CN106330964A - 一种网络入侵探测与主动防御联动控制装置 - Google Patents
一种网络入侵探测与主动防御联动控制装置 Download PDFInfo
- Publication number
- CN106330964A CN106330964A CN201610898223.3A CN201610898223A CN106330964A CN 106330964 A CN106330964 A CN 106330964A CN 201610898223 A CN201610898223 A CN 201610898223A CN 106330964 A CN106330964 A CN 106330964A
- Authority
- CN
- China
- Prior art keywords
- data
- packet
- network
- rule
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本发明公开了一种网络入侵探测与主动防御联动控制装置,包括:数据包转发模块;数据包镜像流量预处理模块;联动控制装置模块;网络行为检测分析模块;流量数据库集群系统。本发明结合传统的网络异常检测PHAD模型方法,结合有限地对数据包内容关键字段进行深度检测和分析,力求准确地判断是否具有攻击行为特征的网络流量,在此基础上,通过对数据包转发模块的转发规则表实施动态干预,实现对异常数据流量的阻断。本发明的主要特点是旁路分析攻击行为,反向控制转发行为,当探测到异常网络攻击时,能实时加以对数据流的主动截断,从而达到主动探测攻击、主动防御的联动效果。
Description
技术领域
本发明属于网络安全技术领域.,尤其涉及一种网络入侵探测与主动防御联动控制装置。
背景技术
传统的入侵检测技巧分为两种:基于误用检测(misused-based)技巧和基于异常检测(anomaly-based)技巧。前者通过描述每一种攻击的特殊模式来检测,是目前入侵检测商业产品中使用的主要技巧,其依靠人为的预先设定报警规则来实现,所以在面对不断变化的网络攻击时有其本身固有的缺陷。网络攻击的行为是变化的,方法、方式也是不断变化的,传统的入侵检测技术几乎都把检测的方法固化在程序中,难以应对实时变化的入侵方法(尽管目前有些产品提供了升级策略,但实施过程需要中断业务,其实质就是重新更换OS,难以根本性改变这种架构模式的缺陷。基于异常检测技巧主要针对解决误用检测技巧所面临的问题,常见的异常流量检测存在报警意义模糊,误报率较高,系统之间难以协同等问题。现有的入侵检测系统都是仅仅包含检测的方法和能力,并没有在探测到入侵时能主动实施防御策略,而需要网络管理员手工去配置一些额外的设备进行防御。
传统入侵检测仅仅是发现可疑的网络行为并告警,并不直接实施防御功能,依赖于网络管理员发现并根据经验判断,从而开始其他设备,比如防火墙来对网络行为进行限制或者影响,但做不到比较实时的联动防御。
发明内容
本发明的目的在于提供一种网络入侵探测与主动防御联动控制装置,旨在解决传统的入侵检测存在面对不断变化的网络攻击时有其本身固有的缺陷,报警意义模糊,误报率较高,系统之间难以协同,没有在探测到入侵时能主动实施防御策略,需要网络管理员手工配置设备进行防御,但做不到比较实时的联动防御的问题。
本发明是这样实现的,一种网络入侵探测与主动防御联动控制方法,所述网络入侵探测与主动防御联动控制方法包括:
进行用户局域网侧的数据包到路由器之间的数据包转发;
实现获得基本的镜像流量,以及负责对镜像流量数据进行预处理;
规则库获取最新规则动态,同时实现数据连接,转发其获得的最新规则状态;
根据分析算法的不同或者变化动态装载分析算法到本联动控制系统,从流量数据库中依据标准的SQL规范来获取数据进行分析;
存储来自镜像服务器的预处理流量,为各类网络行为检测分析服务器提供数据接口,支持网络行为分析;提供规则数据库,存储进网络行为检测分析服务器产生的各类判决规则,同时判决规则数据库为联动控制装置服务器提供来源数据。
进一步,所述进行用户局域网侧的数据包到路由器之间的数据包转发包括:正常流量时,该装置对数据包不起作用;异常流量时,根据动态的转发规则对异常流量实施丢弃处理,实现对网络流量的区别对待,达到主动阻断网络攻击。
进一步,所述实现获得基本的镜像流量,以及负责对镜像流量数据进行预处理包括:
在镜像端口上捕获数据包,从TCP/IP协议栈的数据链路层开始对数据包进行分析,对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取,并包装为新的数据包格式,存入缓冲队列中;
从缓冲队列中获取数据包的线程将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。
进一步,所述根据分析算法的不同或者变化动态装载到本联动控制系统,从流量数据库系统依据标准的SQL规范获取数据进行分析包括:
根据业务数据库表字段,选取感兴趣的部分字段查询某段时间范围内的数据;
依据分析算法中的异常检测模型(由具体的检测算法确定)判断网络行为;如基于端口号匹配、基于特征字段,基于传输层行为模式、基于HTTP行为模式,以及基于其他layer5层的数据特征等多种分析方法;
对异常流量进行判决,写入转发规则至动态规则库;
依据网络行为检测分析服务器配置,对动态规则库的规则进行有效性及时间戳修改;
提供用户配置界面,对网络行为检测算法的各项参数进行初始配置或修订。
进一步,所述规则库获取最新规则动态,同时实现数据连接,转发其获得的最新规则状态包括:
建立与流量数据库集群系统之间的连接;
建立与数据包转发模块之间的数据连接;
依据联动控制调度配置实施规则调度策略;
将获取到的动态规则表数据转换为TLY格式,实现从联动控制装置到数据包转发模块的推送。
本发明的另一目的在于提供一种所述网络入侵探测与主动防御联动控制方法的网络入侵探测与主动防御联动控制装置,所述网络入侵探测与主动防御联动控制装置包括:
数据包转发模块,用于进行用户局域网侧的数据包到路由器之间的数据包转发;
数据包镜像流量预处理模块,用于实现从数据包转发模块中获得基本的镜像流量,以及负责对镜像流量数据进行预处理;
联动控制装置模块,用于从流量数据库集群系统中的规则库获取最新规则动态,同时与数据包转发模块实现数据连接,转发其获得的最新规则状态,并推送至数据包转发模块;
网络行为检测分析模块,根据分析算法的不同或者变化动态装入本联动控制系统,从数据库集群装置处获取数据,依据标准的SQL规范从数据库集群系统获取数据进行分析;
流量数据库集群系统,用于存储来自镜像服务器的预处理流量,为各类网络行为检测分析服务器提供数据接口,支持网络行为分析;提供规则数据库,存储进网络行为检测分析服务器产生的各类判决规则,同时判决规则数据库为联动控制装置服务器提供来源数据。
进一步,所述数据包转发模块包括:数据输入端口,数据输出端口,数据镜像端口,数据联动控制端口。
进一步,所述数据包镜像流量预处理服务器包括:
数据捕获模块,用于在镜像端口上捕获数据包,对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取,并包装为新的数据包格式,存入缓冲队列中;
数据包线程获取模块,用于从缓冲队列中获取数据包的线程,线程是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。
进一步,所述网络行为检测分析服务器包括:
选取模块,用于根据业务数据库表字段,选取感兴趣的部分字段查询某段时间范围内的数据;
判断模块,用于依据分析算法中的异常检测模型对数据进行分析处理,判断网络行为;
写入模块,用于对异常流量进行判决,写入转发规则至动态规则库;
修改模块,用于依据网络行为检测分析服务器配置,对动态规则库的规则进行有效性及时间戳修改;
修订模块,用于提供用户配置界面,对网络行为检测算法的各项参数进行初始配置或修订;
进一步,所述联动控制装置服务器包括:
SQL连接模块,用于建立与流量数据库集群系统之间的连接;
数据连接模块,用于建立与数据包转发模块之间的数据连接;
实施模块,用于依据联动控制调度配置实施规则调度策略;
推送模块,用于将获取到的动态规则表数据转换为TLY格式,实现从联动控制装置到数据包转发模块的推送。
本发明提供的网络入侵探测与主动防御联动控制装置,结合传统的网络异常检测PHAD(packet headeranomaly detection)模型方法,同时加以适当的网络流量特征向量,通过有限地对数据包内容关键字段进行检测和分析,力求准确地判断是否具有攻击行为的网络流量特征,在此基础上,通过对数据包转发模块的转发规则表实施动态干预(主要指对规则的生效、有效时间等进行修改),实现对异常数据流量的阻断。本发明的主要特点是旁路分析攻击行为,反向控制转发行为,当探测到异常网络攻击时,能实时加以对数据流的主动截断,从而达到主动探测攻击、主动防御的联动效果。本发明提出了一种既能检测网络攻击行为,又能主动防御的联动装置,扩展了传统的网络入侵检测设备的能力。
结合传统的网络异常检测方法,同时加以有限地对数据包内容关键字段进行检测和分析,在此基础上,通过对本装置中的网络转发模块的转发规则表实施动态干预(主要指对规则的生效、有效时间等进行修改),实现对异常数据流量的阻断。本装置的主要特点是旁路分析攻击行为,反向控制转发行为,当探测到异常网络攻击时,能实时加以对数据流的主动截断,从而达到主动探测攻击、主动防御的联动效果。
本发明提供的网络入侵探测与主动防御联动控制装置将网络入侵检测功能与网络主动防御通过该技术方案形成一个有机的整体,二者之间不再独立,而是在检测算法的作用下相互联动,做到比较实时的主动网络防御,整个过程不需要网络管理人员参与。同时,防御的准确度和有效性可以通过不断地调整、优化检测算法/方法来进行改进,同时本技术方案对与新的检测方法/方式的引入提供了即插即用的软件接口,新增、升级检测方法与算法时,无需中断网络业务,实现了调整灵活,部署灵活。
附图说明
图1是本发明实施例提供的网络入侵探测与主动防御联动控制装置结构示意图;
图中:1、路由器;2、数据包转发模块;3、用户端;4、数据包镜像流量预处理服务器;5、联动控制装置服务器;6、网络行为检测分析服务器;7、流量数据库集群系统。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明结合传统的网络异常检测PHAD(packet headeranomaly detection)模型方法,同时加以适当的网络流量特征向量,通过有限地对数据包内容关键字段进行检测和分析,力求准确地判断是否具有攻击行为的网络流量特征,在此基础上,通过对数据包转发模块的转发规则表实施动态干预(主要指对规则的生效、有效时间等进行修改),实现对异常数据流量的阻断。本发明的主要特点是旁路分析攻击行为,反向控制转发行为,当探测到异常网络攻击时,能实时加以对数据流的主动截断,从而达到主动探测攻击、主动防御的联动效果。
下面结合附图对本发明的结构作详细的描述。
如图1所示,本发明实施例的网络入侵探测与主动防御联动控制装置包括:路由器1、数据包转发模块2、用户端3、数据包镜像流量预处理服务器4、联动控制装置服务器5、网络行为检测分析服务器6、流量数据库集群系统7。
路由器1,
数据包转发模块2,用于进行用户局域网侧的数据包到路由器之间的数据包转发;
用户端3,
数据包镜像流量预处理服务器4,用于实现从数据包转发模块中获得基本的镜像流量,以及负责对镜像流量数据进行预处理;
联动控制装置服务器5,用于从流量数据库集群系统中的规则库获取最新规则动态,同时与数据包转发模块实现数据连接,转发其获得的最新规则状态,并推送至数据包转发模块。
网络行为检测分析服务器6,根据分析算法的不同或者变化动态装入,从数据库集群装置处获取数据,依据标准的SQL规范从数据库集群系统获取数据进行分析。
流量数据库集群系统7,用于存储来自镜像服务器的预处理流量,为各类网络行为检测分析服务器提供数据接口,支持网络行为分析;提供规则数据库,存储进网络行为检测分析服务器产生的各类判决规则,同时判决规则数据库为联动控制装置服务器提供来源数据。
下面结合附图对本发明的工作原理作进一步的描述。
本发明装置在用户的网络环境中,引入数据包转发模块、数据包镜像流量预处理服务器、联动控制装置服务器、流量数据库集群系统与网络行为检测分析服务器,其中网络行为检测分析服务器可根据分析算法的不同或者变化动态装入,灵活性好,行为网络行为检测分析服务器之间互不影响。
1、数据包转发模块
数据包转发模块类似于交换机,其目的和功能是进行用户局域网侧的数据包到路由器之间的数据包转发,对正常流量而言,为透明的(即不起任何作用),对异常流量,可根据动态的的转发规则对这部分流量实施丢弃处理,实现对网络流量的区别对待,达到主动阻断网络攻击的行为。
数据包转发模块是多端口设备,至少应具备数据输入端口,数据输出端口,数据镜像端口,数据联动控制端口,根据用户的需求,该设备也可具备两种类型的数据镜像端口,分别是出网络数据与入网络数据流量进行引流。
在数据包转发模块中,数据包的转发依据如下规则表:表1转发规则表
如上规则示意表,转发模块依据源/目标MAC地址,IP地址,端口,有效期实施对流量的判决,drop为丢弃,accept为放行,其规则表本身是动态实时变化的,来源为联动控制装置服务器。
2.数据包镜像流量预处理服务器
实现从数据包转发模块中获得基本的镜像流量,以及负责对镜像流量数据进行预处理,具体的处理方案如下:
1)在镜像端口上捕获数据包,对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段(flag)、序号、确认号、应用层部分数据字段进行截取,并包装为新的数据包格式,存入缓冲队列中。同时应设计适当的缓冲队列容限,但数据流量超过队列的平均长度时,实施概率性的丢包策略,确保数据镜像服务器自身的稳定运行。
2)设计从缓冲队列中获取数据包的线程,该线程的主要作用是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存;
3.流量数据库集群系统
流量数据库根据用户网络的规模,应设置为大小不等的数据库集群系统,主要通过Scale Out横向扩展的方法,增加处理节点以提高整体处理能力。网络流量越大,理论上集群系统的节点,存储空间越大。由于网络流量的巨大,该集群系统的存储容量并不需要无限制扩大来面对流量的剧增,而是采用存储N天的机制,实施对过期数据的复写,删除超过门限值的历史数据,实现循环利用磁盘空间。上述所有的内容都要依据公司内部的业务场景、数据量、访问量、并发量、高可用的要求、DBA人群的数量等综合权衡。
该流量数据库集群系统主要有两方面的作用,一是存储来自镜像服务器的预处理流量,而是为各类网络行为检测分析服务器提供数据接口,支持网络行为分析,三是提供规则数据库,存储进网络行为检测分析服务器产生的各类判决规则,同时判决规则数据库为联动控制装置提供了来源数据。
一般来说,其具体设计方案为:
1)基于用户网络规模等因素,搭建基于mysql的数据库集群系统。
2)构建业务数据库表。
3)构建转发规则数据库。
4)提供标准查询接口,为网络行为检测分析服务器,联动控制装置服务器提供数据服务。
其中业务数据库表格式定义如下:
流量规则库表结构参见表1。
3.网络行为检测分析服务器
网络行为检测分析服务器可根据分析算法的不同或者变化动态装入,灵活性好,行为网络行为检测分析服务器之间互不影响。行为网络行为检测分析服务器从数据库集群装置处获取数据,可以依据标准的SQL规范从数据库集群系统获取数据进行分析,具体的分析方法多种多样。但数据分析的主要思路及解决方案如下:
1)根据业务数据库表字段,选取感兴趣的部分字段查询某段时间范围内的数据;
2)依据这些数据的可能存在的内在规律(由具体的检测算法确定)判断网络行为,如基于端口号匹配、基于特征字段,基于传输层行为模式、基于HTTP行为模式,以及基于其他layer5层的数据特征等多种分析方法。
3)对异常流量进行判决,写入转发规则至动态规则库;
4)依据网络行为检测分析服务器配置,对动态规则库的规则进行有效性及时间戳修改;
5)提供用户配置界面,对网络行为检测算法的各项参数进行初始配置或修订;
4.联动控制装置服务器
在于从流量数据库集群系统中的规则库获取最新规则动态,同时与本发明中的数据包转发模块实现数据连接,转发其获得的最新规则状态,并推送至数据包转发模块。具体的设计方案如下:
1)建立与流量数据库集群系统之间的连接;
2)建立与数据包转发模块之间的数据连接;
3)依据联动控制调度配置(间隔时间,数据库配置信息)等实施规则调度策略;
4)将获取到的动态规则表数据转换为TLY格式,实现从联动控制装置到数据包转发模块的推送。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种网络入侵探测与主动防御联动控制方法,其特征在于,所述网络入侵探测与主动防御联动控制方法包括:
进行用户局域网侧的数据包到路由器之间的数据包转发;
实现获得基本的镜像流量,以及负责对镜像流量数据进行预处理;
规则库获取最新动态规则,同时实现数据连接传输,转发其获得的最新规则状态;
根据分析算法的不同或变化,将相关的分析算法动态装载到本联动控制系统,分析算法应依据标准的SQL规范从流量数据库集群获得数据进行相关分析;
存储来自镜像服务器的预处理流量,为各类网络行为检测分析服务器提供数据接口,支持网络行为分析;提供规则数据库,存储进网络行为检测分析服务器产生的各类判决规则,同时判决规则数据库为联动控制装置服务器提供来源数据。
2.如权利要求1所述的网络入侵探测与主动防御联动控制方法,其特征在于,所述进行用户局域网侧的数据包到路由器之间的数据包转发包括:正常流量时,该装置对数据包不起作用;异常流量时,根据动态的转发规则对异常流量实施丢弃处理,实现对网络流量的区别对待,达到主动阻断网络攻击;
所述实现获得基本的镜像流量,以及负责对镜像流量数据进行预处理包括:
在镜像端口上捕获数据包,从TCP/IP协议栈的数据链路层开始对数据包进行分析,对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取,并包装为新的数据包格式,存入缓冲队列中;
从缓冲队列中获取数据包的线程,线程是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。
3.如权利要求1所述的网络入侵探测与主动防御联动控制方法,其特征在于,根据分析算法的不同或者变化,将相关的分析算法动态装载到联动控制系统,分析算法应依据标准的SQL规范从流量数据库集群获得数据进行分析包括:
根据业务数据库表字段,选取感兴趣的部分字段查询某段时间范围内的数据;
依据分析算法中的异常检测模型对数据进行分析处理,判断网络行为;
对异常流量进行判决,写入转发规则至动态规则库;
依据网络行为检测分析服务器配置,对动态规则库的规则进行有效性及时间戳修改;
提供用户配置界面,对网络行为检测算法所需的各项参数进行初始配置或修订。
4.如权利要求1所述的网络入侵探测与主动防御联动控制方法,其特征在于,所述规则库获取最新规则动态,同时实现数据连接传输,转发其获得的最新规则状态包括:
建立与流量数据库集群系统之间的连接;
建立与数据包转发模块之间的数据连接;
依据联动控制调度配置实施规则调度策略;
将获取到的动态规则表数据转换为TLY格式,实现从联动控制装置到数据包转发模块的推送。
5.一种如权利要求1所述网络入侵探测与主动防御联动控制方法的网络入侵探测与主动防御联动控制装置,其特征在于,所述网络入侵探测与主动防御联动控制装置包括:
数据包转发模块,用于进行用户局域网侧的数据包到路由器之间的数据包转发;
数据包镜像流量预处理模块,用于实现从数据包转发模块中获得基本的镜像流量,以及负责对镜像流量数据进行预处理;
联动控制装置模块,用于从流量数据库集群系统中的规则库获取最新规则动态,同时与数据包转发模块实现数据连接,转发其获得的最新规则状态,并推送至数据包转发模块;
网络行为检测分析模块,根据分析算法的不同或者变化动态装入,从数据库集群装置处获取数据,依据标准的SQL规范从数据库集群系统获取数据进行分析;
流量数据库集群系统,用于存储来自镜像服务器的预处理流量,为各类网络行为检测分析服务器提供数据接口,支持网络行为分析;提供规则数据库,存储进网络行为检测分析服务器产生的各类判决规则,同时判决规则数据库为联动控制装置服务器提供来源数据。
6.如权利要求5所述的网络入侵探测与主动防御联动控制装置,其特征在于,所述数据包转发模块包括:数据输入端口,数据输出端口,数据镜像端口,数据联动控制端口。
7.如权利要求5所述的网络入侵探测与主动防御联动控制装置,其特征在于,所述数据包镜像流量预处理模块包括:
数据捕获子模块,用于在镜像端口上捕获数据包,对数据包的源/目标MAC地址、IP地址、端口、传输层协议类型、TCP标志字段、序号、确认号、应用层部分数据字段进行截取,并包装为新的数据包格式,存入缓冲队列中;
数据包线程获取子模块,用于从缓冲队列中获取数据包的线程,线程是将缓冲队列中的自定义数据包信息处理到数据库集群系统做阶段性保存。
8.如权利要求5所述的网络入侵探测与主动防御联动控制装置,其特征在于,所述网络行为检测分析服务器包括:
选取模块,用于根据业务数据库表字段,选取感兴趣的部分字段查询某段时间范围内的数据;
判断模块,用于依据分析算法中的异常检测模型对数据进行分析处理,判断网络行为;
写入模块,用于对异常流量进行判决,写入转发规则至动态规则库;
修改模块,用于依据网络行为检测分析服务器配置,对动态规则库的规则进行有效性及时间戳修改;
修订模块,用于提供用户配置界面,对网络行为检测算法的各项参数进行初始配置或修订。
9.如权利要求5所述的网络入侵探测与主动防御联动控制装置,其特征在于,所述联动控制装置服务器包括:
SQL连接模块,用于建立与流量数据库集群系统之间的SQL连接;
数据连接模块,用于建立与数据包转发模块之间的数据连接;
实施模块,用于依据联动控制调度配置实施规则调度策略;
推送模块,用于将获取到的动态规则表数据转换为TLY格式,实现从联动控制装置到数据包转发模块的推送。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610898223.3A CN106330964B (zh) | 2016-10-14 | 2016-10-14 | 一种网络入侵探测与主动防御联动控制装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610898223.3A CN106330964B (zh) | 2016-10-14 | 2016-10-14 | 一种网络入侵探测与主动防御联动控制装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106330964A true CN106330964A (zh) | 2017-01-11 |
CN106330964B CN106330964B (zh) | 2019-10-11 |
Family
ID=57817767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610898223.3A Active CN106330964B (zh) | 2016-10-14 | 2016-10-14 | 一种网络入侵探测与主动防御联动控制装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106330964B (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106888210A (zh) * | 2017-03-10 | 2017-06-23 | 北京安赛创想科技有限公司 | 一种网络攻击的警示方法及装置 |
CN107547504A (zh) * | 2017-06-16 | 2018-01-05 | 新华三信息安全技术有限公司 | 入侵防御方法及装置 |
CN108347388A (zh) * | 2018-05-07 | 2018-07-31 | 苏州明上系统科技有限公司 | 一种具有防御装置的高安全性能路由器 |
CN108833383A (zh) * | 2018-06-01 | 2018-11-16 | 南瑞集团有限公司 | 基于深度学习和agent的联动防御系统 |
CN109889552A (zh) * | 2019-04-18 | 2019-06-14 | 南瑞集团有限公司 | 电力营销终端异常流量监控方法、系统及电力营销系统 |
CN111078757A (zh) * | 2019-12-19 | 2020-04-28 | 武汉极意网络科技有限公司 | 一种自主学习的业务风控规则引擎系统及风险评估方法 |
CN111343206A (zh) * | 2020-05-19 | 2020-06-26 | 上海飞旗网络技术股份有限公司 | 一种针对数据流攻击的主动防御方法及装置 |
CN111970300A (zh) * | 2020-08-27 | 2020-11-20 | 广东电网有限责任公司东莞供电局 | 一种基于行为检查的网络入侵防御系统 |
CN112261009A (zh) * | 2020-09-29 | 2021-01-22 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种针对铁路调度集中系统的网络入侵检测方法 |
CN112866270A (zh) * | 2021-01-29 | 2021-05-28 | 中汽创智科技有限公司 | 入侵检测防御方法及系统 |
CN113364804A (zh) * | 2021-06-29 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
CN113660182A (zh) * | 2021-08-13 | 2021-11-16 | 上海电信科技发展有限公司 | 流量镜像的数据处理方法及其系统 |
CN113904894A (zh) * | 2021-09-29 | 2022-01-07 | 智新科技股份有限公司 | Can网络数据安全监控方法、装置、设备及可读存储介质 |
CN114024769A (zh) * | 2021-12-07 | 2022-02-08 | 中国建设银行股份有限公司 | 一种网络流量安全控制系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110955746B (zh) * | 2019-10-22 | 2022-03-22 | 中国科学院信息工程研究所 | 一种电磁数据收集处理装置及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101997749A (zh) * | 2009-08-12 | 2011-03-30 | 甘肃省计算中心 | 一种融合了入侵检测功能的交换机 |
US8117657B1 (en) * | 2007-06-20 | 2012-02-14 | Extreme Networks, Inc. | Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming |
CN103152227A (zh) * | 2013-03-26 | 2013-06-12 | 北京启明星辰信息技术股份有限公司 | 一种应对网络威胁与攻击的一体化实时检测系统及方法 |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
CN105939338A (zh) * | 2016-03-16 | 2016-09-14 | 杭州迪普科技有限公司 | 入侵报文的防护方法及装置 |
-
2016
- 2016-10-14 CN CN201610898223.3A patent/CN106330964B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8117657B1 (en) * | 2007-06-20 | 2012-02-14 | Extreme Networks, Inc. | Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming |
CN101997749A (zh) * | 2009-08-12 | 2011-03-30 | 甘肃省计算中心 | 一种融合了入侵检测功能的交换机 |
CN103152227A (zh) * | 2013-03-26 | 2013-06-12 | 北京启明星辰信息技术股份有限公司 | 一种应对网络威胁与攻击的一体化实时检测系统及方法 |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
CN105939338A (zh) * | 2016-03-16 | 2016-09-14 | 杭州迪普科技有限公司 | 入侵报文的防护方法及装置 |
Non-Patent Citations (1)
Title |
---|
袁亮环: ""动态分布式安全防御技术研究"", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106888210A (zh) * | 2017-03-10 | 2017-06-23 | 北京安赛创想科技有限公司 | 一种网络攻击的警示方法及装置 |
CN107547504B (zh) * | 2017-06-16 | 2020-12-04 | 新华三信息安全技术有限公司 | 入侵防御方法及装置 |
CN107547504A (zh) * | 2017-06-16 | 2018-01-05 | 新华三信息安全技术有限公司 | 入侵防御方法及装置 |
CN108347388A (zh) * | 2018-05-07 | 2018-07-31 | 苏州明上系统科技有限公司 | 一种具有防御装置的高安全性能路由器 |
CN108833383A (zh) * | 2018-06-01 | 2018-11-16 | 南瑞集团有限公司 | 基于深度学习和agent的联动防御系统 |
CN108833383B (zh) * | 2018-06-01 | 2019-05-24 | 南瑞集团有限公司 | 基于深度学习和agent的联动防御系统 |
CN109889552A (zh) * | 2019-04-18 | 2019-06-14 | 南瑞集团有限公司 | 电力营销终端异常流量监控方法、系统及电力营销系统 |
CN111078757A (zh) * | 2019-12-19 | 2020-04-28 | 武汉极意网络科技有限公司 | 一种自主学习的业务风控规则引擎系统及风险评估方法 |
CN111078757B (zh) * | 2019-12-19 | 2023-09-08 | 武汉极意网络科技有限公司 | 一种自主学习的业务风控规则引擎系统及风险评估方法 |
CN111343206B (zh) * | 2020-05-19 | 2020-08-21 | 上海飞旗网络技术股份有限公司 | 一种针对数据流攻击的主动防御方法及装置 |
CN111343206A (zh) * | 2020-05-19 | 2020-06-26 | 上海飞旗网络技术股份有限公司 | 一种针对数据流攻击的主动防御方法及装置 |
CN111970300A (zh) * | 2020-08-27 | 2020-11-20 | 广东电网有限责任公司东莞供电局 | 一种基于行为检查的网络入侵防御系统 |
CN112261009B (zh) * | 2020-09-29 | 2022-07-08 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种针对铁路调度集中系统的网络入侵检测方法 |
CN112261009A (zh) * | 2020-09-29 | 2021-01-22 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种针对铁路调度集中系统的网络入侵检测方法 |
CN112866270A (zh) * | 2021-01-29 | 2021-05-28 | 中汽创智科技有限公司 | 入侵检测防御方法及系统 |
CN112866270B (zh) * | 2021-01-29 | 2023-03-24 | 中汽创智科技有限公司 | 入侵检测防御方法及系统 |
CN113364804A (zh) * | 2021-06-29 | 2021-09-07 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
CN113364804B (zh) * | 2021-06-29 | 2022-11-15 | 北京天空卫士网络安全技术有限公司 | 一种流量数据的处理方法和装置 |
CN113660182A (zh) * | 2021-08-13 | 2021-11-16 | 上海电信科技发展有限公司 | 流量镜像的数据处理方法及其系统 |
CN113904894A (zh) * | 2021-09-29 | 2022-01-07 | 智新科技股份有限公司 | Can网络数据安全监控方法、装置、设备及可读存储介质 |
CN114024769A (zh) * | 2021-12-07 | 2022-02-08 | 中国建设银行股份有限公司 | 一种网络流量安全控制系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106330964B (zh) | 2019-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106330964A (zh) | 一种网络入侵探测与主动防御联动控制装置 | |
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御系统 | |
JP5960978B2 (ja) | 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法 | |
CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
CN104243408B (zh) | 域名解析服务dns系统中监控报文的方法、装置及系统 | |
CN107959690A (zh) | 基于软件定义网络的DDoS攻击跨层协同防御方法 | |
CN104811452A (zh) | 一种基于数据挖掘的自学习分级预警入侵检测系统 | |
CN104579823A (zh) | 一种基于大数据流的网络流量异常检测系统及方法 | |
CN103023924A (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
CA2547344A1 (en) | System for intercepting multimedia documents | |
CN106506547B (zh) | 针对拒绝服务攻击的处理方法、waf、路由器及系统 | |
US11399034B2 (en) | System and method for detecting and preventing network intrusion of malicious data flows | |
CN110602109A (zh) | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 | |
US8677480B2 (en) | Anomaly information distribution with threshold | |
CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
CN101616007A (zh) | 一种map服务器的实现方法、系统和设备 | |
CN113329029A (zh) | 一种针对apt攻击的态势感知节点防御方法及系统 | |
Verma et al. | Bloom‐filter based IP‐CHOCK detection scheme for denial of service attacks in VANET | |
CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
CN107070930A (zh) | 一种面向主机的可疑网络连接识别方法 | |
CN110213254A (zh) | 一种识别伪造互联网协议ip报文的方法和设备 | |
CN114499982A (zh) | 蜜网动态配置策略生成方法、配置方法及存储介质 | |
CN114205147A (zh) | 基于软件定义网络的链路泛洪攻击防御方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |