一种基于linux内核的网络防护软件方法和系统技术方案

本发明专利技术公开了一种基于linux内核的网络防护软件方法和系统，系统包括：内核模块，用于对数据包进行筛选、捕获、过滤、阻断；监控模块，负责对网络进行监控、分析、处理，按一定规则接收内核层的网络数据包，并分析数据包的协议、内容、流量，通过对比特征库，确定数据包的应用类型、正常与否，及早发现潜在的安全风险并采取有效措施；特征库存放有大量的样本数据，为分析模块提供数据特征对比功能，是分析的基石；控制模块负责对其他模块进行管理和控制本发明专利技术将防护方案设计成两种模式，简单过滤防护和特征识别防护，突破了Linux传统网络防护软件的功能单一问题，增加了规则自更新、特征识别功能，同时弥补了应用分析的不足，全面保证Linux系统的网络安全。

【技术实现步骤摘要】
一种基于linux内核的网络防护软件方法和系统
本专利技术涉及一种基于linux内核的网络防护软件方法和系统，属于网络安全

技术介绍
Linux网络防护软件有很多,大都是基于linux内核开发的，主要是包过滤功能，大致步骤是先定义好过滤规则，然后内核会根据规则进行数据包过滤，可一旦网络结构变化，需要重新调整规则，而对于那种频繁变化的网络结构，调整规则会非常耗费时间。除此之外，规则中虽然限制了某些端口的访问，但开放的端口无疑会极大增加被攻击的可能。大多数中小企业会采用开源软件方案，例如iptables，一种开源的Linux防火墙软件，是典型的Linux包过滤防火墙软件。iptables运行在操作系统内核中，操作非常简单。它是基于netfilter框架来开发的，通过对网络数据包的过滤处理实现防护作用。iptables过滤的规则链包括5种：input链、output链、forward链、prerouting链、postrouting链，每种规则链的处理对应netfilter的不同挂载点上的操作。规则链包括规则条目，规则条目由IP地址、端口、动作组成。当系统接收和发送数据包时，ip本文档来自技高网...

【技术保护点】
1.一种基于linux内核的网络防护软件方法，其特征是，包括：控制模块读取定义的规则后根据预先定义的规则向内核模块发送启动命令，具体包括：控制模块接收到的规则选择的防护模式是简单过滤防护和/或特征识别防护则向内核模块发送简单过滤防护启动命令和/或特征识别防护启动命令；若内核模块接收到简单过滤防护启动命令后监测数据包，如果属于允许规则，将放行通过；如果属于禁止规则，则将其阻断；若内核模块接收到特征识别防护启动命令后，根据预先定义的规则捕获接收和发送的数据包，将数据包发送给用户空间层的监控模块；在用户空间层设置特征库模块，所述特征库模块用于存放样本特征数据，为监控模块提供数据特征对比功能；监控模块...

【技术特征摘要】
1.一种基于linux内核的网络防护软件方法，其特征是，包括：控制模块读取定义的规则后根据预先定义的规则向内核模块发送启动命令，具体包括：控制模块接收到的规则选择的防护模式是简单过滤防护和/或特征识别防护则向内核模块发送简单过滤防护启动命令和/或特征识别防护启动命令；若内核模块接收到简单过滤防护启动命令后监测数据包，如果属于允许规则，将放行通过；如果属于禁止规则，则将其阻断；若内核模块接收到特征识别防护启动命令后，根据预先定义的规则捕获接收和发送的数据包，将数据包发送给用户空间层的监控模块；在用户空间层设置特征库模块，所述特征库模块用于存放样本特征数据，为监控模块提供数据特征对比功能；监控模块接收到数据包后与特征库模块中的特征对比，首先确定该数据包的应用类型，如果应用类型是属于禁止规则的，监控模块会向内核模块发送阻断通知来阻止该数据包的流向；然后检测数据包是否异常，如果异常则同样向内核模块发送阻断通知来阻止该数据包的流向且将异常数据包的IP加入禁止规则中并通知控制模块执行新规则；内核模块接收到监控模块的阻断通知后决定是否允许和阻断该数据包的流向。2.根据权利要求1所述的网络防护软件方法，其特征是，监控模块检测到异常数据包后将异常数据包发送给控制模块，控制模块将异常数据包保存在存储模块中。3.根据权利要求1所述的网络防护软件方法，其特征是，监控模块记录监控日志并将监控日志发送给控制模块，控制模块将异常数据包保存存储模块中。4.根据权利要求1所述的网络防护软件方法，其特征是，控制模块读取定义的规则后将规则保存到存储模块。5.根据权利要求1所述的网络防护软件方法，其特征是，定义的规则包括配置信息和规则的条目。6.根据权利要求1所述的网络防护软件方法，其特征是，还包括设置显示模块用于提供可视化的界面操作...

【专利技术属性】
技术研发人员：施文均，张有成，姚崎，李海鹏，
申请(专利权)人：南京壹进制信息技术股份有限公司，
类型：发明
国别省市：江苏,32