技術領域

本發明涉及一種網絡安全防御系統，尤其涉及一種主動的網絡安全防御系統，通過對計算機網絡或計算機系統關鍵節點的信息采集和分析，發現各種外部攻擊、內部攻擊和誤操作，并做出相應的響應，保證系統或網絡資源的機密性、完整性與可用性。

背景技術

網絡技術正在改變傳統的生產、經營和生活方式，成為新的經濟增長點。但是計算機網絡在帶給我們便利的同時，也體現出它的脆弱性。網絡信息系統存在的安全漏洞和隱患層出不窮，基礎網絡和重要信息系統面臨著嚴峻的安全威脅。

漏洞的大量存在是網絡安全問題的總體形勢趨于嚴峻的重要原因之一。由于基于TCP/IP架構的計算機網絡是一個開放和自由的網絡，它在大大增強網絡信息服務靈活性的同時，也給黑客攻擊和入侵敞開了方便之門。黑客攻擊技術與網絡病毒日趨融合是目前網絡攻擊的發展趨勢，并且隨著攻擊工具日益先進，攻擊者所需的技能日趨下降，網絡受到攻擊的可能性將越來越大。另外，企業外部的攻擊可以對企業網絡造成巨大的威脅，“御敵于城門之外”也是計算機安全的傳統的范例，但是企業內部員工的不正確使用和惡意破壞則是一種更加危險的因素。

世界上眾多科研機構經過多年的研究，在網絡安全領域中的許多方面取得了顯著的成就，現有技術中典型地包括防火墻、殺毒軟件等。但是這些系統也有些缺陷和不足，例如：（1）限制有用的網絡服務；（2）無法防護內部網絡用戶的攻擊；（3）無法全面防備病毒，不可能限制所有感染病毒的文件在網絡中流通；（4）不能防備新的網絡安全問題，只能對已知的網絡威脅起作用，不可能靠一次性的設置解決所有的安全問題；（5）對大量潛在的后門缺乏有效手段；（6）高誤檢率和漏檢率；（7）處理速度慢，難以跟上網絡速度的發展。

發明內容

本發明的目的在于針對傳統網絡安全防御措施的缺陷，提出一種主動的網絡安全防御系統，用于監控計算機網絡各個節點上的主機，以發現和防御網絡攻擊行為，該系統包括管理模塊、訓練模塊、采集模塊、分析模塊和處理模塊。管理模塊負責生成智能實體，計劃智能實體的移動路徑，派發各智能實體到相應的主機；采集模塊負責采集數據，并分析包頭及協議，提取有用特征，為分析模塊做準備；分析模塊由各個智能實體構成，負責分析截獲的數據流，判斷是否有攻擊發生，若分析出有攻擊，則通知處理模塊；處理模塊則負責做出相應的處理，如斷開可疑連接，鎖住相應的賬號或者限制登陸等；訓練模塊是根據已有的網絡攻擊模式，訓練產生相應的檢測器，從而構成智能實體；主動模塊是當智能實體發現可疑的網絡攻擊時，主動產生新的檢測器，并上報給管理模塊。

附圖說明

圖1：本發明的系統模塊結構；

圖2：durantion的隸屬度函數；

圖3：可變選擇算法的檢測流程圖；

圖4：改進后的可變選擇算法的檢測流程圖；

具體實施方式

參見圖1，本發明的網絡安全防御系統的系統結構從功能角度可分為：管理模塊、訓練模塊、采集模塊、分析模塊、處理模塊、主動模塊。除此之外，本系統還包括一些智能實體，這些智能實體是一類特殊的軟件模塊，具有獨立處理事務的功能，并且具有可遷移性，類似網絡蠕蟲，可以從一個網絡節點遷移到另一個網絡節點。遷移的目的是使程序的執行盡可能靠近數據源，降低網絡通信開銷，節省帶寬，平衡負載，加快任務的執行，從而提高分布式系統的處理效率。管理模塊負責生成智能實體，計劃智能實體的移動路徑，派發各智能實體到相應的主機。采集模塊負責采集數據，本發明只采集網絡數據，并分析包頭及協議，提取有用特征，為分析模塊做準備。分析模塊由各個智能實體構成，負責分析截獲的數據流，判斷是否有攻擊發生，若分析出有攻擊，則通知處理模塊。處理模塊則負責做出相應的處理，如斷開可疑連接，鎖住相應的賬號或者限制登陸等。訓練模塊是根據已有的網絡攻擊模式，訓練產生相應的檢測器，從而構成智能實體。主動模塊是當智能實體發現可疑的網絡攻擊時，主動產生新的檢測器，并上報給管理模塊。以下是具體說明。

管理模塊：主要負責管理、協調、控制被監控主機上的智能實體，它生成帶檢測器的智能實體，收到采集模塊的信號之后，派發智能實體到相應的主機中。智能實體產生之后，其工作過程是獨立的，與管理模塊無關，即就算管理服務器受到攻擊，也不會影響已經產生的在系統內的智能實體的工作，這些智能實體也可以通過克隆，移動到需要檢測的主機上進行檢測，為恢復控制平臺的工作爭取了時間，這樣就消除了中央控制器的單點失效問題。