[發(fā)明專利]基于協(xié)同入侵檢測的大規(guī)模網(wǎng)絡安全防御系統(tǒng)有效
| 申請?zhí)枺?/td> | 202110672466.6 | 申請日: | 2021-06-17 |
| 公開(公告)號: | CN113382010B | 公開(公告)日: | 2022-08-19 |
| 發(fā)明(設計)人: | 葉德望;林勇;鄭周行 | 申請(專利權)人: | 浙江德迅網(wǎng)絡安全技術有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;G06N3/04;G06N3/08 |
| 代理公司: | 北京化育知識產(chǎn)權代理有限公司 11833 | 代理人: | 尹均利 |
| 地址: | 311200 浙江*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 協(xié)同 入侵 檢測 大規(guī)模 網(wǎng)絡安全 防御 系統(tǒng) | ||
1.一種基于協(xié)同入侵檢測的大規(guī)模網(wǎng)絡安全防御系統(tǒng),其特征在于,包括:
協(xié)同入侵檢測引擎,設置于網(wǎng)絡中的多個不同位置,用于進行協(xié)同數(shù)據(jù)采集并發(fā)送檢測事件對應的類型和檢測位置的IP地址;
協(xié)同數(shù)據(jù)分析模塊,與所述協(xié)同入侵檢測引擎連接,用于匯總多個所述協(xié)同入侵檢測引擎采集的數(shù)據(jù)并進行協(xié)同分析;
協(xié)同響應模塊,與所述協(xié)同數(shù)據(jù)分析模塊連接,用于獲取所述協(xié)同數(shù)據(jù)分析模塊的分析結果并及時控制網(wǎng)絡安全模塊的運行;
協(xié)同管理器,用于存儲各個所述協(xié)同入侵檢測引擎對應的安全事件類型和IP地址,并控制系統(tǒng)運行,所述協(xié)同管理器與所述協(xié)同數(shù)據(jù)分析模塊、所述協(xié)同響應模塊相連;
所述協(xié)同數(shù)據(jù)分析模塊包括用于對多種入侵事件進行深度學習的學習單元、用于獲取檢測事件和IP地址的檢測數(shù)據(jù)獲取單元、用于將獲取到的檢測事件數(shù)據(jù)與該IP地址對應的安全事件進行比對的檢測點數(shù)據(jù)比對單元、用于對獲取到的檢測事件與對應的安全事件制作列表并生成網(wǎng)絡日志的混合列表單元、用于根據(jù)所述學習單元深度學習的內容對制作完成的列表內容進行異常檢查的糾錯查異單元;所述檢測數(shù)據(jù)獲取單元與所述協(xié)同入侵檢測引擎通訊連接,所述檢測點數(shù)據(jù)比對單元分別與所述檢測數(shù)據(jù)獲取單元、所述協(xié)同管理器相連,所述混合列表單元與所述檢測點數(shù)據(jù)比對單元相連,所述糾錯查異單元分別與所述混合列表單元、所述協(xié)同響應模塊相連;
所述協(xié)同入侵檢測引擎包括相互連接的協(xié)同數(shù)據(jù)采集模塊、入侵檢測管理模塊,所述協(xié)同數(shù)據(jù)采集模塊用于協(xié)同采集入侵檢測數(shù)據(jù)和漏洞掃描系統(tǒng)數(shù)據(jù)、協(xié)同采集入侵檢測數(shù)據(jù)和病毒查殺系統(tǒng)數(shù)據(jù);所述入侵檢測管理模塊包括通信單元、響應與測試單元,所述通信單元接收所述協(xié)同數(shù)據(jù)采集單元的告警事件,并向所述協(xié)同數(shù)據(jù)分析模塊發(fā)送該告警事件;所述響應與測試單元用于獲取所在位置的IP地址,并對該IP地址下的實時運行數(shù)據(jù)、歷史運行數(shù)據(jù)進行獲取,并通過所述通信單元傳輸至所述協(xié)同數(shù)據(jù)分析模塊,同時,接收并運行所述協(xié)同響應模塊下發(fā)的響應指令;
所述協(xié)同響應模塊包括入侵檢測與防火墻協(xié)同單元、入侵檢測與路由器協(xié)同單元、入侵檢測與交換機協(xié)同單元、入侵檢測與病毒查殺系統(tǒng)協(xié)同單元、入侵檢測與蜜罐協(xié)同單元;
所述入侵檢測與交換機協(xié)同單元包括靜態(tài)分析層面、動態(tài)分析層面;所述靜態(tài)分析層面包括所述協(xié)同入侵檢測引擎獲取交換機運行策略,并對網(wǎng)絡安全進行分析,在出現(xiàn)網(wǎng)絡入侵時發(fā)出報警;所述動態(tài)分析層面包括所述協(xié)同入侵檢測引擎發(fā)現(xiàn)攻擊行為時,發(fā)送該攻擊行為至所述交換機以阻斷主機與外部的連接,并生成攻擊行為日志;
所述入侵檢測與蜜罐協(xié)同單元包括所述協(xié)同入侵檢測引擎基于所述協(xié)同管理器共享的誘騙數(shù)據(jù)在所述協(xié)同入侵檢測引擎所在檢測點進行檢測,在發(fā)現(xiàn)相似度達到90~100%的數(shù)據(jù)片段時,及時發(fā)送檢測事件至所述協(xié)同數(shù)據(jù)分析模塊,且所述協(xié)同入侵檢測引擎阻斷已經(jīng)建立的連接;
所述入侵檢測與路由器協(xié)同單元包括靜態(tài)分析層面、動態(tài)分析層面;所述靜態(tài)分析層面包括所述協(xié)同入侵檢測引擎獲取路由器運行策略,并對網(wǎng)絡安全進行分析,在出現(xiàn)網(wǎng)絡入侵時發(fā)出報警;所述動態(tài)分析層面包括所述協(xié)同入侵檢測引擎發(fā)現(xiàn)攻擊行為時,發(fā)送該攻擊行為至所述路由器以阻斷主機與外部的連接,并生成攻擊行為日志;
所述響應指令包括終止當前的連接、自動配置防火墻訪問控制鏈表、自動配置路由器訪問控制鏈表、自動配置交換機訪問控制鏈表。
2.根據(jù)權利要求1所述的基于協(xié)同入侵檢測的大規(guī)模網(wǎng)絡安全防御系統(tǒng),其特征在于,所述入侵檢測與防火墻協(xié)同單元包括靜態(tài)分析層面、動態(tài)分析層面;所述靜態(tài)分析層面包括所述協(xié)同入侵檢測引擎獲取防火墻運行策略,并對網(wǎng)絡安全進行分析,在出現(xiàn)網(wǎng)絡入侵時發(fā)出報警;所述動態(tài)分析層面包括所述協(xié)同入侵檢測引擎發(fā)現(xiàn)攻擊行為時,發(fā)送該攻擊行為至所述防火墻以阻斷主機與外部的連接,所述防火墻分析攻擊行為方式并修改策略。
3.根據(jù)權利要求1所述的基于協(xié)同入侵檢測的大規(guī)模網(wǎng)絡安全防御系統(tǒng),其特征在于,所述入侵檢測與病毒查殺系統(tǒng)協(xié)同單元包括數(shù)據(jù)協(xié)同查毒層面、響應協(xié)同殺毒層面;所述數(shù)據(jù)協(xié)同查毒層面包括控制所述協(xié)同入侵檢測引擎向主機發(fā)送大量的測試數(shù)據(jù)段,并對應接收主機的響應狀態(tài);所述響應協(xié)同殺毒層面包括主機在執(zhí)行殺毒指令時,所述協(xié)同入侵檢測引擎獲取并執(zhí)行主機原始系統(tǒng)強制啟動程序,且所述協(xié)同入侵檢測引擎發(fā)送大量RST報文阻斷已經(jīng)建立的連接。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于浙江德迅網(wǎng)絡安全技術有限公司,未經(jīng)浙江德迅網(wǎng)絡安全技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110672466.6/1.html,轉載請聲明來源鉆瓜專利網(wǎng)。
- 移動通信終端的協(xié)同方法及其界面系統(tǒng)
- 業(yè)務協(xié)同流程配置、業(yè)務協(xié)同方法及裝置
- 一種基于健康檔案共享平臺的跨醫(yī)院協(xié)同檢查信息系統(tǒng)
- 一種協(xié)同控制方法、協(xié)同控制系統(tǒng)及變頻器
- 基于協(xié)同網(wǎng)關的跨域協(xié)同交互方法
- 一種生產(chǎn)協(xié)同管理方法及系統(tǒng)
- 云邊協(xié)同方法、裝置、系統(tǒng)、設備和介質
- 一種智能辦公協(xié)同操作方法及系統(tǒng)
- 一種用于無人裝備的時間協(xié)同航跡規(guī)劃方法
- 基于大數(shù)據(jù)的智慧辦公協(xié)同方法及系統(tǒng)
