[发明专利]一种网络安全防御系统

权利要求书

1.一种网络安全防御系统，用于监控计算机网络各个节点上的主机，以发现和防御网络攻击行为，其特征在于，该系统包括

管理模块，负责管理、协调、控制被监控主机上的智能实体，生成带检测器的智能实体，在收到采集模块的信号之后，派发智能实体到相应的主机中，所述智能实体是一类特殊的软件模块，具有独立处理事务的功能，并且具有可迁移性，可以从一个网络节点迁移到另一个网络节点，智能实体产生之后，其工作过程是独立的，与管理模块无关，即就算管理服务器受到攻击，也不会影响已经产生的在系统内的智能实体的工作，这些智能实体也可以通过克隆，将克隆出的智能实体移动到需要检测的主机上进行检测；

训练模块，用于提取数据库中存储的网络攻击模式，根据每个网络攻击模式进行训练，从而创建相应的网络攻击模式的检测器，同时还对检测器进行总结、分类和合并，使得一个检测器可以检测多种攻击模式，尽可能减少检测器数量，所述数据库是系统管理员根据已知的网络攻击模式建立的一个攻击模式的训练数据库；

采集模块，分布在计算机网络中的各个节点上，负责对网络数据包的截获，以及对截获的网络数据包进行预处理，从采集到的数据信息中过滤出相关的信息，减小无用的信息入库，并对采集到的数据进行编码，将编码后的数据提供给分析模块进行分析；

分析模块，由系统中运行的所有智能实体构成，负责对采集模块所传送的数据进行检测分析，智能实体可以在主机间迁移，可以相互进行通信协作来完成对网络攻击的检测，智能实体分为B-智能实体和M-智能实体，每个B-智能实体都有一个检测器集合，该集合中的所有的检测器均为通过训练的成熟检测器，B-智能实体对采集模块所传送的数据进行检测分析，发现攻击行为后及时向处理模块发出处理请求，同样，每个M-智能实体也都有一个检测器集，该检测器集中的检测器均为通过训练的记忆检测器，也就是针对此前出现过的攻击的检测器，当采集模块传送数据后，若此时M-智能实体不为空，则由M-智能实体先进行检测，若匹配不成功，再交由B-智能实体进行检测；

处理模块，负责处理发现的网络攻击行为或可疑网络行为，在智能实体检测到有网络攻击行为或者可疑网络行为时，它们便会及时激活处理模块，处理模块会立即发出警报，并作出相应的处理；

主动模块，负责控制智能主体产生新的可疑网络行为检测器，智能实体发现可疑的网络行为时，将上报给主动模块，在主动模块的控制下，该智能实体将主动产生一个可以检测该可疑网络行为的新的检测器，然后立即将该检测器发送给其他网络节点的智能实体，以帮助其他智能实体及时发现该网络行为。

2.如权利要求1所述的网络安全防御系统，其中采集模块提取网络数据的特征，包括基于会话的特征、基于时间的统计特征和基于连接的统计特征；对于离散的特征，采集模块直接进行编码，对于连续性特征，使用隶属度函数对其进行离散化处理后再编码。

3.如权利要求2所述的网络安全防御系统，进一步包括：采集模块采用三角形隶属度函数对基于会话的特征duration进行模糊处理，duration表示的是连接持续的时间，分别采用降半阶梯形和升半阶梯形作为“很短”和“很长”的隶属度函数，三角形隶属度函数作为“较短”、“正常”和“较长”的隶属度函数，以随机变量x为函数自变量，各隶属度函数公式如下：

其中，a=μ-4σ，b=μ-3σ，c=μ-2σ，d=μ+2σ，e=μ+3σ，f=μ+4σ，，μ和σ分别是在学习阶段为系统提供的正常样本集中该duration属性的期望与标准差，随机变量x是duration属性值。

4.如权利要求2-3的网络安全防御系统，其中使用“正常”、“怀疑”、“异常”三个模糊化概念来描述基于时间的统计变量。分别采用降半阶梯形和升半阶梯形作为“正常”和“异常”的隶属度函数，三角形隶属度函数作为“正常”的隶属度函数，将值为“很短”、“较短”、“正常”的属性认为是正常，若某属性值为“较长”，则列入怀疑的范围，若某属性值为“很长”，则列入异常的范围。