CN111970300A - 一种基于行为检查的网络入侵防御系统 - Google Patents
一种基于行为检查的网络入侵防御系统 Download PDFInfo
- Publication number
- CN111970300A CN111970300A CN202010877459.5A CN202010877459A CN111970300A CN 111970300 A CN111970300 A CN 111970300A CN 202010877459 A CN202010877459 A CN 202010877459A CN 111970300 A CN111970300 A CN 111970300A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- rule
- information
- management platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种基于行为检查的网络入侵防御系统,包括:策略管理平台:对用户的操作信息进行分析,并根据控制对象转发给信息探测器并产生联动控制指令;数据捕获模块:用于接收主机以及网络数据源,获取日志信息,通过规则库读取入侵规则并按照统一的报警格式向所述策略管理平台发送报警信息;攻击检测响应模块:依据联动控制指令对捕获数据进行攻击检测;数据控制模块:依据防火墙的通断监视控制网络内数据,并通过数据存储模块存储系统中的各种捕获数据信息,采用分布式多点防御策略,使得整个系统具有灵敏的入侵响应机制和准确的攻击定位,且不会随意变更用户数据内容,丢包率低,能确保网络通信顺畅,弱化网络入侵攻击强度。
Description
技术领域
本发明实施例涉及行为检查的技术领域,具体涉及一种基于行为检查的网络入侵防御系统。
背景技术
近年来,安全威胁呈现了“多、快、高”的发展趋势,“多”是指安全事件数量多;“快”是指安全威胁入侵的蔓延速度快、发现漏洞后攻击出现的时间快,最新的蠕虫病毒可以在几分钟之内就蔓延到全球范围,新的漏洞公布后几个小时就出现针对漏洞的攻击行为或工具;“高”是指安全威胁的层次越来越高,目前的威胁多数已经从网络层发展到应用层,包括入侵、蠕虫、P2P滥用等,从宏观上看,很多安全事件的发生都伴随着一系列的行为特征,比如木马病毒主要通过文件下载行为传播,又比如DOS攻击通过制造大流量无用数据的行为造成被攻击主机的网络拥塞,或反复发出重复服务请求等,正是由于攻击行为越来越多、行为技巧越来越高,导致了安全威胁的严峻形势,通过对行为特征跟踪、分析、提炼,能够寻找出一定的规律,准确地检测和判断出未知的威胁,有效的保护网络的安全。
发明内容
为此,本发明实施例提供一种基于行为检查的网络入侵防御系统,采用分布式多点防御策略,被入侵后使用网络内部节点遍历整个网络场景,选出最优防攻击节点进行网络数据传送或交换,整个系统具体灵敏的入侵响应机制和准确的攻击定位,且不会随意变更用户数据内容,,以解决现有技术中由于存在大概率的漏报和误报现象、检测效率低下、联动协作性差、智能性不高等问题导致缺乏对网络全面的保护能力。
为了实现上述目的,本发明的实施方式提供如下技术方案:
一种基于行为检查的网络入侵防御系统,包括:
策略管理平台:对用户的操作信息进行分析,并根据控制对象转发给信息探测器并产生联动控制指令;
数据捕获模块:用于接收主机以及网络数据源,获取日志信息,通过规则库读取入侵规则并按照统一的报警格式向所述策略管理平台发送报警信息;
攻击检测响应模块:依据联动控制指令对捕获数据进行攻击检测,控制防火墙通断并依据对防火墙规则进行添加、更新等操作;
数据控制模块:依据防火墙的通断监视控制网络内数据,并通过数据存储模块存储系统中的各种捕获数据信息。
作为本发明的一种优选方案,所述策略管理平台连接有数据备份中心,用于存储重要数据资源,所述数据备份中心的数据端连接有网络封包模块,所述网络封包模块的数据端连接有联动响应模块。
作为本发明的一种优选方案,所述联动响应模块接收来自所述策略管理平台的联动指令,通过探测器读取网络和主机的探测信息,并对各个探测器的报警信息进行关联分析。
作为本发明的一种优选方案,所述探测器包括网络探测器、规则匹配探测器和异常检测探测器,所述网络探测器、规则匹配探测器和异常检测探测器的控制端和数据端均同步连接到所述攻击检测响应模块,。
作为本发明的一种优选方案,所述网络探测器采用分布式架构,其数据段接收网络数据并通过预处理器连接所述规则分析器,所述规则分析器数据端与所述规则库交互连接,所述规则分析器的控制指令通过探测器节点控制模块连接到所述策略管理平台,所述探测器节点控制模块的信号端反馈连接到所述规则分析器。
作为本发明的一种优选方案,所述规则分析器根据匹配算法以及所述规则库中的规则,对网络数据包及其中的数据进行解析匹配,检测入侵信息。
作为本发明的一种优选方案,所述规则匹配探测器通过比对算法库中的模型方法进行判断网络入侵。
作为本发明的一种优选方案,所述算法库中算法流程如下:
首先,根据规则库中规定的规则信息建立规则树节点;
其次,依据规则树节点分别获取源IP地址、源端口以及目的IP地址、目的端口;
最后,根据规则链表选型获取负载内容、TCP标识以及ICMP代码类型。
作为本发明的一种优选方案,所述异常检测探测器采用基于密度的技术模型,通过探测网络异常行为并反馈给规则库建立异常报警模型。
作为本发明的一种优选方案,所述策略管理平台的控制端连接有控制台,用户主要通过控制台发送控制指令。
本发明的实施方式具有如下优点:
本发明实质上是该基于行为检查的网络入侵防御系统,采用分布式多点防御策略,被入侵后使用网络内部节点遍历整个网络场景,选出最优防攻击节点进行网络数据传送或交换,整个系统具有灵敏的入侵响应机制和准确的攻击定位,且不会随意变更用户数据内容,且在额定传送速度下,路由消息能在最优网络带宽附近进行传送,丢包率低,能确保网络通信顺畅,弱化网络入侵攻击强度。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。
图1为本发明实施方式中基于行为检查的网络入侵防御系统的结构框图;
图2为本发明实施方式中网络探测器模块结构图。
图中:
1-策略管理平台;2-数据捕获模块;3-规则库;4-攻击检测响应模块;5-数据控制模块;6-数据存储模块;7-网络封包模块;8-联动响应模块;9-探测器;10-网络探测器;11-规则匹配探测器;12-异常检测探测器;13-预处理器;14-规则分析器;15-探测器节点控制模块;16-控制台;17-数据备份中心。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提供了一种基于行为检查的网络入侵防御系统,通过基于行为分析的合法性检查技术,使得网络入侵防御系统满足必须具有深入分析能力的要求,及时发现网络环境中潜在的安全威胁,并及时得到拦截阻断,在攻击行为日益多变的态势下,可以起到理想的主动防御作用。
包括:
策略管理平台1:对用户的操作信息进行分析,并根据控制对象转发给信息探测器并产生联动控制指令;
数据捕获模块2:用于接收主机以及网络数据源,获取日志信息,通过规则库3读取入侵规则并按照统一的报警格式向所述策略管理平台1发送报警信息;
攻击检测响应模块4:依据联动控制指令对捕获数据进行攻击检测,控制防火墙通断并依据对防火墙规则进行添加、更新等操作;
数据控制模块5:依据防火墙的通断监视控制网络内数据,并通过数据存储模块6存储系统中的各种捕获数据信息。
本实施例中,所述数据捕获模块2先从网卡获取数据包,并将其本身送往策略管理平台1,以便于后续流程能够对该数据包进行实时阻断,根据规则库3读取入侵规则来进行特征匹配,并且将检测结果反馈给策略管理平台1,通过策略管理平台1内部的管理控制模块实时接收发来的数据包和处理结果,并且按照要求来进行处理,达到根据入侵检测规则的决策进行响应的目的。
本实施例中,通过策略管理平台1搭建了各个模块的数据通信和分组交换的桥接通道,提升和实现了系统的交互性和扩展性,并采用合作式的防御模型,实现了一个协同作业、联动合作的入侵防御系统。
该基于行为检查的网络入侵防御系统的特征之一在于,采用基于状态检测技术的防火墙安全检测模块,在不影响正常通信前提下抓取数据流信息进行审计和分析,通过随机监测分析其中部分状态信息,动态地保
存起来建立策略规则表,分析识别表中的各个连接状态信息,较大的提升了安全性能,而且规范了网络层和传输层行为。
本实施例中,防火墙的通断控制强化了安全策略,能够有效的记录、监控、隔离网络上的异常活动,同时具有审计和记录的能力,能够根据策略管理平台1提供的联动控制指令划分与隔离不同范围和区域的网络安全边界的,实现定点监控每个主机服务器,一方面能够保护内网正常运行,隔离开网络中一个网段与另一个网段;另一方面能够防止外网的黑客等人为的恶意攻击,能够作为安全策略的检查站。
所述策略管理平台1连接有数据备份中心17,用于存储重要数据资源,所述数据备份中心17的数据端连接有网络封包模块7,所述网络封包模块7的数据端连接有联动响应模块8。
本实施例中,所述数据备份中心17能够确保数据在任意情况下安全和具有完整的恢复能力。
该基于行为检查的网络入侵防御系统的特征之二在于,利用协同合作模块的功能结构,通过各类探测器收集抓取网络数据流中的有效信息进分析建模,归类给策略管理平台1,在攻击检测响应模块4里面,入侵检测系统可以动态对接策略管理平台1,进行策略规则的修改和更新,响应系统负责报告用户安全事件,而用户根据需要可以动态修改防火墙策略规则,一般情况下用户只需要使用控制台16去辅助管理各网络断的规则库3即可。
本实施例中,所述攻击检测响应模块4针对入侵事件的响应可以分为被动响应和主动响应两种类型,在被动响应中,系统只报告和记录发生的事件,在主动响应中,系统阻断攻击过程或以其他方式影响攻击过程。
所述联动响应模块8接收来自所述策略管理平台1的联动指令,通过探测器9读取网络和主机的探测信息,并对各个探测器的报警信息进行关联分析。
本实施例中,所述联动响应模块8内部采用自适应流程处理数据,通过自适应流程能够将恶意攻击数据包进行处理,首先会提取源IP地址,然后针对该IP设立计时器并开始计时,同时发送屏蔽命令至访问控制模块,在规定的老化时间内所有从该IP地址发送来的数据包将直接被访问控制模块丢弃,其余模块将不会接触到这些数据包,该方法的显著优点是在恶意流量很多的情况卜,充分减少检测引擎的负担,保持网络性能在一个较平稳的水准,其中的重点是对老化时间的使用,由于不同IP地址被屏蔽的开始时间是有先后顺序的,那么被取消屏蔽的时间顺序就和开始时间是一致的,类似于一个排队模型,可以维护一个单向循环队列来保存相关信息。
本实施例中为了保障联动响应模块8实时处理接收的数据包和判断老化时间,采用双线程分别完成入队和出队的操作,井加入互斥景作为线程同步手段,在入队线程中,将开始时间和IP地址入队之后发送屏蔽命令,然后循环处理恶意数据包在出队线程中,先判断队列中是否存在老化时间到期的节点,获取队列头结点的开始时间,与老化时间相加,然后与当前时间进行比对即可得出结果,若到期则发送取消屏蔽命令,将该元素出队,然后继续分析新的头结点,若不存在老化时间到期的节点则等待一段时间后继续判断。
本实施例中,所述策略管理平台1执行对控制信息进行分析,根据其控制对象转发给相对应模块,如果是主机探测器控制信息,则转发给对应的主机探测器,如果是网络探测器控制信息,则转发给对应的网络探测器,如果是防火墙控制信息,则转发给攻击检测响应模块4。
所述探测器9包括网络探测器10、规则匹配探测器11和异常检测探测器12,所述网络探测器10、规则匹配探测器11和异常检测探测器12的控制端和数据端均同步连接到所述攻击检测响应模块4。
本实施例中,探测器9主要是完成接收探测器响应的报警数据,对报警信息进行规则解析。
本实施例中,所述网络探测器10主要接收网络探测器发送的网络控制信息,控制控制器开/关,执行规则更新以及配置文件等操作。
所述网络探测器10采用分布式架构,其数据段接收网络数据并通过预处理器13连接所述规则分析器14,所述规则分析器14数据端与所述规则库3交互连接,所述规则分析器14的控制指令通过探测器节点控制模块15连接到所述策略管理平台1,所述探测器节点控制模块15的信号端反馈连接到所述规则分析器14。
所述规则分析器14根据匹配算法以及所述规则库3中的规则,对网络数据包及其中的数据进行解析匹配,检测入侵信息。
本实施例中,所述探测器节点控制模块15接收策略管理平台1发送的控制指令,对其进行解析,并执行相应的控制动作。
本实施例中,规则库3采用协议和端口等信息为依据对其进行分类,如果能根据规则集适用的操作系统来添加一种分类的依据,并且在充分获取受保护子网主机的操作系统信息的前提下,在匹配数据包的过程中就可以首先去除不适用目标主机操作系统的规则,然后再依次进行协议以及端口等信息的处理,那么就可以在己有方法的基础上更进一步提升引擎的效率,使得单个数据包的匹配工作能够更快完成。
所述规则匹配探测器11通过比对算法库中的模型方法进行判断网络入侵。
所述算法库中算法流程如下:
首先,根据规则库中规定的规则信息建立规则树节点;
其次,依据规则树节点分别获取源IP地址、源端口以及目的IP地址、目的端口;
最后,根据规则链表选型获取负载内容、TCP标识以及ICMP代码类型。
本实施例中,所述算法库中采用除去固有的特征字或关键字的方法,使得每一个攻击或威胁都会有一系列的动作,例如修改系统注册表、终止进程、修改图标等,对于每一种操作系统,都会存在成千上万类似的动作,通过对这些行为特征跟踪、分析、提炼,能够寻找出一定的规律,用于对未知病毒或威胁的检测,根据这个原理,基于行为分析的合法性检查技术,用于对未知威胁的检测和判断,其行为主要分为以下几类:
从异常的行为入手,对操作系统的主要行为进行统计,并对主要行为进行相应的监控和报警,例如修改Browser特性的必定要改注册表或者相关文件,所以我们可以通过对注册表进行监视和报警;对于很多网页木马之类的病毒必定有一个下载文件的过程,同时简单的会有一个相应处理的方式,可以对此类行为进行监视和报警;对于键盘操作进行记录的病毒必定会有一个对键盘进行消息处理进行监视的行为,我们也可以据此进行监视,看哪些软件进行此类处理,进而分析报警;
采用行为统计阈值技术,对于现在已知的各种入侵威胁和病毒等,把他们的各种行为进行分析、统计,给每种行为一种权值;
通过人工智能的方法进行训练,对于我们所给的权值有可能不太准确,可以利用人工神经网络中的学习算法让它调整权值等,从而达到一个准确的权值,进而正确的识别一个病毒,使得每一种威胁进行都可以分解出若干有威胁的动作,在确定其是一种威胁的前提下将这些动作对应的阙值进行调整,在通过数万次的训练后,这些行为动作的阙值达到了一种相对准确的状态;
对未知威胁进行判断,当一个软体进入时,可以对其行为进行跟踪分解,并将其动作行为与规则库中的相应条目比对,得出每个行为动作的阙值,将所有动作的阙值相加,权值之和若达到一个给定的阈值就认为是一个入侵或病毒,否则就判断为正确数据。
所述异常检测探测器12采用基于密度的技术模型,通过探测网络异常行为并反馈给规则库3建立异常报警模型。
所述策略管理平台1的控制端连接有控制台16,用户主要通过控制台16发送控制指令。
该基于行为检查的网络入侵防御系统的特征之三在于,将所述策略管理平台1设置为具有最高的管理权限和控制功能,主要联动防火墙进行作业,处理和存储异常信息,并收集探测器的报警信息,协同与控制台一起作业。
本实施例中,策略管理平台1的管理模型分为上、下两层,上层包含安全节点和入侵筛检节点,下层包含分类节点和处理节点,安全节点统管下层所有节点数据,入侵筛检节点检查网络节点是否能够有效逃避攻击并下达防御指令给下层,下层负责在网络入侵后对攻击和防御指令做出响应,分类节点将路由消息的合法性进行分类并传给入侵筛检节点进行安全检查,获取最优逃避攻击节点,处理节点根据防御指令对用户数据进行过滤和传送,最后将用户数据交由最优逃避攻击节点。
本实施例中,所述控制台16通过策略管理平台1接收来自主机探测器和网络探测器的报警信息后,对各个探测器的报警信息进行关联分析,静报警信息传递给控制台,显示给终端用户,同时将报警信息保存到数据库,以供用户查询统计。
该基于行为检查的网络入侵防御系统,采用分布式多点防御策略,被入侵后使用网络内部节点遍历整个网络场景,选出最优防攻击节点进行网络数据传送或交换,整个系统具有灵敏的入侵响应机制和准确的攻击定位,且不会随意变更用户数据内容,且在额定传送速度下,路由消息能在最优网络带宽附近进行传送,丢包率低,能确保网络通信顺畅,弱化网络入侵攻击强度。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种基于行为检查的网络入侵防御系统,其特征在于,包括:
策略管理平台(1):对用户的操作信息进行分析,并根据控制对象转发给信息探测器并产生联动控制指令;
数据捕获模块(2):用于接收主机以及网络数据源,获取日志信息,通过规则库(3)读取入侵规则并按照统一的报警格式向所述策略管理平台(1)发送报警信息;
攻击检测响应模块(4):依据联动控制指令对捕获数据进行攻击检测,控制防火墙通断并依据对防火墙规则进行添加、更新操作;
数据控制模块(5):依据防火墙的通断监视控制网络内数据,并通过数据存储模块(6)存储系统中的各种捕获数据信息。
2.根据权利要求1所述的一种基于行为检查的网络入侵防御系统,其特征在于,所述策略管理平台(1)连接有数据备份中心(17),用于存储重要数据资源,所述数据备份中心(17)的数据端连接有网络封包模块(7),所述网络封包模块(7)的数据端连接有联动响应模块(8)。
3.根据权利要求2所述的一种基于行为检查的网络入侵防御系统,其特征在于,所述联动响应模块(8)接收来自所述策略管理平台(1)的联动指令,通过探测器(9)读取网络和主机的探测信息,并对各个探测器的报警信息进行关联分析。
4.根据权利要求3所述的一种基于行为检查的网络入侵防御系统,其特征在于,所述探测器(9)包括网络探测器(10)、规则匹配探测器(11)和异常检测探测器(12),所述网络探测器(10)、规则匹配探测器(11)和异常检测探测器(12)的控制端和数据端均同步连接到所述攻击检测响应模块(4)。
5.根据权利要求4所述的一种基于行为检查的网络入侵防御系统,其特征在于,所述网络探测器(10)采用分布式架构,其数据段接收网络数据并通过预处理器(13)连接有规则分析器(14),所述规则分析器(14)数据端与所述规则库(3)交互连接,所述规则分析器(14)的控制指令通过探测器节点控制模块(15)连接到所述策略管理平台,所述探测器节点控制模块(15)的信号端反馈连接到所述规则分析器(14)。
6.根据权利要求5所述的一种基于行为检查的网络入侵防御系统,其特征在于,所述规则分析器(14)根据匹配算法以及所述规则库(3)中的规则,对网络数据包及其中的数据进行解析匹配,检测入侵信息。
7.根据权利要求4所述的一种基于行为检查的网络入侵防御系统,其特征在于,所述规则匹配探测器(11)通过比对算法库中的模型方法进行判断网络入侵。
8.根据权利要求7所述的一种基于行为检查的网络入侵防御系统,其特征在于,所述算法库中算法流程如下:
首先,根据规则库中规定的规则信息建立规则树节点;
其次,依据规则树节点分别获取源IP地址、源端口以及目的IP地址、目的端口;
最后,根据规则链表选型获取负载内容、TCP标识以及ICMP代码类型。
9.根据权利要求4所述的一种基于行为检查的网络入侵防御系统,其特征在于,所述异常检测探测器(12)采用基于密度的技术模型,通过探测网络异常行为并反馈给规则库(3)建立异常报警模型。
10.根据权利要求1所述的一种基于行为检查的网络入侵防御系统,其特征在于,所述策略管理平台(1)的控制端连接有控制台(16),用户主要通过控制台(16)发送控制指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010877459.5A CN111970300A (zh) | 2020-08-27 | 2020-08-27 | 一种基于行为检查的网络入侵防御系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010877459.5A CN111970300A (zh) | 2020-08-27 | 2020-08-27 | 一种基于行为检查的网络入侵防御系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111970300A true CN111970300A (zh) | 2020-11-20 |
Family
ID=73399298
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010877459.5A Pending CN111970300A (zh) | 2020-08-27 | 2020-08-27 | 一种基于行为检查的网络入侵防御系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111970300A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822684A (zh) * | 2021-02-04 | 2021-05-18 | 中汽创智科技有限公司 | 车辆入侵检测方法及防御系统 |
| CN113132405A (zh) * | 2021-04-29 | 2021-07-16 | 湖南大学 | 一种用于工业控制系统的防御策略生成方法和系统 |
| CN113271318A (zh) * | 2021-07-19 | 2021-08-17 | 中国科学院信息工程研究所 | 网络威胁感知系统及方法 |
| CN114070595A (zh) * | 2021-11-10 | 2022-02-18 | 安徽山岛科技有限公司 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN114900347A (zh) * | 2022-04-28 | 2022-08-12 | 重庆长安汽车股份有限公司 | 一种基于以太网的入侵检测方法及数据包分发方法 |
| CN117118749A (zh) * | 2023-10-20 | 2023-11-24 | 天津奥特拉网络科技有限公司 | 一种基于个人通信网络的身份验证系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004070547A2 (en) * | 2003-02-03 | 2004-08-19 | Captus Networks Corp. | Method and device for monitoring data traffic and preventing unauthorized access to a network |
| CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
-
2020
- 2020-08-27 CN CN202010877459.5A patent/CN111970300A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004070547A2 (en) * | 2003-02-03 | 2004-08-19 | Captus Networks Corp. | Method and device for monitoring data traffic and preventing unauthorized access to a network |
| CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
Non-Patent Citations (3)
| Title |
|---|
| 北京启明星辰信息技术有限公司: "天清入侵防御系统NIPS技术白皮书", 《HTTPS://WWW.DOCIN.COM/P-457142716.HTML》 * |
| 占清华: ""入侵检测与防御系统的研究与实现"", 《中国优秀硕士学位论文全文数据库(电子期刊) 信息科技辑》 * |
| 费洪晓等: "入侵检测系统攻击特征库的设计与实现", 《计算机系统应用》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822684A (zh) * | 2021-02-04 | 2021-05-18 | 中汽创智科技有限公司 | 车辆入侵检测方法及防御系统 |
| CN113132405A (zh) * | 2021-04-29 | 2021-07-16 | 湖南大学 | 一种用于工业控制系统的防御策略生成方法和系统 |
| CN113271318A (zh) * | 2021-07-19 | 2021-08-17 | 中国科学院信息工程研究所 | 网络威胁感知系统及方法 |
| CN114070595A (zh) * | 2021-11-10 | 2022-02-18 | 安徽山岛科技有限公司 | 基于协同入侵检测的大规模网络安全防御系统 |
| CN114900347A (zh) * | 2022-04-28 | 2022-08-12 | 重庆长安汽车股份有限公司 | 一种基于以太网的入侵检测方法及数据包分发方法 |
| CN114900347B (zh) * | 2022-04-28 | 2023-04-14 | 重庆长安汽车股份有限公司 | 一种基于以太网的入侵检测方法及数据包分发方法 |
| CN117118749A (zh) * | 2023-10-20 | 2023-11-24 | 天津奥特拉网络科技有限公司 | 一种基于个人通信网络的身份验证系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
| Ghorbani et al. | Network intrusion detection and prevention: concepts and techniques | |
| KR101111433B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US7607170B2 (en) | Stateful attack protection | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| Mukhopadhyay et al. | A comparative study of related technologies of intrusion detection & prevention systems | |
| Akbar et al. | Intrusion detection system methodologies based on data analysis | |
| Khalaf et al. | An adaptive model for detection and prevention of DDoS and flash crowd flooding attacks | |
| GB2381722A (en) | intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server | |
| CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
| Lobato et al. | A fast and accurate threat detection and prevention architecture using stream processing | |
| Gandhi et al. | Detecting and preventing attacks using network intrusion detection systems | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| US8819285B1 (en) | System and method for managing network communications | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| Jaiganesh et al. | An efficient algorithm for network intrusion detection system | |
| RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| TW201141155A (en) | Alliance type distributed network intrusion prevention system and method thereof | |
| Resmi et al. | Intrusion detection system techniques and tools: A survey | |
| RU186198U1 (ru) | Средство обнаружения вторжений уровня узла сети | |
| Farooqi et al. | Intrusion detection system for IP multimedia subsystem using K-nearest neighbor classifier | |
| Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201120 |
|
| RJ01 | Rejection of invention patent application after publication |