一種分布式網絡入侵防禦系統的製作方法
2023-10-23 23:07:02 1
本發明涉及網絡安全領域,尤其涉及一種一種分布式網絡入侵防禦系統。
背景技術:
目前隨著信息化建設的蓬勃發展,國家對網絡安全給予了高度重視。網絡入侵防禦系統(IPS)技術發展也相當迅速,它能夠以更細粒度的方式檢查網絡流量,主動地對安全事件進行響應,防止各個層面攻擊事件的發生。但是,目前的IPS仍然面臨著一些問題:
1)性能瓶頸:即使IPS不出現故障,由於需要處理所有的網絡流量和系統調用,必然會增加滯後時間,這樣就可能導致網絡和系統效率的降低,使之成為一個潛在的性能瓶頸。
2)誤報和漏報:如果產生誤報將會導致合法的流量或者請求被意外攔截,形成拒絕服務。對於實時在線的IPS來說,一旦攔截了攻擊性數據包,就會對來自可疑攻擊者的所有數據流進行攔截。如果產生漏報,將會導致攻擊事件的成功發生。
3)攻擊工具越來越先進:現在的攻擊工具具備了反偵破和動態行為,可以繞過防火牆,且不對稱攻擊的威脅在不斷擴大。
4)攻擊的自動化程度和速度不斷提高,且殺傷力逐步增強。發現安全漏洞越來越快,覆蓋面越來越廣,新發現的安全漏洞每年要增加一倍,而且安全漏洞類型不斷翻新。
為了解決上述問題,我們在IPS架構設計及系統實現上進行了深入的研究,針對目前流行的蠕蟲、病毒、間諜軟體、垃圾郵件、DDOS等黑客攻擊,以及網絡資源濫用,提出一種分布式「分析與檢測+集中控制+升級服務」技術架構的網絡入侵防禦系統(以下簡稱DNIPS)。該系統的特點體現在高度融合性、高安全性、高可靠性和易操作性等特性,能自動對各類攻擊性的流量,尤其是應用層的威脅進行實時阻斷。
技術實現要素:
本發明針對現有技術不足,提供一種分布式網絡入侵防禦系統,最大限度地保護企業和組織的網絡安全。
本發明的目的可以通過以下技術方案實現:
一種分布式網絡入侵防禦系統,其特徵在於:包括windows控制臺單元、WEB控制臺單元以及系統檢測單元;
所述的windows控制臺單元包括windows配置管理模塊、windows系統監控模塊、windows日誌管理模塊;
所述的windows配置管理模塊主要用於對windows控制臺的規則管理、用戶管理、事件管理和升級管理;
所述的windows系統監控模塊主要對windows控制臺的事物的狀態、事件的發生、流量的變化和協議的回放進行監控;
所述的windows日誌管理模塊主要對windows控制臺的日誌的分析、日誌的歸併、日誌的備份和日誌的回覆進行管理;
所述的WEB控制臺單元包括WEB配置管理模塊、WEB系統監控模塊、WEB日誌管理模塊、策略管理模塊;
所述的WEB配置管理模塊主要用於對WEB控制臺的規則管理、用戶管理、事件管理和升級管理;
所述的WEB系統監控模塊主要對WEB控制臺的事物的狀態、事件的發生、流量的變化和協議的回放進行監控;
所述的WEB日誌管理模塊主要對WEB控制臺的日誌的分析、日誌的歸併、日誌的備份和日誌的回覆進行管理;
所述的策略管理模塊採用自定義訪問控制策略,用於根據不同事態變化,對各種策略進行綜合評估和分析,採取相應的策略進行檢測或防禦;
所述的系統檢測單元包括入侵保護模塊、入侵檢測模塊、協議分析模塊、防火牆模塊、協議識別模塊、數據捕獲模塊;
所述的入侵保護模塊主要對包的丟失、中斷連接、TCP killer、防火牆協作、郵件報警、SNMPTRAP、和日誌資料庫等進行保護及響應;
所述的入侵檢測模塊主要採用CSD的協議異常檢測技術和設計一個拒絕服務攻擊檢測模塊,對誤用、協議異常和DOS的檢測進行相關分析,並通過告警系統及時響應;
所述的協議分析模塊主要採用智能協議識別技術,通過動態分析網絡報文中包含的協議特徵,發現其所在協議,然後遞交給相應的協議分析引擎進行處理;
所述的防火牆模塊對訪問控制採用內置狀態防火牆和自定義訪問控制策略,對NAT支持提供網絡地址轉換功能;
所述的協議識別模塊主要負責對分析出來的IP碎片重組、TCP狀態跟蹤和TCP流的匯聚進行識別並作出標誌;
所述的數據捕獲模塊,對來自於經過上述模塊的分析和識別的數據包進行捕獲,獲得該數據包的源地址、源埠、目的地址、目的埠和所使用的協議等數據,並進行相關告警,必要時自動關閉網絡設備。
本發明的有益效果:
本發明提供一種能自動採取行動阻止攻擊和入侵的分布式網絡入侵防禦系統,這種分布式「分析與檢測+集中控制+升級服務」技術架構的網絡入侵防禦系統彌補了當前IPS的不足,通過部署該入侵防禦系統,同其他安全產品形成互補,形成深度防禦體系,最大限度地保護企業和組織的網絡安全。
附圖說明
下面結合附圖和具體實施例對本發明作進一步詳細描述。
圖1是本發明的示意圖。
具體實施方式
如圖1所示,本發明是一種布式網絡入侵防禦系統,包括windows控制臺單元D110、WEB控制臺單元D120、系統檢測單元D130共三大模塊;
具體的,所述的windows控制臺單元D110包括配置管理模塊M111、系統監控模塊M112、日誌管理模塊M113;
所述的WEB控制臺單元D120包括配置管理模塊M121、系統監控模塊M122、日誌管理模塊M123、策略管理模塊M124;
所述的系統檢測單元D130包括入侵保護模塊M131、入侵檢測模塊M132、協議分析模塊M133、防火牆模塊M134、協議識別模塊M135、數據捕獲模塊M136;
所述的配置管理模塊M111主要用於對windows控制臺的規則管理、用戶管理、事件管理和升級管理;
所述的系統監控模塊M112主要對windows控制臺的事物的狀態、事件的發生、流量的變化和協議的回放進行監控;
所述的日誌管理模塊M113主要對windows控制臺的日誌的分析、日誌的歸併、日誌的備份和日誌的回覆進行管理;
所述的配置管理模塊M121主要用於對WEB控制臺的規則管理、用戶管理、事件管理和升級管理;
所述的系統監控模塊M122主要對WEB控制臺的事物的狀態、事件的發生、流量的變化和協議的回放進行監控;
所述的日誌管理模塊M123主要對WEB控制臺的日誌的分析、日誌的歸併、日誌的備份和日誌的回覆進行管理;
所述的策略管理模塊M124採用自定義訪問控制策略,用於根據不同事態變化,對各種策略進行綜合評估和分析,採取相應的策略進行檢測或防禦;
所述的入侵保護模塊M131主要對包的丟失、中斷連接、TCP killer、防火牆協作、郵件報警、SNMPTRAP、和日誌資料庫等進行保護及響應;
所述的入侵檢測模塊M132主要採用CSD的協議異常檢測技術和設計一個拒絕服務攻擊檢測模塊,對誤用、協議異常和DOS的檢測進行相關分析,並通過告警系統及時響應;
所述的協議分析模塊M133主要採用智能協議識別技術,通過動態分析網絡報文中包含的協議特徵,發現其所在協議,然後遞交給相應的協議分析引擎進行處理;
所述的防火牆模塊M134對訪問控制採用內置狀態防火牆和自定義訪問控制策略,對NAT支持提供網絡地址轉換功能,支持靜態NAT(Static NAT)、動態NAT(Pooled NAT)和埠NAT(PAT),支持多對一、多對多和一對一等多種地址轉換方式;在路由方面使用靈活的策略路由功能,根據協議類型、應用、IP源地址等策略來選擇數據轉發路徑,根據報文數據流的發起方向來確定以後的路由,滿足各種應用環境的需要;
所述的協議識別模塊M135主要負責對分析出來的IP碎片重組、TCP狀態跟蹤和TCP流的匯聚進行識別並作出標誌;
所述的數據捕獲模塊M136,對來自於經過上述模塊的分析和識別的數據包進行捕獲,獲得該數據包的源地址、源埠、目的地址、目的埠和所使用的協議等數據,並進行相關告警,必要時自動關閉網絡設備。
以上內容僅僅是對本發明結構所作的舉例和說明,所屬本技術領域的技術人員對所描述的具體實施例做各種各樣的修改或補充或採用類似的方式替代,只要不偏離發明的結構或者超越本權利要求書所定義的範圍,均應屬於本發明的保護範圍。