本发明专利技术涉及一种基于实时网络流量进行监测分析的IDS系统和检测方法,属于网络安全技术领域。该监测系统包括交互模块、数据处理模块、入侵检测模块和可视化模块。检测方法包括如下步骤:交互系统获取高级威胁检测感知与响应平台用户终端资产数据流的初始数据,给数据处理模块接收,进行预处理后打包成预处理数据块,再进行异常检测并输出结果。流量异常判定模块判断是否存在入侵数据,若存在,则入侵检测模块将预处理数据块发送至交互模块进行预警和响应;若无,则将数据返回至数据处理模块;当深度包检测结果和深度流检测结果任意一项出现异常或二者均出现异常时,判定采集的物联网数据流出现异常。可视化模块将最后结果用图表示出来。表示出来。表示出来。
【技术实现步骤摘要】
基于实时网络流量进行监测分析的IDS系统和检测方法
[0001]本专利技术涉及一种基于实时网络流量进行监测分析的IDS系统和检测方法,属于网络安全
技术介绍
[0002]网络已成为我国重要的信息建设基础设施,频繁发生的网络安全事件对其造成了严重的威胁。近些年来,已经有一些研究工作开始关注实时入侵检测,企业和安全运营商部署了大量网络安全设备。网络攻击发生的时候,部署在网络各个层次上的网络安全设备,会产生网络安全告警信息。但这些关注的重点在于以下两个方面:(1)被动检测,在入侵发生之后发出警报,尽可能降低系统损失;(2)使用大量的过滤规则,逐一排查。但告警信息通常是海量的,需要在这些海量信息获取反馈,并及时进行响应。
[0003]目前大多数网络应用都搭建了入侵防护检测系统,用来防止一些恶意的入侵者进入和破坏系统,通常是维护一个白名单列表,系统只允许列表中的用户进入。在实时的入侵检测中,检测系统不仅需要在每个用户访问时准确给出检测结果,还要求检测过程尽可能快速。在高速网络环境下,由于要分析的数据非常大,考虑到现有的入侵检测研究难以同时保证检测的实时性和正确率,不能达到快速检测每个访问用户的同时,降低系统风险和功耗。在实际应用中,远程设备的管理也会出现突发状况;对返回的数据,没有做较精确的校验,开发者需要自己判断数据是否符合预期。这些对远程管理客户端构成挑战。
[0004]目前我国中小微型企业单位网络安全意识较薄弱,对网络安全不够重视,且以往的网络安全系统和设备,面对海量的不可靠的安全事件难以有效管理,设备昂贵,维护成本较高,切一般没有专业的安全运维人员配置,即便花费大量的成本用于网络安全方面的保护,达成的效果也大多差强人意。
[0005]因而已有工作不能解决本专利技术中提出的目标。因此,如何提供一种能在实时入侵检测系统的新型且高效系统,保证检测出的恶意攻击的准确度,提供低成本的网络安全解决方案,是本领域技术人员亟待解决的问题。
技术实现思路
[0006]专利技术目的:针对上述现有存在的问题和不足,本专利技术的目的是提供一种基于实时网络流量进行监测分析的IDS系统和检测方法,实时检测入侵系统的恶意攻击,并提高了准确度,提供了一种配置在远程终端上的 IDS 程序,通过将监测到的异常或是威胁信息上传到数据库中,便于用户和安全专家从云端直接获取到相关警报信息,进而提出进一步的解决方案。
[0007]技术方案:为实现上述专利技术目的,本专利技术采用以下技术方案:一种基于实时网络流量进行监测分析的IDS系统,包括交互模块、数据处理模块、入侵检测模块和可视化模块,所述数据处理模块和入侵检测模块数据连接,入侵检测模块和可视化模块数据连接,所述交互模块和数据处理模块、入侵检测模块和可视化模块分别
数据连接。
[0008]进一步的,所述交互模块包括用户登录模块、接口模块、资产以及资产状态识别模块、网络流量协议识别模块和设备状态检测模块,所述用户登录模块,用于用户注册、登录;所述接口模块,用于连接外接的终端设备;所述资产以及资产状态识别模块,用于识别用户资产信息,获取资产状态信息;所述网络流量协议识别模块,用于识别数据流的协议类别;所述物联网协议识别模块,用于识别数据流的协议类别;所述设备状态检测模块,监测设备运行状态。
[0009]进一步的,所述数据处理模块包括平台响应模块和日志管理模块,所述平台响应模块接收交互平台的响应,处理响应数据,返回入侵检测模块;所述日志管理模块,管理系统所有日志。
[0010]进一步的,所述入侵检测模块包括数据包/流特征提取模块、数据包异常检测规则库、数据流过滤器和流量异常判定模块,所述数据包/流特征提取模块,用于提取数据流量中深度包的特征和数据流量中深度流的特征;所述数据包异常检测规则库,用于存储网络数据流量异常规则数据,并将提取的深度包特征与存储的物联网数据流量异常规则数据进行规范检测,输出深度包检测结果;所述数据流过滤器,用于将提取的深度流特征与设定的过滤条件进行比对,检测深度流是否异常,并输出深度流检测结果;所述流量异常判定模块,用于根据深度包检测结果和深度流检测结果判定数据流量是否异常。
[0011]进一步的,交互模块负责接收威胁感知平台用户终端的资产信息和设备平台信息,威胁感知平台用户通过交互模块接收系统的处理信息;同时交互模块将资产信息和设备平台信息发送至数据处理模块;交互模块也将技术人员所做的技术升级上传至所述物联网平台用户终端。
[0012]一种使用权利要求5所述的基于实时网络流量进行监测分析的IDS系统的检测方法,包括如下步骤:步骤1:交互系统获取威胁感知平台用户终端资产镜像网络的初始数据;步骤2:数据处理模块接收步骤1得到的初始数据,进行预处理后打包成预处理数据块,平台响应模块将所述预处理数据块发送至入侵检测模块中;步骤3:将步骤2所得的预处理数据块的数据包传至权利要求5所述的数据包异常检测规则库进行异常检测,输出深度包检测结果;步骤4:将步骤2中预处理数据块的数据流在权利要求5所述的数据流分类器进行异常检测,得到深度流检测结果;步骤5:流量异常判定模块判断深度包检测结果和深度流检测结果中是否存在入侵数据,若存在入侵数据,则入侵检测模块将预处理数据块发送至交互模块进行预警和响应;若无入侵数据,将数据返回至数据处理模块;当深度包检测结果和深度流检测结果任意一项出现异常或二者均出现异常时,判定采集的物联网数据流出现异常;
步骤6:将步骤1
‑
5的系统入侵检测行为以数据图的形式展示出来。
[0013]进一步的,所述步骤1具体步骤为:步骤1.1:获取资产状态信息和设备运行状态信息,生成状态数据包;步骤1.2:设备威胁情报分析,生成数据包;步骤1.3:从运行在网络环境下的设备中获取数据流量包,并将流量包镜像到威胁感知设备上;步骤1.4:对数据流量进行会话流重组,得到数据流初始数据;进一步的,所述步骤2具体步骤为:步骤2.1:提取初始数据的数据流特征信息,包括:初始数据的端口信息、报头内容信息和单包协议语义信息;步骤2.2:将提取的初始数据的数据流特征信息与存储在网络流量协议识别模块的网络流量协议数据资源进行匹配,确定获取的镜像网络数据流的协议类型;步骤2.3:根据协议类型进行数据预处理,将数据传回入侵检测模块。
[0014]进一步的,所述步骤3具体步骤为:步骤3.1:提取数据包的数据流量中深度包的特征,包括:数据包的大小、类型、长度、载荷中包含的可疑信息和数据包头;步骤3.2:将提取的深度包的特征与数据流过滤器中设定的各项过滤条件行比对,进行规范检测,检测深度包的各项特征是否异常,当深度包中任意一项特征出现异常时,则判定该深度包出现异常,输出深度包检测结果。
[0015]进一步的,所述步骤4具体步骤为:步骤4.1:提取数据流量中深度流的特征,包括:大小链向量、获取的数据流中包的总个数、数据流中数据包的总大小、时间链向量、数据流的持续时间、方向链向量、同方向数据流深度中包的均方差、同方向数据流深度中时间的均本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于实时网络流量进行监测分析的IDS系统,其特征在于:包括交互模块、数据处理模块、入侵检测模块和可视化模块,所述数据处理模块和入侵检测模块数据连接,入侵检测模块和可视化模块数据连接,所述交互模块和数据处理模块、入侵检测模块和可视化模块分别数据连接。2.根据权利要求1所述的基于实时网络流量进行监测分析的IDS系统,其特征在于:所述交互模块包括用户登录模块、接口模块、资产以及资产状态识别模块、网络流量协议识别模块和设备状态检测模块,所述用户登录模块,用于用户注册、登录;所述接口模块,用于连接外接的终端设备;所述资产以及资产状态识别模块,用于识别用户资产信息,获取资产状态信息;所述网络流量协议识别模块,用于识别数据流的协议类别;所述物联网协议识别模块,用于识别数据流的协议类别;所述设备状态检测模块,监测设备运行状态。3.根据权利要求2所述的基于实时网络流量进行监测分析的IDS系统,其特征在于:所述数据处理模块包括平台响应模块和日志管理模块,所述平台响应模块接收交互平台的响应,处理响应数据,返回入侵检测模块;所述日志管理模块,管理系统所有日志。4.根据权利要求3所述的基于实时网络流量进行监测分析的IDS系统,其特征在于:所述入侵检测模块包括数据包/流特征提取模块、数据包异常检测规则库、数据流过滤器和流量异常判定模块,所述数据包/流特征提取模块,用于提取数据流量中深度包的特征和数据流量中深度流的特征;所述数据包异常检测规则库,用于存储网络数据流量异常规则数据,并将提取的深度包特征与存储的物联网数据流量异常规则数据进行规范检测,输出深度包检测结果;所述数据流过滤器,用于将提取的深度流特征与设定的过滤条件进行比对,检测深度流是否异常,并输出深度流检测结果;所述流量异常判定模块,用于根据深度包检测结果和深度流检测结果判定数据流量是否异常。5.根据权利要求4所述的基于实时网络流量进行监测分析的IDS系统,其特征在于:交互模块负责接收威胁感知平台用户终端的资产信息和设备平台信息,威胁感知平台用户通过交互模块接收系统的处理信息;同时交互模块将资产信息和设备平台信息发送至数据处理模块;交互模块也将技术人员所做的技术升级上传至所述物联网平台用户终端。6.一种使用权利要求5所述的基于实时网络流量进行监测分析的IDS系统的检测方法,其特征在于:包括如下步骤:步骤1:交互系统获取威胁感知平台用户终端资产镜像网络的初始数据;步骤2:数据处理模块接收步骤1得到的初始数据,进行预处理后打包成预处理数据块,权利要求3中的平台响应模块将所述预处理数据块发送至入侵检测模块中;步骤3:将步骤2所得的预处理数据块的数据包传至权利要求5所述的数据包异常检测规则库进行异常检测,输...
【专利技术属性】
技术研发人员:陈玉东,何卓群,邵大培,
申请(专利权)人:江苏开博科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。