本發明公開了一種網絡威脅識別系統，屬于網絡安全技術領域，包括數據采集子系統，通過布置各個采集節點，采集網絡中的異常數據，其采集的數據包括實時流量異常數據和主機日志異常數據；威脅檢測子系統，接收所述數據采集子系統發送的異常數據進行威脅檢測，所述威脅檢測子系統包括：實時流量威脅檢測，用于對實時流量中的異常數據進行檢測，并將檢測結果發送給計算機；主機威脅檢測，用于對主機日志中的異常數據進行檢測，并將檢測結果發送給計算機。通過對網絡實時流量和主機日志異常數據進行威脅識別，不僅可有效地防止互聯網終端設備在聯網時被流量攜帶的病毒威脅，還可以防止主機日志中的病毒攻擊到該終端設備，防護更全面。

技術領域

本發明屬于網絡安全技術領域，特別涉及一種網絡威脅識別系統。

背景技術

計算機網絡的飛速發展大大改變了人們的生活方式，人類進入了信息時代。通過計算機網絡人們可以方便地存儲、交換及搜索信息，給工作、生活、娛樂帶來了極大的方便。然而因為計算機信息有共享和易于擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，由此使得網絡安全問題日漸突出而且情況也越來越復雜。

傳統的網絡安全防護一般只能在主機設備下載或者通過U盤保存文件時，檢測到該文件是否存在病毒威脅，但是這種類型的病毒威脅已經入侵到主機系統中，很容易因為殺毒軟件的殺毒不徹底，導致病毒依舊跟隨主機系統，從而影響主機使用的安全性。

發明內容

本發明的目的就在于為了解決上述網絡安全防護單一，很容易導致病毒殘留的問題提出一種網絡威脅識別系統，具有在網絡數據交換過程中進行病毒威脅識別，與主機日志病毒識別相結合，防護更全面，效果更佳的優點。

本發明通過以下技術方案來實現上述目的，一種網絡威脅識別系統，包括：

數據采集子系統，通過布置各個采集節點，采集網絡中的異常數據，其采集的數據包括實時流量異常數據和主機日志異常數據；

威脅檢測子系統，接收所述數據采集子系統發送的異常數據進行威脅檢測，所述威脅檢測子系統包括：

實時流量威脅檢測，用于對實時流量中的異常數據進行檢測，并將檢測結果發送給計算機；

主機威脅檢測，用于對主機日志中的異常數據進行檢測，并將檢測結果發送給計算機。

優選的，所述實時流量威脅檢測包括事件生成器、事件隊列生成器、事件響應器和威脅狀態記錄器，其中事件響應器連接流量威脅模式庫，通過對比流量威脅模式庫與流量異常數據，標記出相似的威脅數據并轉發給威脅狀態記錄器進行記錄，威脅狀態記錄器再將記錄的威脅數據發送給計算機。

優選的，所述實時流量威脅檢測還包括事件數據庫、事件隊列數據庫和威脅狀態表數據庫，事件數據庫用于保存事件生成器生成的事件數據，事件隊列數據庫保存事件隊列生成器和事件響應器生成的事件隊列數據，威脅狀態表數據庫將威脅狀態記錄器記錄的威脅數據以報表形式存儲。

優選的，所述流量威脅模式庫連接威脅模式加載器，用于加載不同中類的威脅模式。

優選的，所述主機威脅檢測包括主機威脅模式庫和入侵檢測器，入侵檢測器將采集到的系統日志數據和審計記錄數據與主機威脅模式庫中保存的威脅模式進行對比，從而檢測出數據中包含的威脅數據，并將檢測結果發送給計算機。

優選的，所述主機威脅檢測還包括應急措施，用于連接被檢測主機系統，應急措施通過入侵檢測器發出的威脅報警信號對主機系統進行清理操作。

優選的，所述數據采集子系統包括數據采集卡，數據采集卡與代理程序和傳感器連接，實時流量和主機日志數據，且采集方式分為集中式采集和分布式采集。