/MPLS线速转发功能。本数据采集器依靠核心处理芯片的强大能力,所有包处理流程都由硬件处理,可在任何情况下保证32G线速稳定处理能力。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (9)
1.一种基于大数据分析的APT监测防御系统其特征在于:它包括数据采集层、信息预处理层、综合分析与数据存储层和表现层;所述的数据采集层与信息预处理层相连,信息预处理层与综合分析与数据存储层相连,综合分析与数据存储层与表现层相连;所述的数据采集层对终端的本地数据进行采集以及对网络数据进行采集。
2.根据权利要求1所述的一种基于大数据分析的APT监测防御系统,其特征在于:还包括安全信息传输层、布控规则与信源管理层和报警管理信息数据库。
3.根据权利要求2所述的一种基于大数据分析的APT监测防御系统,其特征在于:所述的安全信息传输层由安全机制和传输模块组成。
4.根据权利要求2-3任意一项所述的一种基于大数据分析的APT监测防御系统,其特征在于:所述的安全信息传输层是基于主动防御的取证系统与互联网的广域网络连接。
5.根据权利要求2所述的一种基于大数据分析的APT监测防御系统,其特征在于:所述的布控规则与信源管理层由信息接收模块、布控规则模块与信源管理模块组成。
6.根据权利要求5所述的一种基于大数据分析的APT监测防御系统,其特征在于:所述的布控规则与信源管理层,接收各类原始报警信息,对各类采集设备统一发布、下达布控规则;集中监控管理各前端信源设备的运行状态。
7.根据权利要求1所述的一种基于大数据分析的APT监测防御系统,其特征在于:所述的信息预处理层包括数据的甄别、筛选、过滤模块和自动分类模块。
8.根据权利要求1所述的,一种基于大数据分析的APT监测防御系统其特征在于:所述的综合分析与安全服务层对数据进行深度分析和知识发现,同时向使用人员提供各种信息内容安全服务。
9.根据权利要求1所述的,一种基于大数据分析的APT监测防御系统其特征在于:表现层提供调用接口或查询界面,使网络管理人员易于对整个系统的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710303835.8A CN107248975A (zh) | 2017-05-03 | 2017-05-03 | 基于大数据分析的apt监测防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710303835.8A CN107248975A (zh) | 2017-05-03 | 2017-05-03 | 基于大数据分析的apt监测防御系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107248975A true CN107248975A (zh) | 2017-10-13 |
Family
ID=60016879
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710303835.8A Pending CN107248975A (zh) | 2017-05-03 | 2017-05-03 | 基于大数据分析的apt监测防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107248975A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107104980A (zh) * | 2017-05-25 | 2017-08-29 | 北京中电普华信息技术有限公司 | 一种面向内容的网络安全监控系统 |
CN108040075A (zh) * | 2018-01-31 | 2018-05-15 | 海南上德科技有限公司 | 一种apt攻击检测系统 |
CN109951419A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 |
CN112347484A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 软件漏洞检测方法、装置、设备及计算机可读存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103986706A (zh) * | 2014-05-14 | 2014-08-13 | 浪潮电子信息产业股份有限公司 | 一种应对apt攻击的安全架构设计方法 |
CN104283889A (zh) * | 2014-10-20 | 2015-01-14 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
CN106453401A (zh) * | 2016-10-21 | 2017-02-22 | 国家计算机网络与信息安全管理中心山东分中心 | 一种基于多源海量异构数据的网络监测分析及管理平台 |
CN206077070U (zh) * | 2016-08-31 | 2017-04-05 | 国网四川省电力公司信息通信公司 | 基于智能电网的大数据流安全分析检测与apt攻击检测系统 |
-
2017
- 2017-05-03 CN CN201710303835.8A patent/CN107248975A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103986706A (zh) * | 2014-05-14 | 2014-08-13 | 浪潮电子信息产业股份有限公司 | 一种应对apt攻击的安全架构设计方法 |
CN104283889A (zh) * | 2014-10-20 | 2015-01-14 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
CN206077070U (zh) * | 2016-08-31 | 2017-04-05 | 国网四川省电力公司信息通信公司 | 基于智能电网的大数据流安全分析检测与apt攻击检测系统 |
CN106453401A (zh) * | 2016-10-21 | 2017-02-22 | 国家计算机网络与信息安全管理中心山东分中心 | 一种基于多源海量异构数据的网络监测分析及管理平台 |
Non-Patent Citations (1)
Title |
---|
管磊: ""基于大数据的网络安全态势感知技术研究"", 《第31次全国计算机安全学术交流会论文集》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107104980A (zh) * | 2017-05-25 | 2017-08-29 | 北京中电普华信息技术有限公司 | 一种面向内容的网络安全监控系统 |
CN109951419A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 |
CN108040075A (zh) * | 2018-01-31 | 2018-05-15 | 海南上德科技有限公司 | 一种apt攻击检测系统 |
CN108040075B (zh) * | 2018-01-31 | 2020-09-01 | 海南上德科技有限公司 | 一种apt攻击检测系统 |
CN112347484A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 软件漏洞检测方法、装置、设备及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ullah et al. | A hybrid model for anomaly-based intrusion detection in SCADA networks | |
CN104283889B (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
CN103563302B (zh) | 网络资产信息管理 | |
RU2417417C2 (ru) | Идентификация в реальном времени модели ресурса и категоризация ресурса для содействия в защите компьютерной сети | |
Bernardes | Implementation of an intrusion detection system based on mobile agents | |
CN108769048A (zh) | 一种安全可视化与态势感知平台系统 | |
CN107248975A (zh) | 基于大数据分析的apt监测防御系统 | |
Abubakar et al. | A review of the advances in cyber security benchmark datasets for evaluating data-driven based intrusion detection systems | |
CN109902297A (zh) | 一种威胁情报生成方法及装置 | |
TW200530805A (en) | Database user behavior monitor system and method | |
CN108462714A (zh) | 一种基于系统弹性的apt防御系统及其防御方法 | |
CN102906756A (zh) | 与安全事件和参与者分类模型相关联的安全威胁检测 | |
CN104378364B (zh) | 一种信息安全管理中心的协同分析方法 | |
CN107659584A (zh) | 一种食品加工厂网络安全管理系统 | |
CN107248976A (zh) | 基于大数据分析的apt监测防御平台 | |
Hwoij et al. | SIEM architecture for the Internet of Things and smart city | |
CN113162897A (zh) | 一种工业控制网络安全过滤系统及方法 | |
Kong et al. | Research on situation analysis technology of network security incidents | |
CN207612279U (zh) | 一种食品加工厂网络安全管理系统 | |
Huailin et al. | Research on adaptive distributed intrusion detection system model based on Multi-Agent | |
Dong et al. | An improved intrusion detection system based on Agent | |
CN107104980A (zh) | 一种面向内容的网络安全监控系统 | |
KR20100103126A (ko) | 클러스터링 기법을 이용한 통합보안관리시스템 | |
Li et al. | Overview of intrusion detection systems | |
Vyavhare et al. | Co-operative wireless intrusion detection system using MIBs from SNMP |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171013 |