本發(fā)明涉及網絡入侵檢測技術領域，尤其涉及一種網絡入侵檢測系統(tǒng)，包括報文接收模塊、報文分析模塊、報文發(fā)送模塊和接入模塊，接入模塊用于提取接入的數據報文的信息，將數據報文信息與預設的處理策略進行匹配，并將匹配好的報文發(fā)送給所述報文分析模塊。網絡入侵檢測系統(tǒng)還包括報警模塊和事件存儲模塊；其中，報警模塊根據報文分析模塊的分析結果，向報文接收模塊發(fā)出警告；事件存儲模塊對網絡中出現的入侵事件和攻擊行為進行統(tǒng)計和分析。本發(fā)明能夠對網絡入侵行為進行有效的檢測，解決現有技術中IPS系統(tǒng)開銷大，同時性能受限的問題。增加了網絡的安全性。

技術領域

本發(fā)明涉及網絡入侵檢測技術領域，尤其涉及一種網絡入侵檢測系統(tǒng)。

背景技術

當前網絡入侵的風險性和機會急劇增多，設計安全措施來防范未經授權訪問系統(tǒng)的資源和數據，是當前網絡安全領域的一個十分重要而迫切的問題。目前，要想完全避免安全事件的發(fā)生并不太現實。網絡安全人員所能做到的只能是盡力發(fā)現和察覺入侵及入侵企圖，以便采取有效的措施來堵塞漏洞和修復系統(tǒng)。這樣的研究稱為入侵檢測，為此目的所研制的系統(tǒng)就稱為入侵檢測系統(tǒng)。

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網絡攻擊，擴展了系統(tǒng)安全管理能力，提高了信息安全基礎結構的完整性。入侵檢測是繼防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行檢測，從而提供對外部攻擊、內部攻擊、誤操作的實時保護。入侵檢測系統(tǒng)根據網絡數據包和協議分析來檢測入侵活動。系統(tǒng)可以按照一定的規(guī)則從網絡上獲取與安全事件相關的數據包，然后傳遞給分析引擎模塊進行安全分析判斷，入侵分析引擎模塊將根據接收到的數據包，并結合網絡安全數據庫進行分析，將分析結果傳遞給管理/配置模塊，管理配置模塊的主要功能是管理其它各模塊的配置工作，并將分析引擎的結果以有效的方式外發(fā)。

發(fā)明內容

本發(fā)明提供了一種網絡入侵檢測系統(tǒng)，可以提高網絡的安全性。

為了實現本發(fā)明的目的，所采用的技術方案是：一種網絡入侵檢測系統(tǒng)，包括報文接收模塊、報文分析模塊、報文發(fā)送模塊和接入模塊，接入模塊用于提取接入的數據報文的信息，將所述數據報文信息與預設的處理策略進行匹配，并將匹配好的報文發(fā)送給所述報文分析模塊。

作為本發(fā)明的優(yōu)化方案，網絡入侵檢測系統(tǒng)還包括報警模塊和事件存儲模塊；其中，報警模塊根據報文分析模塊的分析結果，向報文接收模塊發(fā)出警告；事件存儲模塊對網絡中出現的入侵事件和攻擊行為進行統(tǒng)計和分析。

作為本發(fā)明的優(yōu)化方案，接入模塊包括協議解碼單元，協議解碼單元負責對捕獲的報文進行解碼，將解碼后的報文與預設的處理策略進行匹配。

作為本發(fā)明的優(yōu)化方案，進行匹配之后，對未匹配處理策略的數據報文還包括識別當前網絡狀況是否異常的步驟，是則丟棄該數據報文，否則按照缺省處理策略對該數據報文進行處理，所述缺省處理策略為檢測、放行或者丟棄。

作為本發(fā)明的優(yōu)化方案，報文接收模塊針對數據鏈路層的數據進行捕獲。

本發(fā)明具有積極的效果：本發(fā)明能夠對網絡入侵行為進行有效的檢測，解決現有技術中IDS/IPS系統(tǒng)開銷大，同時性能受限的問題。增加了網絡的安全性。

附圖說明

下面結合附圖和具體實施方式對本發(fā)明作進一步詳細的說明。

圖1是本發(fā)明的整體結構框圖。

其中：1、報文接收模塊，2、報文分析模塊，3、報文發(fā)送模塊，4、接入模塊，5、報警模塊，6、事件存儲模塊。

具體實施方式

如圖1所示，本發(fā)明公開了一種網絡入侵檢測系統(tǒng)，包括報文接收模塊1、報文分析模塊2、報文發(fā)送模塊3和接入模塊4，接入模塊4用于提取接入的數據報文的信息，將所述數據報文信息與預設的處理策略進行匹配，并將匹配好的報文發(fā)送給所述報文分析模塊2。