CN106330964A - 一种网络入侵探测与主动防御联动控制装置 - Google Patents

Abstract

本发明公开了一种网络入侵探测与主动防御联动控制装置，包括：数据包转发模块；数据包镜像流量预处理模块；联动控制装置模块；网络行为检测分析模块；流量数据库集群系统。本发明结合传统的网络异常检测PHAD模型方法，结合有限地对数据包内容关键字段进行深度检测和分析，力求准确地判断是否具有攻击行为特征的网络流量，在此基础上，通过对数据包转发模块的转发规则表实施动态干预，实现对异常数据流量的阻断。本发明的主要特点是旁路分析攻击行为，反向控制转发行为，当探测到异常网络攻击时，能实时加以对数据流的主动截断，从而达到主动探测攻击、主动防御的联动效果。

Description

一种网络入侵探测与主动防御联动控制装置

技术领域

本发明属于网络安全技术领域.，尤其涉及一种网络入侵探测与主动防御联动控制装置。

背景技术

传统的入侵检测技巧分为两种：基于误用检测(misused-based)技巧和基于异常检测(anomaly-based)技巧。前者通过描述每一种攻击的特殊模式来检测，是目前入侵检测商业产品中使用的主要技巧，其依靠人为的预先设定报警规则来实现，所以在面对不断变化的网络攻击时有其本身固有的缺陷。网络攻击的行为是变化的，方法、方式也是不断变化的，传统的入侵检测技术几乎都把检测的方法固化在程序中，难以应对实时变化的入侵方法(尽管目前有些产品提供了升级策略，但实施过程需要中断业务，其实质就是重新更换OS，难以根本性改变这种架构模式的缺陷。基于异常检测技巧主要针对解决误用检测技巧所面临的问题，常见的异常流量检测存在报警意义模糊，误报率较高，系统之间难以协同等问题。现有的入侵检测系统都是仅仅包含检测的方法和能力，并没有在探测到入侵时能主动实施防御策略，而需要网络管理员手工去配置一些额外的设备进行防御。

传统入侵检测仅仅是发现可疑的网络行为并告警，并不直接实施防御功能，依赖于网络管理员发现并根据经验判断，从而开始其他设备，比如防火墙来对网络行为进行限制或者影响，但做不到比较实时的联动防御。

发明内容

本发明的目的在于提供一种网络入侵探测与主动防御联动控制装置，旨在解决传统的入侵检测存在面对不断变化的网络攻击时有其本身固有的缺陷，报警意义模糊，误报率较高，系统之间难以协同，没有在探测到入侵时能主动实施防御策略，需要网络管理员手工配置设备进行防御，但做不到比较实时的联动防御的问题。

本发明是这样实现的，一种网络入侵探测与主动防御联动控制方法，所述网络入侵探测与主动防御联动控制方法包括：

进行用户局域网侧的数据包到路由器之间的数据包转发；

实现获得基本的镜像流量，以及负责对镜像流量数据进行预处理；

规则库获取最新规则动态，同时实现数据连接，转发其获得的最新规则状态；

根据分析算法的不同或者变化动态装载分析算法到本联动控制系统，从流量数据库中依据标准的SQL规范来获取数据进行分析；

存储来自镜像服务器的预处理流量，为各类网络行为检测分析服务器提供数据接口，支持网络行为分析；提供规则数据库，存储进网络行为检测分析服务器产生的各类判决规则，同时判决规则数据库为联动控制装置服务器提供来源数据。

进一步，所述进行用户局域网侧的数据包到路由器之间的数据包转发包括：正常流量时，该装置对数据包不起作用；异常流量时，根据动态的转发规则对异常流量实施丢弃处理，实现对网络流量的区别对待，达到主动阻断网络攻击。

进一步，所述实现获得基本的镜像流量，以及负责对镜像流量数据进行预处理包括：

在镜像端口上捕获数据包，从TCP/IP协议栈的数据链路层开始对数据包进行分析，对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取，并包装为新的数据包格式，存入缓冲队列中；

从缓冲队列中获取数据包的线程将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。

进一步，所述根据分析算法的不同或者变化动态装载到本联动控制系统，从流量数据库系统依据标准的SQL规范获取数据进行分析包括：

根据业务数据库表字段，选取感兴趣的部分字段查询某段时间范围内的数据；

依据分析算法中的异常检测模型(由具体的检测算法确定)判断网络行为；如基于端口号匹配、基于特征字段，基于传输层行为模式、基于HTTP行为模式，以及基于其他layer5层的数据特征等多种分析方法；

对异常流量进行判决，写入转发规则至动态规则库；

依据网络行为检测分析服务器配置，对动态规则库的规则进行有效性及时间戳修改；

提供用户配置界面，对网络行为检测算法的各项参数进行初始配置或修订。

进一步，所述规则库获取最新规则动态，同时实现数据连接，转发其获得的最新规则状态包括：

建立与流量数据库集群系统之间的连接；

建立与数据包转发模块之间的数据连接；

依据联动控制调度配置实施规则调度策略；

将获取到的动态规则表数据转换为TLY格式，实现从联动控制装置到数据包转发模块的推送。

本发明的另一目的在于提供一种所述网络入侵探测与主动防御联动控制方法的网络入侵探测与主动防御联动控制装置，所述网络入侵探测与主动防御联动控制装置包括：

数据包转发模块，用于进行用户局域网侧的数据包到路由器之间的数据包转发；

数据包镜像流量预处理模块，用于实现从数据包转发模块中获得基本的镜像流量，以及负责对镜像流量数据进行预处理；

联动控制装置模块，用于从流量数据库集群系统中的规则库获取最新规则动态，同时与数据包转发模块实现数据连接，转发其获得的最新规则状态，并推送至数据包转发模块；

网络行为检测分析模块，根据分析算法的不同或者变化动态装入本联动控制系统，从数据库集群装置处获取数据，依据标准的SQL规范从数据库集群系统获取数据进行分析；

流量数据库集群系统，用于存储来自镜像服务器的预处理流量，为各类网络行为检测分析服务器提供数据接口，支持网络行为分析；提供规则数据库，存储进网络行为检测分析服务器产生的各类判决规则，同时判决规则数据库为联动控制装置服务器提供来源数据。

进一步，所述数据包转发模块包括：数据输入端口，数据输出端口，数据镜像端口，数据联动控制端口。

进一步，所述数据包镜像流量预处理服务器包括：

数据捕获模块，用于在镜像端口上捕获数据包，对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取，并包装为新的数据包格式，存入缓冲队列中；

数据包线程获取模块，用于从缓冲队列中获取数据包的线程，线程是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。

进一步，所述网络行为检测分析服务器包括：

选取模块，用于根据业务数据库表字段，选取感兴趣的部分字段查询某段时间范围内的数据；

判断模块，用于依据分析算法中的异常检测模型对数据进行分析处理，判断网络行为；

写入模块，用于对异常流量进行判决，写入转发规则至动态规则库；

修改模块，用于依据网络行为检测分析服务器配置，对动态规则库的规则进行有效性及时间戳修改；

修订模块，用于提供用户配置界面，对网络行为检测算法的各项参数进行初始配置或修订；

进一步，所述联动控制装置服务器包括：

SQL连接模块，用于建立与流量数据库集群系统之间的连接；

数据连接模块，用于建立与数据包转发模块之间的数据连接；

实施模块，用于依据联动控制调度配置实施规则调度策略；

推送模块，用于将获取到的动态规则表数据转换为TLY格式，实现从联动控制装置到数据包转发模块的推送。

本发明提供的网络入侵探测与主动防御联动控制装置，结合传统的网络异常检测PHAD(packet headeranomaly detection)模型方法，同时加以适当的网络流量特征向量，通过有限地对数据包内容关键字段进行检测和分析，力求准确地判断是否具有攻击行为的网络流量特征，在此基础上，通过对数据包转发模块的转发规则表实施动态干预(主要指对规则的生效、有效时间等进行修改)，实现对异常数据流量的阻断。本发明的主要特点是旁路分析攻击行为，反向控制转发行为，当探测到异常网络攻击时，能实时加以对数据流的主动截断，从而达到主动探测攻击、主动防御的联动效果。本发明提出了一种既能检测网络攻击行为，又能主动防御的联动装置，扩展了传统的网络入侵检测设备的能力。

结合传统的网络异常检测方法，同时加以有限地对数据包内容关键字段进行检测和分析,在此基础上，通过对本装置中的网络转发模块的转发规则表实施动态干预(主要指对规则的生效、有效时间等进行修改)，实现对异常数据流量的阻断。本装置的主要特点是旁路分析攻击行为，反向控制转发行为，当探测到异常网络攻击时，能实时加以对数据流的主动截断，从而达到主动探测攻击、主动防御的联动效果。

本发明提供的网络入侵探测与主动防御联动控制装置将网络入侵检测功能与网络主动防御通过该技术方案形成一个有机的整体，二者之间不再独立，而是在检测算法的作用下相互联动，做到比较实时的主动网络防御，整个过程不需要网络管理人员参与。同时，防御的准确度和有效性可以通过不断地调整、优化检测算法/方法来进行改进，同时本技术方案对与新的检测方法/方式的引入提供了即插即用的软件接口，新增、升级检测方法与算法时，无需中断网络业务，实现了调整灵活，部署灵活。

附图说明

图1是本发明实施例提供的网络入侵探测与主动防御联动控制装置结构示意图；

图中：1、路由器；2、数据包转发模块；3、用户端；4、数据包镜像流量预处理服务器；5、联动控制装置服务器；6、网络行为检测分析服务器；7、流量数据库集群系统。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明结合传统的网络异常检测PHAD(packet headeranomaly detection)模型方法，同时加以适当的网络流量特征向量，通过有限地对数据包内容关键字段进行检测和分析，力求准确地判断是否具有攻击行为的网络流量特征，在此基础上，通过对数据包转发模块的转发规则表实施动态干预(主要指对规则的生效、有效时间等进行修改)，实现对异常数据流量的阻断。本发明的主要特点是旁路分析攻击行为，反向控制转发行为，当探测到异常网络攻击时，能实时加以对数据流的主动截断，从而达到主动探测攻击、主动防御的联动效果。

下面结合附图对本发明的结构作详细的描述。

如图1所示，本发明实施例的网络入侵探测与主动防御联动控制装置包括：路由器1、数据包转发模块2、用户端3、数据包镜像流量预处理服务器4、联动控制装置服务器5、网络行为检测分析服务器6、流量数据库集群系统7。

路由器1，

数据包转发模块2，用于进行用户局域网侧的数据包到路由器之间的数据包转发；

用户端3，

数据包镜像流量预处理服务器4，用于实现从数据包转发模块中获得基本的镜像流量，以及负责对镜像流量数据进行预处理；

联动控制装置服务器5，用于从流量数据库集群系统中的规则库获取最新规则动态，同时与数据包转发模块实现数据连接，转发其获得的最新规则状态，并推送至数据包转发模块。

网络行为检测分析服务器6，根据分析算法的不同或者变化动态装入，从数据库集群装置处获取数据，依据标准的SQL规范从数据库集群系统获取数据进行分析。

流量数据库集群系统7，用于存储来自镜像服务器的预处理流量，为各类网络行为检测分析服务器提供数据接口，支持网络行为分析；提供规则数据库，存储进网络行为检测分析服务器产生的各类判决规则，同时判决规则数据库为联动控制装置服务器提供来源数据。

下面结合附图对本发明的工作原理作进一步的描述。

本发明装置在用户的网络环境中，引入数据包转发模块、数据包镜像流量预处理服务器、联动控制装置服务器、流量数据库集群系统与网络行为检测分析服务器，其中网络行为检测分析服务器可根据分析算法的不同或者变化动态装入，灵活性好，行为网络行为检测分析服务器之间互不影响。

1、数据包转发模块

数据包转发模块类似于交换机，其目的和功能是进行用户局域网侧的数据包到路由器之间的数据包转发，对正常流量而言，为透明的(即不起任何作用)，对异常流量，可根据动态的的转发规则对这部分流量实施丢弃处理，实现对网络流量的区别对待，达到主动阻断网络攻击的行为。

数据包转发模块是多端口设备，至少应具备数据输入端口，数据输出端口，数据镜像端口，数据联动控制端口，根据用户的需求，该设备也可具备两种类型的数据镜像端口，分别是出网络数据与入网络数据流量进行引流。

在数据包转发模块中，数据包的转发依据如下规则表：表1转发规则表

如上规则示意表，转发模块依据源/目标MAC地址，IP地址，端口，有效期实施对流量的判决，drop为丢弃，accept为放行，其规则表本身是动态实时变化的，来源为联动控制装置服务器。

2.数据包镜像流量预处理服务器

实现从数据包转发模块中获得基本的镜像流量，以及负责对镜像流量数据进行预处理，具体的处理方案如下：

1)在镜像端口上捕获数据包，对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段(flag)、序号、确认号、应用层部分数据字段进行截取，并包装为新的数据包格式，存入缓冲队列中。同时应设计适当的缓冲队列容限，但数据流量超过队列的平均长度时，实施概率性的丢包策略，确保数据镜像服务器自身的稳定运行。

2)设计从缓冲队列中获取数据包的线程，该线程的主要作用是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存；

3.流量数据库集群系统

流量数据库根据用户网络的规模，应设置为大小不等的数据库集群系统，主要通过Scale Out横向扩展的方法，增加处理节点以提高整体处理能力。网络流量越大，理论上集群系统的节点，存储空间越大。由于网络流量的巨大，该集群系统的存储容量并不需要无限制扩大来面对流量的剧增，而是采用存储N天的机制，实施对过期数据的复写，删除超过门限值的历史数据，实现循环利用磁盘空间。上述所有的内容都要依据公司内部的业务场景、数据量、访问量、并发量、高可用的要求、DBA人群的数量等综合权衡。

该流量数据库集群系统主要有两方面的作用，一是存储来自镜像服务器的预处理流量，而是为各类网络行为检测分析服务器提供数据接口，支持网络行为分析，三是提供规则数据库，存储进网络行为检测分析服务器产生的各类判决规则，同时判决规则数据库为联动控制装置提供了来源数据。

一般来说，其具体设计方案为：

1)基于用户网络规模等因素，搭建基于mysql的数据库集群系统。

2)构建业务数据库表。

3)构建转发规则数据库。

4)提供标准查询接口，为网络行为检测分析服务器，联动控制装置服务器提供数据服务。

其中业务数据库表格式定义如下：

流量规则库表结构参见表1。

3.网络行为检测分析服务器

网络行为检测分析服务器可根据分析算法的不同或者变化动态装入，灵活性好，行为网络行为检测分析服务器之间互不影响。行为网络行为检测分析服务器从数据库集群装置处获取数据，可以依据标准的SQL规范从数据库集群系统获取数据进行分析，具体的分析方法多种多样。但数据分析的主要思路及解决方案如下：

1)根据业务数据库表字段，选取感兴趣的部分字段查询某段时间范围内的数据；

2)依据这些数据的可能存在的内在规律(由具体的检测算法确定)判断网络行为，如基于端口号匹配、基于特征字段，基于传输层行为模式、基于HTTP行为模式，以及基于其他layer5层的数据特征等多种分析方法。

3)对异常流量进行判决，写入转发规则至动态规则库；

4)依据网络行为检测分析服务器配置，对动态规则库的规则进行有效性及时间戳修改；

5)提供用户配置界面，对网络行为检测算法的各项参数进行初始配置或修订；

4.联动控制装置服务器

在于从流量数据库集群系统中的规则库获取最新规则动态，同时与本发明中的数据包转发模块实现数据连接，转发其获得的最新规则状态，并推送至数据包转发模块。具体的设计方案如下：

1)建立与流量数据库集群系统之间的连接；

2)建立与数据包转发模块之间的数据连接；

3)依据联动控制调度配置(间隔时间，数据库配置信息)等实施规则调度策略；

4)将获取到的动态规则表数据转换为TLY格式，实现从联动控制装置到数据包转发模块的推送。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种网络入侵探测与主动防御联动控制方法，其特征在于，所述网络入侵探测与主动防御联动控制方法包括：

进行用户局域网侧的数据包到路由器之间的数据包转发；

实现获得基本的镜像流量，以及负责对镜像流量数据进行预处理；

规则库获取最新动态规则，同时实现数据连接传输，转发其获得的最新规则状态；

根据分析算法的不同或变化，将相关的分析算法动态装载到本联动控制系统，分析算法应依据标准的SQL规范从流量数据库集群获得数据进行相关分析；

存储来自镜像服务器的预处理流量，为各类网络行为检测分析服务器提供数据接口，支持网络行为分析；提供规则数据库，存储进网络行为检测分析服务器产生的各类判决规则，同时判决规则数据库为联动控制装置服务器提供来源数据。

2.如权利要求1所述的网络入侵探测与主动防御联动控制方法，其特征在于，所述进行用户局域网侧的数据包到路由器之间的数据包转发包括：正常流量时，该装置对数据包不起作用；异常流量时，根据动态的转发规则对异常流量实施丢弃处理，实现对网络流量的区别对待，达到主动阻断网络攻击；

所述实现获得基本的镜像流量，以及负责对镜像流量数据进行预处理包括：

在镜像端口上捕获数据包，从TCP/IP协议栈的数据链路层开始对数据包进行分析，对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取，并包装为新的数据包格式，存入缓冲队列中；

从缓冲队列中获取数据包的线程，线程是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。

3.如权利要求1所述的网络入侵探测与主动防御联动控制方法，其特征在于，根据分析算法的不同或者变化，将相关的分析算法动态装载到联动控制系统，分析算法应依据标准的SQL规范从流量数据库集群获得数据进行分析包括：

根据业务数据库表字段，选取感兴趣的部分字段查询某段时间范围内的数据；

依据分析算法中的异常检测模型对数据进行分析处理，判断网络行为；

对异常流量进行判决，写入转发规则至动态规则库；

依据网络行为检测分析服务器配置，对动态规则库的规则进行有效性及时间戳修改；

提供用户配置界面，对网络行为检测算法所需的各项参数进行初始配置或修订。

4.如权利要求1所述的网络入侵探测与主动防御联动控制方法，其特征在于，所述规则库获取最新规则动态，同时实现数据连接传输，转发其获得的最新规则状态包括：

建立与流量数据库集群系统之间的连接；

建立与数据包转发模块之间的数据连接；

依据联动控制调度配置实施规则调度策略；

将获取到的动态规则表数据转换为TLY格式，实现从联动控制装置到数据包转发模块的推送。

5.一种如权利要求1所述网络入侵探测与主动防御联动控制方法的网络入侵探测与主动防御联动控制装置，其特征在于，所述网络入侵探测与主动防御联动控制装置包括：

数据包转发模块，用于进行用户局域网侧的数据包到路由器之间的数据包转发；

数据包镜像流量预处理模块，用于实现从数据包转发模块中获得基本的镜像流量，以及负责对镜像流量数据进行预处理；

联动控制装置模块，用于从流量数据库集群系统中的规则库获取最新规则动态，同时与数据包转发模块实现数据连接，转发其获得的最新规则状态，并推送至数据包转发模块；

网络行为检测分析模块，根据分析算法的不同或者变化动态装入，从数据库集群装置处获取数据，依据标准的SQL规范从数据库集群系统获取数据进行分析；

流量数据库集群系统，用于存储来自镜像服务器的预处理流量，为各类网络行为检测分析服务器提供数据接口，支持网络行为分析；提供规则数据库，存储进网络行为检测分析服务器产生的各类判决规则，同时判决规则数据库为联动控制装置服务器提供来源数据。

6.如权利要求5所述的网络入侵探测与主动防御联动控制装置，其特征在于，所述数据包转发模块包括：数据输入端口，数据输出端口，数据镜像端口，数据联动控制端口。

7.如权利要求5所述的网络入侵探测与主动防御联动控制装置，其特征在于，所述数据包镜像流量预处理模块包括：

数据捕获子模块，用于在镜像端口上捕获数据包，对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取，并包装为新的数据包格式，存入缓冲队列中；

数据包线程获取子模块，用于从缓冲队列中获取数据包的线程，线程是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。

8.如权利要求5所述的网络入侵探测与主动防御联动控制装置，其特征在于，所述网络行为检测分析服务器包括：

选取模块，用于根据业务数据库表字段，选取感兴趣的部分字段查询某段时间范围内的数据；

判断模块，用于依据分析算法中的异常检测模型对数据进行分析处理，判断网络行为；

写入模块，用于对异常流量进行判决，写入转发规则至动态规则库；

修改模块，用于依据网络行为检测分析服务器配置，对动态规则库的规则进行有效性及时间戳修改；

修订模块，用于提供用户配置界面，对网络行为检测算法的各项参数进行初始配置或修订。

9.如权利要求5所述的网络入侵探测与主动防御联动控制装置，其特征在于，所述联动控制装置服务器包括：

SQL连接模块，用于建立与流量数据库集群系统之间的SQL连接；

数据连接模块，用于建立与数据包转发模块之间的数据连接；

实施模块，用于依据联动控制调度配置实施规则调度策略；

推送模块，用于将获取到的动态规则表数据转换为TLY格式，实现从联动控制装置到数据包转发模块的推送。