网络主动防御系统及其更新方法

网络主动防御系统及其更新方法
【专利摘要】本发明公开了一种网络主动防御系统及其更新方法，包括规则库、更新缓冲器、过滤器和云更新服务器，以及状态检测引擎模块、拒绝服务攻击引擎模块、蠕虫攻击引擎模块、Web防护引擎模块、流量异常引擎模块、入侵响应引擎模块和规则更新引擎模块七大功能模块。本发明主要解决NIPS网络主动防御系统不能随攻击技术的更新即时变换防范策略的问题，此外，还针对Web渗透攻击技术专门开发了相应防御过滤模块。技术实现上，采用非人工参与情况下，在不影响NIPS自身正常防御工作的前提下，自动响应更新，安全、可靠、高效。此外，本发明在产品功能上注重开发了Web防护引擎模块和规则更新引擎模块，使本NIPS产品适用性和安全性更强。
【专利说明】网络主动防御系统及其更新方法
【技术领域】
[0001]本发明属于信息工程【技术领域】，涉及一种网络主动防御系统及其更新方法。
【背景技术】
[0002]成都市华为赛门铁克科技有限公司公开了一种入侵防御检测方法、装置和网关设备发明专利。该方法包括:根据获得的报文采用的报文类型，调整状态机中的检测规则；利用调整后的状态机对所述报文进行入侵行为检测。本发明实施例可根据当前网络状态调整状态机中的规则，使得根据调整后的状态机对报文进行检测时，可有效减少报文特征匹配的检测规则的数量，提高报文检测效率，减少入侵行为检测的资源占用率。
[0003]北京神州绿盟信息安全科技股份有限公司公开了一种网络入侵防御/检测系统及方法发明专利。其中，网络入侵防御/检测方法包括:对从网络中获取的数据包进行重组；当重组后获取的数据流的长度大于等于第η阶段规则对应的数据流长度的第η临界值时，对重组的数据流利用第η阶段规则进行规则匹配检测；若重组的数据流匹配第η阶段规贝U，则对重组的数据流进行相应的预定义处理，并结束当前的重组及检测；否则，继续重组以使重组后的数据流长度大于等于第η+1阶段规则对应的数据流长度的第η+1临界值时，对重组的数据流利用第η+1阶段规则进行规则匹配检测；第η临界值小于第η+1临界值，η为正整数。本发明适用于复杂网络环境下的网络入侵防御/检测系统。
[0004]专利号专利号为200910078076的发明专利公开了一种具备主动防御能力的入侵防御系统及方法，以主动防御网络上的安全威胁。该方法包括:一种具备主动防御能力的入侵防御方法，其特征在于，包括:接收到数据流后，为所述数据流中的事件设置处理动作；根据当前网络状况和防御等级要求，为多条事件组成的事件集设置初始防御等级；根据所述初始防御等级对所述事件集中的事件进行匹配，获得匹配成功的事件的标识，并根据网络流量及匹配结果获得网络安全形势的动态识别结果；根据所述初始防御等级及动态识别结果，确定所述事件集的当前防御等级；根据所述动态识别结果，确定所述事件集的当前防御等级；根据所述匹配成功的事件的标识，执行该事件的处理动作，并根据所述当前防御等级，自动调整所述事件集中各事件的处理动作，响应各事件。

【发明内容】

[0005]为了克服现有技术中的缺陷，本发明提供一种网络主动防御系统及其更新方法，基于“云计算”模式的入侵防御系统设备检测规则“云更新”方法。这种技术实现，不仅可以有效保障入侵防御系统设备实时处于检测规划最新状态，达到随入侵技术不断发展而更新，确保设备不过时，防御性能一直处于最佳状态。此外，由于采用专用的“检测规则更新缓冲器”，科学地避免了规则更新时检测效率受影响的弊端。
[0006]其技术方案如下:一种网络主动防御系统，硬件包括规则库、更新缓冲器、过滤器和云更新服务器，其中，更新缓冲器负责与设备厂商的云更新服务器通讯，NIPS提供专门的更新缓冲器网络接口，与互联网直接相连，一旦厂商有新的过滤规则，就会通过云更新服务器自动传到NIPS更新缓冲器中；一旦更新缓冲器下载了新的更新规则，就会直接对接规则库，实现规则库的更新；
[0007]软件包括:状态检测引擎模块、拒绝服务攻击引擎模块、蠕虫攻击引擎模块、Web防护引擎模块、流量异常引擎模块、入侵响应引擎模块和规则更新引擎模块:
[0008]状态检测引擎模块:是一个基于4层至7层的状态检测引擎，过滤单包攻击和IP分段攻击，阻塞通过使用IP地址和TCP / UDP端口号的策略识别的流量，属于己知正常会话的流量以高速率转发出去，被认为是恶意的流量被送到入侵响应引擎，被怀疑的流量被送到下一个引擎；
[0009]拒绝服务攻击引擎模块:识别并且阻止拒绝服务攻击；
[0010]蠕虫攻击引擎:使用状态规格化匹配算法识别蠕虫及其变种，使用HTTP协议验证，格式化字符串匹配和URI长度检查识别HTTP攻击；
[0011]Web防护引擎模块:对目标Web系统进行全方位监测保护，重点防范网页篡改和网站挂马，以及SQL注入攻击；
[0012]流量异常引擎模块:使用智能流量分析系统进行流量异常检测；
[0013]入侵响应引擎模块:设置响应措施并且负责转发、限制、阻止、报告的具体措施的实行；
[0014]规则更新引擎模块:实时响应厂商所提供的云更新服务器的更新请求，自动下载更新规则。
[0015]一种本发明所述网络主动防御系统的更新方法，包括以下步骤:
[0016](I)把NIPS通过在线串联方式部署在互联网络入口处；
[0017](2)更新缓冲器通过专用网口直接与互联网相连；
[0018](3)据数据包进入NIPS时，过滤器会根据报头和流信息对每个数据包分类过滤，有威胁的数据包过滤掉，安全数据允许进入内网；
[0019](4)在NIPS正常工作过程中，一旦厂商在云更新服务器中上传了新的过滤规则，更新缓冲器即得到更新指令，并启动更新程序；
[0020](5)更新缓冲器更新下载完毕后，会根据规则类型，分类追加到相应规则库。
[0021]本发明的有益效果:
[0022](I)附加动态更新装置。
[0023]现有的产品一般一次性封装固化规则，不提供动态实时更新。
[0024](2)采用云计算技术实现云端智能更新。
[0025]为了方便用户和提高性能，本产品采用“云端”自动更新技术。
[0026](3)设计了专门的更新缓冲器。
[0027]该产品为了避免NIPS在更新过程中影响其正常的过滤工作，先把规则自动下载到更新缓冲器中，然后再追加到相应规则记录中。
[0028](4)产品设计了专门的Web防护引擎。
[0029]由于当前针对Web的网页篡改和攻击越来越频繁，本产品专门设计了 Web防护引擎模块，Web服务器通过NIPS专门网口连接，就可实现对Web服务器的安全防护。
【专利附图】

【附图说明】[0030]图1是本发明网络主动防御系统的硬件结构图；
[0031]图2是本发明网络主动防御系统的系统结构示意图；
[0032]图3是本发明网络主动防御系统及其更新方法的流程图。
【具体实施方式】
[0033]下面结合附图和【具体实施方式】对本发明的技术方案作进一步详细地说明。
[0034]参照图1，一种网络主动防御系统，硬件包括规则库、更新缓冲器、过滤器和云更新服务器，其中，更新缓冲器负责与设备厂商的云更新服务器通讯，NIPS提供专门的更新缓冲器网络接口，与互联网直接相连，一旦厂商有新的过滤规则，就会通过云更新服务器自动传到NIPS更新缓冲器中；一旦更新缓冲器下载了新的更新规则，就会直接对接规则库，实现规则库的更新；该产品采用采用专门的硬件加速系统，实现千兆级网络流量的深度数据包检测和阻断功能。核心硬件采用专门的ASIC(Application Specific IntegratedCircuits，专用集成电路)芯片，有效提高了系统运行的可靠性。产品通过部署于内外网互联关键位置，如图1所示，不仅准确地过滤入侵信息和阻断各种类型攻击，而且可以自动智能化地下载厂商所提供过滤规则，有效保护内网安全。
[0035]如图2所示，软件包括:状态检测引擎模块、拒绝服务攻击引擎模块、蠕虫攻击引擎模块、Web防护引擎模块、流量异常引擎模块、入侵响应引擎模块和规则更新引擎模块:
[0036]状态检测引擎模块:是一个基于4层至7层的状态检测引擎，过滤单包攻击和IP分段攻击，阻塞通过使用IP地址和TCP / UDP端口号的策略识别的流量，属于已知正常会话的流量以高速率转发出去，被认为是恶意的流量被送到入侵响应引擎，被怀疑的流量被送到下一个引擎；
[0037]拒绝服务攻击引擎模块:识别并且阻止拒绝服务攻击；
[0038]蠕虫攻击引擎:使用状态规格化匹配算法识别蠕虫及其变种，使用HTTP协议验证，格式化字符串匹配和URI长度检查识别HTTP攻击；
[0039]Web防护引擎模块:对目标Web系统进行全方位监测保护，重点防范网页篡改和网站挂马，以及SQL注入攻击；
[0040]流量异常引擎模块:使用智能流量分析系统进行流量异常检测；
[0041]入侵响应引擎模块:设置响应措施并且负责转发、限制、阻止、报告的具体措施的实行；
[0042]规则更新引擎模块:实时响应厂商所提供的云更新服务器的更新请求，自动下载更新规则。
[0043]如图3所示，一种本发明所述网络主动防御系统的更新方法，包括以下步骤:
[0044](I)把NIPS通过在线串联方式部署在互联网络入口处；
[0045](2)更新缓冲器通过专用网口直接与互联网相连；
[0046](3)据数据包进入NIPS时，过滤器会根据报头和流信息对每个数据包分类过滤，有威胁的数据包过滤掉，安全数据允许进入内网；
[0047](4)在NIPS正常工作过程中，一旦厂商在云更新服务器中上传了新的过滤规则，更新缓冲器即得到更新指令，并启动更新程序；
[0048](5)更新缓冲器更新下载完毕后，会根据规则类型，分类追加到相应规则库。[0049]以上所述，仅为本发明较佳的【具体实施方式】，本发明的保护范围不限于此，任何熟悉本【技术领域】的技术人员在本发明披露的技术范围内，可显而易见地得到的技术方案的简单变化或等效替换均落入本发明的保护范围内。
【权利要求】
1.一种网络主动防御系统，其特征在于，硬件包括规则库、更新缓冲器、过滤器和云更新服务器，其中，更新缓冲器负责与设备厂商的云更新服务器通讯，NIPS提供专门的更新缓冲器网络接口，与互联网直接相连，一旦厂商有新的过滤规则，就会通过云更新服务器自动传到NIPS更新缓冲器中；一旦更新缓冲器下载了新的更新规则，就会直接对接规则库，实现规则库的更新； 软件包括:状态检测引擎模块、拒绝服务攻击引擎模块、蠕虫攻击引擎模块、Web防护引擎模块、流量异常引擎模块、入侵响应引擎模块和规则更新引擎模块: 状态检测引擎模块:是一个基于4层至7层的状态检测引擎，过滤单包攻击和IP分段攻击，阻塞通过使用IP地址和TCP / UDP端口号的策略识别的流量，属于已知正常会话的流量以高速率转发出去，被认为是恶意的流量被送到入侵响应引擎，被怀疑的流量被送到下一个引擎； 拒绝服务攻击引擎模块:识别并且阻止拒绝服务攻击； 蠕虫攻击引擎:使用状态规格化匹配算法识别蠕虫及其变种，使用HTTP协议验证，格式化字符串匹配和URI长度检查识别HTTP攻击； Web防护引擎模块:对目标Web系统进行全方位监测保护，重点防范网页篡改和网站挂马，以及SQL注入攻击； 流量异常引擎模块:使用智能流量分析系统进行流量异常检测； 入侵响应引擎模块:设置响应措施并且负责转发、限制、阻止、报告的具体措施的实行； 规则更新引擎模块:实时响应厂商所提供的云更新服务器的更新请求，自动下载更新规则。
2.—种权利要求1所述网络主动防御系统的更新方法，其特征在于，包括以下步骤: (1)把NIPS通过在线串联方式部署在互联网络入口处； (2)更新缓冲器通过专用网口直接与互联网相连； (3)据数据包进入NIPS时，过滤器会根据报头和流信息对每个数据包分类过滤，有威胁的数据包过滤掉，安全数据允许进入内网； (4)在NIPS正常工作过程中，一旦厂商在云更新服务器中上传了新的过滤规则，更新缓冲器即得到更新指令，并启动更新程序； (5)更新缓冲器更新下载完毕后，会根据规则类型，分类追加到相应规则库。
【文档编号】H04L29/06GK103516727SQ201310455652
【公开日】2014年1月15日 申请日期:2013年9月30日 优先权日:2013年9月30日
【发明者】武春岭, 李贺华, 龚小勇, 鲁先志, 胡云冰, 何欢 申请人:重庆电子工程职业学院