CN111193719A - 一种网络入侵防护系统 - Google Patents
一种网络入侵防护系统 Download PDFInfo
- Publication number
- CN111193719A CN111193719A CN201911286665.2A CN201911286665A CN111193719A CN 111193719 A CN111193719 A CN 111193719A CN 201911286665 A CN201911286665 A CN 201911286665A CN 111193719 A CN111193719 A CN 111193719A
- Authority
- CN
- China
- Prior art keywords
- unit
- management
- network
- protocol
- network intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络入侵防护系统,包括:网络引擎模块,通过多核硬件平台获取外部数据交换,对获取数据进行行为分析、关联分析、协议异常检测、流量异常检测、智能协议识别和深度协议分析,构建文件特征库、网站信誉库和攻击特征库;管理模块,对所述网络引擎模块分析的数据和用户状态进行用户管理、配置管理、策略管理、时间管理、日志管理和系统监控,生成相关管理文件,并配置相关管理信息;安全响应模块,在所述网络引擎模块检测到网络入侵后,启动相应处理指令。本发明能够完成计算机网络的入侵防护、数据泄露防护、高级威胁防护、僵尸网络发现、病毒防护和流量控制,自动应对各层面安全隐患,能够为用户提供深度攻击防御的能力。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种网络入侵防护系统。
背景技术
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,信息安全的重要性也在不断提升。近年来,网络信息系统所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其是基于应用的新型威胁,如隐藏在HTTP等基础协议之上的应用层攻击问题、web2.0安全问题、木马后门、间谍软件、僵尸网络、DDoS攻击、网络资源滥用,包括P2P下载、IM即时通讯、网游、视频等,极大地困扰着用户,给单位的信息网络造成严重的破坏,严重影响了信息化的进一步发展。未来几年,随着云计算、物联网、智慧城市、移动互联网和微博等新一代应用和技术在行业得到广泛应用,在促进应用创新的同时,也将带来严重的信息安全隐患。攻防的不断发展,安全威胁的不断进化,新应用、新技术的广泛使用,对原有的安全保障理念和模式也将带来巨大的冲击,原有的安全检测和防护手段已经不能完全解决面临的安全问题。
如何在新旧技术交叠应用的变革过程中,更有效地检测和防御系统网络面临的安全问题,已成为各方关注的重点。
发明内容
本发明实施例所要解决的技术问题是:提供一种网络入侵防护系统,以解决现有技术中存在的问题。
根据本发明实施例的一个方面,公开一种网络入侵防护系统,包括:
网络引擎模块,所述网络引擎模块通过多核硬件平台获取外部数据交换,通过IP协议栈进行IP碎片重组、TCP状态跟踪、数据捕获和源汇聚分析,并对获取数据进行行为分析、关联分析、协议异常检测、流量异常检测、智能协议识别和深度协议分析,构建文件特征库、网站信誉库和攻击特征库;
管理模块,所述管理模块对所述网络引擎模块分析的数据和用户状态进行用户管理、配置管理、策略管理、时间管理、日志管理和系统监控,生成相关管理文件,并配置相关管理信息;
安全响应模块,所述安全响应模块用于在所述网络引擎模块检测到网络入侵后,启动相应处理指令,进行相应处理程序,包括包丢失、会话阻断、IP隔离、报警显示、邮件报警、记录日志、互动接口、自定义命令。
基于本发明上述网络入侵防护系统的另一个实施例中,所述网络引擎模块包括:
IP碎片重组单元、流汇聚单元、TCP状态跟踪单元、数据捕获单元、交换单元、IP双协议栈单元、行为分析单元、关联分析单元、协议异常检测单元、流量异常检测单元、智能协议识别单元、深度协议分析单元、文件特征库单元、网站信誉库单元、攻击特征库单元。
基于本发明上述网络入侵防护系统的另一个实施例中,所述管理模块包括:用户管理单元、配置管理单元、策略管理单元、事件管理单元、日志管理单元、系统监控单元。
基于本发明上述网络入侵防护系统的另一个实施例中,所述安全响应模块包括:包丢弃单元、会话阻断单元、IP隔离单元、报警显示单元、邮件报警单元、记录日志单元、互动接口单元、自定义命令单元;
所述包丢弃单元用于对发现网络入侵或病毒、木马的程序或安装包进行包丢弃处理;
所述会话阻断单元用于对发现网络入侵或病毒、木马的程序或安装包进行会话阻断处理,断开数据的传输通道;
所述IP隔离单元用于对发现网络入侵或病毒、木马的程序或安装包进行IP隔离处理,并把网络入侵的IP地址列入网络信誉库;
所述报警显示单元用于对发生网络入侵、病毒或木马的计算机进行检测报警;
所述邮件报警单元用于对包含网络入侵信息、病毒程序或木马程序的邮件进行检测报警;
所述记录日志单元用于对发生网络入侵、病毒或木马的信息进行记录登记,并生成记录日志;
所述互动接口单元用于将各模块进行处理的指令发送到计算机相应模块,并接收计算机相应执行模块的执行情况报告;
所述自定义命令单元用于通过自定义设置网络参数防止网络入侵、病毒或木马攻击。
基于本发明上述网络入侵防护系统的另一个实施例中,还包括云端服务器,所述云端服务器与所述安全响应模块连接,用于更新云端病毒库、行业情报信息和未知威胁检测信息,并通过网络系统提供相应安全响应。
基于本发明上述网络入侵防护系统的另一个实施例中,所述策略管理单元的管理策略包括:
通过规则动作判定算法进行规则防护和有效性分类,所述规则动作判定算法包括:规则类型、可靠度、攻防相关事件类型、规则模板类型,规则运动判定算法根据多重判断和算法叠加的方式进行自动生成规则配置文件;
通过自动加权算法进行规则可靠性计算,所述自动加权算法根据不同的分类属性,特征匹配度综合判断规则的可靠性并赋值,以不同的权值再次进行规则分类和分组保证规则的可靠性。
基于本发明上述网络入侵防护系统的另一个实施例中,所述管理模式包括:
单级管理模式、多级管理模式、主辅管理模式;
所述单级管理模式由安全管理机构直接管理网络引擎,一个安全中心管理一台或多台网络引擎;
所述多级管理模式由安全管理机构支持任意层次的级联部署,实现多级安全管理,上级安全管理机构将最新的升级补丁、规则模板文件统一发送到下级安全管理机构,下级安全管理机构通过配置过滤器,使上级安全管理机构只接收与之关联的信息;
所述主辅管理模式由网络引擎同时接受一个主安全管理机构和多个辅助安全管理机构的管理,所述主安全管理机构控制网络引擎,所述辅助安全安全管理机构接受网络引擎发送的日志信息,不操作网络引擎。
与现有技术相比,本发明具有如下优点:
本发明的网络入侵防护系统通过网络引擎模块、管理模块、安全响应模块的相互配合工作,能够有效完成计算机网络的入侵防护、数据泄露防护、高级威胁防护、僵尸网络发现、病毒防护和流量控制,自动应对各层面安全隐患,第一时间将安全威胁阻隔在企业网络外部,有效弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护,具有高度融合性、高安全性、高可靠性和易操作等特点,能够为用户提供深度攻击防御的能力。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的网络入侵防护系统的一个实施例的结构示意图。
图中,1网络引擎模块、2管理模块、3安全响应模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图和实施例对本发明提供的一种网络入侵防护系统进行更详细地说明。
图1是本发明的网络入侵防护系统的一个实施例的结构示意图,如图1所示,该实施例的网络入侵防护系统包括:
网络引擎模块1,所述网络引擎模块1通过多核硬件平台获取外部数据交换,通过IP协议栈进行IP碎片重组、TCP状态跟踪、数据捕获和源汇聚分析,并对获取数据进行行为分析、关联分析、协议异常检测、流量异常检测、智能协议识别和深度协议分析,构建文件特征库、网站信誉库和攻击特征库;网络引擎模块1通过高性能多核硬件平台与外部网络系统连接,并通过互联网传输协议与外部进行数据交换;
管理模块2,所述管理模块2对所述网络引擎模块1分析的数据和用户状态进行用户管理、配置管理、策略管理、时间管理、日志管理和系统监控,生成相关管理文件,并配置相关管理信息;
安全响应模块3,所述安全响应模块3用于在所述网络引擎模块1检测到网络入侵后,启动相应处理指令,进行相应处理程序,包括包丢失、会话阻断、IP隔离、报警显示、邮件报警、记录日志、互动接口、自定义命令。
所述网络引擎模块1包括:
IP碎片重组单元、流汇聚单元、TCP状态跟踪单元、数据捕获单元、交换单元、IP双协议栈单元、行为分析单元、关联分析单元、协议异常检测单元、流量异常检测单元、智能协议识别单元、深度协议分析单元、文件特征库单元、网站信誉库单元、攻击特征库单元;
所述IP碎片重组单元用于通过IP碎片重组检测黑客采取的任意分片方式进行的攻击;
所述流汇聚单元用于通过流汇聚方式检测黑客采取的任意分片方式进行的攻击,所述流汇聚单元通过流检测技术对各类应用进行深入分析,搭建应用协议识别框架,准确识别大部分主流应用协议,可以对基于应用识别的应用进行精细粒度的管理,能够很好的对这些应用安全漏洞和利用这些漏洞的攻击进行检测和防御;
所述TCP状态跟踪单元用于跟踪TCP传输协议的数据传输,并判断是否发生网络入侵;
所述数据捕获单元用于捕获发生网络入侵的数据或病毒包、木马程序;
所述交换单元用于通过网络协议来完成外部数据的交换;
所述IP双协议栈单元用于完成IPv4和IPv6双IP协议的功能,识别IPv4和IPv6通讯流量,通过多隧道模式的支持,保证IPv6和IPv4网络通讯协议的互联互通;
所述行为分析单元通过对网络访问活动进行长时间收集并经过分析,根据用户身份、地理位置、IP地址、业务系统、网络应用、操作方法、操作时间、访问频次条件建立用户的正常网络访问模型,当检测到网络中出现了违背正常网络访问模型的异常行为时,则对其进行分析,以判断是否发生攻击,在用户身份识别、应用识别的基础上,将用户身份、业务系统、地理位置、操作频次等多种与操作相关的网络环境信息进行关联分析,建立企业网络白环境,准确识别用户异常行为;
所述关联分析单元用于通过分析本机与外部设备的关联特性,检测是否发生网络入侵;
所述协议异常检测单元以深度协议分析为核心,将发现的任何违背RFC规定的行为视为协议异常,从而发现未知的溢出攻击、零和攻击以及拒绝服务攻击,所述协议异常检测单元最为重要的作用是检测检查特定应用执行缺陷,或者违反特定协议规定的异常,发现未知的溢出攻击、零和攻击以及拒绝服务攻击;
所述流量异常检测单元通过学习和调整特定网络环境下的设定正常流量值,来发现非预期的异常流量,一旦设定正常流量值被设定为基准,网络中传输的数据包与这个基准作比较,如果实际网络流量统计结果与基准达到一定的偏离,则产生警报,在内置流量建模机制的同时,还提供可调整的门限阀值,供用户针对具体环境做进一步调整,避免因为单纯的流量过大而产生误报;流量异常检测和过滤机制使得所述流量异常检测单元可以有效抵御分布式拒绝服务攻击、未知的蠕虫、流氓流量和其他零和攻击;
所述智能协议识别单元通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理,检测出通过动态端口或者智能隧道实施的恶意入侵,发现绑定在任意端口的各种木马后门,传统安全产品如防火墙,通过协议端口映射表或类似技术来判断流经的网络报文属于何种协议,由于协议与端口的相互关系为,某个协议运行在一个相对固定的缺省端口,也包括木马、后门在内的恶意程序,以及基于智能隧道Smart Tunnel的P2P应,包括P2P下载工具、IP电话等,实时消息系统IMS包括MSN、YahooPager等,网络在线游戏等应用都可以运行在任意一个指定的端口,从而逃避传统安全产品的检测和控制,所述智能协议识别单元具备极高的检测准确率和极低的误报率,能够全面识别主流应用层协议;
所述深度协议分析单元用于分析网络入侵的深度协议,通过分析用户协议和网络入侵的后门,完成协议漏洞的补充;
所述文件特征库单元用于提取病毒特征,建立病毒特征库,所述文件特征库单元装载权威的专家知识库,提供攻击特征介绍和分析,基于高速、智能模式匹配方法,精确识别各种已知攻击,包括病毒、特洛伊木马、P2P应用、即时通讯等,并通过不断升级攻击特征,保证第一时间检测到攻击行为,对于网络中存在大量恶意文件,通过网站文件服务器、邮件服务器实现传播,对企业网络安全构成潜在威胁,采用流式技术对网络中传送的文件,进行快速检测,比对文件信誉,对发现恶意的文件进行告警和阻断,将恶意文件进行还原保存,用于恶意行为分析,实现取证调查工作;
所述网站信誉库单元用于提取恶意网站、僵尸网络,建立恶意网站和僵尸网络数据库;
所述攻击特征库单元用于提取安全事件的特征,建立安全事件特征库,通过不断升级的特征库,在第一时间检测到入侵者的攻击行为。
所述管理模块2包括:
用户管理单元、配置管理单元、策略管理单元、事件管理单元、日志管理单元、系统监控单元;
所述用户管理单元用于建立用户目录信息,并通过用户身份识别和基于用户身份权限的访问控制;
所述配置管理单元用于实时配置管理项目和管理项目参数,选择管理模式,配置管理模式参数;
所述策略管理单元用于生成网络入侵的防御策略,设定网络入侵的参数阈值,配置网络入侵应用管理策略,并根据管理策略控制相应的应用程序的使用,所述管理策略模块包括多个规则模板,用户通过不同的网络环境选择相应的规则模板,达到策略管理的最简化和防护效果的最大化;
所述事件管理单元用于对网络入侵事件进行管理,并生成事件管理文件信息;
所述日志管理单元用于对用户网络行为生成日志信息,并对日志信息进行归并,避免网络入侵攻击;所述日志管理单元采用攻击发生时间范围、事件名称、事件类别、所属服务、源网络范围、目的网络范围、触发探测器、攻击结果、事件动作等多种粒度过滤探测器所产生的告警日志,仅记录相关的攻击告警事件,减小了攻击告警的数量,提高了对于高风险攻击的反应速度,日志报表包括详细的综合报表、自定义三种类型10多个类别的报表模板,支持生成:日、周、月、季度、年度综合报表;
所述系统监控单元用于监控事件管理单元和日志管理单元的文件信息,并对网络入侵行为进行监控,启动安全响应。
所述安全响应模块3包括:
包丢弃单元、会话阻断单元、IP隔离单元、报警显示单元、邮件报警单元、记录日志单元、互动接口单元、自定义命令单元;
所述包丢弃单元用于对发现网络入侵或病毒、木马的程序或安装包进行包丢弃处理;
所述会话阻断单元用于对发现网络入侵或病毒、木马的程序或安装包进行会话阻断处理,断开数据的传输通道;
所述IP隔离单元用于对发现网络入侵或病毒、木马的程序或安装包进行IP隔离处理,并把网络入侵的IP地址列入网络信誉库;
所述报警显示单元用于对发生网络入侵、病毒或木马的计算机进行检测报警;
所述邮件报警单元用于对包含网络入侵信息、病毒程序或木马程序的邮件进行检测报警;
所述记录日志单元用于对发生网络入侵、病毒或木马的信息进行记录登记,并生成记录日志;
所述互动接口单元用于将各模块进行处理的指令发送到计算机相应模块,并接收计算机相应执行模块的执行情况报告;
所述自定义命令单元用于通过自定义设置网络参数防止网络入侵、病毒或木马攻击。
网络入侵系统还包括云端服务器,所述云端服务器与所述安全响应模块3连接,用于更新云端病毒库、行业情报信息和未知威胁检测信息,并通过网络系统提供相应安全响应。
所述策略管理单元的管理策略包括:
通过规则动作判定算法进行规则防护和有效性分类,所述规则动作判定算法包括:规则类型、可靠度、攻防相关事件类型、规则模板类型,规则运动判定算法根据多重判断和算法叠加的方式进行自动生成规则配置文件;
通过自动加权算法进行规则可靠性计算,所述自动加权算法根据不同的分类属性,特征匹配度综合判断规则的可靠性并赋值,以不同的权值再次进行规则分类和分组保证规则的可靠性。
所述管理模式包括:
单级管理模式、多级管理模式、主辅管理模式;
所述单级管理模式由安全管理机构直接管理网络引擎,一个安全中心管理一台或多台网络引擎;
所述多级管理模式由安全管理机构支持任意层次的级联部署,实现多级安全管理,上级安全管理机构将最新的升级补丁、规则模板文件统一发送到下级安全管理机构,下级安全管理机构通过配置过滤器,使上级安全管理机构只接收与之关联的信息;
所述主辅管理模式由网络引擎同时接受一个主安全管理机构和多个辅助安全管理机构的管理,所述主安全管理机构控制网络引擎,所述辅助安全安全管理机构接受网络引擎发送的日志信息,不操作网络引擎。
以上对本发明所提供的一种网络入侵防护系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种网络入侵防护系统,其特征在于,包括:
网络引擎模块,所述网络引擎模块通过多核硬件平台获取外部数据交换,通过IP协议栈进行IP碎片重组、TCP状态跟踪、数据捕获和源汇聚分析,并对获取数据进行行为分析、关联分析、协议异常检测、流量异常检测、智能协议识别和深度协议分析,构建文件特征库、网站信誉库和攻击特征库;
管理模块,所述管理模块对所述网络引擎模块分析的数据和用户状态进行用户管理、配置管理、策略管理、时间管理、日志管理和系统监控,生成相关管理文件,并配置相关管理信息;
安全响应模块,所述安全响应模块用于在所述网络引擎模块检测到网络入侵后,启动相应处理指令,进行相应处理程序,包括包丢失、会话阻断、IP隔离、报警显示、邮件报警、记录日志、互动接口、自定义命令。
2.根据权利要求1所述的网络入侵防护系统,其特征在于,所述网络引擎模块包括:
IP碎片重组单元、流汇聚单元、TCP状态跟踪单元、数据捕获单元、交换单元、IP双协议栈单元、行为分析单元、关联分析单元、协议异常检测单元、流量异常检测单元、智能协议识别单元、深度协议分析单元、文件特征库单元、网站信誉库单元、攻击特征库单元;
所述IP碎片重组单元用于通过IP碎片重组检测黑客采取的任意分片方式进行的攻击;
所述流汇聚单元用于通过流汇聚方式检测黑客采取的任意分片方式进行的攻击;
所述TCP状态跟踪单元用于跟踪TCP传输协议的数据传输,并判断是否发生网络入侵;
所述数据捕获单元用于捕获发生网络入侵的数据或病毒包、木马程序;
所述交换单元用于通过网络协议来完成外部数据的交换;
所述IP双协议栈单元用于完成IPv4和IPv6双IP协议的功能,识别IPv4和IPv6通讯流量,通过多隧道模式的支持,保证IPv6和IPv4网络通讯协议的互联互通;
所述行为分析单元通过对网络访问活动进行长时间收集并经过分析,根据用户身份、地理位置、IP地址、业务系统、网络应用、操作方法、操作时间、访问频次条件建立用户的正常网络访问模型,当检测到网络中出现了违背正常网络访问模型的异常行为时,则对其进行分析,以判断是否发生攻击;
所述关联分析单元用于通过分析本机与外部设备的关联特性,检测是否发生网络入侵;
所述协议异常检测单元以深度协议分析为核心,将发现的任何违背RFC规定的行为视为协议异常,从而发现未知的溢出攻击、零和攻击以及拒绝服务攻击;
所述流量异常检测单元通过学习和调整特定网络环境下的设定正常流量值,来发现非预期的异常流量;
所述智能协议识别单元通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理,检测出通过动态端口或者智能隧道实施的恶意入侵,发现绑定在任意端口的各种木马后门;
所述深度协议分析单元用于分析网络入侵的深度协议,通过分析用户协议和网络入侵的后门,完成协议漏洞的补充;
所述文件特征库单元用于提取病毒特征,建立病毒特征库;
所述网站信誉库单元用于提取恶意网站、僵尸网络,建立恶意网站和僵尸网络数据库;
所述攻击特征库单元用于提取安全事件的特征,建立安全事件特征库。
3.根据权利要求1所述的网络入侵防护系统,其特征在于,所述管理模块包括:
用户管理单元、配置管理单元、策略管理单元、事件管理单元、日志管理单元、系统监控单元;
所述用户管理单元用于建立用户目录信息,并通过用户身份识别和基于用户身份权限的访问控制;
所述配置管理单元用于实时配置管理项目和管理项目参数,选择管理模式,配置管理模式参数;
所述策略管理单元用于生成网络入侵的防御策略,设定网络入侵的参数阈值,配置网络入侵应用管理策略,并根据管理策略控制相应的应用程序的使用,所述管理策略模块包括多个规则模板,用户通过不同的网络环境选择相应的规则模板,达到策略管理的最简化和防护效果的最大化;
所述事件管理单元用于对网络入侵事件进行管理,并生成事件管理文件信息;
所述日志管理单元用于对用户网络行为生成日志信息,并对日志信息进行归并,避免网络入侵攻击;
所述系统监控单元用于监控事件管理单元和日志管理单元的文件信息,并对网络入侵行为进行监控,启动安全响应。
4.根据权利要求1所述的网络入侵防护系统,其特征在于,所述安全响应模块包括:
包丢弃单元、会话阻断单元、IP隔离单元、报警显示单元、邮件报警单元、记录日志单元、互动接口单元、自定义命令单元;
所述包丢弃单元用于对发现网络入侵或病毒、木马的程序或安装包进行包丢弃处理;
所述会话阻断单元用于对发现网络入侵或病毒、木马的程序或安装包进行会话阻断处理,断开数据的传输通道;
所述IP隔离单元用于对发现网络入侵或病毒、木马的程序或安装包进行IP隔离处理,并把网络入侵的IP地址列入网络信誉库;
所述报警显示单元用于对发生网络入侵、病毒或木马的计算机进行检测报警;
所述邮件报警单元用于对包含网络入侵信息、病毒程序或木马程序的邮件进行检测报警;
所述记录日志单元用于对发生网络入侵、病毒或木马的信息进行记录登记,并生成记录日志;
所述互动接口单元用于将各模块进行处理的指令发送到计算机相应模块,并接收计算机相应执行模块的执行情况报告;
所述自定义命令单元用于通过自定义设置网络参数防止网络入侵、病毒或木马攻击。
5.根据权利要求1所述的网络入侵防护系统,其特征在于,还包括云端服务器,所述云端服务器与所述安全响应模块连接,用于更新云端病毒库、行业情报信息和未知威胁检测信息,并通过网络系统提供相应安全响应。
6.根据权利要求3所述的网络入侵防护系统,其特征在于,所述策略管理单元的管理策略包括:
通过规则动作判定算法进行规则防护和有效性分类,所述规则动作判定算法包括:规则类型、可靠度、攻防相关事件类型、规则模板类型,规则运动判定算法根据多重判断和算法叠加的方式进行自动生成规则配置文件;
通过自动加权算法进行规则可靠性计算,所述自动加权算法根据不同的分类属性,特征匹配度综合判断规则的可靠性并赋值,以不同的权值再次进行规则分类和分组保证规则的可靠性。
7.根据权利要求3所述的网络入侵防护系统,其特征在于,所述管理模式包括:
单级管理模式、多级管理模式、主辅管理模式;
所述单级管理模式由安全管理机构直接管理网络引擎,一个安全中心管理一台或多台网络引擎;
所述多级管理模式由安全管理机构支持任意层次的级联部署,实现多级安全管理,上级安全管理机构将最新的升级补丁、规则模板文件统一发送到下级安全管理机构,下级安全管理机构通过配置过滤器,使上级安全管理机构只接收与之关联的信息;
所述主辅管理模式由网络引擎同时接受一个主安全管理机构和多个辅助安全管理机构的管理,所述主安全管理机构控制网络引擎,所述辅助安全安全管理机构接受网络引擎发送的日志信息,不操作网络引擎。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911286665.2A CN111193719A (zh) | 2019-12-14 | 2019-12-14 | 一种网络入侵防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911286665.2A CN111193719A (zh) | 2019-12-14 | 2019-12-14 | 一种网络入侵防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111193719A true CN111193719A (zh) | 2020-05-22 |
Family
ID=70709225
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911286665.2A Pending CN111193719A (zh) | 2019-12-14 | 2019-12-14 | 一种网络入侵防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111193719A (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111881456A (zh) * | 2020-07-29 | 2020-11-03 | 江苏云从曦和人工智能有限公司 | 一种安全风险管控方法、装置、设备和介质 |
| CN111966714A (zh) * | 2020-08-07 | 2020-11-20 | 苏州唐云信息技术有限公司 | 一种基于云计算基础的应用管理容器系统 |
| CN112270011A (zh) * | 2020-11-19 | 2021-01-26 | 北京炼石网络技术有限公司 | 对现存应用系统的业务及数据安全防护方法、装置及系统 |
| CN112333205A (zh) * | 2020-12-22 | 2021-02-05 | 河北鸿联九五信息产业有限公司 | 一种网络安全监测系统 |
| CN112347484A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 软件漏洞检测方法、装置、设备及计算机可读存储介质 |
| CN112532610A (zh) * | 2020-11-24 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种基于tcp分段的入侵防御检测方法及装置 |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
| CN112637840A (zh) * | 2020-12-25 | 2021-04-09 | 广东卓维网络有限公司 | 一种信息网络病毒入侵检测系统及其方法 |
| CN112738062A (zh) * | 2020-12-25 | 2021-04-30 | 江苏省未来网络创新研究院 | 一种基于用户策略的防毒网关 |
| CN112769819A (zh) * | 2021-01-05 | 2021-05-07 | 重庆邮电大学 | 基于深度安全的idc信息安全系统 |
| CN112804238A (zh) * | 2021-01-19 | 2021-05-14 | 青岛至心传媒有限公司 | 一种基于互联网的电商平台入侵检测前端接口扫描方法 |
| CN112822211A (zh) * | 2021-02-06 | 2021-05-18 | 西安热工研究院有限公司 | 电力工控便携式自学习工业防火墙系统、装置及使用方法 |
| CN112905999A (zh) * | 2021-03-01 | 2021-06-04 | 武汉未意信息技术有限公司 | 恶意网站软件漏洞扫描安全检测系统 |
| CN113242252A (zh) * | 2021-05-21 | 2021-08-10 | 北京国联天成信息技术有限公司 | 一种大数据中恶意代码检测及处理方法及系统 |
| CN113452707A (zh) * | 2021-06-28 | 2021-09-28 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
| CN113691562A (zh) * | 2021-09-15 | 2021-11-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| CN113904881A (zh) * | 2021-12-13 | 2022-01-07 | 北京金睛云华科技有限公司 | 一种入侵检测规则误报处理方法和装置 |
| CN114363023A (zh) * | 2021-12-23 | 2022-04-15 | 国家电网有限公司 | 一种Web安全防护系统实施及策略调优方法、系统 |
| CN114760150A (zh) * | 2022-06-13 | 2022-07-15 | 交通运输通信信息集团有限公司 | 一种基于大数据的网络安全防护方法及系统 |
| CN114866296A (zh) * | 2022-04-20 | 2022-08-05 | 武汉大学 | 入侵检测方法、装置、设备及可读存储介质 |
| TWI781448B (zh) * | 2020-09-23 | 2022-10-21 | 中華電信股份有限公司 | 資安防護系統、方法及電腦可讀媒介 |
| CN115277045A (zh) * | 2022-05-17 | 2022-11-01 | 广东申立信息工程股份有限公司 | 一种idc安全管理系统 |
| CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
| CN116418518A (zh) * | 2023-04-11 | 2023-07-11 | 沈阳云盛互联网服务有限公司 | 一种基于云计算的数据入侵防护方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143598A1 (en) * | 2002-12-27 | 2007-06-21 | Craig Partridge | Means of mitigating denial of service attacks on IP fragmentation in high performance IPsec gateways |
| CN105871803A (zh) * | 2015-12-09 | 2016-08-17 | 中国工程物理研究院计算机应用研究所 | 基于流量的网络状态快速感知系统 |
| CN106209814A (zh) * | 2016-07-04 | 2016-12-07 | 安徽天达网络科技有限公司 | 一种分布式网络入侵防御系统 |
| CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
| CN109600365A (zh) * | 2018-12-04 | 2019-04-09 | 沈阳安信合科技有限公司 | 基于电力网络iec规约的基因相似性入侵检测方法 |
-
2019
- 2019-12-14 CN CN201911286665.2A patent/CN111193719A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143598A1 (en) * | 2002-12-27 | 2007-06-21 | Craig Partridge | Means of mitigating denial of service attacks on IP fragmentation in high performance IPsec gateways |
| CN105871803A (zh) * | 2015-12-09 | 2016-08-17 | 中国工程物理研究院计算机应用研究所 | 基于流量的网络状态快速感知系统 |
| CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
| CN106209814A (zh) * | 2016-07-04 | 2016-12-07 | 安徽天达网络科技有限公司 | 一种分布式网络入侵防御系统 |
| CN109600365A (zh) * | 2018-12-04 | 2019-04-09 | 沈阳安信合科技有限公司 | 基于电力网络iec规约的基因相似性入侵检测方法 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
Non-Patent Citations (1)
| Title |
|---|
| 薛辉,邓军等: "一种分布式网络入侵防御系统", 《计算机系统应用》 * |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111881456A (zh) * | 2020-07-29 | 2020-11-03 | 江苏云从曦和人工智能有限公司 | 一种安全风险管控方法、装置、设备和介质 |
| CN111966714A (zh) * | 2020-08-07 | 2020-11-20 | 苏州唐云信息技术有限公司 | 一种基于云计算基础的应用管理容器系统 |
| TWI781448B (zh) * | 2020-09-23 | 2022-10-21 | 中華電信股份有限公司 | 資安防護系統、方法及電腦可讀媒介 |
| CN112347484A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 软件漏洞检测方法、装置、设备及计算机可读存储介质 |
| CN112270011A (zh) * | 2020-11-19 | 2021-01-26 | 北京炼石网络技术有限公司 | 对现存应用系统的业务及数据安全防护方法、装置及系统 |
| CN112532610B (zh) * | 2020-11-24 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种基于tcp分段的入侵防御检测方法及装置 |
| CN112532610A (zh) * | 2020-11-24 | 2021-03-19 | 杭州迪普科技股份有限公司 | 一种基于tcp分段的入侵防御检测方法及装置 |
| CN112333205A (zh) * | 2020-12-22 | 2021-02-05 | 河北鸿联九五信息产业有限公司 | 一种网络安全监测系统 |
| CN112333205B (zh) * | 2020-12-22 | 2022-11-25 | 河北鸿联九五信息产业有限公司 | 一种网络安全监测系统 |
| CN112637840A (zh) * | 2020-12-25 | 2021-04-09 | 广东卓维网络有限公司 | 一种信息网络病毒入侵检测系统及其方法 |
| CN112738062A (zh) * | 2020-12-25 | 2021-04-30 | 江苏省未来网络创新研究院 | 一种基于用户策略的防毒网关 |
| CN112583850A (zh) * | 2020-12-27 | 2021-03-30 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
| CN112769819A (zh) * | 2021-01-05 | 2021-05-07 | 重庆邮电大学 | 基于深度安全的idc信息安全系统 |
| CN112804238A (zh) * | 2021-01-19 | 2021-05-14 | 青岛至心传媒有限公司 | 一种基于互联网的电商平台入侵检测前端接口扫描方法 |
| CN112822211A (zh) * | 2021-02-06 | 2021-05-18 | 西安热工研究院有限公司 | 电力工控便携式自学习工业防火墙系统、装置及使用方法 |
| CN112905999A (zh) * | 2021-03-01 | 2021-06-04 | 武汉未意信息技术有限公司 | 恶意网站软件漏洞扫描安全检测系统 |
| CN113242252A (zh) * | 2021-05-21 | 2021-08-10 | 北京国联天成信息技术有限公司 | 一种大数据中恶意代码检测及处理方法及系统 |
| CN113452707A (zh) * | 2021-06-28 | 2021-09-28 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
| CN113691562A (zh) * | 2021-09-15 | 2021-11-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| CN113691562B (zh) * | 2021-09-15 | 2024-04-23 | 神州网云(北京)信息技术有限公司 | 一种精确识别恶意网络通讯的规则引擎实现方法 |
| CN113904881A (zh) * | 2021-12-13 | 2022-01-07 | 北京金睛云华科技有限公司 | 一种入侵检测规则误报处理方法和装置 |
| CN114363023A (zh) * | 2021-12-23 | 2022-04-15 | 国家电网有限公司 | 一种Web安全防护系统实施及策略调优方法、系统 |
| CN114866296A (zh) * | 2022-04-20 | 2022-08-05 | 武汉大学 | 入侵检测方法、装置、设备及可读存储介质 |
| CN115277045A (zh) * | 2022-05-17 | 2022-11-01 | 广东申立信息工程股份有限公司 | 一种idc安全管理系统 |
| CN114760150A (zh) * | 2022-06-13 | 2022-07-15 | 交通运输通信信息集团有限公司 | 一种基于大数据的网络安全防护方法及系统 |
| CN115277244A (zh) * | 2022-08-05 | 2022-11-01 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
| CN115277244B (zh) * | 2022-08-05 | 2023-07-25 | 四川启睿克科技有限公司 | 一种工业互联网的入侵检测系统及方法 |
| CN116418518A (zh) * | 2023-04-11 | 2023-07-11 | 沈阳云盛互联网服务有限公司 | 一种基于云计算的数据入侵防护方法及系统 |
| CN116418518B (zh) * | 2023-04-11 | 2024-01-19 | 上海瑞玑计算机科技有限公司 | 一种基于云计算的数据入侵防护方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111193719A (zh) | 一种网络入侵防护系统 | |
| US11882136B2 (en) | Process-specific network access control based on traffic monitoring | |
| US20240114040A1 (en) | Systems and methods for detecting and responding to security threats using application execution and connection lineage tracing | |
| US11736499B2 (en) | Systems and methods for detecting injection exploits | |
| US10673903B2 (en) | Classification of security rules | |
| US10560434B2 (en) | Automated honeypot provisioning system | |
| US9848016B2 (en) | Identifying malicious devices within a computer network | |
| US9967279B2 (en) | System and method thereof for creating programmable security decision engines in a cyber-security system | |
| Modi et al. | A survey of intrusion detection techniques in cloud | |
| EP3198839B1 (en) | Distributed traffic management system and techniques | |
| US20150215334A1 (en) | Systems and methods for generating network threat intelligence | |
| Chiba et al. | A survey of intrusion detection systems for cloud computing environment | |
| WO2016164403A1 (en) | Systems and methods for generating network threat intelligence | |
| Cha et al. | Study of multistage anomaly detection for secured cloud computing resources in future internet | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| Rai et al. | Intrusion detection systems: A review | |
| Luo et al. | DDOS Defense Strategy in Software Definition Networks | |
| Iskhakov et al. | Data Normalization models in the security event management systems | |
| Singh et al. | A Comprehensive Survey on DDoS Attacks Detection & Mitigation in SDN-IoT Network | |
| Yang et al. | Design issues of enhanced DDoS protecting scheme under the cloud computing environment | |
| Mihanjo et al. | Isolation of DDoS Attacks and Flash Events in Internet Traffic Using Deep Learning Techniques | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
| Awodele Simon et al. | Intrusion Detection System in Cloud Computing: A | |
| Orosz et al. | Detection strategies for post-pandemic DDoS profiles | |
| Tudosi et al. | Design and Implementation of an Automated Dynamic Rule System for Distributed Firewalls. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200522 |
|
| RJ01 | Rejection of invention patent application after publication |