一种基于数据识别的网络入侵防护系统的制作方法

本发明属于网络安全，具体涉及一种基于数据识别的网络入侵防护系统。

背景技术：

1、网络安全是指通过采用各种技术和管理措施来使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。随着网络技术的发展，网络安全越发受到人们的重视。现有的网络安全防护措施大都侧重于使用防火墙来过滤网络通道的数据包，阻止未经身份授权的恶意访问。然而，这种传统的网络安全防护措施存在入侵识别准确率低，入侵检测不够全面，防护能力不足的问题，亟需更加全面、可靠的网络入侵防护系统。

技术实现思路

1、本发明的目的是提供一种基于数据识别的网络入侵防护系统，用以解决现有技术中存在的上述问题。

2、为了实现上述目的，本发明采用以下技术方案：

3、一种基于数据识别的网络入侵防护系统，所述系统与管理员端以及各被监测网络传输通道对接，所述系统包括数据采集单元、数据解析单元、滥用监测单元、意图识别单元、权限校验单元、信息预警单元和安全防护引擎，其中：

4、数据采集单元，用于采集各被监测网络传输通道中所传输的访问数据包；

5、数据解析单元，用于对各访问数据包进行协议解析，得到对应的解析数据集，并从解析数据集中提取待检数据，所述待检数据包括访问端标识、时间戳、访问对象节点、访问类型以及校验编码；

6、滥用监测单元，用于根据各访问数据包的访问端标识和时间戳，确定在设定时间段内同一访问端标识对应的访问频数，以及在设定时间段内同一访问端标识所对应的访问数据包数量占所有访问数据包数量的报文量比值，在访问频数超过设定数量阈值且报文量比值超过设定的比值阈值时，生成第一预警信息，并将第一预警信息传输至信息预警单元；

7、意图识别单元，用于根据访问端标识调取对应的历史节点路径，并根据时间戳将对应的访问对象节点顺次连接到历史节点路径中，形成访问端标识对应的访问节点路径，将访问节点路径导入预置的入侵节点有向无环图中进行路径映射，确定访问节点路径在入侵节点有向无环图中所对应的路径概率，在路径概率超过设定的概率阈值时，生成第二预警信息，并将第二预警信息传输至信息预警单元；

8、权限校验单元，用于判断访问类型是否属于待校验权限类型，并在判定访问类型属于待校验权限类型时，调取对应的校验编码进行编码转换处理，得到权限编码，将权限编码输入预置的编码库中进行匹配，判定编码库中是否存在对应的权限编码，在编码库中存在对应的权限编码时，确定在编码库中对应权限编码所关联的访问权限类型集，当编码库中不存在所述权限编码或者访问权限类型集中不存在所述访问类型所属的待校验权限类型时，生成第三预警信息，并将第三预警信息传输至信息预警单元；

9、信息预警单元，用于将第一预警信息传输至管理员端，并根据第一预警信息生成对应的第一入侵防护信息，将第一入侵防护信息传输至安全防护引擎；将第二预警信息传输至管理员端，并根据第二预警信息生成对应的第二入侵防护信息，将第二入侵防护信息传输至安全防护引擎；以及将第三预警信息传输至管理员端，并根据第三预警信息生成对应的第三入侵防护信息，将第三入侵防护信息传输至安全防护引擎；

10、安全防护引擎，用于在接收到第一入侵防护信息时，调取对应的第一防护策略，并执行第一防护策略；在接收到第二入侵防护信息时，调取对应的第二防护策略，并执行第二防护策略；在接收到第三入侵防护信息时，调取对应的第三防护策略，并执行第三防护策略。

11、在一个可能的设计中，所述安全防护引擎执行第一防护策略时，中断各被监测网络传输通道中访问数据包的传输；执行第二防护策略时，阻止对应访问端标识对下一访问对象节点的访问；执行第三防护策略时，阻止对应访问端标识对当前访问对象节点的访问。

12、在一个可能的设计中，所述数据采集单元包括数据监听模块和若干监测端口，各监测端口分别接入对应的被监测网络传输通道进行访问数据包的采集，所述数据监听模块同步采集各监测端口的访问数据包。

13、在一个可能的设计中，所述数据解析单元包括协议解析模块和数据截取模块，所述协议解析模块用于对各访问数据包进行协议解析，得到对应的解析数据集，所述数据截取模块用于根据对应的通信协议从解析数据集中提取待检数据。

14、在一个可能的设计中，所述滥用监测单元包括时段配置模块和频数统计模块；所述时段配置模块用于配置各统计时间段；所述频数统计模块用于根据各访问数据包的访问端标识和时间戳，确定在相应统计时间段内同一访问端标识对应的访问频数，以及在相应统计时间段内同一访问端标识对应访问数据包数量占所有访问数据包数量的报文量比值。

15、在一个可能的设计中，所述滥用监测单元包括第一通知模块，所述第一通知模块用于在访问频数超过设定数量阈值且报文量比值超过设定的比值阈值时，利用对应访问端标识及其访问频数和报文量比值生成第一预警信息，并将第一预警信息传输至信息预警单元。

16、在一个可能的设计中，所述意图识别单元包括路径配置模块、路径生成模块和路径映射模块；所述路径配置模块用于配置入侵节点有向无环图，所述入侵节点有向无环图中包含若干节点，且相应节点之间通过有向边连接，各有向边关联对应的指向概率；所述路径生成模块用于根据访问端标识调取对应的历史节点路径，并根据时间戳将对应的访问对象节点顺次连接到历史节点路径中，形成访问端标识对应的访问节点路径；所述路径映射模块用于将访问节点路径导入入侵节点有向无环图中进行路径映射，并在入侵节点有向无环图中标记出访问节点路径，将访问节点路径中对应各有向边所关联的指向概率依次相加，得到路径概率。

17、在一个可能的设计中，所述意图识别单元包括第二通知模块，所述第二通知模块用于在路径概率超过设定的概率阈值时，利用对应访问端标识及其访问节点路径生成第二预警信息，并将第二预警信息传输至信息预警单元。

18、在一个可能的设计中，所述权限校验单元包括分类判定模块、编码转换模块、权限匹配模块和权限判定模块；所述分类判定模块用于将访问类型与预置的若干待校验权限类型进行比对，判断访问类型是否属于待校验权限类型；所述编码转换模块用于在分类判定模块判定访问类型属于待校验权限类型时，调取对应的校验编码，对校验编码进行进制转换处理和哈希计算，得到权限编码；所述权限匹配模块用于将权限编码输入预置的编码库中进行匹配，确定编码库中是否存在对应的权限编码，并在编码库中存在对应的权限编码时，确定在编码库中对应权限编码所关联的访问权限类型集；所述权限判定模块用于在编码库中不存在所述权限编码或者访问权限类型集中不存在所述访问类型所属的待校验权限类型时，判定对应访问端标识和访问类型无权限。

19、在一个可能的设计中，所述权限校验单元包括第三通知模块，所述第三通知模块用于在判定对应访问端标识和访问类型无权限时，利用对应访问端标识、访问类型和校验编码生成第三预警信息，并将第三预警信息传输至信息预警单元。

20、有益效果：本发明通过数据采集单元采集被监测网络传输通道中的访问数据包，通过数据解析单元解析访问数据包，提取待检数据，通过滥用监测单元统计访问频数和报文量比值，在两者超标时发出第一预警，通过意图识别单元进行访问路径的意图识别，在判定有入侵意图倾向时发出第二预警，通过权限校验单元进行访问权限校验，判定无对应权限时发出第三预警，通过信息预警单元进行相应的预警，通过安全防护引擎进行针对性的策略防护，可以实现高效、智能且可靠的动态网络入侵防护。本发明通过多层次的网络入侵检测，有助于精准发现入侵现象并采取相应的防护措施，实现更加全面的入侵防护，有效解决传统单一维度身份检测所存在的防护效果不足的问题，进而提升入侵防护效果和安全防护能力。