1.一種網(wǎng)絡(luò)多路入侵檢測(cè)防御方法，其特征在于步驟如下：

步驟1：在終端的操作系統(tǒng)中使用數(shù)據(jù)包過(guò)濾的方法收集本網(wǎng)絡(luò)中通過(guò)的指定或全部數(shù)據(jù)包，然后在操作系統(tǒng)的內(nèi)核部分，使用半輪詢方式對(duì)捕捉網(wǎng)卡驅(qū)動(dòng)優(yōu)化輪詢效率，隨后在捕捉數(shù)據(jù)包的過(guò)程中使用混雜模式進(jìn)行旁路數(shù)據(jù)包監(jiān)聽(tīng)，并且使用臨界閥算法在捕捉數(shù)據(jù)包過(guò)程中計(jì)算數(shù)據(jù)包分類(lèi)并檢索的過(guò)程中使用排隊(duì)論方法計(jì)算優(yōu)化處理值提高其檢索分類(lèi)效率；然后利用檢測(cè)審計(jì)的方式對(duì)捕獲并分類(lèi)的數(shù)據(jù)包提取檢測(cè)的數(shù)據(jù)包特征，并集中上報(bào)；所述終端為網(wǎng)絡(luò)中的數(shù)據(jù)包對(duì)象中分布的多個(gè)終端；

同時(shí)針對(duì)網(wǎng)絡(luò)中的各linux操作系統(tǒng)中執(zhí)行的網(wǎng)絡(luò)程序或者相應(yīng)模塊，使用驅(qū)動(dòng)內(nèi)核載入的方式對(duì)內(nèi)核產(chǎn)生的信息進(jìn)行監(jiān)控；在其中的LSM模塊基礎(chǔ)上，修改Linux中POSIX.1e標(biāo)準(zhǔn)的Capability模塊，既修改原有權(quán)能模塊對(duì)操作系統(tǒng)權(quán)限的操作，使用鉤子函數(shù)執(zhí)行檢測(cè)中心模塊生成的規(guī)則，然后對(duì)操作系統(tǒng)內(nèi)核操作實(shí)行監(jiān)控并對(duì)進(jìn)入到操作系統(tǒng)中的個(gè)體使用安全訪問(wèn)控制方式監(jiān)控其行為；同時(shí)對(duì)其個(gè)體產(chǎn)生的進(jìn)程根據(jù)其進(jìn)程的信任狀特權(quán)來(lái)進(jìn)行仲裁，如果進(jìn)程對(duì)系統(tǒng)中inode有操作則對(duì)其操作隔離處理，等待檢測(cè)后進(jìn)行生效或無(wú)效化處理。對(duì)監(jiān)控到的內(nèi)核操作信息放入消息隊(duì)列并反饋到字符設(shè)備中，最后調(diào)用此字符設(shè)備并且把內(nèi)核監(jiān)控產(chǎn)生的其他未處理信息一起反饋到應(yīng)用層子程序，隨后應(yīng)用層子程序把收集的報(bào)文同步到檢測(cè)中心，之后執(zhí)行步驟2的方法進(jìn)行檢測(cè)處理。

步驟2：針對(duì)接收到的網(wǎng)絡(luò)端和操作系統(tǒng)端中收集的特征信息，通過(guò)貝葉斯算法對(duì)于已知攻擊產(chǎn)生識(shí)別，根據(jù)原有攻擊概率模型計(jì)算出現(xiàn)現(xiàn)有特征信息為攻擊或?yàn)槲粗豢尚判畔⒌母怕?，同時(shí)根據(jù)用戶定義的安全級(jí)別進(jìn)行分類(lèi)，之后把通過(guò)算法分類(lèi)的特征信息放入反向神經(jīng)網(wǎng)絡(luò)對(duì)規(guī)則進(jìn)行訓(xùn)練，檢測(cè)DDOS攻擊、木馬攻擊或通過(guò)混合攻擊進(jìn)入操作系統(tǒng)產(chǎn)生破壞的攻擊，并且根據(jù)檢測(cè)出的攻擊類(lèi)型匹配對(duì)應(yīng)的防御知識(shí)庫(kù)并生成防御規(guī)則，然后反饋到相應(yīng)端口；

步驟3：如果攻擊行為是針對(duì)操作系統(tǒng)端，則把規(guī)則反饋到操作系統(tǒng)應(yīng)用層子程序，應(yīng)用層子程序解析規(guī)則并觸發(fā)內(nèi)核監(jiān)控模塊產(chǎn)生生效或無(wú)效化操作或者拒絕相應(yīng)進(jìn)程訪問(wèn)或調(diào)用系統(tǒng)進(jìn)程；

如果攻擊行為是針對(duì)網(wǎng)絡(luò)，則把生成的規(guī)則反饋到網(wǎng)絡(luò)入口節(jié)點(diǎn)，由入口節(jié)點(diǎn)解析規(guī)則，并觸發(fā)監(jiān)控模塊拒絕某源IP的報(bào)文或者數(shù)據(jù)包。

2.一種實(shí)現(xiàn)權(quán)利要求1所述網(wǎng)絡(luò)多路入侵檢測(cè)防御方法的系統(tǒng)，其特征在于包括以下子模塊：

網(wǎng)卡驅(qū)動(dòng)捕包模塊，通過(guò)改變網(wǎng)卡驅(qū)動(dòng)的方式，提高數(shù)據(jù)捕捉處理量，減少抓包的耗損時(shí)間；

網(wǎng)絡(luò)數(shù)據(jù)包預(yù)處理子模塊，負(fù)責(zé)對(duì)數(shù)據(jù)包中的特征進(jìn)行提??；

網(wǎng)絡(luò)處理模塊，接收檢測(cè)中心模塊反饋的規(guī)則，解析并進(jìn)行源抑制或部分過(guò)濾操作，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊防護(hù)；

內(nèi)核監(jiān)控模塊，加載入內(nèi)核參與內(nèi)核的系統(tǒng)調(diào)用，并且記錄反饋給上層處理模塊，或接收應(yīng)用控制模塊指令執(zhí)行訪問(wèn)拒絕或者對(duì)進(jìn)程隔離，殺死異常進(jìn)程等操作；

應(yīng)用控制模塊，接收內(nèi)核監(jiān)控模塊產(chǎn)生的記錄并且分類(lèi)發(fā)送到檢測(cè)中心模塊，接收規(guī)則解析并根據(jù)規(guī)則向內(nèi)核監(jiān)控模塊發(fā)出相應(yīng)指令，控制進(jìn)入到操作系統(tǒng)的網(wǎng)絡(luò)程序或者代碼執(zhí)行非法操作；

攻擊特征庫(kù)模塊，對(duì)網(wǎng)絡(luò)和操作系統(tǒng)上報(bào)的特征和算法模塊產(chǎn)生的規(guī)則進(jìn)行分類(lèi)記錄，方便算法模塊進(jìn)行提取分析；

算法檢測(cè)模塊，首先使用貝葉斯算法對(duì)數(shù)據(jù)進(jìn)行分類(lèi)處理，減少反向神經(jīng)網(wǎng)絡(luò)的計(jì)算量，加快其收斂速度；然后使用改進(jìn)的反向神經(jīng)網(wǎng)絡(luò)對(duì)特征進(jìn)行訓(xùn)練，并形成處理結(jié)果，產(chǎn)生規(guī)則。