本发明专利技术涉及网络入侵检测技术领域,尤其涉及一种网络入侵检测系统,包括报文接收模块、报文分析模块、报文发送模块和接入模块,接入模块用于提取接入的数据报文的信息,将数据报文信息与预设的处理策略进行匹配,并将匹配好的报文发送给所述报文分析模块。网络入侵检测系统还包括报警模块和事件存储模块;其中,报警模块根据报文分析模块的分析结果,向报文接收模块发出警告;事件存储模块对网络中出现的入侵事件和攻击行为进行统计和分析。本发明专利技术能够对网络入侵行为进行有效的检测,解决现有技术中IPS系统开销大,同时性能受限的问题。增加了网络的安全性。
【技术实现步骤摘要】
一种网络入侵检测系统
本专利技术涉及网络入侵检测
,尤其涉及一种网络入侵检测系统。
技术介绍
当前网络入侵的风险性和机会急剧增多,设计安全措施来防范未经授权访问系统的资源和数据,是当前网络安全领域的一个十分重要而迫切的问题。目前,要想完全避免安全事件的发生并不太现实。网络安全人员所能做到的只能是尽力发现和察觉入侵及入侵企图,以便采取有效的措施来堵塞漏洞和修复系统。这样的研究称为入侵检测,为此目的所研制的系统就称为入侵检测系统。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统安全管理能力,提高了信息安全基础结构的完整性。入侵检测是继防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对外部攻击、内部攻击、误操作的实时保护。入侵检测系统根据网络数据包和协议分析来检测入侵活动。系统可以按照一定的规则从网络上获取与安全事件相关的数据包,然后传递给分析引擎模块进行安全分析判断,入侵分析引擎模块将根据接收到的数据包,并结合网络安全数据库进行分析,将分析结果传递给管理/配置模块,管理配置模块的主要功能是管理其它各模块的配置工作,并将分析引擎的结果以有效的方式外发。
技术实现思路
本专利技术提供了一种网络入侵检测系统,可以提高网络的安全性。为了实现本专利技术的目的,所采用的技术方案是:一种网络入侵检测系统,包括报文接收模块、报文分析模块、报文发送模块和接入模块,接入模块用于提取接入的数据报文的信息,将所述数据报文信息与预设的处理策略进行匹配,并将匹配好的报文发送给所述报文分析模块。作为本专利技术的优化方案,网络入侵检测系统还包括报警模块和事件存储模块;其中,报警模块根据报文分析模块的分析结果,向报文接收模块发出警告;事件存储模块对网络中出现的入侵事件和攻击行为进行统计和分析。作为本专利技术的优化方案,接入模块包括协议解码单元,协议解码单元负责对捕获的报文进行解码,将解码后的报文与预设的处理策略进行匹配。作为本专利技术的优化方案,进行匹配之后,对未匹配处理策略的数据报文还包括识别当前网络状况是否异常的步骤,是则丢弃该数据报文,否则按照缺省处理策略对该数据报文进行处理,所述缺省处理策略为检测、放行或者丢弃。作为本专利技术的优化方案,报文接收模块针对数据链路层的数据进行捕获。本专利技术具有积极的效果:本专利技术能够对网络入侵行为进行有效的检测,解决现有技术中IDS/IPS系统开销大,同时性能受限的问题。增加了网络的安全性。附图说明下面结合附图和具体实施方式对本专利技术作进一步详细的说明。图1是本专利技术的整体结构框图。其中:1、报文接收模块,2、报文分析模块,3、报文发送模块,4、接入模块,5、报警模块,6、事件存储模块。具体实施方式如图1所示,本专利技术公开了一种网络入侵检测系统,包括报文接收模块1、报文分析模块2、报文发送模块3和接入模块4,接入模块4用于提取接入的数据报文的信息,将所述数据报文信息与预设的处理策略进行匹配,并将匹配好的报文发送给所述报文分析模块2。网络入侵检测系统还包括报警模块5和事件存储模块6;其中,报警模块5根据报文分析模块2的分析结果向报文接收模块1发出警告;事件存储模块6对网络中出现的入侵事件和攻击行为进行统计和分析。接入模块4包括协议解码单元,协议解码单元负责对捕获的报文进行解码,将解码后的报文与预设的处理策略进行匹配。进行匹配之后,对未匹配处理策略的数据报文还包括识别当前网络状况是否异常的步骤,是则丢弃该数据报文,否则按照缺省处理策略对该数据报文进行处理,缺省处理策略为检测、放行或者丢弃。报文接收模块1针对数据链路层的数据进行捕获。数据采集器负责截获网络中的原始数据包,将收集到的信息传给分析引擎进行安全判断。数据采集器能够从收集到的信息中发掘出可能的入侵或其它敏感信息,然后将数据包中的数据传递给分析引擎做二次处理。事件产生器是数据采集器中的重要组件,它对收集到的数据进行初步分析和过滤,减少了需要系统处理的数据量,提高了系统的处理速度。通过分析以太包头、TCP、UDP和IP包头中的信息,选出用户感兴趣的数据包,然后进行相应的应用层协议级的数据解释,把原始数据转化为相应格式化的事件,通过通信部件传给分析引擎做进一步分析。如果在解释过程中发现有分段报文,则将它们交给报文重组器进行处理。各个数据采集器之间也可以通过通信部件相互交换信息。当某个数据采集器某个活动可疑时则通知其它数据采集器,后续数据采集器分析后,也可以向相邻的数据采集器发送可疑通知,最终在可信级别上超过设定的阈值时,向主控制系统和响应系统发出报警。如果某个数据采集器收到可疑通知后,将提升可疑级别,如果没有收到可疑通知,将逐渐恢复到正常状态。日志集负责记录系统发生过的事情,把用户所感兴趣的事件都记录下来,这将有利于用户对入侵事件做进一步的调查和分析,一方面可以分析入侵者所采取的入侵技术,另一方面也可以掌握入侵者的行为踪迹。存储器为各部件提供其所需的数据。其中的规则库记录着丰富的入侵特征,这是分析引擎进行判断的重要依据。每个分析引擎采用的检测方法也不一定相同,即使是同一个分析引擎中也可以同时使用几种检测方法,对相同的数据采用不同的检测方法进行分析,然后对各自的检测结果进行比较,可以提高检测的准确度。以上所述的具体实施例,对本专利技术的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本专利技术的具体实施例而已,并不用于限制本专利技术,凡在本专利技术的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本专利技术的保护范围之内。本文档来自技高网...
【技术保护点】
1.一种网络入侵检测系统,其特征在于:包括报文接收模块(1)、报文分析模块(2)、报文发送模块(3)和接入模块(4),所述接入模块(4)用于提取接入的数据报文的信息,将所述数据报文信息与预设的处理策略进行匹配,并将匹配好的报文发送给所述报文分析模块(2)。
【技术特征摘要】
1.一种网络入侵检测系统,其特征在于:包括报文接收模块(1)、报文分析模块(2)、报文发送模块(3)和接入模块(4),所述接入模块(4)用于提取接入的数据报文的信息,将所述数据报文信息与预设的处理策略进行匹配,并将匹配好的报文发送给所述报文分析模块(2)。2.根据权利要求1所述的一种网络入侵检测系统,其特征在于:所述的网络入侵检测系统还包括报警模块(5)和事件存储模块(6);其中,报警模块(5)根据报文分析模块(2)的分析结果,向报文接收模块(1)发出警告;事件存储模块(6)对网络中出现的入侵事件和攻击行为进行统计和分析。...
【专利技术属性】
技术研发人员:季宇哲,杨云峰,吴昭霖,
申请(专利权)人:丙申南京网络技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。