基于协同入侵检测的大规模网络安全防御系统技术方案

本申请公开了基于协同入侵检测的大规模网络安全防御系统，包括：协同入侵检测引擎，设置于网络中的多个不同位置，用于进行协同数据采集并发送检测事件对应的类型和检测位置的IP地址；协同数据分析模块，与协同入侵检测引擎连接，用于汇总多个协同入侵检测引擎采集的数据并进行协同分析；协同响应模块，与协同数据分析模块连接，用于获取协同数据分析模块的分析结果并及时控制网络安全模块的运行；协同管理器，用于存储各个协同入侵检测引擎对应的安全事件类型和IP地址，并控制系统运行，协同管理器与协同数据分析模块、协同响应模块相连。本申请的基于协同入侵检测的大规模网络安全防御系统，有效地提高大规模网络安全防御性能。能。

【技术实现步骤摘要】
基于协同入侵检测的大规模网络安全防御系统


[0001]本申请涉及网络安全检测
，具体是基于协同入侵检测的大规模网络安全防御系统。

技术介绍

[0002]现有技术中，基于网络安全的入侵检测系统，通常是在网络层通过原始的IP包进行检测，随着网络技术的发展，该种检测方式已不能满足日益增长的网络安全需求。而基于主机系统的入侵检测，采用直接查看用户行为和操作系统日志数据来寻找入侵，很难发现来自底层的网络攻击。未来的网络是全交换的网络，网络速度越来越快，且许多数据包是采用加密方式存在的，从而导致安全防御系统在采集动态网络数据包的时候需要面临较为困难的局面。因此，现有技术中的网络安全防御系统存在网络安全防护漏洞较大，安全防御性较差的问题。

技术实现思路

[0003]本申请的目的在于提供一种基于协同入侵检测的大规模网络安全防御系统，有效地提高大规模网络安全防御性能。
[0004]为实现上述目的，本申请提供了一种基于协同入侵检测的大规模网络安全防御系统，包括：协同入侵检测引擎，设置于网络中的多个不同位置，用于进行协同数据采集并发送检测事件对应的类型和检测位置的IP地址；协同数据分析模块，与所述协同入侵检测引擎连接，用于汇总多个所述协同入侵检测引擎采集的数据并进行协同分析；协同响应模块，与所述协同数据分析模块连接，用于获取所述协同数据分析模块的分析结果并及时控制网络安全模块的运行；协同管理器，用于存储各个所述协同入侵检测引擎对应的安全事件类型和IP地址，并控制系统运行，所述协同管理器与所述协同数据分析模块、所述协同响应模块相连。
[0005]作为优选，所述协同数据分析模块包括用于对多种入侵事件进行深度学习的学习单元、用于获取检测事件和IP地址的检测数据获取单元、用于将获取到的检测事件数据与该IP地址对应的安全事件进行比对的检测点数据比对单元、用于对获取到的检测事件与对应的安全事件制作列表并生成网络日志的混合列表单元、用于根据所述学习单元深度学习的内容对制作完成的列表内容进行异常检查的纠错查异单元；所述检测数据获取单元与所述协同入侵检测引擎通讯连接，所述检测点数据比对单元分别与所述检测数据获取单元、所述协同管理器相连，所述混合列表单元与所述检测点数据比对单元相连，所述纠错查异单元分别与所述混合列表单元、所述协同响应模块相连。
[0006]作为优选，所述协同响应模块包括入侵检测与防火墙协同单元、入侵检测与路由器协同单元、入侵检测与交换机协同单元、入侵检测与病毒查杀系统协同单元、入侵检测与蜜罐协同单元。
[0007]作为优选，所述入侵检测与防火墙协同单元包括静态分析层面、动态分析层面；所
述静态分析层面包括所述协同入侵检测引擎获取防火墙运行策略，并对网络安全进行分析，在出现网络入侵时发出报警；所述动态分析层面包括所述协同入侵检测引擎发现攻击行为时，发送该攻击行为至所述防火墙以阻断主机与外部的连接，所述防火墙分析攻击行为方式并修改策略。
[0008]作为优选，所述入侵检测与路由器协同单元包括静态分析层面、动态分析层面；所述静态分析层面包括所述协同入侵检测引擎获取路由器运行策略，并对网络安全进行分析，在出现网络入侵时发出报警；所述动态分析层面包括所述协同入侵检测引擎发现攻击行为时，发送该攻击行为至所述路由器以阻断主机与外部的连接，并生成攻击行为日志。
[0009]作为优选，所述入侵检测与交换机协同单元包括静态分析层面、动态分析层面；所述静态分析层面包括所述协同入侵检测引擎获取交换机运行策略，并对网络安全进行分析，在出现网络入侵时发出报警；所述动态分析层面包括所述协同入侵检测引擎发现攻击行为时，发送该攻击行为至所述交换机以阻断主机与外部的连接，并生成攻击行为日志。
[0010]作为优选，所述入侵检测与病毒查杀系统协同单元包括数据协同查毒层面、响应协同杀毒层面；所述数据协同查毒层面包括控制所述协同入侵检测引擎向主机发送大量的测试数据段，并对应接收主机的响应状态；所述响应协同杀毒层面包括主机在执行杀毒指令时，所述协同入侵检测引擎获取并执行主机原始系统强制启动程序，且所述协同入侵检测引擎发送大量RST报文阻断已经建立的连接。
[0011]作为优选，所述入侵检测与蜜罐协同单元包括所述协同入侵检测引擎基于所述协同管理器共享的诱骗数据在所述协同入侵检测引擎所在检测点进行检测，在发现相似度达到 90～100％的数据片段时，及时发送检测事件至所述协同数据分析模块，且所述协同入侵检测引擎阻断已经建立的连接。
[0012]作为优选，所述协同入侵检测引擎包括下相互连接的协同数据采集模块、入侵检测管理模块，所述协同数据采集模块用于协同采集入侵检测数据和漏洞扫描系统数据、协同采集入侵检测数据和病毒查杀系统数据；所述入侵检测管理模块包括通信单元、响应与测试单元，所述通信单元接收所述协同数据采集单元的告警事件，并向所述协同数据分析模块发送该告警事件；所述响应与测试单元用于获取所在位置的IP地址，并对该IP地址下的实时运行数据、历史运行数据进行获取，并通过所述通信单元传输至所述协同数据分析模块，同时，接收并运行所述协同响应模块下发的响应指令。
[0013]作为优选，所述响应指令包括终止当前的连接、自动配置防火墙访问控制链表、自动配置路由器访问控制链表、自动配置交换机访问控制链表。
[0014]借由上述的基于协同入侵检测的大规模网络安全防御系统，通过协同入侵检测引擎、协同数据分析模块、协同响应模块、协同管理器的设置，多网络中多个IP地址进行数据采集，并对采集到的数据进行比对和协同处理，有效地采集动态网络数据包，并在出现告警事件时，通过多个IP地址的数据交互进行安全防护，有效地提高大规模网络安全防御性能。
具体实施方式
[0015]下面将结合本专利技术实施例，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都
属于本专利技术保护的范围。
[0016]实施例：计算机的应用领域已从科学计算领域展到社会生活的各个方面，把人们带入了信息时代。计算机处理的信息已不仅仅是科学计算数据，而包含了更丰富的信息。计算机网技术的发展，尤其是广域网技术的发展为人们提供了快速、性能稳定的信息服务。网络给人们提供了一种廉价的异地通信手段，使人们有可能利用网络来完成一些需要异地协同的工作。随着网络应用分布计算趋勢的加剧，如何协调网络中多台计算机共同完成一项任务成为近几年网络应用技术中研究的热点。协同技术的出现为在分布计算境下，多个独立的主体为完成共同的任务而协同工作，提供了一种有效地解决方法。具体到入侵检系统，协作的意义在于多个检组件通过协作能得同样数量的相互独立的多个入侵检测系统所不能知的信息，并在比基础上对信息进行进一步的提炼和取，从而达到更好的检观效果。
[0017]协同技术的基木功能是给出各个组件互操作的对象及其届性之间的依赖关系，通本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于协同入侵检测的大规模网络安全防御系统，其特征在于，包括：协同入侵检测引擎，设置于网络中的多个不同位置，用于进行协同数据采集并发送检测事件对应的类型和检测位置的IP地址；协同数据分析模块，与所述协同入侵检测引擎连接，用于汇总多个所述协同入侵检测引擎采集的数据并进行协同分析；协同响应模块，与所述协同数据分析模块连接，用于获取所述协同数据分析模块的分析结果并及时控制网络安全模块的运行；协同管理器，用于存储各个所述协同入侵检测引擎对应的安全事件类型和IP地址，并控制系统运行，所述协同管理器与所述协同数据分析模块、所述协同响应模块相连。2.根据权利要求1所述的基于协同入侵检测的大规模网络安全防御系统，其特征在于，所述协同数据分析模块包括用于对多种入侵事件进行深度学习的学习单元、用于获取检测事件和IP地址的检测数据获取单元、用于将获取到的检测事件数据与该IP地址对应的安全事件进行比对的检测点数据比对单元、用于对获取到的检测事件与对应的安全事件制作列表并生成网络日志的混合列表单元、用于根据所述学习单元深度学习的内容对制作完成的列表内容进行异常检查的纠错查异单元；所述检测数据获取单元与所述协同入侵检测引擎通讯连接，所述检测点数据比对单元分别与所述检测数据获取单元、所述协同管理器相连，所述混合列表单元与所述检测点数据比对单元相连，所述纠错查异单元分别与所述混合列表单元、所述协同响应模块相连。3.根据权利要求1所述的基于协同入侵检测的大规模网络安全防御系统，其特征在于，所述协同响应模块包括入侵检测与防火墙协同单元、入侵检测与路由器协同单元、入侵检测与交换机协同单元、入侵检测与病毒查杀系统协同单元、入侵检测与蜜罐协同单元。4.根据权利要求3所述的基于协同入侵检测的大规模网络安全防御系统，其特征在于，所述入侵检测与防火墙协同单元包括静态分析层面、动态分析层面；所述静态分析层面包括所述协同入侵检测引擎获取防火墙运行策略，并对网络安全进行分析，在出现网络入侵时发出报警；所述动态分析层面包括所述协同入侵检测引擎发现攻击行为时，发送该攻击行为至所述防火墙以阻断主机与外部的连接，所述防火墙分析攻击行为方式并修改策略。5.根据权利要求3所述的基于协同入侵检测的大规模网络安全防御系统，其特征在于，所述入侵检测与路由器协同单元包括静态分析层面、动态分析层面；所述静态分析层面包括所述协同入侵检测引擎获取路由器运行策略，并对网络安全进行分析，在出现网络入侵时...

【专利技术属性】
技术研发人员：叶德望，林勇，郑周行，
申请(专利权)人：浙江德迅网络安全技术有限公司，
类型：发明
国别省市：