The invention relates to a network threat detection system and detection method, the detection system comprises a network data acquisition module, real-time traffic data acquisition network; feature extraction module is used for acquiring the characteristic information of network traffic data; traffic analysis module, according to the feature information matching in network traffic data characteristics, get suspicious network threats; network threat confirmation module, the depth detection of suspicious network threats by test statement, real network threats the existence of cyber threats, the threat model in depth analysis with the corresponding knowledge base store a variety of detection rules; threat generation module, big data analysis and data mining to the network threats and real network threats the relationship, a plurality of real network events or a threat The frequency of real network threat events poses a threat situation. Compared with the prior art, the invention has the advantages of high detection rate of network threats, low false positive rate, etc..
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其是涉及一种网络威胁检测系统及检测方法。
技术介绍
随着现代网络尤其是互联网的不断发展和应用,网络已成为人们生活和工作的一部分。与此同时,来自各个层面的网络威胁也与日俱增,层出不穷。如何发现和检测网络威胁保障网络安全摆在每个网络用户尤其是网络运维人员的面前。目前,针对发现和检测网络威胁,一种是:被动式监测,主要是IDS、IPS及防火墙。IDS、IPS及防火墙主要是对流量进行被动的检测,产生海量的信息,并且存在较多的误报,另外系统提供的安全威胁问题运维人员无法准确定位或还原,导致网络运维人员要花极大的精力来维护网络安全威胁。另一种是:主动扫描技术,主要是各种网络漏洞扫描器,通过扫描等手段对指定的远程或者本地计算机系统或网络的安全脆弱性进行检测,发现可利用的网络威胁。但是,主动扫描技术对当前的网络威胁状态无法及时感知,不能第一时间发现当前环境下的网络安全威胁。
技术实现思路
本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种网络威胁检出率高、误报率低的网络威胁检测系统及检测方法。本专利技术的一个目的可以通过以下技术方案来实现:一种网络威胁检测系统,包括:网络数据获取模块,用于实时采集在互联网或局域网上所有的网络流量数据;特征提取模块,用于获取所述网络流量数据的特征信息;流量分析模块,用于调用流量分析特征库,根据所述特征信息对所述网络流量数据进行特征匹配,获得可疑网络威胁事件,存储于可疑网络威胁事件库中;网络威胁确认模块,用于调用深度分析知识库中的检测规则构成测试语句,利用测试语句对所述可疑网络威胁事件进行深度检测,获得 ...
【技术保护点】
一种网络威胁检测系统,其特征在于,包括:网络数据获取模块,用于实时采集在互联网或局域网上所有的网络流量数据;特征提取模块,用于获取所述网络流量数据的特征信息;流量分析模块,用于调用流量分析特征库,根据所述特征信息对所述网络流量数据进行特征匹配,获得可疑网络威胁事件,存储于可疑网络威胁事件库中;网络威胁确认模块,用于调用深度分析知识库中的检测规则构成测试语句,利用测试语句对所述可疑网络威胁事件进行深度检测,获得确实存在网络威胁的真实网络威胁事件,存储于真实网络威胁事件库中,所述深度分析知识库存储多种带有相应检测规则的威胁模型;威胁态势生成模块,用于调用关联分析模型库对所述可疑网络威胁事件和真实网络威胁事件进行大数据分析及数据挖掘,得出多个真实网络威胁事件的关联关系或者某个真实网络威胁事件的发生频率,形成威胁态势。
【技术特征摘要】
1.一种网络威胁检测系统,其特征在于,包括:网络数据获取模块,用于实时采集在互联网或局域网上所有的网络流量数据;特征提取模块,用于获取所述网络流量数据的特征信息;流量分析模块,用于调用流量分析特征库,根据所述特征信息对所述网络流量数据进行特征匹配,获得可疑网络威胁事件,存储于可疑网络威胁事件库中;网络威胁确认模块,用于调用深度分析知识库中的检测规则构成测试语句,利用测试语句对所述可疑网络威胁事件进行深度检测,获得确实存在网络威胁的真实网络威胁事件,存储于真实网络威胁事件库中,所述深度分析知识库存储多种带有相应检测规则的威胁模型;威胁态势生成模块,用于调用关联分析模型库对所述可疑网络威胁事件和真实网络威胁事件进行大数据分析及数据挖掘,得出多个真实网络威胁事件的关联关系或者某个真实网络威胁事件的发生频率,形成威胁态势。2.根据权利要求1所述的网络威胁检测系统,其特征在于,所述网络流量数据包括网络设备、终端或服务器的网络数据,所述网络设备包括路由器、网关和分光器,所述网络数据获取模块采用镜像方式获取网络流量中的网络数据包。3.根据权利要求1所述的网络威胁检测系统,其特征在于,所述特征信息包括网络流量数据的五元组和数据载荷,所述五元组包括源IP地址、源端口、目标IP地址、目标端口和传输层协议。4.根据权利要求1所述的网络威胁检测系统,其特征在于,所述网络数据获取模块部署于IDC机房、云计算数据中心、网络运营商出口或局域网。5.根据权利要求1所述的网络威胁检测系统,其特征在于,该系统还包括:展示模块,用于将所述威胁...
【专利技术属性】
技术研发人员:汪为农,陈志俊,易达许,丁飞,汪开先,
申请(专利权)人:上海百太信息科技有限公司,上海瀛太信息科技有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。