[发明专利]一种主备模式的网络威胁检测与处理装置及方法

说明书

本发明提供一种主备模式的网络威胁检测与处理装置及方法。该装置包括：用户代理单元、主用执行体单元、备用执行体单元、表决单元和反馈控制单元；用户代理单元包括用户侧链接维持模块、报文解析与标识注入模块和数据分发与链接维持模块；用户侧链接维持模块用于与用户端建立连接，并接收用户请求；报文解析与标识注入模块用于在用户请求中添加ID标识；数据分发与链接维持模块用于将用户请求发送至主用执行体单元，将复制的用户请求发送至备用执行体单元，以及接收主用和备用执行体单元的响应；表决单元用于对主用和备用执行体单元的响应进行表决，选择输出；反馈控制单元用于向主用执行体单元和备用执行体单元发送清洗指令和切换主备状态指令。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种主备模式的网络威胁检测与处理装置及方法。

背景技术

近年来，随着互联网技术的快速发展，特别是随着云计算的兴起，为用户提供服务的系统复杂度越来越高，比如WEB服务、FTP服务等，这里统称为执行体，相应的未知的漏洞和后门也大量增加。攻击者利用这些漏洞和后门攻击执行体，获取执行体的消息进而致瘫执行体，给企业和社会带来严重的危害和影响。

传统的威胁检测方法，一般包括信息收集和信息分析，其通过收集网络系统的行为、安全日志、审计数据等信息发现对系统的入侵或入侵企图，进而采取一定的手段来抵御攻击者。然而传统的威胁检测方法具有滞后性，仅当攻击发生之后才能采取相应的防御措施进行弥补，无法防御攻击者利用未知的漏洞和后门进行攻击，网络空间面临“易守难攻”的安全态势。

发明内容

针对传统的威胁检测方法存在的滞后性问题，本发明提供一种主备模式的网络威胁检测与处理装置及方法，能够实时的发现针对执行体的攻击，并采取主备切换和执行体清洗方式来抵御攻击。

本发明提供的一种主备模式的网络威胁检测与处理装置，包括：用户代理单元、主用执行体单元、备用执行体单元、表决单元和反馈控制单元；

所述用户代理单元，包括用户侧链接维持模块、报文解析与标识注入模块和数据分发与链接维持模块；所述用户侧链接维持模块，用于与用户端建立连接，并接收用户端的用户请求；所述报文解析与标识注入模块，用于解析用户请求，在用户请求中添加ID标识，每个用户请求对应有唯一ID标识；所述数据分发与链接维持模块，用于将携带有ID标识的用户请求发送至主用执行体单元，并复制携带有ID标识的用户请求，将复制的用户请求发送至备用执行体单元，以及接收所述主用执行体单元和所述备用执行体单元的响应，将响应进行重组与归一化后发送至表决单元；

所述表决单元，用于对主用执行体单元的响应和备用执行体单元的响应进行表决，根据表决结果，选择输出；

所述反馈控制单元，用于向主用执行体单元和备用执行体单元发送清洗指令和切换主备状态指令。

进一步地，所述主用执行体单元和所述备用执行体单元上均设置有控制代理模块，所述控制代理模块，用于根据清洗指令和切换主备状态指令控制主用执行体单元和备用执行体单元执行对应清洗操作和切换操作。

进一步地，所述用户代理单元、表决单元和反馈控制单元均设置在IO代理上，所述IO代理与主用执行体单元和备用执行体单元均通过控制信道建立控制连接。

进一步地，所述用户代理单元和表决单元均设置在IO代理上，所述反馈控制单元与IO代理、主用执行体单元和备用执行体单元均通过控制信道建立控制连接。

进一步地，所述反馈控制单元包括通信模块，所述通信模块用于向主用执行体单元和备用执行体单元发送清洗指令和切换主备状态指令。

本发明还提供一种主备模式的网络威胁检测与处理方法，应用于上述的一种主备模式的网络威胁检测与处理装置，所述方法包括：

步骤1：用户代理单元中的用户侧链接维持模块与用户端建立连接，并接收用户端的用户请求；