(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108933731A(43)申请公布日2018.12.04(21)申请号201710362809.2(22)申请日2017.05.22(71)申请人南京骏腾信息技术有限公司地址210012江苏省南京市雨花台区西春路1号南楼11层1106室(72)发明人田新远(74)专利代理机构北京汇智胜知识产权代理事务所(普通合伙)11346代理人石辉(51)Int.Cl.H04L12/66(2006.01)H04L12/24(2006.01)H04L29/06(2006.01)权利要求书2页说明书6页附图1页(54)发明名称基于大数据分析的智能网关(57)摘要本发明提供了一种基于大数据分析的智能网关，包括以下模块：统计分析模块，用于基于用户、应用进行统计，并进行量化分析和可视化呈现，对历史网络流量进行自动学习，生成网络流量安全基线，并持续实时检测和统计网络流量的行为参数，以便借助网络流量安全模型得出网络行为异常参数；防火墙模块，用于对进出的流量做访问控制，考查数据包的参数，并且要关心数据包的连接状态变化，建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话的状态，其中，状态检测对每一个数据包的检查不仅根据规则表，还考虑了数据包是否符合会话所处的状态。Anti-DOS模块，用于解决DDOS和DOS攻击。CN108933731ACN108933731A权利要求书1/2页1.基于大数据分析的智能网关，包括以下模块：统计分析模块，用于基于用户、应用进行统计，并进行量化分析和可视化呈现，对历史网络流量进行自动学习，生成网络流量安全基线，并持续实时检测和统计网络流量的行为参数，以便借助网络流量安全模型得出网络行为异常参数；防火墙模块，用于对进出的流量做访问控制，考查数据包的参数，并且要关心数据包的连接状态变化，建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话的状态，其中，状态检测对每一个数据包的检查不仅根据规则表，还考虑了数据包是否符合会话所处的状态。Anti-DOS模块，用于解决DDOS和DOS攻击。2.根据权利要求1所述的智能网关，其特征在于，所述统计分析模块包括：网络子模块、用户分析子模块、业务分析子模块、自定义统计分析子模块；其中，网络分析子模块用于让用户快速了解当前网络的使用情况；其中，网络分成6个部分：全局流量、端口流量计及协议饼图、端口会话数量及协议饼图、端口会话新建及协议饼图、端口的主机数量、端口的TopN的服务；全局流量支持28个用户端的流量X-Y折线图，分成In、Out、All；用户分析子模块用于针对用户行为进行详细分析，了解用户行为，合理设定各种配置，用户分析包括：基于用户的流量分析、基于用户的会话数量分析、基于用户的会话新建速度分析、基于用户的协议分布分析、TopN分析；业务分析子模块主要是针对服务器，包括：指定服务器的流量分析、指定服务器的会话数量分析、指定服务器的会话新建速度分析、指定服务器的协议分布分析、指定服务器的TopN分析。3.根据权利要求1或2所述的智能网关，其特征在于，所述统计分析模块通过对历史安全流量数据的学习，基于关键风险对象的大量流量数据计算行为安全指数P，并结合用户业务白环境，建立一个流量安全基线T0，并根据时间t和流量数据进行不断的智能学习和动态调整，形成自适应的流量安全基线：T0(t)＝Ф[P10(t),P20(t),…Pn0(t)]；其中，行为安全指数包括包括连接数、包速”、会话新建速度。4.根据权利要求3所述的智能网关，其特征在于，通过行为安全指数与其安全基线之间的实时比对，生成网络安全行为异常指数Δ(t):Δ(t)＝T(t)-T0(t)。5.根据权利要求4所述的智能网关，其特征在于，网络安全行为异常指数之间根据逻辑相关性进行加权计算，构建起一个系统性的流量安全模型S:S(t)＝Ψ[Δ(t)]＝Ψ{Ф[P1(t),P2(t),…Pn(t)]-Ф[P10(t),P20(t),…Pn0(t)]}设置流量安全模型决断阈值S0,超出S0的部分为不安全流量。6.根据权利要求1所述的智能网关，其特征在于，所述防火墙模块包括：访问控制规则子模块、会话表子模块和应用层网关子模块；其中，访问控制规则子模块具有用户接口，而会话表子模块有个用户管理和查询的接口，应用层网关子模块和用户没有直接的接口；2CN108933731A权利要求书2/2页访问控制规则子模块支持IPv4和IPv6，支持七层应用识别，支持TCPWindowsTracking，支持10K的复杂规则，保证性能，支持20K的简单规则，加载和查找性能低，支持100个ACLGroup，每个ACLGroup支持1000个ACL；会话表子