一种免疫网络系统的制作方法

一种免疫网络系统的制作方法
【技术领域】
[0001]本发明属于互联网领域，尤其涉及一种免疫网络系统。
【背景技术】
[0002]信息安全问题普遍存在于社会经济、军事技术、国家安全、知识产权、商业秘密乃至个人隐私等各个方面。网络安全是计算机网络及其应用领域中一直研究的关键问题，然而传统的网络安全理论和技术存在着以下三个无法克服的缺陷。首先，集中控制的方法对于当前分布式的网络环境显得力不从心；其次，网络具有同构性，无法阻止可疑入侵者及病毒迅速广泛传播；再次，当前网络威胁日新月异，传统网络安全理论和技术的静态性和被动性已经无法适应恶劣多变的网络环境。
[0003]目前，纵观国内外研究，可生存性研究主要还是处于理论研究阶段，并且在不断地吸收容错、入侵容忍、重配置能力或冗余能力来提高系统的可生存能力。但是在这些解决方案中，对攻击、异常的检测、评估以及重新配置的执行，都需要人为介入，存在不同程度的时延。针对可生存系统的自适应响应、恢复和演化能力的增强还没有涉及。

【发明内容】

[0004]本发明实施例提供一种免疫网络系统，旨在解决现有技术中无法阻止可疑程序入侵及病毒迅速传播的问题。
[0005]本发明实施例是这样实现的，一种免疫网络系统，所述系统包括:
[0006]透明防火墙，用于分析现有网络扫描技术，提取普适性的扫描特征并将其作为过滤规则进行过滤；
[0007]智能巡检装置，用于审计并监测进入网内流量，提出异常流量处理建议，并与产生异常流量的主机通信，提取攻击指纹特征，存储至免疫特征库；以及
[0008]应急装置，为所述智能巡检装置检测到的受损内网节点提供应急通道，并在用户工作完成后提示用户将所述受损节点还原至未受攻击之前的安全状态。
[0009]本发明实施例通过对网络流量进行监测与审计，维护网络良好状态，通过对未知入侵行为的分析及记忆，提高网络免疫能力，在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供，该系统具备自主修复还原能力，维护网络的运营稳定。
【附图说明】
[0010]图1是本发明实施例提供的免疫网络系统的结构图；
[0011]图2是本发明实施例提供的智能巡检装置的结构图。
【具体实施方式】
[0012]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0013]本发明实施例通过各模块间的紧密配合，有效填补了现有安全产品体系间的空缺，避免了传统网络安全产品各自为战的局面。
[0014]图1是本发明实施例提供的免疫网络系统的结构图，详述如下:
[0015]透明防火墙11分析现有网络扫描技术，提取普适性的扫描特征并将其作为过滤规则进行过滤。
[0016]在本发明实施例中，透明防火墙工作在受到保护的网络内部和其余外部网络之间，是内部和外部信息交流必须通过的网桥，设置为无IP的状态，因此内部和外部网络都不会在网络拓扑中发现防火墙的存在，有效保障了自身的安全，实现了对内外网络透明的特性。
[0017]在本发明实施例中，透明防火墙还防止外网扫描。当前网络攻击的基本步骤为:扫描端口、判断开放了哪些服务、判断入侵对象的操作系统、和所开放的服务选择入侵方法。由此可见，为得到目标系统中有哪些服务可以被访问和攻击，在入侵的开始阶段往往是盲目的，而端口扫描常常是攻击的前奏。所有，系统中防火墙的主要目标示防止外网的扫描，让网外的攻击者无法获取网内主机的正确信息，以隔离大多数来自外网的攻击。
[0018]智能巡检装置12审计并监测进入网内流量，提出异常流量处理建议，并与产生异常流量的主机通信，提取攻击指纹特征，存储至免疫特征库。
[0019]在本发明实施例中，智能巡检装置是网络免疫系统的第二道防线，起到与人体免疫中的第二道防线相似的功能。
[0020]应急装置13为智能巡检装置12检测到的受损内网节点提供应急通道，并在用户工作完成后提示用户将所述受损节点还原至未受攻击之前的安全状态。
[0021]在本发明实施例中，应急装置13包括应急单元和还原单元。其中:
[0022]应急单元提示被攻陷主机的用户，将该用户的工作环境暂时迁至应急通道，用户可以通过应急通道继续享受正常的网络服务和其他系统服务，并在一个全新的安全环境中继续自己的工作，而不必中断工作立即处理安全问题。使用紧急通道时除进程以外的所有进程均无法访问网络，从而制止攻击行为，保护网络整体的安全。
[0023]还原单元待用户完成工作离开计算机时，提示用户存在安全隐患并给出精确的还原时间建议，帮助用户选择将计算机恢复至入侵之前的安全状态。
[0024]图2示出了本发明实施例提供的智能巡检装置的结构图，详述如下:
[0025]在本发明实施例中，智能巡检装置12包括巡逻监控单元21和免疫隔离单元22。其中:
[0026]巡逻监控单元21审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至免疫隔离单元。
[0027]本发明实施例针对内网并发流量可能很大的情况，系统设计了巡逻监控单元，单一时间内用巡逻的方式监控少量几台内网主机。这种方式是安全和效率的一种折衷，既保证了巡逻服务的正常提供和服务器自身的稳定安全，也充分利用了服务器性能。
[0028]在本发明实施例中，巡逻监控单元21具体包括免疫特征匹配模块211、端口审计模块212、流量统计模块213，以及流量异常评估模块214。其中:
[0029]免疫特征匹配模块211计算被监控主机通信数据包的免疫特征指纹，与免疫特征库内记录比对。
[0030]本发明实施例计算被监控主机通信数据包的免疫特征指纹，与免疫特征库内记录对比，若有指纹一致的项目则再将当前数据包与免疫特征库记录的数据包逐字节对比，若报文内容完全相符则认为当前数据包属于攻击数据包，则当前巡逻主机被认定为存在威胁，将提示用户连接应急装置13。
[0031]端口审计模块212选取通信连接中和服务相关的要素进行综合分析，为维护和研究提供详实报告。
[0032]本发明实施例选取通信连接中和服务相关的五个要素进行综合分析，为管理员的维护和研究提供详实的报告。五要素分别是:IP、Port、Service、Product以及Vers1n,用来描述该主机IP地址、开放端口、端口所提供服务、所使用应用软件和版本号信息，比如把连接一方的信息127.0.0.1:80:http:apache:2.2.17作为审核名单的一条记录。
[0033]流量统计模块213利用原始数据包报文头部信息进行流量统计，以主机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量。
[0034]流量监测是网络安全和网