[发明专利]基于协同入侵检测的大规模网络安全防御系统

说明书

本申请公开了基于协同入侵检测的大规模网络安全防御系统，包括：协同入侵检测引擎，设置于网络中的多个不同位置，用于进行协同数据采集并发送检测事件对应的类型和检测位置的IP地址；协同数据分析模块，与协同入侵检测引擎连接，用于汇总多个协同入侵检测引擎采集的数据并进行协同分析；协同响应模块，与协同数据分析模块连接，用于获取协同数据分析模块的分析结果并及时控制网络安全模块的运行；协同管理器，用于存储各个协同入侵检测引擎对应的安全事件类型和IP地址，并控制系统运行，协同管理器与协同数据分析模块、协同响应模块相连。本申请的基于协同入侵检测的大规模网络安全防御系统，有效地提高大规模网络安全防御性能。

本申请涉及网络安全检测技术领域，具体是基于协同入侵检测的大规模网络安全防御系统。

背景技术

现有技术中，基于网络安全的入侵检测系统，通常是在网络层通过原始的IP包进行检测，随着网络技术的发展，该种检测方式已不能满足日益增长的网络安全需求。而基于主机系统的入侵检测，采用直接查看用户行为和操作系统日志数据来寻找入侵，很难发现来自底层的网络攻击。未来的网络是全交换的网络，网络速度越来越快，且许多数据包是采用加密方式存在的，从而导致安全防御系统在采集动态网络数据包的时候需要面临较为困难的局面。因此，现有技术中的网络安全防御系统存在网络安全防护漏洞较大，安全防御性较差的问题。

发明内容

本申请的目的在于提供一种基于协同入侵检测的大规模网络安全防御系统，有效地提高大规模网络安全防御性能。

为实现上述目的，本申请提供了一种基于协同入侵检测的大规模网络安全防御系统，包括：协同入侵检测引擎，设置于网络中的多个不同位置，用于进行协同数据采集并发送检测事件对应的类型和检测位置的IP地址；协同数据分析模块，与所述协同入侵检测引擎连接，用于汇总多个所述协同入侵检测引擎采集的数据并进行协同分析；协同响应模块，与所述协同数据分析模块连接，用于获取所述协同数据分析模块的分析结果并及时控制网络安全模块的运行；协同管理器，用于存储各个所述协同入侵检测引擎对应的安全事件类型和IP地址，并控制系统运行，所述协同管理器与所述协同数据分析模块、所述协同响应模块相连。

作为优选，所述协同数据分析模块包括用于对多种入侵事件进行深度学习的学习单元、用于获取检测事件和IP地址的检测数据获取单元、用于将获取到的检测事件数据与该IP地址对应的安全事件进行比对的检测点数据比对单元、用于对获取到的检测事件与对应的安全事件制作列表并生成网络日志的混合列表单元、用于根据所述学习单元深度学习的内容对制作完成的列表内容进行异常检查的纠错查异单元；所述检测数据获取单元与所述协同入侵检测引擎通讯连接，所述检测点数据比对单元分别与所述检测数据获取单元、所述协同管理器相连，所述混合列表单元与所述检测点数据比对单元相连，所述纠错查异单元分别与所述混合列表单元、所述协同响应模块相连。

作为优选，所述协同响应模块包括入侵检测与防火墙协同单元、入侵检测与路由器协同单元、入侵检测与交换机协同单元、入侵检测与病毒查杀系统协同单元、入侵检测与蜜罐协同单元。

作为优选，所述入侵检测与防火墙协同单元包括静态分析层面、动态分析层面；所述静态分析层面包括所述协同入侵检测引擎获取防火墙运行策略，并对网络安全进行分析，在出现网络入侵时发出报警；所述动态分析层面包括所述协同入侵检测引擎发现攻击行为时，发送该攻击行为至所述防火墙以阻断主机与外部的连接，所述防火墙分析攻击行为方式并修改策略。

作为优选，所述入侵检测与路由器协同单元包括静态分析层面、动态分析层面；所述静态分析层面包括所述协同入侵检测引擎获取路由器运行策略，并对网络安全进行分析，在出现网络入侵时发出报警；所述动态分析层面包括所述协同入侵检测引擎发现攻击行为时，发送该攻击行为至所述路由器以阻断主机与外部的连接，并生成攻击行为日志。