[发明专利]一种分布式网络入侵防御系统

摘要

一种分布式网络入侵防御系统，包括windows控制台单元、WEB控制台单元以及系统检测单元，其中windows控制台单元包括windows配置管理模块、windows系统监控模块、windows日志管理模块，WEB控制台单元包括WEB配置管理模块、WEB系统监控模块、WEB日志管理模块、策略管理模块，系统检测单元包括入侵保护模块、入侵检测模块、协议分析模块、防火墙模块、协议识别模块、数据捕获模块；该系统一种能自动采取行动阻止攻击和入侵，弥补了当前IPS的不足，通过部署该入侵防御系统，同其他安全产品形成互补，形成深度防御体系，最大限度地保护企业和组织的网络安全。

主权项

一种分布式网络入侵防御系统，其特征在于：包括windows控制台单元、WEB控制台单元以及系统检测单元；所述的windows控制台单元包括windows配置管理模块、windows系统监控模块、windows日志管理模块；所述的windows配置管理模块主要用于对windows控制台的规则管理、用户管理、事件管理和升级管理；所述的windows系统监控模块主要对windows控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控；所述的windows日志管理模块主要对windows控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理；所述的WEB控制台单元包括WEB配置管理模块、WEB系统监控模块、WEB日志管理模块、策略管理模块；所述的WEB配置管理模块主要用于对WEB控制台的规则管理、用户管理、事件管理和升级管理；所述的WEB系统监控模块主要对WEB控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控；所述的WEB日志管理模块主要对WEB控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理；所述的策略管理模块采用自定义访问控制策略，用于根据不同事态变化，对各种策略进行综合评估和分析，采取相应的策略进行检测或防御；所述的系统检测单元包括入侵保护模块、入侵检测模块、协议分析模块、防火墙模块、协议识别模块、数据捕获模块；所述的入侵保护模块主要对包的丢失、中断连接、TCP killer、防火墙协作、邮件报警、SNMPTRAP、和日志数据库等进行保护及响应；所述的入侵检测模块主要采用CSD的协议异常检测技术和设计一个拒绝服务攻击检测模块，对误用、协议异常和DOS的检测进行相关分析，并通过告警系统及时响应；所述的协议分析模块主要采用智能协议识别技术，通过动态分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理；所述的防火墙模块对访问控制采用内置状态防火墙和自定义访问控制策略，对NAT支持提供网络地址转换功能；所述的协议识别模块主要负责对分析出来的IP碎片重组、TCP状态跟踪和TCP流的汇聚进行识别并作出标志；所述的数据捕获模块，对来自于经过上述模块的分析和识别的数据包进行捕获，获得该数据包的源地址、源端口、目的地址、目的端口和所使用的协议等数据，并进行相关告警，必要时自动关闭网络设备。