本发明涉及计算机技术领域,具体的说是一种计算机网络入侵防御系统及入侵防御方法。
背景技术:
入侵检测(intrusiondetection)是对入侵行为的检测,它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
传统的安全防御设施大多数都通过分析某些安全设备的日志对已经发生的攻击行为进行分析和监测,基本都是被动防御的思路,缺乏网络安全态势感知与联动预警的能力,当检测到网络攻击事件之后再采取相应的应急措施,往往为时已晚,因为此时网络攻击已经发生过去了,攻击已经造成了不可挽回的损失。
技术实现要素:
本发明的目的在于克服上述不足,提供一种计算机网络入侵防御系统及入侵防御方法,能够很好地监控计算机网络中的操作系统,防止非法程序入侵,提高了网络的安全性。
本发明的目的是这样实现的:一种计算机网络入侵防御系统,包括入侵检测单元,入侵检测单元用于检测目标系统的安全状态数据;联动单元,联动单元用于接收入侵检测单元检测的数据;策略生成单元,策略单元用于根据联动单元接收的数据生成对应防御策略或直接设定防御策略;核心防御程序单元,核心防御程序单元用于执行防御策略,核心防御程序单元白包括感知分析系统,感知分析系统用于分析当前流经的网络数据;告警单元,告警单元用于在发现符合防御策略的网络数据时阻断并发出告警信息;信息存储单元,信息存储单元用于存储被阻断的数据和告警信息。
进一步,数据包括入侵数据、泄密行为数据和/或异常数据。
进一步,防御策略根据网络通信协议和数据形式进行对应生成设定。
一种计算机网络入侵防御方法,包括以下步骤:
启动入侵防御系统,监控收集当前流经的网络数据;
感知分析步骤1中收集的网络数据是否符合防御策略:若符合,则阻断网络数据并发出告警信息;若不符合,则继续监控网络数据;
存储阻断数据和告警信息,继续监控网络数据。
进一步,感知分析的方法包括以下步骤:
步骤1、将网络数据进行数据建模;
步骤2、结合安全数据进行关联性分析;
步骤3、将分析后的数据进行智能筛选,将异常数据提取出来进行步骤4;
步骤4、将异常数据提提取分析,采用游离演绎推断危险行为;
步骤5、将异常数据还原;得到危险特征。
进一步,异常数据包括入侵数据、泄密行为数据和/或异常数据。
本发明的优点在于:本发明的计算机网络入侵防御系统能够很好地监控计算机网络中的操作系统,防止非法程序入侵,提高了网络的安全性。
附图说明
图1为本发明的计算机网络入侵防御系统的结构图。
具体实施方式
下面结合附图对本发明作进一步描述。
本发明为一种计算机网络入侵防御系统,包括入侵检测单元,入侵检测单元用于检测目标系统的安全状态数据,其中安全状态数据包括入侵数据、泄密行为数据和异常数据;联动单元,联动单元用于接收入侵检测单元检测的数据;策略生成单元,策略生成单元生成的防御策略包括两类:即可以根据网络通信协议和数据形式成对应防御策略,也可以由用户直接设定防御策略;核心防御程序单元,核心防御程序单元用于执行防御策略,核心防御程序单元白包括感知分析系统,感知分析系统用于分析当前流经的网络数据;告警单元,告警单元用于在发现符合防御策略的网络数据时阻断并发出告警信息;信息存储单元,信息存储单元用于存储被阻断的数据和告警信息。
本系统的入侵防御方法是这样的:
启动入侵防御系统,监控收集当前流经的网络数据;
感知分析步骤1中收集的网络数据是否符合防御策略:若符合,则阻断网络数据并发出告警信息;若不符合,则继续监控网络数据;
存储阻断数据和告警信息,继续监控网络数据。
其中,感知分析的方法包括以下步骤:
步骤1、将网络数据进行数据建模;
步骤2、结合安全数据进行关联性分析;
步骤3、将分析后的数据进行智能筛选,将异常数据提取出来进行步骤4;
步骤4、将异常数据提提取分析,采用游离演绎推断危险行为;
步骤5、将异常数据还原;得到危险特征。
最后应说明的是:显然,上述实施例仅仅是为清楚地说明
本技术:
所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本申请型的保护范围之中。