基于云端的智能安全防御系統及防御方法

基于云端的智能安全防御系統及防御方法
【專利摘要】本發明提供了一種基于云端的智能安全防御系統及防御方法，通過系統核心功能調度模塊根據所述云端智能處理組件進行交互調度所述智能處理平臺，構成一個對異常信息進行檢測、監控、查殺、阻斷、防御、審計和恢復功能模塊的網絡安全防御體系，有效地提高了整個網絡的動態智能檢測、辨識和阻斷防御的性能，增強了整體智能防御的效能。
【專利說明】基于云端的智能安全防御系統及防御方法
【技術領域】
[0001]本發明涉及計算機網絡信息安全【技術領域】，特別涉及一種基于云端的智能安全防御系統及防御方法。
【背景技術】
[0002]云安全(Cloud Security)是云計算的發展和網絡安全應用模式，是一種全網防御的安全體系結構，以智能化客戶端、集群式服務端和開放式平臺三個層次，有效地保護網絡系統的安全高效運行。基于云安全的現有的入侵防御系統(Intrusion PreventionSystem, IPS)集成并融合了云火墻和入侵檢測系統(Intrusion Detection System, IDS)技術，可以為整個局域網提供深層次高效的動態性主動安全防御，屬于基于網絡的入侵防御系統(Network Intrusion Protection System, NIPS)。
[0003]現有的網絡安全防御技術，基本上都是采用傳統的防火墻技術、網絡入侵檢測系統(Intrusion Detection System, IDS)和網絡安全防御技術,面臨著以下網絡安全問題:
1、病毒和黑客攻擊。云端為各種網絡用戶提供連續服務，病毒和黑客攻擊及鏈路結點時常出現一些安全問題，將會嚴重影響到信息資源安全和社會穩定等。2、隱私泄密及非授權訪問。電子商務及網銀、電子政務、郵箱或帳號信息等，容易被內部不法人員或非授權者竊取及泄漏，對網絡正常運營帶來嚴重后果。3、跨平臺的安全問題。黑客可利用系統漏洞、手機木馬遠程竊取資料、操縱用戶電腦或手機等。特別是移動跨平臺的安全防御，已成為最薄弱環節。上述網絡安全所存在的問題，嚴重地影響了網絡系統的安全和社會穩定，嚴重地阻礙了計算機網絡的廣泛應用和正常運行，對網絡資源和廣大用戶信息安全具有很大的安全風險和隱患。
[0004]綜上，可知傳統網絡安全防御技術的不足和局限性:一是動態防御能力弱。基本靠傳統防火墻和對設備靜態配置防御，難以應對越來越多且技術手段高深的動態攻擊。二是不能進行主動防御。傳統防火墻和IDS只能被動地應對各種攻擊，而不能主動阻斷。三是難以識別新型病毒或網絡攻擊。依靠基于特征庫的檢測技術，使網絡防御始終落后于網絡攻擊。四是檢測及防御能力弱，漏報誤報率高。特別是對大型網絡各種數據傳輸過程中，出現的各種繁雜病毒或網絡攻擊。五是不能聯動及整體協同防御，智能性及交互性差。

【發明內容】

[0005]本發明的目的在于提供一種基于云端的智能安全防御系統及防御方法，以改進現有傳統的網絡安全防御技術的不足和欠缺。
[0006]為解決上述技術問題，本發明提供一種基于云端的智能安全防御系統及防御方法，所述基于云端的智能安全防御系統包括:云端智能處理組件、智能處理平臺、及系統核心功能調度模塊；其中，
[0007]所述云端智能處理組件用于辨識和分析一客戶端系統發送到網絡中的異常信息；[0008]所述智能處理平臺用于對所述云端智能處理組件中的異常信息進行全方位維護；
[0009]所述系統核心功能調度模塊用于根據所述云端智能處理組件進行交互調度所述智能處理平臺。
[0010]可選的，在所述的基于云端的智能安全防御系統中，所述云端智能處理組件包括:數據采集下載模塊、主機數據采集模塊、及辨識分析分類模塊；其中，
[0011]所述數據采集下載模塊用于下載實時更新的特征數據庫和對客戶端系統發送到網絡中異常事件信息進行采集、分類、過濾和分析；
[0012]所述主機數據采集模塊用于采集客戶端系統的惡意文件、病毒特征庫和攻擊事件的樣本數據；
[0013]所述辨識分析分類模塊用于初步辨識分析分類處理所述數據采集下載模塊和主機數據采集模塊中的異常信息。
[0014]可選的，在所述的基于云端的智能安全防御系統中，所述特征數據庫包括:診斷特征庫、病毒特征庫、漏洞特征庫、及攻擊特征庫。
[0015]可選的，在所述的基于云端的智能安全防御系統中，所述智能處理平臺包括設置在應用層的系統診斷評估模塊、系統攻擊檢測模塊、惡意軟件查殺模塊、漏洞檢測修復模塊、痕跡檢測清除模塊、分析阻斷防御模塊、高級診斷修復模塊、評價審計報告模塊、進程注冊表驅動監控模塊、及系統服務描述符表檢測恢復模塊；其中，
[0016]所述系統診斷評估模塊和系統攻擊檢測模塊，用于對所述客戶端系統的安全狀況進行綜合診斷評估和檢測；
[0017]所述惡意軟件查殺模塊用于對所述客戶端系統進行快速掃描、特征辨識、清除駐留的病毒；
[0018]所述漏洞檢測修復模塊用于對所述客戶端系統的漏洞和隱患進行掃描、檢測、報警和下載補丁及修復；
[0019]所述痕跡檢測清除模塊用于對所述客戶端系統在網絡中出現的病毒及攻擊的異常事件痕跡的檢測和清除；
[0020]所述分析阻斷防御模塊用于對所述客戶端系統的異常事件進行辨識、分析和阻斷防御；
[0021]所述高級診斷修復模塊用于對所述客戶端系統的異常事件進行更深層次的分析、診斷和修復評價審計報告模塊用于對異常事件和處理過程形成安全評價審計報告；
[0022]所述評價審計報告模塊用于對所述客戶端系統的異常事件具體數據進行評價及記載形成審計報告。
[0023]所述進程注冊表驅動監控模塊用于在其余模塊調用異常事件進程之前進行監控、辨識和阻斷運行；
[0024]所述系統服務描述符表檢測恢復模塊用于掃描檢測所述客戶端系統服務、派發系統服務描述符表以所述客戶端系統的原文件恢復系統服務描述符表。
[0025]可選的，在所述的基于云端的智能安全防御系統中，所述智能處理平臺還包括設置在內核層的專家系統、特征知識庫、及監控規則庫；其中，
[0026]所述專家系統根據所述特征知識庫和監控規則庫自動獲取知識、特征辨識、分析和監控。
[0027]本發明還提供一種基于云端的智能安全防御方法，使用上述所述的基于云端的智能安全防御系統；其中，所述系統核心功能調度模塊根據所述云端智能處理組件進行交互調度所述智能處理平臺；所述云端智能處理組件辨識和分析一客戶端系統發送到網絡中的異常信息；所述智能處理平臺對所述云端智能處理組件中的異常信息進行全方位維護。
[0028]可選的，在基于云端的智能安全防御方法中，所述云端智能處理組件包括:數據采集下載模塊、主機數據采集模塊、及辨識分析分類模塊；其中，
[0029]所述數據采集下載模塊下載實時更新的特征數據庫和對客戶端系統發送到網絡中異常事件信息進行采集、分類、過濾和分析；
[0030]所述主機數據采集模塊采集客戶端系統的惡意文件、病毒特征庫和攻擊事件的樣本數據；
[0031]所述辨識分析分類模塊初步辨識分析分類處理所述數據采集下載模塊和主機數據采集模塊中的異常信息。
[0032]可選的，在基于云端的智能安全防御方法中，在下載實時更新的特征數據庫和對網絡中異常事件信息進行采集、分類、過濾和分析的步驟中，所述特征數據庫包括:診斷特征庫、病毒特征庫、漏洞特征庫和攻擊特征庫。
[0033]可選的，在基于云端的智能安全防御方法中，所述智能處理平臺包括設置在應用層的系統診斷評估模塊、系統攻擊檢測模塊、惡意軟件查殺模塊、漏洞檢測修復模塊、痕跡檢測清除模塊、分析阻斷防御模塊、高級診斷修復模塊、評價審計報告模塊、進程注冊表驅動監控模塊、及系統服務描述符表檢測恢復模塊；
[0034]所述系統診斷評估模塊和系統攻擊檢測模塊，用于對所述客戶端系統的安全狀況進行綜合診斷評估和檢測；
[0035]所述惡意軟件查殺模塊用于對所述客戶端系統進行快速掃描、特征辨識、清除駐留的病毒；
[0036]所述漏洞檢測修復模塊用于對所述客戶端系統的漏洞和隱患進行掃描、檢測、報警和下載補丁及修復；
[0037]所述痕跡檢測清除模塊用于對所述客戶端系統在網絡中出現的病毒及攻擊的異常事件痕跡的檢測和清除；
[0038]所述分析阻斷防御模塊用于對所述客戶端系統的異常事件進行辨識、分析和阻斷防御；
[0039]所述高級診斷修復模塊用于對所述客戶端系統的異常事件進行更深層次的分析、診斷和修復評價審計報告模塊用于對異常事件和處理過程形成安全評價審計報告；
[0040]所述評價審計報告模塊用于對所述客戶端系統的異常事件具體數據進行評價及記載形成審計報告；
[0041]所述進程注冊表驅動監控模塊用于在其余模塊調用異常事件進程之前進行監控、辨識和阻斷運行；
[0042]所述系統服務描述符表檢測恢復模塊用于掃描檢測所述客戶端系統服務、派發系統服務描述符表以所述客戶端系統的原文件恢復系統服務描述符表。
[0043]可選的，在基于云端的智能安全防御方法中，所述智能處理平臺還包括設置在內核層的專家系統、特征知識庫、及監控規則庫；其中，
[0044]所述專家系統根據所述特征知識庫和監控規則庫自動獲取知識、特征辨識、分析和監控。
[0045]可選的，在基于云端的智能安全防御方法中，將所述智能處理平臺的應用層與內核層聯動交互和協同。
[0046]可選的，在基于云端的智能安全防御方法中，所述聯動包括利用本地服務器群響應、緩存支持和企業內部云服務器同步。
[0047]本發明所提供的一種基于云端的智能安全防御系統和防御方法，具有以下有益效果:通過系統核心功能調度模塊根據所述云端智能處理組件進行交互調度所述智能處理平臺，構成一個對異常信息進行檢測、監控、查殺、阻斷、防御、審計和恢復功能模塊的網絡安全防御體系，有效地提高了整個網絡的動態智能檢測、辨識和阻斷防御的性能，增強了整體智能防御的效能。
【專利附圖】

【附圖說明】
[0048]圖1是本發明實施例的基于云端的智能安全防御系統和防御方法的結構示意圖；
[0049]圖2是本發明實施例的基于云端的智能安全防御系統和防御方法部署在客戶端系統的結構示意圖。
[0050]圖1至圖2中，
[0051]10-云端智能處理組件；11-數據采集下載模塊；12-主機數據采集模塊；13_辨識分析分類模塊；20_智能處理平臺；201_系統診斷評估模塊；202_系統攻擊檢測模塊；203-惡意軟件查殺模塊；204_漏洞檢測修復模塊；205_痕跡檢測清除模塊；206_分析阻斷防御模塊；207_高級診斷修復模塊；208_評價審計報告模塊；209_進程注冊表驅動監控模塊；210-系統服務描述符表檢測恢復模塊；211-專家系統；212-特征知識庫；213-及監控規則庫；30_系統核心功能調度模塊；40_特征數據庫；41_診斷特征庫；42_病毒特征庫；43-漏洞特征庫；44_攻擊特征庫。
【具體實施方式】
[0052]以下結合附圖和具體實施例對本發明提出的封裝載板及其制造方法作進一步詳細說明。根據下面說明和權利要求書，本發明的優點和特征將更清楚。需說明的是，附圖均采用非常簡化的形式且均使用非精準的比例，僅用以方便、明晰地輔助說明本發明實施例的目的。
[0053]網絡安全已經成為21世紀世界十大熱門課題之一，已經引起社會廣泛關注。隨著信息化建設和IT技術的快速發展，計算機網絡技術的應用更加廣泛深入，網絡安全問題不斷出現，致使網絡安全技術的重要性更加突出，網絡安全已經成為各國關注的焦點，不僅關系到用戶的信息和資產風險，也關系到國家安全和社會穩定，已成為熱門研究和人才需求的新領域。網絡安全是個系統工程，已經成為網絡建設的重要任務。不僅關系到國計民生，還與國家安全密切相關。網絡安全防御技術是“預防為主”確保網絡安全的關鍵技術，非常急需研發新云安全技術。
[0054]請參考圖1及圖2，圖1為本發明實施例的基于云端的智能安全防御系統和防御方法的結構示意圖；圖2是本發明實施例的基于云端的智能安全防御系統和防御方法部署在客戶端系統的結構示意圖。如圖1所示，所述的基于云端的智能安全防御系統包括:云端智能處理組件10、智能處理平臺20、及系統核心功能調度模塊30 ;其中，所述云端智能處理組件10用于辨識和分析一客戶端系統發送到網絡中的異常信息；所述智能處理平臺20用于對所述云端智能處理組件10中的異常信息進行全方位維護；所述系統核心功能調度模塊30用于根據所述云端智能處理組件10進行交互調度所述智能處理平臺20。
[0055]優選的，所述云端智能處理組件10包括:數據采集下載模塊11、主機數據采集模塊12、及辨識分析分類模塊13 ;其中，
[0056]所述數據采集下載模塊11下載實時更新的特征數據庫和對客戶端系統發送到網絡中異常事件信息進行采集、分類、過濾和分析；
[0057]所述主機數據采集模塊12采集客戶端系統的惡意文件、病毒特征庫和攻擊事件的樣本數據；
[0058]所述辨識分析分類模塊13初步辨識分析分類處理所述數據采集下載模塊11和主機數據采集模塊12中的異常信息。
[0059]優選的，所述特征數據庫40包括:診斷特征庫41、病毒特征庫42、漏洞特征庫43、及攻擊特征庫44。
[0060]優選的，所述智能處理平臺20包括設置在應用層的系統診斷評估模塊201、系統攻擊檢測模塊202、惡意軟件查殺模塊203、漏洞檢測修復模塊204、痕跡檢測清除模塊205、分析阻斷防御模塊206、高級診斷修復模塊207、評價審計報告模塊208、進程注冊表驅動監控模塊209、及系統服務描述符表檢測恢復模塊210 (即SSDT表檢測恢復模塊)；其中，
[0061]所述系統診斷評估模塊201和系統攻擊檢測模塊202，用于對所述客戶端系統的安全狀況進行綜合診斷評估和檢測；
[0062]所述惡意軟件查殺模塊203用于對所述客戶端系統進行快速掃描、特征辨識、清除駐留的病毒；
[0063]所述漏洞檢測修復模塊204用于對所述客戶端系統的漏洞和隱患進行掃描、檢測、報警和下載補丁及修復；
[0064]所述痕跡檢測清除模塊205用于對所述客戶端系統在網絡中出現的病毒及攻擊的異常事件痕跡的檢測和清除；
[0065]所述分析阻斷防御模塊206用于對所述客戶端系統的異常事件進行辨識、分析和阻斷防御；
[0066]所述高級診斷修復模塊207用于對所述客戶端系統的異常事件進行更深層次的分析、診斷和修復評價審計報告模塊208用于對異常事件和處理過程形成安全評價審計報
生P=I ;
[0067]所述評價審計報告模塊208用于對所述客戶端系統的異常事件具體數據進行評價及記載形成審計報告；
[0068]所述進程注冊表驅動監控模塊209用于在其余模塊調用異常事件進程之前進行監控、辨識和阻斷運行；
[0069]所述系統服務描述符表檢測恢復模塊210用于掃描檢測所述客戶端系統服務、派發系統服務描述符表以所述客戶端系統的原文件恢復系統服務描述符表。[0070]優選的，所述智能處理平臺20還包括設置在內核層的專家系統211、特征知識庫212、及監控規則庫213 ;其中，
[0071]所述專家系統211根據所述特征知識庫212和監控規則庫213自動獲取知識、特征辨識、分析和監控。
[0072]本發明還提供一種基于云端的智能安全防御方法,所述基于云端的智能安全防御方法包括:使用如上所述的基于云端的智能安全防御系統；其中，所述系統核心功能調度模塊30根據所述云端智能處理組件10進行交互調度所述智能處理平臺20 ;所述云端智能處理組件10辨識和分析一客戶端系統發送到網絡中的異常信息；所述智能處理平臺20對所述云端智能處理組件10中的異常信息進行全方位維護。
[0073]優選的，所述云端智能處理組件10包括:數據采集下載模塊11、主機數據采集模塊12、及辨識分析分類模塊13 ;其中，
[0074]所述數據采集下載模塊11下載實時更新的特征數據庫和對客戶端系統發送到網絡中異常事件信息進行采集、分類、過濾和分析；
[0075]所述主機數據采集模塊12采集客戶端系統的惡意文件、病毒特征庫和攻擊事件的樣本數據；
[0076]所述辨識分析分類模塊13初步辨識分析分類處理所述數據采集下載模塊11和主機數據采集模塊12中的異常信息。
[0077]優選的，在下載實時更新的特征數據庫40和對網絡中異常事件信息進行采集、分類、過濾和分析的步驟中，所述特征數據庫40包括:診斷特征庫41、病毒特征庫42、漏洞特征庫43和攻擊特征庫44。
[0078]優選的，所述智能處理平臺20包括設置在應用層的系統診斷評估模塊201、系統攻擊檢測模塊202、惡意軟件查殺模塊203、漏洞檢測修復模塊204、痕跡檢測清除模塊205、分析阻斷防御模塊206、高級診斷修復模塊207、評價審計報告模塊208、進程注冊表驅動監控模塊209、及系統服務描述符表檢測恢復模塊210 (即SSDT表檢測恢復模塊)；
[0079]所述系統診斷評估模塊201和系統攻擊檢測模塊202，用于對所述客戶端系統的安全狀況進行綜合診斷評估和檢測；
[0080]所述惡意軟件查殺模塊203用于對所述客戶端系統進行快速掃描、特征辨識、清除駐留的病毒；
[0081]所述漏洞檢測修復模塊204用于對所述客戶端系統的漏洞和隱患進行掃描、檢測、報警和下載補丁及修復；
[0082]所述痕跡檢測清除模塊205用于對所述客戶端系統在網絡中出現的病毒及攻擊的異常事件痕跡的檢測和清除；
[0083]所述分析阻斷防御模塊206用于對所述客戶端系統的異常事件進行辨識、分析和阻斷防御；
[0084]所述高級診斷修復模塊207用于對所述客戶端系統的異常事件進行更深層次的分析、診斷和修復評價審計報告模塊208用于對異常事件和處理過程形成安全評價審計報
生P=I ;
[0085]所述評價審計報告模塊208用于對所述客戶端系統的異常事件具體數據進行評價及記載形成審計報告。[0086]所述進程注冊表驅動監控模塊209用于在其余模塊調用異常事件進程之前進行監控、辨識和阻斷運行；
[0087]所述系統服務描述符表檢測恢復模塊210用于掃描檢測所述客戶端系統服務、派發系統服務描述符表以所述客戶端系統的原文件恢復系統服務描述符表。
[0088]優選的，所述智能處理平臺20還包括設置在內核層的專家系統211、特征知識庫212、及監控規則庫213 ;其中，
[0089]所述專家系統211根據所述特征知識庫212和監控規則213庫自動獲取知識、特征辨識、分析和監控。
[0090]優選的，將所述智能處理平臺20的應用層與內核層聯動交互和協同。進一步的，本發明實現的關鍵在于功能集成，將所述智能處理平臺20的應用層與內核層聯動交互和協同，實現自動獲取知識、學習與推理、云計算與符號匹配的集成，解決知識獲取、特征辨識、分析、監控和阻斷。
[0091]進一步的，除了與相應的特征庫及所述云端智能處理組件I交互外，還需要網絡連接、應用程序、啟動項、進程、服務和輸出報告。
[0092]優選的，所述聯動包括利用本地服務器群響應、緩存支持和企業內部云服務器同
止/J/ O
[0093]本發明改進了現有傳統的網絡安全防御技術，具有動態及主動防御能力差，漏報誤報率高，難以識別新病毒及網絡攻擊，不能聯動及協同防御、智能性及交互性弱等不足和局限性，以及難以有效防御復雜病毒和網絡攻擊的缺陷。
[0094]綜上，在本發明所提供的基于云端的智能安全防御系統和防御方法中，通過系統核心功能調度模塊根據所述云端智能處理組件進行交互調度所述智能處理平臺，構成一個對異常信息進行檢測、監控、查殺、阻斷、防御、審計和恢復功能模塊的網絡安全防御體系，有效地提高了整個網絡的動態智能檢測、辨識和阻斷防御的性能，增強了整體智能防御的效能。
[0095]上述描述僅是對本發明較佳實施例的描述，并非對本發明范圍的任何限定，本發明領域的普通技術人員根據上述揭示內容做的任何變更、修飾，均屬于權利要求書的保護范圍。
【權利要求】
1.一種基于云端的智能安全防御系統，其特征在于，包括:云端智能處理組件、智能處理平臺、及系統核心功能調度模塊；其中， 所述云端智能處理組件用于辨識和分析一客戶端系統發送到網絡中的異常信息； 所述智能處理平臺用于對所述云端智能處理組件中的異常信息進行全方位維護； 所述系統核心功能調度模塊用于根據所述云端智能處理組件進行交互調度所述智能處理平臺。
2.根據權利要求1所述的基于云端的智能安全防御系統，其特征在于，所述云端智能處理組件包括:數據采集下載模塊、主機數據采集模塊、及辨識分析分類模塊；其中， 所述數據采集下載模塊用于下載實時更新的特征數據庫和對客戶端系統發送到網絡中異常事件信息進行采集、分類、過濾和分析； 所述主機數據采集模塊用于采集客戶端系統的惡意文件、病毒特征庫和攻擊事件的樣本數據； 所述辨識分析分類模塊用于初步辨識分析分類處理所述數據采集下載模塊和主機數據采集模塊中的異常信息。
3.根據權利要求 2所述的基于云端的智能安全防御系統，其特征在于，所述特征數據庫包括:診斷特征庫、病毒特征庫、漏洞特征庫、及攻擊特征庫。
4.根據權利要求1所述的基于云端的智能安全防御系統，其特征在于，所述智能處理平臺包括設置在應用層的系統診斷評估模塊、系統攻擊檢測模塊、惡意軟件查殺模塊、漏洞檢測修復模塊、痕跡檢測清除模塊、分析阻斷防御模塊、高級診斷修復模塊、評價審計報告模塊、進程注冊表驅動監控模塊、及系統服務描述符表檢測恢復模塊；其中， 所述系統診斷評估模塊和系統攻擊檢測模塊，用于對所述客戶端系統的安全狀況進行綜合診斷評估和檢測； 所述惡意軟件查殺模塊用于對所述客戶端系統進行快速掃描、特征辨識、清除駐留的病毒; 所述漏洞檢測修復模塊用于對所述客戶端系統的漏洞和隱患進行掃描、檢測、報警和下載補丁及修復； 所述痕跡檢測清除模塊用于對所述客戶端系統在網絡中出現的病毒及攻擊的異常事件痕跡的檢測和清除； 所述分析阻斷防御模塊用于對所述客戶端系統的異常事件進行辨識、分析和阻斷防御； 所述高級診斷修復模塊用于對所述客戶端系統的異常事件進行更深層次的分析、診斷和修復評價審計報告模塊用于對異常事件和處理過程形成安全評價審計報告； 所述評價審計報告模塊用于對所述客戶端系統的異常事件具體數據進行評價及記載形成審計報告。 所述進程注冊表驅動監控模塊用于在其余模塊調用異常事件進程之前進行監控、辨識和阻斷運行； 所述系統服務描述符表檢測恢復模塊用于掃描檢測所述客戶端系統服務、派發系統服務描述符表以所述客戶端系統的原文件恢復系統服務描述符表。
5.根據權利要求1所述的基于云端的智能安全防御系統，其特征在于，所述智能處理平臺還包括設置在內核層的專家系統、特征知識庫、及監控規則庫；其中， 所述專家系統根據所述特征知識庫和監控規則庫自動獲取知識、特征辨識、分析和監控。
6.一種基于云端的智能安全防御方法，其特征在于，包括:使用如權利要求1所述的基于云端的智能安全防御系統；其中，所述系統核心功能調度模塊根據所述云端智能處理組件進行交互調度所述智能處理平臺；所述云端智能處理組件辨識和分析一客戶端系統發送到網絡中的異常信息；所述智能處理平臺對所述云端智能處理組件中的異常信息進行全方位維護。
7.根據權利要求6所述的基于云端的智能安全防御方法，其特征在于，所述云端智能處理組件包括:數據采集下載模塊、主機數據采集模塊、及辨識分析分類模塊；其中， 所述數據采集下載模塊下載實時更新的特征數據庫和對客戶端系統發送到網絡中異常事件信息進行采集、分類、過濾和分析； 所述主機數據采集模塊采集客戶端系統的惡意文件、病毒特征庫和攻擊事件的樣本數據； 所述辨識分析分類模塊初步辨識分析分類處理所述數據采集下載模塊和主機數據采集模塊中的異常信息。
8.根據權利要求7所述的基于云端的智能安全防御方法，其特征在于，在下載實時更新的特征數據庫和對網絡中異常事件信息進行采集、分類、過濾和分析的步驟中，所述特征數據庫包括:診斷特征庫、病毒特征庫、漏洞特征庫和攻擊特征庫。
9.根據權利要求6所述的基于云端的智能安全防御方法，其特征在于，所述智能處理平臺包括設置在應用層的系統診斷評估模塊、系統攻擊檢測模塊、惡意軟件查殺模塊、漏洞檢測修復模塊、痕跡檢測清除模塊、分析阻斷防御模塊、高級診斷修復模塊、評價審計報告模塊、進程注冊表驅動監控模塊、及系統服務描述符表檢測恢復模塊； 所述系統診斷評估模塊和系統攻擊檢測模塊，用于對所述客戶端系統的安全狀況進行綜合診斷評估和檢測； 所述惡意軟件查殺模塊用于對所述客戶端系統進行快速掃描、特征辨識、清除駐留的病毒; 所述漏洞檢測修復模塊用于對所述客戶端系統的漏洞和隱患進行掃描、檢測、報警和下載補丁及修復； 所述痕跡檢測清除模塊用于對所述客戶端系統在網絡中出現的病毒及攻擊的異常事件痕跡的檢測和清除； 所述分析阻斷防御模塊用于對所述客戶端系統的異常事件進行辨識、分析和阻斷防御； 所述高級診斷修復模塊用于對所述客戶端系統的異常事件進行更深層次的分析、診斷和修復評價審計報告模塊用于對異常事件和處理過程形成安全評價審計報告； 所述評價審計報告模塊用于對所述客戶端系 統的異常事件具體數據進行評價及記載形成審計報告； 所述進程注冊表驅動監控模塊用于在其余模塊調用異常事件進程之前進行監控、辨識和阻斷運行；所述系統服務描述符表檢測恢復模塊用于掃描檢測所述客戶端系統服務、派發系統服務描述符表以所述客戶端系統的原文件恢復系統服務描述符表。
10.根據權利要求6所述的基于云端的智能安全防御系統，其特征在于，所述智能處理平臺還包括設置在內核層的專家系統、特征知識庫、及監控規則庫；其中， 所述專家系統根據所述特征知識庫和監控規則庫自動獲取知識、特征辨識、分析和監控。
11.根據權利要求6所述的基于云端的智能安全防御方法，其特征在于，將所述智能處理平臺的應用層與內核層聯動交互和協同。
12.根據權利要求11所述的基于云端的智能安全防御方法，其特征在于，所述聯動包括利用本地服務器群響應、緩存支持和企業內部云服務器同步。
【文檔編號】H04L29/08GK103905459SQ201410148428
【公開日】2014年7月2日 申請日期:2014年4月14日 優先權日:2014年4月14日
【發明者】賈鐵軍, 肖惜明, 張福杰 申請人:上海電機學院