(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211072056.9 (22)申请日 2022.09.02 (71)申请人 南方电网数字电网研究院有限公司 地址 510000 广东省广州市黄埔区中新广 州知识城 亿创街1号 406房之86 (72)发明人 吕华辉　黄清水　邓子杰　冯国聪　 邹洪　张佳发　谢娇　樊凯　明哲　 余芸　杨航　王健　母天石　 (74)专利代理 机构 广州德伟专利代理事务所 (普通合伙) 44436 专利代理师 黄浩威 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/18(2022.01) (54)发明名称 一种云安全服务网络入侵快速检测系统及 检测方法 (57)摘要 本发明公开了一种云安全服务网络入侵快 速检测系统及检测方法， 包括访问端、 交换机、 检 测模块、 监测单元、 镜像单元、 底层协议、 检测单 元、 反馈单元、 处理模块、 拦截单元、 封禁单元、 黑 名单配置单元、 分流单元、 云端平台、 接入网关、 安全管理单元、 资源库、 硬件防火墙和虚拟主机， 所述安全管 理单元的一侧数据连接有资源库， 且 资源库与交换机建立数据连接， 本发 明通过镜像 单元镜像访问流量的方式， 可以阻止违规违法的 页面出现和未备案的域名的访问； 本发明通过分 流单元对攻击流量和正常流量的分流， 保证了不 会造成流量的浪费； 本发 明通过对拦截IP的监测 以及提供事件日志API， 为后续处理同类违规提 供了处理参考。 权利要求书1页 说明书3页 附图2页 CN 115473714 A 2022.12.13 CN 115473714 A 1.一种云安全服务网络入侵快速检测系统， 包括访问端(1)、 交换机(2)、 检测模块(3)、 处理模块(4)和云端平台(5)， 其特征在于： 所述访问端(1)与交换机(2)建立数据连接， 交换 机(2)的一侧数据连接有检测 模块(3)， 检测模块(3)的一侧数据连接有处理模块(4)， 处理 模块(4)的一侧数据连接有云端平台(5)， 且云端平台(5)与交换机(2)建立数据连接 。 2.根据权利要求1所述的一种云安全服务网络入侵快速检测系统， 其特征在于： 所述检 测模块(3)包括监测单元(31)、 镜像单元(32)、 底层协议(33)、 检测单元(34)和反馈单元 (35)， 监测单元(31)的一侧数据连接有镜像单元(32)， 镜像单元(32)的一侧数据连接有检 测单元(34)， 检测单元(34)的一侧数据连接有反馈单元(35)， 检测单元(34)的一侧数据连 接有底层协议(3 3)。 3.根据权利要求1所述的一种云安全服务网络入侵快速检测系统， 其特征在于： 所述处 理模块(4)包括拦截单元(41)、 封禁单元(42)、 黑名单配置单元(43)和分流单元(44)， 所述 拦截单元(41)的一侧数据连接有封禁单元(42)， 封禁单元(42)的一侧数据连接有黑名单配 置单元(43)， 拦截单 元(41)的一侧数据连接有分流单 元(44)。 4.根据权利要求1所述的一种云安全服务网络入侵快速检测系统， 其特征在于： 所述云 端平台(5)包括接入网关(51)、 安全管理单元(52)和资源库(53)， 接入网关(51)的一侧数据 连接有安全管理单 元(52)。 5.根据权利要求4所述的一种云安全服务网络入侵快速检测系统， 其特征在于： 所述安 全管理单 元(52)的一侧数据连接有资源库(5 3)， 且资源库(5 3)与交换机(2)建立数据连接 。 6.根据权利要求4所述的一种云安全服务网络入侵快速检测系统， 其特征在于： 所述安 全管理单元(52)包括硬件防火墙(521)、 硬件WEB防护应用(522)、 硬件堡垒机(523)、 NTA (524)、 NIDS(525)和虚拟主机(526)。 7.一种云安全服务网络入侵快速检测系统的检测方法， 包括步骤一， 开始访问； 步骤 二， 流量监测； 步骤三， 协议识别； 步骤四， 结果反馈； 步骤五， 结果审计； 其特 征在于： 其中上述步骤一中， 首先由用户进行访问申请， 访问流量通过交换机(2)转发至防护系 统中； 其中上述 步骤二中， 防护系统对流 量进行实时监测， 防护系统进行流 量镜像， 其中上述步骤三中， 系 统根据底层协议(33)对镜像流量进行协议识别， 然后将识别结 果进行反馈； 其中上述步骤四中， 若识别通过， 则将流量送至云端， 云端开始正常工作， 调用其中资 源， 若识别不通过， 则下载拦截包开始拦截流量， 并将此IP列入黑名单， 同时将攻击流量与 正常流量分离， 然后把 正常流量送至服 务器中使用； 其中上述步骤五中， 由云端对此次处理流程进行审计备份， 将拦截IP列入监测对象， 提 供事件日志API以供后期对此IP的进一 步处理。 8.根据权利要求7所述的一种云安全服务网络入侵快速检测系统的安装方法， 其特征 在于： 所述步骤三中， 底层协议(33)包括地址解析协议、 互联网控制消 息协议、 动态主机设 置协议等。权　利　要　求　书 1/1 页 2 CN 115473714 A 2一种云安全服务网 络入侵快速检测系统及检测方 法 技术领域 [0001]本发明涉及网络安全技术领域， 具体为一种云安全服务网络入侵快速检测系统及 检测方法。 背景技术 [0002]在过去几年， 网络攻击 的威胁数量成倍增加， 几乎每隔一个月就会出现数据泄露 的相关报道， 虽然基于网络的IDS/IPS并非新技术， 但却是我们在实现 网络安全方面必须要 了解的一个领域， 但现有的云安全服务网络入侵检测系统， 在应对网络入侵时， 无法做到对 异常访问的迅速拦截； 现有的云安全服务网络入侵检测系统， 在面对网络入侵时， 容易出现 将正常流量浪费的情况； 现有的云安全服务网络入侵检测方法， 在封禁IP后出现后期无法 根据同类 违规行为进行参 考处理的问题。 发明内容 [0003]本发明的目的在于提供一种云安全服务网络入侵快速检测系统及检测方法， 以解 决上述背景技 术中提出的问题。 [0004]为实现上述目的， 本发明提供如下技术方案： 一种云安全服务网络入侵快速检测 系统， 包括访问端、 交换机、 检测模块、 处理模块和云端平台， 所述访问端与交换机 建立数据 连接， 交换机的一侧数据连接有检测模块， 检测模块的一侧数据连接有处理模块， 处理模块 的一侧数据连接有云端平台， 且云端平台与交换机建立数据连接 。 [0005]优选的， 所述检测模块包括监测单元、 镜像单元、 底层协议、 检测单元和反馈单元， 监测单元 的一侧数据连接有镜像单元， 镜像单元 的一侧数据连接有检测单元， 检测单元 的 一侧数据连接有反馈单 元， 检测单 元的一侧数据连接有底层协议。 [0006]优选的， 所述处理模块包括拦截单元、 封禁单元、 黑名单配置单元和分流单元， 所 述拦截单元 的一侧数据连接有封禁单元， 封禁单元 的一侧数据连接有黑名单配置单元， 拦 截单元的一侧数据连接有分流单 元。 [0007]优选的， 所述云端平台包括接入网关、 安全管理单元和资源库， 接入网关的一侧数 据连接有安全管理单 元。 [0008]优选的， 所述安全管理单元的一侧数据连接有资源库， 且资源库与交换机建立数 据连接。 [0009]优选的， 所述安全管理单元包括硬件防火墙、 硬件WEB防护应用、 硬件堡垒机、 NTA、 NIDS和虚拟主机 。 [0010]一种云安全服务网络入侵快速检测系统的安装方法， 包括步骤一， 开始访问； 步骤 二， 流量监测； 步骤三， 协议识别； 步骤四， 结果反馈； 步骤五， 结果审计； [0011]其中上述步骤一中， 首先由用户进行访问申请， 访问流量通过交换机转发至防护 系统中； [0012]其中上述 步骤二中， 防护系统对流 量进行实时监测， 防护系统进行流 量镜像，说　明　书 1/3 页 3 CN 115473714 A 3