[发明专利]一种网络安全防御系统

摘要

本发明公开了一种网络安全防御系统，该系统包括管理模块、训练模块、采集模块、分析模块和处理模块。管理模块负责生成智能实体，计划智能实体的移动路径后派发到主机；采集模块负责采集数据，为分析模块做准备；分析模块由各个智能实体构成，负责分析数据流，若分析出有攻击，则通知处理模块；处理模块则负责做出相应的处理；训练模块根据已有的网络攻击模式训练产生相应检测器，构成智能实体；主动模块是当智能实体发现可疑网络攻击时，主动产生新检测器上报给管理模块。通过本发明的网络安全防御系统，提高了对网络攻击的反应速度，平衡了负载，节省了带宽，降低了误检率，通过主动地检测可疑网络攻击行为，降低了漏检率。

主权项

一种网络安全防御系统，用于监控计算机网络各个节点上的主机，以发现和防御网络攻击行为，其特征在于，该系统包括管理模块，负责管理、协调、控制被监控主机上的智能实体，生成带检测器的智能实体，在收到采集模块的信号之后，派发智能实体到相应的主机中，所述智能实体是一类特殊的软件模块，具有独立处理事务的功能，并且具有可迁移性，可以从一个网络节点迁移到另一个网络节点，智能实体产生之后，其工作过程是独立的，与管理模块无关，即就算管理服务器受到攻击，也不会影响已经产生的在系统内的智能实体的工作，这些智能实体也可以通过克隆，将克隆出的智能实体移动到需要检测的主机上进行检测；训练模块，用于提取数据库中存储的网络攻击模式，根据每个网络攻击模式进行训练，从而创建相应的网络攻击模式的检测器，同时还对检测器进行总结、分类和合并，使得一个检测器可以检测多种攻击模式，尽可能减少检测器数量，所述数据库是系统管理员根据已知的网络攻击模式建立的一个攻击模式的训练数据库；采集模块，分布在计算机网络中的各个节点上，负责对网络数据包的截获，以及对截获的网络数据包进行预处理，从采集到的数据信息中过滤出相关的信息，减小无用的信息入库，并对采集到的数据进行编码，将编码后的数据提供给分析模块进行分析；分析模块，由系统中运行的所有智能实体构成，负责对采集模块所传送的数据进行检测分析，智能实体可以在主机间迁移，可以相互进行通信协作来完成对网络攻击的检测，智能实体分为B‑智能实体和M‑智能实体，每个B‑智能实体都有一个检测器集合，该集合中的所有的检测器均为通过训练的成熟检测器，B‑智能实体对采集模块所传送的数据进行检测分析，发现攻击行为后及时向处理模块发出处理请求，同样，每个M‑智能实体也都有一个检测器集，该检测器集中的检测器均为通过训练的记忆检测器，也就是针对此前出现过的攻击的检测器，当采集模块传送数据后，若此时M‑智能实体不为空，则由M‑智能实体先进行检测，若匹配不成功，再交由B‑智能实体进行检测；处理模块，负责处理发现的网络攻击行为或可疑网络行为，在智能实体检测到有网络攻击行为或者可疑网络行为时，它们便会及时激活处理模块，处理模块会立即发出警报，并作出相应的处理；主动模块，负责控制智能主体产生新的可疑网络行为检测器，智能实体发现可疑的网络行为时，将上报给主动模块，在主动模块的控制下，该智能实体将主动产生一个可以检测该可疑网络行为的新的检测器，然后立即将该检测器发送给其他网络节点的智能实体，以帮助其他智能实体及时发现该网络行为。