[发明专利]一种网络安全防御系统

说明书

技术领域

本发明涉及一种网络安全防御系统，尤其涉及一种主动的网络安全防御系统，通过对计算机网络或计算机系统关键节点的信息采集和分析，发现各种外部攻击、内部攻击和误操作，并做出相应的响应，保证系统或网络资源的机密性、完整性与可用性。

背景技术

网络技术正在改变传统的生产、经营和生活方式，成为新的经济增长点。但是计算机网络在带给我们便利的同时，也体现出它的脆弱性。网络信息系统存在的安全漏洞和隐患层出不穷，基础网络和重要信息系统面临着严峻的安全威胁。

漏洞的大量存在是网络安全问题的总体形势趋于严峻的重要原因之一。由于基于TCP/IP架构的计算机网络是一个开放和自由的网络，它在大大增强网络信息服务灵活性的同时，也给黑客攻击和入侵敞开了方便之门。黑客攻击技术与网络病毒日趋融合是目前网络攻击的发展趋势，并且随着攻击工具日益先进，攻击者所需的技能日趋下降，网络受到攻击的可能性将越来越大。另外，企业外部的攻击可以对企业网络造成巨大的威胁，“御敌于城门之外”也是计算机安全的传统的范例，但是企业内部员工的不正确使用和恶意破坏则是一种更加危险的因素。

世界上众多科研机构经过多年的研究，在网络安全领域中的许多方面取得了显著的成就，现有技术中典型地包括防火墙、杀毒软件等。但是这些系统也有些缺陷和不足，例如：（1）限制有用的网络服务；（2）无法防护内部网络用户的攻击；（3）无法全面防备病毒，不可能限制所有感染病毒的文件在网络中流通；（4）不能防备新的网络安全问题，只能对已知的网络威胁起作用，不可能靠一次性的设置解决所有的安全问题；（5）对大量潜在的后门缺乏有效手段；（6）高误检率和漏检率；（7）处理速度慢，难以跟上网络速度的发展。

发明内容

本发明的目的在于针对传统网络安全防御措施的缺陷，提出一种主动的网络安全防御系统，用于监控计算机网络各个节点上的主机，以发现和防御网络攻击行为，该系统包括管理模块、训练模块、采集模块、分析模块和处理模块。管理模块负责生成智能实体，计划智能实体的移动路径，派发各智能实体到相应的主机；采集模块负责采集数据，并分析包头及协议，提取有用特征，为分析模块做准备；分析模块由各个智能实体构成，负责分析截获的数据流，判断是否有攻击发生，若分析出有攻击，则通知处理模块；处理模块则负责做出相应的处理，如断开可疑连接，锁住相应的账号或者限制登陆等；训练模块是根据已有的网络攻击模式，训练产生相应的检测器，从而构成智能实体；主动模块是当智能实体发现可疑的网络攻击时，主动产生新的检测器，并上报给管理模块。

附图说明

图1：本发明的系统模块结构；

图2：durantion的隶属度函数；

图3：可变选择算法的检测流程图；

图4：改进后的可变选择算法的检测流程图；

具体实施方式

参见图1，本发明的网络安全防御系统的系统结构从功能角度可分为：管理模块、训练模块、采集模块、分析模块、处理模块、主动模块。除此之外，本系统还包括一些智能实体，这些智能实体是一类特殊的软件模块，具有独立处理事务的功能，并且具有可迁移性，类似网络蠕虫，可以从一个网络节点迁移到另一个网络节点。迁移的目的是使程序的执行尽可能靠近数据源，降低网络通信开销，节省带宽，平衡负载，加快任务的执行，从而提高分布式系统的处理效率。管理模块负责生成智能实体，计划智能实体的移动路径，派发各智能实体到相应的主机。采集模块负责采集数据，本发明只采集网络数据，并分析包头及协议，提取有用特征，为分析模块做准备。分析模块由各个智能实体构成，负责分析截获的数据流，判断是否有攻击发生，若分析出有攻击，则通知处理模块。处理模块则负责做出相应的处理，如断开可疑连接，锁住相应的账号或者限制登陆等。训练模块是根据已有的网络攻击模式，训练产生相应的检测器，从而构成智能实体。主动模块是当智能实体发现可疑的网络攻击时，主动产生新的检测器，并上报给管理模块。以下是具体说明。

管理模块：主要负责管理、协调、控制被监控主机上的智能实体，它生成带检测器的智能实体，收到采集模块的信号之后，派发智能实体到相应的主机中。智能实体产生之后，其工作过程是独立的，与管理模块无关，即就算管理服务器受到攻击，也不会影响已经产生的在系统内的智能实体的工作，这些智能实体也可以通过克隆，移动到需要检测的主机上进行检测，为恢复控制平台的工作争取了时间，这样就消除了中央控制器的单点失效问题。