CN106209814A - 一种分布式网络入侵防御系统 - Google Patents
一种分布式网络入侵防御系统 Download PDFInfo
- Publication number
- CN106209814A CN106209814A CN201610523267.8A CN201610523267A CN106209814A CN 106209814 A CN106209814 A CN 106209814A CN 201610523267 A CN201610523267 A CN 201610523267A CN 106209814 A CN106209814 A CN 106209814A
- Authority
- CN
- China
- Prior art keywords
- module
- windows
- control station
- web
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种分布式网络入侵防御系统,包括windows控制台单元、WEB控制台单元以及系统检测单元,其中windows控制台单元包括windows配置管理模块、windows系统监控模块、windows日志管理模块,WEB控制台单元包括WEB配置管理模块、WEB系统监控模块、WEB日志管理模块、策略管理模块,系统检测单元包括入侵保护模块、入侵检测模块、协议分析模块、防火墙模块、协议识别模块、数据捕获模块;该系统一种能自动采取行动阻止攻击和入侵,弥补了当前IPS的不足,通过部署该入侵防御系统,同其他安全产品形成互补,形成深度防御体系,最大限度地保护企业和组织的网络安全。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种一种分布式网络入侵防御系统。
背景技术
目前随着信息化建设的蓬勃发展,国家对网络安全给予了高度重视。网络入侵防御系统(IPS)技术发展也相当迅速,它能够以更细粒度的方式检查网络流量,主动地对安全事件进行响应,防止各个层面攻击事件的发生。但是,目前的IPS仍然面临着一些问题:
1)性能瓶颈:即使IPS不出现故障,由于需要处理所有的网络流量和系统调用,必然会增加滞后时间,这样就可能导致网络和系统效率的降低,使之成为一个潜在的性能瓶颈。
2)误报和漏报:如果产生误报将会导致合法的流量或者请求被意外拦截,形成拒绝服务。对于实时在线的IPS来说,一旦拦截了攻击性数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果产生漏报,将会导致攻击事件的成功发生。
3)攻击工具越来越先进:现在的攻击工具具备了反侦破和动态行为,可以绕过防火墙,且不对称攻击的威胁在不断扩大。
4)攻击的自动化程度和速度不断提高,且杀伤力逐步增强。发现安全漏洞越来越快,覆盖面越来越广,新发现的安全漏洞每年要增加一倍,而且安全漏洞类型不断翻新。
为了解决上述问题,我们在IPS架构设计及系统实现上进行了深入的研究,针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDOS等黑客攻击,以及网络资源滥用,提出一种分布式“分析与检测+集中控制+升级服务”技术架构的网络入侵防御系统(以下简称DNIPS)。该系统的特点体现在高度融合性、高安全性、高可靠性和易操作性等特性,能自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断。
发明内容
本发明针对现有技术不足,提供一种分布式网络入侵防御系统,最大限度地保护企业和组织的网络安全。
本发明的目的可以通过以下技术方案实现:
一种分布式网络入侵防御系统,其特征在于:包括windows控制台单元、WEB控制台单元以及系统检测单元;
所述的windows控制台单元包括windows配置管理模块、windows系统监控模块、windows日志管理模块;
所述的windows配置管理模块主要用于对windows控制台的规则管理、用户管理、事件管理和升级管理;
所述的windows系统监控模块主要对windows控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的windows日志管理模块主要对windows控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的WEB控制台单元包括WEB配置管理模块、WEB系统监控模块、WEB日志管理模块、策略管理模块;
所述的WEB配置管理模块主要用于对WEB控制台的规则管理、用户管理、事件管理和升级管理;
所述的WEB系统监控模块主要对WEB控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的WEB日志管理模块主要对WEB控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的策略管理模块采用自定义访问控制策略,用于根据不同事态变化,对各种策略进行综合评估和分析,采取相应的策略进行检测或防御;
所述的系统检测单元包括入侵保护模块、入侵检测模块、协议分析模块、防火墙模块、协议识别模块、数据捕获模块;
所述的入侵保护模块主要对包的丢失、中断连接、TCP killer、防火墙协作、邮件报警、SNMPTRAP、和日志数据库等进行保护及响应;
所述的入侵检测模块主要采用CSD的协议异常检测技术和设计一个拒绝服务攻击检测模块,对误用、协议异常和DOS的检测进行相关分析,并通过告警系统及时响应;
所述的协议分析模块主要采用智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理;
所述的防火墙模块对访问控制采用内置状态防火墙和自定义访问控制策略,对NAT支持提供网络地址转换功能;
所述的协议识别模块主要负责对分析出来的IP碎片重组、TCP状态跟踪和TCP流的汇聚进行识别并作出标志;
所述的数据捕获模块,对来自于经过上述模块的分析和识别的数据包进行捕获,获得该数据包的源地址、源端口、目的地址、目的端口和所使用的协议等数据,并进行相关告警,必要时自动关闭网络设备。
本发明的有益效果:
本发明提供一种能自动采取行动阻止攻击和入侵的分布式网络入侵防御系统,这种分布式“分析与检测+集中控制+升级服务”技术架构的网络入侵防御系统弥补了当前IPS的不足,通过部署该入侵防御系统,同其他安全产品形成互补,形成深度防御体系,最大限度地保护企业和组织的网络安全。
附图说明
下面结合附图和具体实施例对本发明作进一步详细描述。
图1是本发明的示意图。
具体实施方式
如图1所示,本发明是一种布式网络入侵防御系统,包括windows控制台单元D110、WEB控制台单元D120、系统检测单元D130共三大模块;
具体的,所述的windows控制台单元D110包括配置管理模块M111、系统监控模块M112、日志管理模块M113;
所述的WEB控制台单元D120包括配置管理模块M121、系统监控模块M122、日志管理模块M123、策略管理模块M124;
所述的系统检测单元D130包括入侵保护模块M131、入侵检测模块M132、协议分析模块M133、防火墙模块M134、协议识别模块M135、数据捕获模块M136;
所述的配置管理模块M111主要用于对windows控制台的规则管理、用户管理、事件管理和升级管理;
所述的系统监控模块M112主要对windows控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的日志管理模块M113主要对windows控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的配置管理模块M121主要用于对WEB控制台的规则管理、用户管理、事件管理和升级管理;
所述的系统监控模块M122主要对WEB控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的日志管理模块M123主要对WEB控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的策略管理模块M124采用自定义访问控制策略,用于根据不同事态变化,对各种策略进行综合评估和分析,采取相应的策略进行检测或防御;
所述的入侵保护模块M131主要对包的丢失、中断连接、TCP killer、防火墙协作、邮件报警、SNMPTRAP、和日志数据库等进行保护及响应;
所述的入侵检测模块M132主要采用CSD的协议异常检测技术和设计一个拒绝服务攻击检测模块,对误用、协议异常和DOS的检测进行相关分析,并通过告警系统及时响应;
所述的协议分析模块M133主要采用智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理;
所述的防火墙模块M134对访问控制采用内置状态防火墙和自定义访问控制策略,对NAT支持提供网络地址转换功能,支持静态NAT(Static NAT)、动态NAT(Pooled NAT)和端口NAT(PAT),支持多对一、多对多和一对一等多种地址转换方式;在路由方面使用灵活的策略路由功能,根据协议类型、应用、IP源地址等策略来选择数据转发路径,根据报文数据流的发起方向来确定以后的路由,满足各种应用环境的需要;
所述的协议识别模块M135主要负责对分析出来的IP碎片重组、TCP状态跟踪和TCP流的汇聚进行识别并作出标志;
所述的数据捕获模块M136,对来自于经过上述模块的分析和识别的数据包进行捕获,获得该数据包的源地址、源端口、目的地址、目的端口和所使用的协议等数据,并进行相关告警,必要时自动关闭网络设备。
以上内容仅仅是对本发明结构所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
Claims (1)
1.一种分布式网络入侵防御系统,其特征在于:包括windows控制台单元、WEB控制台单元以及系统检测单元;
所述的windows控制台单元包括windows配置管理模块、windows系统监控模块、windows日志管理模块;
所述的windows配置管理模块主要用于对windows控制台的规则管理、用户管理、事件管理和升级管理;
所述的windows系统监控模块主要对windows控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的windows日志管理模块主要对windows控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的WEB控制台单元包括WEB配置管理模块、WEB系统监控模块、WEB日志管理模块、策略管理模块;
所述的WEB配置管理模块主要用于对WEB控制台的规则管理、用户管理、事件管理和升级管理;
所述的WEB系统监控模块主要对WEB控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的WEB日志管理模块主要对WEB控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的策略管理模块采用自定义访问控制策略,用于根据不同事态变化,对各种策略进行综合评估和分析,采取相应的策略进行检测或防御;
所述的系统检测单元包括入侵保护模块、入侵检测模块、协议分析模块、防火墙模块、协议识别模块、数据捕获模块;
所述的入侵保护模块主要对包的丢失、中断连接、TCP killer、防火墙协作、邮件报警、SNMPTRAP、和日志数据库等进行保护及响应;
所述的入侵检测模块主要采用CSD的协议异常检测技术和设计一个拒绝服务攻击检测模块,对误用、协议异常和DOS的检测进行相关分析,并通过告警系统及时响应;
所述的协议分析模块主要采用智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理;
所述的防火墙模块对访问控制采用内置状态防火墙和自定义访问控制策略,对NAT支持提供网络地址转换功能;
所述的协议识别模块主要负责对分析出来的IP碎片重组、TCP状态跟踪和TCP流的汇聚进行识别并作出标志;
所述的数据捕获模块,对来自于经过上述模块的分析和识别的数据包进行捕获,获得该数据包的源地址、源端口、目的地址、目的端口和所使用的协议等数据,并进行相关告警,必要时自动关闭网络设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610523267.8A CN106209814A (zh) | 2016-07-04 | 2016-07-04 | 一种分布式网络入侵防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610523267.8A CN106209814A (zh) | 2016-07-04 | 2016-07-04 | 一种分布式网络入侵防御系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106209814A true CN106209814A (zh) | 2016-12-07 |
Family
ID=57465802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610523267.8A Pending CN106209814A (zh) | 2016-07-04 | 2016-07-04 | 一种分布式网络入侵防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106209814A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789351A (zh) * | 2017-01-24 | 2017-05-31 | 华南理工大学 | 一种基于sdn的在线入侵防御方法和系统 |
| CN107124397A (zh) * | 2017-03-29 | 2017-09-01 | 国网安徽省电力公司信息通信分公司 | 一种移动交互平台网络加固装置及其加固方法 |
| CN107277070A (zh) * | 2017-08-15 | 2017-10-20 | 山东华诺网络科技有限公司 | 一种计算机网络入侵防御系统及入侵防御方法 |
| CN107517214A (zh) * | 2017-09-05 | 2017-12-26 | 合肥丹朋科技有限公司 | 用于提供计算机网络安全的系统和方法 |
| CN109344620A (zh) * | 2018-09-07 | 2019-02-15 | 国网福建省电力有限公司 | 一种基于对hadoop安全配置的检测方法 |
| CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
| CN111711626A (zh) * | 2020-06-16 | 2020-09-25 | 广州市安鸿网络科技有限公司 | 一种网络入侵监测的方法和系统 |
| CN111901314A (zh) * | 2020-07-13 | 2020-11-06 | 珠海格力电器股份有限公司 | 一种智能家居系统入侵防御方法、装置、存储介质及终端 |
| CN114253767A (zh) * | 2021-11-16 | 2022-03-29 | 贵州电网有限责任公司 | 一种用于安全防护的系统监控模块的监控方法 |
| CN115361189A (zh) * | 2022-08-12 | 2022-11-18 | 华能澜沧江水电股份有限公司 | 一种基于分布式防火墙安全策略智能管理的方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030084330A1 (en) * | 2001-10-31 | 2003-05-01 | Tarquini Richard Paul | Node, method and computer readable medium for optimizing performance of signature rule matching in a network |
| CN101465760A (zh) * | 2007-12-17 | 2009-06-24 | 北京启明星辰信息技术股份有限公司 | 一种检测拒绝服务攻击的方法和系统 |
| CN101808078A (zh) * | 2009-02-13 | 2010-08-18 | 北京启明星辰信息技术股份有限公司 | 一种具备主动防御能力的入侵防御系统及方法 |
| CN201742439U (zh) * | 2010-07-30 | 2011-02-09 | 上海忆通广达信息技术有限公司 | 一种基于防火墙与ips的网络装置 |
| CN102916955A (zh) * | 2012-10-15 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络入侵防御/检测系统及方法 |
-
2016
- 2016-07-04 CN CN201610523267.8A patent/CN106209814A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030084330A1 (en) * | 2001-10-31 | 2003-05-01 | Tarquini Richard Paul | Node, method and computer readable medium for optimizing performance of signature rule matching in a network |
| CN101465760A (zh) * | 2007-12-17 | 2009-06-24 | 北京启明星辰信息技术股份有限公司 | 一种检测拒绝服务攻击的方法和系统 |
| CN101808078A (zh) * | 2009-02-13 | 2010-08-18 | 北京启明星辰信息技术股份有限公司 | 一种具备主动防御能力的入侵防御系统及方法 |
| CN201742439U (zh) * | 2010-07-30 | 2011-02-09 | 上海忆通广达信息技术有限公司 | 一种基于防火墙与ips的网络装置 |
| CN102916955A (zh) * | 2012-10-15 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 网络入侵防御/检测系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 薛辉: "一种分布式网络入侵防御系统", 《计算机系统应用》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789351A (zh) * | 2017-01-24 | 2017-05-31 | 华南理工大学 | 一种基于sdn的在线入侵防御方法和系统 |
| CN107124397A (zh) * | 2017-03-29 | 2017-09-01 | 国网安徽省电力公司信息通信分公司 | 一种移动交互平台网络加固装置及其加固方法 |
| CN107277070A (zh) * | 2017-08-15 | 2017-10-20 | 山东华诺网络科技有限公司 | 一种计算机网络入侵防御系统及入侵防御方法 |
| CN107517214A (zh) * | 2017-09-05 | 2017-12-26 | 合肥丹朋科技有限公司 | 用于提供计算机网络安全的系统和方法 |
| CN109344620A (zh) * | 2018-09-07 | 2019-02-15 | 国网福建省电力有限公司 | 一种基于对hadoop安全配置的检测方法 |
| CN109344620B (zh) * | 2018-09-07 | 2021-08-31 | 国网福建省电力有限公司 | 一种基于对hadoop安全配置的检测方法 |
| CN111193719A (zh) * | 2019-12-14 | 2020-05-22 | 贵州电网有限责任公司 | 一种网络入侵防护系统 |
| CN111711626A (zh) * | 2020-06-16 | 2020-09-25 | 广州市安鸿网络科技有限公司 | 一种网络入侵监测的方法和系统 |
| CN111901314A (zh) * | 2020-07-13 | 2020-11-06 | 珠海格力电器股份有限公司 | 一种智能家居系统入侵防御方法、装置、存储介质及终端 |
| CN114253767A (zh) * | 2021-11-16 | 2022-03-29 | 贵州电网有限责任公司 | 一种用于安全防护的系统监控模块的监控方法 |
| CN115361189A (zh) * | 2022-08-12 | 2022-11-18 | 华能澜沧江水电股份有限公司 | 一种基于分布式防火墙安全策略智能管理的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106209814A (zh) | 一种分布式网络入侵防御系统 | |
| CN103561004B (zh) | 基于蜜网的协同式主动防御系统 | |
| EP2715975B1 (en) | Network asset information management | |
| CN103023924B (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
| KR101231975B1 (ko) | 차단서버를 이용한 스푸핑 공격 방어방법 | |
| CN109347814A (zh) | 一种基于Kubernetes构建的容器云安全防护方法与系统 | |
| US20050216956A1 (en) | Method and system for authentication event security policy generation | |
| US20050005017A1 (en) | Method and system for reducing scope of self-propagating attack code in network | |
| CN112087413B (zh) | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 | |
| CN101771702B (zh) | 点对点网络中防御分布式拒绝服务攻击的方法及系统 | |
| CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御系统 | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| KR100523483B1 (ko) | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 | |
| CN105227559A (zh) | 一种积极的自动检测http攻击的信息安全管理框架 | |
| Bhirud et al. | Light weight approach for IP-ARP spoofing detection and prevention | |
| JP2004086880A (ja) | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 | |
| Li et al. | The research and design of honeypot system applied in the LAN security | |
| Patidar et al. | Information theory-based techniques to detect DDoS in SDN: A survey | |
| CN100380336C (zh) | 用于过滤和分析基于分组的通信流量的方法和装置 | |
| Vokorokos et al. | Network security on the intrusion detection system level | |
| Chen et al. | Neuronet: An adaptive infrastructure for network security | |
| Singhrova | A host based intrusion detection system for DDoS attack in WLAN | |
| Ke et al. | Research of hybrid intrusion detection and prevention system for IPv6 network | |
| Yang et al. | Fast deployment of botnet detection with traffic monitoring | |
| Kim et al. | Active edge-tagging (ACT): An intruder identification and isolation scheme in active networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161207 |
|
| RJ01 | Rejection of invention patent application after publication |