CN107248976A - 基于大数据分析的apt监测防御平台 - Google Patents
基于大数据分析的apt监测防御平台 Download PDFInfo
- Publication number
- CN107248976A CN107248976A CN201710303843.2A CN201710303843A CN107248976A CN 107248976 A CN107248976 A CN 107248976A CN 201710303843 A CN201710303843 A CN 201710303843A CN 107248976 A CN107248976 A CN 107248976A
- Authority
- CN
- China
- Prior art keywords
- platform
- big data
- data
- platforms
- analyzed based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/042—Network management architectures or arrangements comprising distributed management centres cooperatively managing the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Peptides Or Proteins (AREA)
Abstract
本发明公开了一种基于大数据分析的APT监测防御平台,本发明涉及网络监测防御领域。一种基于大数据分析的APT监测防御平台,其特征在于:它包括前端数据采集平台、大数据挖掘分析平台和结果呈现平台;所述的前端数据采集平台与大数据挖掘分析平台通过无线或者有线网络连接,大数据挖掘分析平台与结果呈现平台通过无线或者有线网络连接。本发明能够实现对APT攻击的有效防御,并且监测基础信息网络与重要信息网络实现对APT攻击的实时监测与防护。将各个收集区域内的设备组成为一个内部网,实现了对监测数据的共享及关联。部分设备之间数据传输采用加密方式进行。通过用户认证,权限管理,确保证据保全数据的完整性、机密性和可用性。
Description
技术领域
本发明涉及网络监测防御领域,尤其是一种基于大数据分析的APT监测防御平台。
背景技术
随着国民经济和社会各领域信息化深入发展的同时,相应的安全保障问题也更为凸显。目前,网络攻击已被作为世界面临的主要安全威胁之一。网络窃密、个人隐私被滥用、敌对势力利用网络进行意识形态渗透等问题日益突出,信息系统受到破坏后,对国家安全、社会秩序和公众利益造成的损害也越严重。
近几年来,APT(Advanced Persistent Threat)攻击已经成为业界关注和讨论的热点。APT攻击一般是指针对政府机关、研究机构或特定企业的连续不间断入侵渗透,利用软硬件缺陷和社会工程学原理进行的持续攻击。它以其独特的攻击方式和手段,使得传统的安全防御工具已无法进行有效的防御。APT攻击与普通木马病毒的攻击完全不同,它不是一个整体,而是将众多入侵渗透技术进行整合而实现的隐秘性的攻击手法,其体现出两个方面的特点,持续时间长和”高级”。APT是通过使用一系列复杂的攻击手法,在相当一段时间内逐步完成突破、渗透、窃听、偷取数据等几步的一个过程。
APT攻击已经成为近年来为祸甚烈、行之有效、难以依靠传统安全防御手段进行防御反制的网络攻击手段。一旦成为APT攻击的目标,则意味着受攻击者本身具备较高的价值和战略意义。尤其对于处于高速发展期的我国而言,一旦敌对势力或组织花费高昂代价进行有的放矢的APT攻击针对我国重要信息系统并且获得成功,那么造成的危害将难以估量。
发明内容
本发明的目的在于克服现有技术的不足,提供基于大数据分析的APT监测防御平台,实现对APT攻击的有效防御,并且监测基础信息网络与重要信息网络实现对APT攻击的实时监测与防护。
本发明的目的是通过以下技术方案来实现的:基于大数据分析的APT监测防御平台,其特征在于:它包括前端数据采集平台、大数据挖掘分析平台和结果呈现平台;所述的前端数据采集平台与大数据挖掘分析平台通过无线或者有线网络连接,大数据挖掘分析平台与结果呈现平台通过无线或者有线网络连接。
进一步限定,内网流量分析单元、数据库协议分析单元、远程控制协议分析单元、邮件协议分析单元、社交平台应用分析单元和证据保全数据库。
进一步限定,所述的前端数据采集平台收集各收集区域的数据,收集区域可以是基础信息网络和重要信息系统的网管中心。
进一步限定,在收集各个区域的数据时采用主机探针和网络探针。
进一步限定,所述的大数据挖掘分析平台包括:关联分析单元、跟踪服务器、邮件特征库、社交平台数据库、行为特征库和内网数据流量特征库。
进一步限定,所述的大数据挖掘分析平台对前端数据采集平台中的数据进行关联分析,并根据数据的内容,对证据数据分类,生成网络攻击和破坏事件数据记录。
进一步限定,所述的结果呈现平台包括邮件分析单元、社交平台分析单元、内网传输层数据分析单元和态势分析单元。
进一步限定,所述的结果表示平台根据使用主体的需要,生成各类报表和分析报告。
进一步限定,所述的结果表示平台用友好的界面查询数据仓库内容,并实现会话重放,对各平台管理维护。
本发明的有益效果是:本发明能够实现对APT攻击的有效防御,并且监测基础信息网络与重要信息网络实现对APT攻击的实时监测与防护。将各个收集区域内的设备组成为一个内部网,实现了对监测数据的共享及关联。部分设备之间数据传输采用加密方式进行。通过用户认证,权限管理,确保证据保全数据的完整性、机密性和可用性。
附图说明
图1为本发明系统框架图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
如图1所示,基于大数据分析的APT监测防御平台,它包括前端数据采集平台、大数据挖掘分析平台和结果呈现平台;所述的前端数据采集平台与大数据挖掘分析平台通过无线或者有线网络连接,大数据挖掘分析平台与结果呈现平台通过无线或者有线网络连接。
所述的前端数据采集平台包括:内网流量分析单元、数据库协议分析单元、远程控制协议分析单元、邮件协议分析单元、社交平台应用分析单元和证据保全数据库。内网流量分析单元、数据库协议分析单元、远程控制协议分析单元、邮件协议分析单元、社交平台应用分析单元和证据保全数据库的数据输入端通过无线或者有线网络分别与收集器的数据输出端相连,收集器的数据输入端通过无线或者有线网络分别与各个收集区域的主机与网络设备的数据输出端相连。
前端数据采集平台收集各收集区域的数据。收集区域可以是基础信息网络和重要信息系统的网管中心,例如,电子政务系统以及医疗、银行、电力、物业等服务行业的信息系统的网络中心,也可以是这些系统的下属节点网络。收集区域可以有多个。收集区域使用主机探针和网络探针。主机探针完成本区域内的主机日志采集任务;网络探针完成本区域内的邮件、社交平台、传输层数据数、数据库操作数据、远程控制数据、其他网络用户行为数据收集。收集器负责本探测区域的设备维护,并实现与前端数据采集平台的通信;前端数据采集平台将收集的各收集区域保存在证据保全数据库中。证据收集区域的设备可以组成一个内部网。
所述的大数据挖掘分析平台包括:关联分析单元、跟踪服务器、邮件特征库、社交平台数据库、行为特征库和内网数据流量特征库。大数据挖掘分析平台对前端数据采集平台中的数据进行关联分析,并根据数据的内容,对证据数据分类,生成网络攻击和破坏事件数据记录。
所述的结果呈现平台包括邮件分析单元、社交平台分析单元、内网传输层数据分析单元和态势分析单元。结果表示平台主要是各类查询/管理终端。结果表示平台根据使用主体的需要,生成各类报表和分析报告。结果表示平台用友好的界面查询数据仓库内容,并实现会话重放,对各平台管理维护,如备份、删除等。
系统运行时,三部分设备保持动态、高速的连接。一方面,证据区域的设备通过收集器从平台的规则库获取规则,并将采集数据动态保存到平台中,并实现报警;另一方面,用户认证机制接收用户分析平台各设备的查询/管理请求,提供数据分析或修改规则服务。系统部署可以采用分布式方式,可以根据网络和系统规模建立总取证中心和分取证中心。每个中心都可以包括前端数据采集平台、大数据挖掘分析平台、结果表示平台三部分。每个组成部分都可以分担整个系统的计算和传输任务。三部分设备之间数据传输采用加密方式进行。通过用户认证,权限管理,确保证据保全数据的完整性、机密性和可用性。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (9)
1.一种基于大数据分析的APT监测防御平台,其特征在于:它包括前端数据采集平台、大数据挖掘分析平台和结果呈现平台;所述的前端数据采集平台与大数据挖掘分析平台通过无线或者有线网络连接,大数据挖掘分析平台与结果呈现平台通过无线或者有线网络连接。
2.根据权利要求1所述的一种基于大数据分析的APT监测防御平台,其特征在于,所述的前端数据采集平台包括:内网流量分析单元、数据库协议分析单元、远程控制协议分析单元、邮件协议分析单元、社交平台应用分析单元和证据保全数据库。
3.根据权利要求2所述的一种基于大数据分析的APT监测防御平台,其特征在于:所述的前端数据采集平台收集各收集区域的数据,收集区域可以是基础信息网络和重要信息系统的网管中心。
4.根据权利要求3所述的一种基于大数据分析的APT监测防御平台,其特征在于:在收集各个区域的数据时采用主机探针和网络探针。
5.根据权利要求1所述的一种基于大数据分析的APT监测防御平台,其特征在于:所述的大数据挖掘分析平台包括:关联分析单元、跟踪服务器、邮件特征库、社交平台数据库、行为特征库和内网数据流量特征库。
6.根据权利要求5所述的一种基于大数据分析的APT监测防御平台,其特征在于:所述的大数据挖掘分析平台对前端数据采集平台中的数据进行关联分析,并根据数据的内容,对证据数据分类,生成网络攻击和破坏事件数据记录。
7.根据权利要求1所述的一种基于大数据分析的APT监测防御平台,其特征在于:所述的结果呈现平台包括邮件分析单元、社交平台分析单元、内网传输层数据分析单元和态势分析单元。
8.根据权利要求7所述的一种基于大数据分析的APT监测防御平台,其特征在于:所述的结果表示平台根据使用主体的需要,生成各类报表和分析报告。
9.根据权利要求1所述的一种基于大数据分析的APT监测防御平台,其特征在于:所述的结果表示平台用友好的界面查询数据仓库内容,并实现会话重放,对各平台管理维护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710303843.2A CN107248976A (zh) | 2017-05-03 | 2017-05-03 | 基于大数据分析的apt监测防御平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710303843.2A CN107248976A (zh) | 2017-05-03 | 2017-05-03 | 基于大数据分析的apt监测防御平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107248976A true CN107248976A (zh) | 2017-10-13 |
Family
ID=60016486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710303843.2A Pending CN107248976A (zh) | 2017-05-03 | 2017-05-03 | 基于大数据分析的apt监测防御平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107248976A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109951419A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 |
| CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
| CN108040074B (zh) * | 2018-01-26 | 2020-07-31 | 华南理工大学 | 一种基于大数据的实时网络异常行为检测系统及方法 |
| US11601442B2 (en) | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103986706A (zh) * | 2014-05-14 | 2014-08-13 | 浪潮电子信息产业股份有限公司 | 一种应对apt攻击的安全架构设计方法 |
| CN104283889A (zh) * | 2014-10-20 | 2015-01-14 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN106453401A (zh) * | 2016-10-21 | 2017-02-22 | 国家计算机网络与信息安全管理中心山东分中心 | 一种基于多源海量异构数据的网络监测分析及管理平台 |
| CN206077070U (zh) * | 2016-08-31 | 2017-04-05 | 国网四川省电力公司信息通信公司 | 基于智能电网的大数据流安全分析检测与apt攻击检测系统 |
-
2017
- 2017-05-03 CN CN201710303843.2A patent/CN107248976A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103986706A (zh) * | 2014-05-14 | 2014-08-13 | 浪潮电子信息产业股份有限公司 | 一种应对apt攻击的安全架构设计方法 |
| CN104283889A (zh) * | 2014-10-20 | 2015-01-14 | 国网重庆市电力公司电力科学研究院 | 基于网络架构的电力系统内部apt攻击检测及预警系统 |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN206077070U (zh) * | 2016-08-31 | 2017-04-05 | 国网四川省电力公司信息通信公司 | 基于智能电网的大数据流安全分析检测与apt攻击检测系统 |
| CN106453401A (zh) * | 2016-10-21 | 2017-02-22 | 国家计算机网络与信息安全管理中心山东分中心 | 一种基于多源海量异构数据的网络监测分析及管理平台 |
Non-Patent Citations (1)
| Title |
|---|
| 管磊: ""基于大数据的网络安全态势感知技术研究"", 《第31次全国计算机安全学术交流会论文集》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109951419A (zh) * | 2017-12-20 | 2019-06-28 | 广东电网有限责任公司电力调度控制中心 | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 |
| CN108040074B (zh) * | 2018-01-26 | 2020-07-31 | 华南理工大学 | 一种基于大数据的实时网络异常行为检测系统及方法 |
| US11601442B2 (en) | 2018-08-17 | 2023-03-07 | The Research Foundation For The State University Of New York | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy |
| CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107454109B (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| Ashoor et al. | Importance of intrusion detection system (IDS) | |
| Ou et al. | The design and implementation of host-based intrusion detection system | |
| CN103563302B (zh) | 网络资产信息管理 | |
| CN107248976A (zh) | 基于大数据分析的apt监测防御平台 | |
| CN101262351B (zh) | 一种网络追踪系统 | |
| CN107046543A (zh) | 一种面向攻击溯源的威胁情报分析系统 | |
| ChengYan | Cybercrime forensic system in cloud computing | |
| CN108183888A (zh) | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 | |
| CN108255996A (zh) | 基于Apriori算法的安全日志分析方法 | |
| CN108134761A (zh) | 一种apt检测方法、系统及装置 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
| Zhan et al. | Research on block chain network intrusion detection system | |
| Titorenko et al. | Analysis of modern intrusion detection system | |
| CN107659584A (zh) | 一种食品加工厂网络安全管理系统 | |
| CN107248975A (zh) | 基于大数据分析的apt监测防御系统 | |
| Vizváry et al. | Flow-based detection of RDP brute-force attacks | |
| Yang et al. | Design of distributed honeypot system based on intrusion tracking | |
| Bou-Harb et al. | Csc-detector: A system to infer large-scale probing campaigns | |
| CN114417329A (zh) | 基于联邦学习的威胁情报生产与分析方法 | |
| Guan et al. | Notice of Retraction: An New Intrusion Prevention Attack System Model Based on Immune Principle | |
| CN102355375B (zh) | 具有隐私保护功能的分布式异常流量检测方法与系统 | |
| Ghiette et al. | How media reports trigger copycats: An analysis of the brewing of the largest packet storm to date | |
| Kim et al. | Detection of advanced persistent threat by analyzing the big data log |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171013 |