CN109558729B - 一种网络攻击的智能防御系统 - Google Patents
一种网络攻击的智能防御系统 Download PDFInfo
- Publication number
- CN109558729B CN109558729B CN201811469228.XA CN201811469228A CN109558729B CN 109558729 B CN109558729 B CN 109558729B CN 201811469228 A CN201811469228 A CN 201811469228A CN 109558729 B CN109558729 B CN 109558729B
- Authority
- CN
- China
- Prior art keywords
- module
- submodule
- log
- database
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络攻击的智能防御系统,包括:⑴实时监测模块,针对全网络、安全设备及服务器的关键节点进行实时监控,执行查询指令。⑵深度订制模块,为不同用户单独订制非标准化模块,解决疑难问题;⑶智能分析模块,搜索和预测网络节点间的攻击关系,分析与制定防御策略。⑷数据库模块包括主数据库、入侵检测数据库和日志中心数据库子模块。⑸并行处理模块,对异常节点进行精准定位并实施最优控制指令。⑹防火墙/IPS连接数实时监测模块。⑺IDS综合监测模块和⑻日志库模块,日志库模块包括事件日志、CPU过载日志和连接过载日志。本发明能够适应动态变化的网络攻击威胁,及时发现网络中潜在的安全隐患,针对网络攻击行为制定主动防御措施。
Description
技术领域
本发明涉及网络工程技术领域,涉及一种网络安全技术,具体涉及一种网络攻击的智能防御系统。
背景技术
信息技术的发展既给人们带来了便利也带来了威胁,因此解决安全问题是网络与信息建设中的紧要任务。传统的网络防御措施,如反病毒软件,防火墙技术,以及入侵检测系统等,都属于被动的安全防御策略,当面临短时间内具有巨大迫害性的攻击时,将损失惨重,并且缺乏对脆弱性状态的关联性分析,多脆弱性和威胁评估方法只是孤立的研究各个攻击事件对主机或网络安全性造成的影响,忽略了攻击事件间存在的逻辑和关联关系,从而导致评估结果不够全面和准确。
随着攻击技术的不断更新,网络规模的扩大和结构的日益复杂化,网络威胁态势的实时感知成为了网络管理员迫切需要解决的问题。然而面对复杂网络系统内的诸多节点(用户机,服务器,安全系统,网络设备),节点上存在的诸多漏洞,以及它们之间纷繁复杂的连接访问关系,管理员对于如何剔除冗余信息、提取必要信息,根据攻击态势的动态演变及时、全面的作出威胁评估往往一筹莫展。
网络的发展既给人们带来了便利也带来了威胁,解决网络安全问题是网络与信息建设中的紧要任务。传统防御措施如反病毒软件,防火墙技术,以及入侵检测系统等,都属于被动的安全防御策略,当面临短时间内具有巨大迫害性的攻击时将损失惨重。基于主动防御网络攻击建立智能防御系统能够突破以往的事后研究模式,具有对攻击行为提前预测能力,能及时发现潜在的安全隐患,采取主动制定防御措施,提前防御。
发明内容
本发明的目的是提供一种网络攻击的智能防御系统,以适应动态变化的网络攻击威胁,及时发现网络中潜在的安全隐患,针对可能的攻击行为制定主动网络防御措施,对攻击行为提前预测和防御,提升网络整体安全性。
本发明的技术方案是:网络攻击的智能防御系统,包括如下模块:
⑴实时监测模块,针对全网络、安全设备及服务器的关键节点进行实时监控,清晰展现设备运行状态、主干线路流量、负载和网络安全事件,实时收集各路日志信息,并对全网络全节点设备执行查询指令;
⑵深度订制模块,为不同用户单独订制非标准化模块,解决重复性占用人力和隐藏威胁的疑难问题;
⑶智能分析模块,对网络节点对象间的攻击关系、攻击路径进行搜索和预测,生成关键攻击路径集,计算节点对象、脆弱性状态或攻击路径上的安全评估指标值,分析与制定防御策略;
⑷数据库模块,包括主数据库子模块、入侵检测数据库子模块和日志中心数据库子模块;
⑸并行处理模块,接收智能分析模块传入的策略数据,对异常节点进行精准定位并实施最优控制指令;
⑹防火墙/IPS连接数实时监测模块,包括设置时间轴及传输设备类型子模块、连接主数据库子模块、获取防火墙/IPS参数子模块、初始化临时数据表子模块、设置阈值参数子模块、登录及命令行赋值子模块、登录及执行指令子模块、分选列表子模块和并行处理子模块。
⑺IDS综合监测模块,包括设置时间轴及传输设备类型子模块、连接数据库子模块、获取IDS参数子模块、设置特征库分级子模块、选取异常日志子模块、分选列表子模块和并行处理子模块。
⑻日志库模块,包括事件日志、CPU过载日志和连接过载日志;事件日志用于管理综合事件日志,CPU过载日志用于管理各设备CPU过载日志,连接过载日志用于管理各设备连接过载日志。
实时监控模块包括:①边界节点监控,②关键链路监控,③防火墙单位时间连接数监控,④入侵防御单位时间连接数监控,⑤时间轴监控,⑥入侵防御(IPS)事件监控,⑦入侵检测(IDS)事件监控,⑧人工干预接口和⑨辅助定时器。深度订制模块的运行过程为:
⑵接数据库,连接主数据库,定义标准连接串;
⑵获取设备参数,构建sql语句,从服务器数据表中取出标记为深度订制的服务器参数,参数包含IP地址、用户名、密码、登录端口号、保护服务列表、所属vlan和所属单位;
⑶登录及命令行赋值,定义登录及命令行变量,将第⑵步中取出的设备参数进行变量赋值,将多条执行指令进行变量赋值;
⑷登录及执行指令,过程为:①调用SSH函数,采用第⑶步中变量,登录服务器;②执行查询指令,输出当前运行服务列表;③构建正则表达式标准化服务列表;④将当前运行服务列表与第⑵步中取出的保护服务列表做插值运算;⑤判断保护列表是否在运行列表内,是则屏幕输出正常信息,执行下一步退出指令;否则输出屏幕告警信息,并执行循环指令,将未启动的保护服务重新启动;
⑸入库及退出,①构建sql语句,将本次事件插入日志数据表;②关闭ssh连接,关闭数据库连接。
智能分析模块依赖于云计算及大数据分析平台,动态调整各模块传入的实时数据及健康状态阈值并生成相应的控制策略,提交至并行处理模块。智能分析模块的技术构架包括网络、云计算平台、大数据分析平台、综合处理模型、数据手机终端、启发式模型、分析引擎、模式识别引擎和管理终端。网络与云计算平台、大数据分析平台、综合处理模型、数据手机终端、启发式模型、分析引擎、模式识别引擎和管理终端通信连通。并行处理模块包括:①时间控制子模块,②阻断列表子模块,③服务器控制子模块,④端口关闭子模块,⑤MAC屏蔽子模块,⑥ARP阻断子模块、⑦进程清洗子模块,⑧应急处理子模块。
数据库模块中主数据库子模块指定主数据库的位置、用户名、密码和名称。入侵检测数据库子模块指定入侵检测(IDS)数据库的位置、用户名、密码和名称。日志中心数据库子模块指定日志中心、包含防火墙(FW)、入侵防御(IPS)和网页防火墙(WAF)数据库的位置、用户名、密码和名称。
本发明网络攻击的智能防御系统能够适应动态变化的网络攻击威胁,及时发现网络中潜在的安全隐患,针对可能的攻击行为制定主动网络防御措施,对攻击行为提前预测和提前防御,能帮助防御者全面把握各种攻击行为,针对关键攻击路径和脆弱节点提出防御措施。实现了主动防御与被动防御有机结合,建立全方位立体化防御体系,有效降低了网络攻击面临的风险,提升了网络运行的整体安全性。
附图说明
图1为本发明网络攻击的智能防御系统的示意图;
图2为智能分析模块的技术架构图;
图3为深度订制模块的运行流程示意图;
图4为防火墙/IPS连接数实时监测模块的工作流程示意图;
图5为IDS综合监测模块的工作流程示意图;
其中:1—实时监测模块、2—深度订制模块、3—智能分析模块、4—数据库模块、5—并行处理模块、6—防火墙/IPS连接数实时监测模块、7—IDS综合监测模块、8—日志库模块、9—大数据分析平台、10—综合处理模型、11—数据手机终端、12—启发式模型13—分析引擎、14—模式识别引擎、15—管理终端、16—网络、17—云计算平台、21—连接数据库、22—获取设备参数、23—登录及命令行赋值、24—登录及执行指令、25—入库及退出。
具体实施方式
下面结合实施例和附图对本发明进行详细说明。本发明保护范围不限于实施例,本领域技术人员在权利要求限定的范围内做出任何改动也属于本发明保护的范围。
本发明网络攻击的智能防御系统如图1所示,包括实时监测模块1、深度订制模块2、智能分析模块3、数据库模块4、并行处理模块5、防火墙/IPS连接数实时监测模块6、IDS综合监测模块7和日志库模块8。实时监测模块、深度订制模块、智能分析模块、数据库模块、并行处理模块、防火墙/IPS连接数实时监测模块6、IDS综合监测模块7和日志库模块8通信连通,并与网络通信连通。实时监测模块1针对全网络、安全设备及服务器等关键节点进行实时监控,清晰展现设备运行状态、主干线路流量、负载、网络安全事件等,实时收集各路日志信息,并对全网络节点设备执行查询指令。深度订制模块2为不同用户单独订制非标准化模块,解决疑难问题、重复性人力占用问题和隐藏威胁问题。智能分析模块3对网络节点对象间的攻击关系、攻击路径进行搜索和预测,生成关键攻击路径集,计算节点对象、脆弱性状态或攻击路径上的安全评估指标值,分析与制定防御策略。数据库模块4包括主数据库子模块、入侵检测数据库子模块和日志中心数据库子模块。并行处理模块5接收智能分析模块传入的策略数据,对异常节点进行精准定位并实施最优控制指令。防火墙/IPS连接数实时监测模块6包括设置时间轴及传输设备类型子模块、连接主数据库子模块、获取防火墙/IPS参数子模块、初始化临时数据表子模块、设置阈值参数子模块、登录及命令行赋值子模块、登录及执行指令子模块、分选列表子模块和并行处理子模块。IDS综合监测模块7包括设置时间轴及传输设备类型子模块、连接数据库子模块、获取IDS参数子模块、设置特征库分级子模块、选取异常日志子模块、分选列表子模块和并行处理子模块。日志库模块8包括事件日志、CPU过载日志和连接过载日志。
实时监控模块1包括:①边界节点监控,系统自动从边界设备节点提取数据进行监控,节点包括防火墙、路由和综合安全网关,监控的内容包括CPU和内存宏观健康状态,及各核心的使用情况。如果监测到异常状态,将相应位置标红,并计入主数据库,同时提交至智能分析模块进行综合分析评估。②关键链路监控,实时监控各主链路节点通讯情况,并返回通讯延时。如果发生异常将相应位置标红,并计入主数据库,同时提交至智能分析模块进行综合分析评估。③防火墙单位时间连接数监控,实时监控防火墙单位时间连接数排位,将前5位直观展示出来,如果超过系统阈值并超出容错循环阈值,将相应位置标红,并计入主数据库,同时提交至智能分析模块进行综合分析评估。④入侵防御单位时间连接数监控,实时监控入侵防御单位时间连接数排位,将前5位直观展示出来,如果超过系统阈值并超出容错循环阈值,将相应位置标红,并计入主数据库,同时提交至智能分析模块进行综合分析评估。⑤时间轴监控,同步处理系统时间序列,根据相应阈值及随机种子函数生成各模块时间控制参数。用于启动或暂停模块,模拟人工使用习惯,有效防止蓄意正弦波攻击或脉冲攻击。⑥入侵防御(IPS)事件监控,实时提取入侵防御节点日志库、特征库及阻断状态,如果发现异常,将相应位置标红,并计入主数据库,同时提交至智能分析模块进行综合分析评估。⑦入侵检测(IDS)事件监控,实时提取入侵防御节点日志库、特征库及阻断状态,如果发现异常,将相应位置标红,并计入主数据库,同时提交至智能分析模块进行综合分析评估。⑧人工干预接口,用于根据第二密码验证因子及随机种子生成随机密码,还用于控制台的单项指令控制及复位,通过控制台进行登录管理。⑨辅助定时器,辅助时间轴模块进行各个子模块的重启或关闭。
如图3所示,深度订制模块2的运行过程为:
⑴连接数据库21,连接主数据库,定义标准连接串;
⑵获取设备参数22,构建sql语句,从服务器数据表中取出标记为深度订制的服务器参数,包含IP地址、用户名、密码、登录端口号、保护服务列表,所属vlan和所属单位;
⑶登录及命令行赋值23,定义登录及命令行变量,将第⑵步中取出的设备参数进行变量赋值,将多条执行指令进行变量赋值;
⑷登录及执行指令24,过程为:①调用SSH函数,采用第⑶步中变量,登录服务器;②执行查询指令,输出当前运行服务列表;③构建正则表达式标准化服务列表;④将当前运行服务列表与第⑵步中取出的保护服务列表做插值运算;⑤判断保护列表是否在运行列表内,是则屏幕输出正常信息,执行下一步退出指令;否则输出屏幕告警信息,并执行循环指令,将未启动的保护服务重新启动;
⑸入库及退出25,①构建sql语句,将本次事件插入日志数据表;②关闭ssh连接,关闭数据库连接。
智能分析模块3依赖于云计算及大数据分析平台,行动态调各模块传入的实时数据及健康状态进整阈值并生成相应的控制策略,提交至并行处理模块4。如图2所示,智能分析模块的技术构架包括网络16、云计算平台17、大数据分析平台9、综合处理模型10、数据手机终端11、启发式模型12、分析引擎13、模式识别引擎14和管理终端15。网络包括局域网和/或互联网,网络与云计算平台、大数据分析平台、综合处理模型、数据手机终端、启发式模型、分析引擎、模式识别引擎和管理终端通信连通。综合处理模型10包括并行处理、模糊处理和时序处理程序。数据手机终端11包括汇聚交换、核心交换、IPS、防火墙和IDS。启发式模型12包括博弈论证、模糊混淆、动态阈值、威胁感知和智能学习。分析引擎13包括路径分析和逻辑处理。模式识别引擎14包括行为分类、目标分类和时间分类。管理终端15包括BS(浏览与服务)和CS(客户端/服务器架构)。
数据库模块4包括主数据库子模块、入侵检测数据库子模块和日志中心数据库子模块。主数据库子模块指定主数据库的位置、用户名、密码和名称。入侵检测数据库子模块指定入侵检测(IDS)数据库的位置、用户名、密码和名称。日志中心数据库子模块指定日志中心、包含防火墙(FW)、入侵防御(IPS)以及网页防火墙(WAF)数据库的位置、用户名、密码和名称。
并行处理模块5包括:①时间控制子模块、②阻断列表子模块、③服务器控制子模块、④端口关闭子模块、⑤MAC屏蔽子模块、⑥ARP阻断子模块、⑦进程清洗子模块,⑧应急处理子模块。时间控制子模块对节点设备发出时间阻断策略,以时间轴模块生成的时间阈值对子节点实施临时阻断,并计入主数据库。②阻断列表子模块对节点设备发出阻断策略,对子节点实施黑名单阻断,并计入主数据库。③服务器控制子模块实时监控服务器,包括实时监控web服务器、数据库服务器和云端虚拟服务器。如果发现服务器网络异常,自动登录服务器,并开启进程及服务筛查,未授权的进程及服务将被强制关闭,并计入主数据库。④端口关闭子模块对节点设备发出端口关闭指令,关闭子节点端口,并计入主数据库。⑤MAC屏蔽子模块对节点设备发出MAC黑洞指令,抛弃子节点拥有该MAC的终端,并计入主数据库。⑥ARP阻断子模块对比被筛选出来与真实网关MAC地址冲突的终端,对其近源父级节点实施MAC屏蔽,最大限度保证真实网关稳定运行。⑦进程清洗子模块的运行步骤为:㈠接收参数,定义标准连接串,连接主数据库。㈡获取设备参数,构建sql语句,从待执行临时数据表中取出标记为待处理服务器队列的参数,包含IP地址,用户名,密码,登录端口号,保护进程/服务列表,所属vlan,所属单位。㈢登录及命令行赋值,定义登录及命令行变量,将㈡中取出的设备参数进行变量赋值,将多条执行指令进行变量赋值。㈣登录及执行指令包括Ⅰ.调用SSH函数,采用第三步中变量,登录服务器;Ⅱ.执行查询指令,输出当前运行进程/服务列表;Ⅲ.构建正则表达式标准化服务列表;Ⅳ.将当前运行进程/服务列表与第二步中取出的保护进程/服务列表做插值运算;Ⅴ.判断运行列表内是否有除保护列表外的非法进程/服务,否则屏幕输出正常信息,执行下一步退出指令;是则输出屏幕告警信息,并执行循环指令,将非法进程/服务杀死。㈤入库及退出,构建sql语句,将本次事件插入日志数据表;关闭ssh连接,关闭数据库连接。⑧应急处理子模块分为两步:㈠流量削峰,判断整体负载超过阈值后,对单位时间内流量过高节点进行筛查,并实施自动降速处理。如果为交换机则建立动态QOS策略进行流量整形并设置定时器自动恢复,如果为安全设备则建立地址组及相应限速策略。㈡区域阻断,当整体负载临界时,对相应地址段进行整段暂停服务,保证核心业务运转。如果为交换机,则将汇聚交换物理接口关闭;如果为安全设备,则建立地址段组,进行限时阻断。
防火墙/IPS连接数实时监测模块6中各子模块的运行过程如图4所示,⑴设置时间轴及传输设备类型子模块包括:①定义并标准化时间轴变量;②屏幕输出时间轴;③定义数据库查询时间轴负偏移量;④定义传输设备类型。⑵连接主数据库子模块为:定义标准连接串,连接主数据库。⑶获取防火墙/IPS参数子模块为:构建sql语句,取出安全设备数据表中防火墙/IPS参数,包括IP地址,用户名,密码,连接端口号,设备编号,设备类型,最大连接数,最大容错循环。⑷初始化临时数据表子模块为:构建sql语句,依据第一步中的传输设备类型清空临时数据表。⑸设置阈值参数子模块为:初始化最大连接数及最大容错循环变量,用获取防火墙/IPS参数子模块中获取的相应数据为其赋值。⑹登录及命令行赋值子模块为:定义登录及命令行变量,将获取防火墙/IPS参数子模块中取出的设备参数进行变量赋值,将多条执行指令进行变量赋值。⑺登录及执行指令子模块包括:①调用SSH函数,采用第六步中变量,登录设备;②执行连接数查询指令,获取相应字符串;③构建正则表达式,提取字符串中连接数排位列表;④截取前5位,屏幕输出连接数排位列表;⑤设定数据库操作标志位为False;⑥判断前5位连接数是否超过设置阈值参数子模块中设置的最大连接数,如是则屏幕输出告警信息,构建sql语句,将本事件插入连接过载数据表;⑦设定数据库操作标志位为True;如否则跳出。⑻分选列表子模块包括:①初始化服务器列表数组,数组包括核心交换列表数组、可控交换列表数组和时间控制列表数组;②判断数据库操作标志位,如为True,获取IP分选基准数据;③构建sql语句,依据设置时间轴及传输设备类型子模块中定义的数据库查询负偏移量及登录及执行指令子模块中插入的连接过载数据,统计限定时间内同一源IP,超过最大连接数的循环次数;④执行二级循环,屏幕输出源IP超过最大连接数循环次数结构化传参;⑤判断循环次数是否大于设置阈值参数子模块中的最大容错循环阈值,分别依次追加至服务器列表数组,数组包括核心交换列表数组、可控交换列表数组和时间控制列表数组。⑼并行处理子模块为:依据分选列表子模块中的处理队列,处理对应事件。
IDS综合监测模块7如图5所示,⑴设置时间轴及传输设备类型子模块包括:①定义并标准化时间轴变量;②屏幕输出时间轴;③定义数据库查询时间轴负偏移量和④定义传输设备类型。⑵连接数据库子模块包括:①定义标准连接串,连接主数据库;②定义标准连接串,连接IDS数据库。⑶获取IDS参数子模块为:构建sql语句,取出主数据库中安全设备数据表中IDS参数,包括最大事件重复次数。⑷设置特征库分级子模块为:构建sql语句,取出主数据库中第三方IDS参数,并按分级字段将特征库分级。⑸选取异常日志子模块为:构建sql语句,取出IDS数据库中第一步时间轴偏移量内并符合第四步中特征分级的日志。⑹分选列表子模块包括:①初始化服务器列表数组,核心交换列表数组,可控交换列表数组,阻断控制列表数组,时间控制列表数组,ARP控制列表数组;②获取IP分选基准数据,定义结构化传参;③构建sql语句,依据第一步中的传输设备类型清空临时数据表。④构建sql语句,分别选取ARP事件,分级定义事件,未定义事件的日志。⑤分选待执行的源IP地址,分别依次追加至服务器列表数组,数组包括核心交换列表数组、可控交换列表数组、阻断控制列表数组、时间控制列表数组和ARP控制列表数组。㈦并行处理子模块为:依据分选列表子模块中的处理队列,处理对应事件。
日志库模块7包括事件日志、CPU过载日志和连接过载日志。表1为事件日志,用于管理综合事件日志;表2为CPU过载日志,用于管理各设备CPU过载日志,表3为连接过载日志,用于管理各设备连接过载日志。
表1 事件日志
表2 CPU过载日志
表3 连接过载日志
研究网络的攻防行为对网络安全意义重大,随着网络安全问题的日益突出,越来越多将注意力转移到主动防御系统上。防御者迫切需要建立一套主动防御体系。本发明网络攻击的智能防御系统能够满足复杂网络系统的要求,适应网络环境的动态变化,令防御方时刻掌握网络安全动向,在各种攻击场景下都能够从容面对,迅速找出缓解危机阻断攻击的有效方案。基于主动防御的攻击建模已突破了以往的入侵检测的事后型研究模式,具有对攻击行为的提前预测能力,能帮助网络管理员及时发现网络中潜在的安全隐患,针对可能的攻击行为主动制定防御措施,加强网络环境中“易攻”环节的检测和防御建设,做到提前防御。
Claims (6)
1.一种网络攻击的智能防御系统,其特征是:所述系统包括如下模块:
⑴实时监测模块(1),针对全网络、安全设备及服务器的关键节点进行实时监控,清晰展现设备运行状态、主干线路的流量、负载和网络安全事件,实时收集全网络、安全设备及服务器的日志信息,并对全网络节点设备执行查询指令;
⑵深度订制模块(2),为不同用户单独订制非标准化模块,解决重复性占用人力和隐藏威胁的疑难问题;
⑶智能分析模块(3),对网络节点对象间的攻击关系、攻击路径进行搜索和预测,生成关键攻击路径集,计算节点对象、脆弱性状态或攻击路径上的安全评估指标值,分析与制定防御策略;
⑷数据库模块(4),包括主数据库子模块、入侵检测数据库子模块和日志中心数据库子模块;
⑸并行处理模块(5),接收智能分析模块传入的策略数据,对异常节点进行精准定位并实施最优控制指令;
⑹防火墙/IPS连接数实时监测模块(1 ),包括设置时间轴及传输设备类型子模块、连接主数据库子模块、获取防火墙/IPS参数子模块、初始化临时数据表子模块、设置阈值参数子模块、登录及命令行赋值子模块、登录及执行指令子模块、分选列表子模块和并行处理子模块;
⑺IDS综合监测模块(7),包括设置时间轴及传输设备类型子模块、连接数据库子模块、获取IDS参数子模块、设置特征库分级子模块、选取异常日志子模块、分选列表子模块和并行处理子模块;
⑻日志库模块(8),包括事件日志、CPU过载日志和连接过载日志;事件日志用于管理综合事件日志,CPU过载日志用于管理各设备CPU过载日志,连接过载日志用于管理各设备连接过载日志。
2.根据权利要求1所述的网络攻击的智能防御系统,其特征是:所述实时监测模块(1)包括①边界节点监控,②关键链路监控,③防火墙单位时间连接数监控,④入侵防御单位时间连接数监控,⑤时间轴监控,⑥入侵防御事件监控,⑦入侵检测事件监控,⑧人工干预接口和⑨辅助定时器。
3.根据权利要求1所述的网络攻击的智能防御系统,其特征是:所述深度订制模块(2)的运行过程为:
⑴连接数据库(21),连接主数据库,定义标准连接串;
⑵获取设备参数(22),构建sql语句,从服务器数据表中取出标记为深度订制的服务器参数,所述参数包含IP地址、用户名、密码、登录端口号、保护服务列表、所属vlan和所属单位;
⑶登录及命令行赋值(23),定义登录及命令行变量,将第⑵步中取出的设备参数进行变量赋值,将多条执行指令进行变量赋值;
⑷登录及执行指令(24),过程为:①调用SSH函数,采用第⑶步中变量,登录服务器;②执行查询指令,输出当前运行服务列表;③构建正则表达式标准化服务列表;④将当前运行服务列表与第⑵步中取出的保护服务列表做插值运算;⑤判断保护列表是否在运行列表内,是则屏幕输出正常信息,执行下一步退出指令;否则输出屏幕告警信息,并执行循环指令,将未启动的保护服务重新启动;
⑸入库及退出(25),①构建sql语句,将本次事件插入日志数据表;②关闭ssh连接,关闭数据库连接。
4.根据权利要求1所述的网络攻击的智能防御系统,其特征是:所述智能分析模块(3)依赖于云计算及大数据分析平台,动态调整各模块传入的实时数据及健康状态阈值并生成相应的控制策略,提交至并行处理模块(5);所述智能分析模块的技术构架包括网络(16)、云计算平台(17)、大数据分析平台(9)、综合处理模型(10)、数据手机终端(11)、启发式模型(12)、分析引擎(13)、模式识别引擎(14)和管理终端(15);所述网络与云计算平台、大数据分析平台、综合处理模型、数据手机终端、启发式模型、分析引擎、模式识别引擎和管理终端通信连通。
5.根据权利要求1所述的网络攻击的智能防御系统,其特征是:所述并行处理模块(5)包括:①时间控制子模块,②阻断列表子模块,③服务器控制子模块,④端口关闭子模块,⑤MAC屏蔽子模块,⑥ARP阻断子模块、⑦进程清洗子模块和⑧应急处理子模块。
6.根据权利要求1所述的网络攻击的智能防御系统,其特征是:数据库模块(4)中所述主数据库子模块指定主数据库的位置、用户名、密码和名称;所述入侵检测数据库子模块指定入侵检测数据库的位置、用户名、密码和名称;所述日志中心数据库子模块指定日志中心、包含防火墙、入侵防御和网页防火墙数据库的位置、用户名、密码和名称。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811469228.XA CN109558729B (zh) | 2018-11-28 | 2018-11-28 | 一种网络攻击的智能防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811469228.XA CN109558729B (zh) | 2018-11-28 | 2018-11-28 | 一种网络攻击的智能防御系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109558729A CN109558729A (zh) | 2019-04-02 |
| CN109558729B true CN109558729B (zh) | 2021-09-07 |
Family
ID=65868716
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811469228.XA Active CN109558729B (zh) | 2018-11-28 | 2018-11-28 | 一种网络攻击的智能防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109558729B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110535703A (zh) * | 2019-08-30 | 2019-12-03 | 艾西威汽车科技(北京)有限公司 | 一种车联网通信检测方法、装置及平台和计算机可读存储介质 |
| CN111478813B (zh) * | 2020-04-07 | 2022-07-01 | 中国人民解放军国防科技大学 | 一种基于单层信息流传递的网络关键点分析方法 |
| CN111845853A (zh) * | 2020-06-30 | 2020-10-30 | 中车工业研究院有限公司 | 一种基于主动防御的列控车载系统 |
| CN111817893A (zh) * | 2020-07-10 | 2020-10-23 | 深圳供电局有限公司 | 一种基于it地图可视化的运调系统 |
| CN112073411B (zh) * | 2020-09-07 | 2022-10-04 | 软通智慧信息技术有限公司 | 一种网络安全推演方法、装置、设备及存储介质 |
| CN111935198B (zh) * | 2020-10-15 | 2021-01-15 | 南斗六星系统集成有限公司 | 可视化v2x网络安全防御方法及设备 |
| CN112217838B (zh) * | 2020-11-02 | 2021-08-31 | 福州大学 | 一种基于云模型理论的网络攻击面评估方法 |
| CN113691506B (zh) * | 2021-08-05 | 2023-03-28 | 成都安美勤信息技术股份有限公司 | 基于大数据和互联网的智慧医疗平台入侵检测系统 |
| CN114024769A (zh) * | 2021-12-07 | 2022-02-08 | 中国建设银行股份有限公司 | 一种网络流量安全控制系统 |
| CN114884835A (zh) * | 2022-05-10 | 2022-08-09 | 交通银行股份有限公司海南省分行 | 一种监测业务系统的方法及装置 |
| CN116962049B (zh) * | 2023-07-25 | 2024-03-12 | 三峡高科信息技术有限责任公司 | 一种综合监测和主动防御的零日漏洞攻击防控方法和系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8272061B1 (en) * | 2002-10-01 | 2012-09-18 | Skyobox security Inc. | Method for evaluating a network |
| US8640234B2 (en) * | 2003-05-07 | 2014-01-28 | Trustwave Holdings, Inc. | Method and apparatus for predictive and actual intrusion detection on a network |
| CN104378365A (zh) * | 2014-10-30 | 2015-02-25 | 广东电子工业研究院有限公司 | 一种能够进行协同分析的安全管理中心 |
| CN105847291A (zh) * | 2016-05-13 | 2016-08-10 | 内蒙古工业大学 | 计算机网络防御决策系统 |
| CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
| CN106899601A (zh) * | 2017-03-10 | 2017-06-27 | 北京华清信安科技有限公司 | 基于云和本地平台的网络攻击防御装置和方法 |
-
2018
- 2018-11-28 CN CN201811469228.XA patent/CN109558729B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8272061B1 (en) * | 2002-10-01 | 2012-09-18 | Skyobox security Inc. | Method for evaluating a network |
| US8640234B2 (en) * | 2003-05-07 | 2014-01-28 | Trustwave Holdings, Inc. | Method and apparatus for predictive and actual intrusion detection on a network |
| CN104378365A (zh) * | 2014-10-30 | 2015-02-25 | 广东电子工业研究院有限公司 | 一种能够进行协同分析的安全管理中心 |
| CN105847291A (zh) * | 2016-05-13 | 2016-08-10 | 内蒙古工业大学 | 计算机网络防御决策系统 |
| CN106131023A (zh) * | 2016-07-15 | 2016-11-16 | 深圳市永达电子信息股份有限公司 | 一种信息安全风险强力识别系统 |
| CN106899601A (zh) * | 2017-03-10 | 2017-06-27 | 北京华清信安科技有限公司 | 基于云和本地平台的网络攻击防御装置和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109558729A (zh) | 2019-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109558729B (zh) | 一种网络攻击的智能防御系统 | |
| CN107241226B (zh) | 基于工控私有协议的模糊测试方法 | |
| CN107277039B (zh) | 一种网络攻击数据分析及智能处理方法 | |
| CN106534195B (zh) | 一种基于攻击图的网络攻击者行为分析方法 | |
| CN102821002B (zh) | 网络流量异常检测方法和系统 | |
| Hassan | Network intrusion detection system using genetic algorithm and fuzzy logic | |
| CN102611713B (zh) | 基于熵运算的网络入侵检测方法和装置 | |
| CN108632269B (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
| CN103491060B (zh) | 一种防御Web攻击的方法、装置、及系统 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| CN107733863A (zh) | 一种分布式hadoop环境下的日志调试方法和装置 | |
| CN110691073A (zh) | 一种基于随机森林的工控网络暴力破解流量检测方法 | |
| CN112165470B (zh) | 一种基于日志大数据分析的智能终端接入安全预警系统 | |
| CN103561003A (zh) | 一种基于蜜网的协同式主动防御方法 | |
| Almseidin et al. | Anomaly-based intrusion detection system using fuzzy logic | |
| Gharehchopogh et al. | Evaluation of fuzzy k-means and k-means clustering algorithms in intrusion detection systems | |
| CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
| Aung et al. | An analysis of K-means algorithm based network intrusion detection system | |
| Al-Sanjary et al. | Comparison and detection analysis of network traffic datasets using K-means clustering algorithm | |
| CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及系统 | |
| Sultana et al. | Detecting and preventing ip spoofing and local area network denial (land) attack for cloud computing with the modification of hop count filtering (hcf) mechanism | |
| CN112491801B (zh) | 一种基于关联矩阵的面向对象网络攻击建模方法及装置 | |
| Yang et al. | Botnet detection based on machine learning | |
| Zaghdoud et al. | Contextual fuzzy cognitive map for intrusion response system | |
| Abou Haidar et al. | High perception intrusion detection system using neural networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |