技術領域

本發明屬于網絡攻擊防御領域，特別是一種基于云和本地平臺的網絡攻擊防御裝置和方法。

背景技術

目前全球網絡威脅有增無減，網絡罪犯愈發趨于專業化，目的愈發商業化，行為愈發組織化，手段愈發多樣化，背后的黑色產業鏈獲利能力大幅提高，信息安全形勢愈發嚴峻。尤其是近年來隨著各行業信息化程度的進一步提高和兩化融合的深度推進，關系國計民生、社會穩定和國家安全的重要行業，如金融、能源、政府、電信、大中型企業等對安全產品的需求進一步快速增長。

然而隨著黑客技術的日益發展，APT(Advanced Persistent Threat)高級持續性威脅、零日(Zero Day)漏洞攻擊和DDoS(Distributed Deby of Service)攻擊越來越越盛行，傳統安全防御產品主要基于攻擊特征庫進行監測和防御，對于此類攻擊無能為力。

目前，國內基于行為分析技術的安全防御產品并不多，且大多而是僅僅通過有限數據和網絡連接情況，加上人工判斷來定義網絡行為的信譽指數，誤判率高，而且需要人工干預。

發明內容

本發明的目的在于提供一種基于云和本地平臺的網絡攻擊防御裝置和方法，以解決上文所述的技術問題。

本發明提供的一種基于云和本地平臺的網絡攻擊防御裝置，包括：

云中心，其用于收集威脅情報，對網絡流量進行實時分析，并根據網絡流量安全模型判斷潛在的網絡攻擊并生成相關防御指令；

本地防御平臺，其與所述云中心通過網絡連接，用于實施網絡流量檢測，根據防御指令對檢測出的存在威脅的流量進行訪問控制。

優選地，所述本地防御平臺包括：UI子系統、管理子系統、監控子系統、報告子系統、ACL子系統、內容過濾子系統、網絡子系統、tunnel子系統、虛擬子系統、HA子系統。

優選地，UI子系統是所述本地防御平臺的人機交互界面，用于向安全管理員提供置初始安全基線的配置界面以及進行各種安全功能的人工配置和策略干預的界面；該子系統包括Web界面、命令行界面、網絡集中管理界面。

優選地，ACL子系統是所述本地防御平臺的核心子系統，用于對檢測出的流量進行訪問控制，并根據管理員配置的安全基線，以及云中心下發的防御指令對網絡流量進行實時過濾；ACL子系統包括DDoS、流量控制、入侵防御、身份認證、智能協議識別和訪問控制列表；

內容過濾子系統用于對流量數據進行細粒度過濾，該子系統基于本地安全基線和云中心的安全指令自動過濾非法流量；內容過濾子系統包括Web內容過濾、FTP內容過濾、病毒文件過濾、垃圾郵件過濾和惡意代碼過濾。

優選地，Tunnel子系統是針對加密流量處理的一個子系統，充當網絡加密協商代理，實現網絡流量的加解密；該Tunnel子系統包括IPsec、PPTP、SSL VPN模塊。

本發明還提供了一種基于云和本地平臺的網絡攻擊防御方法，包括以下步驟：

在云中心收集威脅情報，對網絡流量進行實時分析，并根據網絡流量安全模型判斷潛在的網絡攻擊并生成相關防御指令；

在本地平臺實施網絡流量檢測，根據防御指令對檢測出的存在威脅的流量進行訪問控制。

優選地，對于網絡流量實時分析包括對歷史網絡流量的學習，生成網絡流量安全基線，并根據時間和流量數據進行不斷的學習和動態調整，形成自適應的網絡流量安全模型；

通過將未知流量行為參數與所述安全模型進行對比和關聯分析鑒定未知威脅和異常。

優選地，所述流量檢測包括：檢查IP包的格式是否正確，和/或檢查IP包的協議是否異常，實現協議異常檢測；

監測統計指標是否突然出現異常；所述統計指標包括網絡流量的帶寬、會話建立速度。

優選地，所述流量檢測還包括：

檢查數據包的IP地址，并且監測數據包的連接狀態變化，建立狀態連接表，并將進出網絡的數據當成一個個的會話，利用狀態表跟蹤每一個會話的狀態；

基于特征的異常檢測，包括實時針對異常流量與數據包內容進行檢驗與示警，并根據所做設置加以阻絕、丟棄或日志記錄。

優選地，所述方法，還包括：根據管理員配置的安全基線，以及云中心下發的防御指令對網絡流量進行實時過濾；

所述實時過濾包括對流量數據進行細粒度過濾，包括Web內容過濾、FTP內容過濾、病毒文件過濾、垃圾郵件過濾和惡意代碼過濾。