技術領域

本發明涉及網絡安全技術領域，具體涉及一種應對網絡威脅與攻擊的一體化實時檢測系統及方法。

背景技術

隨著網絡技術的發展，各種網絡信息安全問題越來越受到重視。現實網絡環境中，面臨多個方面的網絡威脅與攻擊，網絡威脅與攻擊行為通常分為：IDS（Intrusion?Detection?System，入侵檢測系統）入侵，異常流量，敏感信息、惡意代碼等幾種類型。因而，針對不同類型的網絡威脅與攻擊，相應地出現了解決不同類型網絡安全問題的多種檢測或防御設備，但是，目前這些應對網絡威脅的設備都是各自從不同的側重點解決不同的問題。

隨著網絡安全問題的日益突出，人們更希望出現一種通過單一的設備就能實現所有網絡威脅檢測的方式。但從技術積累上來講，很少有一家網絡安全廠商可以涵蓋所有的網絡安全領域的每一個分支；同時，從設備實現角度上講，即使存在一家全面的網絡安全設備廠商，要想通過單一的設備進行全方位的威脅檢測，但受制于目前的設備性能水平，也是不可能辦到的。

即使有網絡安全廠商在設備部署時，可以將多種設備部署到網絡中，但按照現有檢測技術檢測得到的結果也是離散的，實質上檢測結果之間內在的聯系沒有發掘出來。這就導致現有網絡安全領域存在設備分散、檢測結果彼此離散獨立，無法關聯起來綜合應對網絡威脅及攻擊的問題。

發明內容

本發明所要解決的技術問題在于，提供一種應對網絡威脅與攻擊的一體化實時檢測系統及方法，解決現有網絡安全設備所存在的功能單一、分散布置且檢測結果關聯度不高的問題。

為了解決上述問題，本發明提出了一種應對網絡威脅與攻擊的一體化實時檢測系統，該系統包括：

分流設備，用于接收來自網絡交換機的鏡像流量，并將所述鏡像流量部分或全部轉發至檢測子系統；

檢測子系統，用于對分流設備轉發的流量進行接入檢測，將檢測出的安全事件發送至控制中心；

控制中心，用于接收檢測子系統上報的安全事件，根據事件結果進行綜合處理后，進行統一的關聯和展示，還用于向檢測子系統下發管理配置。

其中，所述分流設備是用于將鏡像流量全部直接轉發給檢測子系統的以太網交換機，或者是對鏡像流量進行基于五元組過濾的專用分流設備。

所述檢測子系統，包括：IDS入侵檢測子系統、異常流量檢測子系統、惡意代碼檢測子系統、敏感信息檢測子系統，各個功能的檢測子系統并行地從所述分流設備接收流量并檢測。

所述IDS入侵檢測子系統，用于接收來自分流設備的流量，根據控制中心下發的安全策略進行入侵檢測，將檢測到的安全事件上報給控制中心；

所述異常流量檢測子系統，用于接收來自分流設備的流量，進行異常流量檢測，將檢測到的安全事件上報給控制中心；

所述惡意代碼檢測子系統，用于接收來自分流設備的流量，進行惡意代碼檢測，將檢測到的安全事件上報給控制中心；

所述敏感信息檢測子系統，用于接收來自分流設備的流量，進行敏感信息檢測，將檢測到的安全事件上報給控制中心。

所述控制中心包括：配置管理模塊，用于管理檢測子系統的配置；智能關聯模塊，對檢測子系統上報的安全事件進行智能關聯，生成綜合處理結果；統計報表模塊，用于對上報的安全事件及智能關聯得到的綜合處理結果進行統計記錄；實時顯示模塊，用于實施顯示智能關聯得到的綜合處理結果以及檢測子系統上報的安全事件。所述智能關聯模塊對檢測子系統上報的安全事件進行智能關聯，包括：根據多個安全事件發生的順序，還原威脅及攻擊發生序列。

本發明還提供一種應對網絡威脅與攻擊的一體化實時檢測的方法，具體包括：

利用分流設備將來自網絡交換機的鏡像流量部分或全部轉發至檢測子系統；

通過檢測子系統對分流設備轉發的流量進行接入檢測，將檢測出的事件發送至控制中心；

通過控制中心接收檢測子系統上報的安全事件，根據事件結果進行綜合處理后，進行統一的關聯和展示。

所述分流設備對鏡像流量進行分流轉發是進行篩選后部分轉發，或者是直接全部轉發。

所述檢測子系統并行地利用IDS入侵檢測子系統根據控制中心下發的安全策略進行入侵檢測、利用異常流量檢測子系統進行異常流量檢測、利用惡意代碼檢測子系統進行惡意代碼檢測、利用敏感信息檢測子系統進行敏感信息檢測，各個功能檢測子系統將檢測到的安全事件上報至控制中心。