络管理的基础和前提,能够准确地对各种流量进行识另IJ、分析、统计,对于入侵监测和了解网络健康状况有重要意义。本发明实施例中的流量统计单元一方面把巡逻对象的流量按上行流量和下行流量两类统计,另一方面按常见的应用层协议和未协议进行分类。
[0035]流量异常评估模块214建立多态响应流量异常评估模型,选取网络攻击发生时具有特征的参数进行量化考察,对不同程度威胁给出不同响应和处理建议。
[0036]本发明实施例建立了基于模糊综合评价方法的多态响应流量异常评估模型,选取网络攻击发生时具有特征的五个特征参数进行量化考核,抛弃了传统的基于概率分析的入侵检测思路,转向描述网络行为属于入侵的程度而非概率,以维护网络的可生存性为原则,对不同程度的威胁给出不同响应和处理意见。
[0037]免疫隔离单元22利用模拟服务与产生异常流量的主机通信,提取攻击指纹特征,充实免疫特征库。
[0038]在本发明实施例中,免疫隔离单元22具体包括虚拟应答模块221、模拟服务模块222、攻击备案模块223,以及智能提取模块224。其中:
[0039]虚拟应答模块221通过给出虚拟应答并提供相应的虚拟服务,使敌手继续攻击以获得攻击流量。
[0040]在本发明实施例中,有两种情况的流量被认定为未知攻击流量,一方面是针对巡逻监控单元21认定具备较高安全威胁的主机的通信,另一方面是针对主动向不存活IP地址发起连接的通信。对于第一类通信获取引擎会将威胁主机通信重定向到隔离区,称为引导捕获;与之对应的第二类向不存活主机发起连接请求的通信称为自投罗网。捕获引擎将给出虚假应答,并提供相应的虚拟服务,诱骗敌手继续攻击以获得攻击流量。
[0041]模拟服务模块222通过执行模拟服务脚本,与流量被重定向至免疫隔离单元的主机进行交互,模拟正常服务的交互过程,使威胁主机继续攻击。
[0042]本发明实施例通过执行模拟服务脚本,与流量被重定向至免疫隔离区的主机进行交互,模拟正常服务的交互过程,诱骗威胁主机继续攻击。由于免疫隔离区并没有真正运行系统服务,所以没有被攻破的危险。系统提供模拟服务的真实性依赖于脚本编写的细致程度,因此需要在真实性和效率之间权衡。即使模拟服务最后被识别,也已经拖延了攻击的进度,给免疫系统充分的反应调度的时间,制止真正的侵害行为发生。
[0043]攻击备案模块223记录隔离免疫单元与具有威胁主机之间的通信信息并写入数据库,所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信肩、O
[0044]智能提取模块224若认定到达免疫隔离单元的流量是危险流量时,系统智能提取攻击指纹特征并将所述特征存入免疫特征库。
[0045]本发明实施例通过对网络流量进行监测与审计,维护网络良好状态,通过对未知入侵行为的分析及记忆,提高网络免疫能力,在入侵后能有效控制危害范围,保证网络畅通和服务的正常提供,该系统具备自主修复还原能力,维护网络的运营稳定。
[0046]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种免疫网络系统,其特征在于,所述系统包括: 透明防火墙,用于分析现有网络扫描技术,提取普适性的扫描特征并将其作为过滤规则进行过滤; 智能巡检装置,用于审计并监测进入网内流量,提出异常流量处理建议,并与产生异常流量的主机通信,提取攻击指纹特征,存储至免疫特征库;以及 应急装置,为所述智能巡检装置检测到的受损内网节点提供应急通道,并在用户工作完成后提示用户将所述受损节点还原至未受攻击之前的安全状态。
2.如权利要求1所述的系统,其特征在于,所述智能巡检装置具体包括: 巡逻监控单元,用于审计并监测进入网内流量,提出异常流量处理建议,并对其进行引导重定向至免疫隔离单元; 免疫隔离单元,利用模拟服务与产生异常流量的主机通信,提取攻击指纹特征,充实免疫特征库。
3.如权利要求1所述的系统,其特征在于,所述应急装置具体包括: 应急单元,提示被攻陷主机的用户,将工作环境迁至应急通道继续工作,不必中断工作处理安全问题; 还原单元,待用户完成工作离开计算机时,提示用户存在安全隐患并给出精确的还原时间建议,帮助用户选择将计算机恢复至入侵之前的安全状态。
4.如权利要求2所述的系统,其特征在于,所述巡逻监控单元具体包括: 免疫特征匹配模块,计算被监控主机通信数据包的免疫特征指纹,与免疫特征库内记录比对; 端口审计模块,选取通信连接中和服务相关的要素进行综合分析,为维护和研究提供详实报告; 流量统计模块,利用原始数据包报文头部信息进行流量统计,以主机对外的每一个连接为单位进行流量统计,通过提取通信双方IP和端口号特征信息参与哈希函数运算,用步长倍增的算法解决哈希冲突,并用包头中的报文长度字段值更新所属连接的累计流量;以及 流量异常评估模块,建立多态响应流量异常评估模型,选取网络攻击发生时具有特征的参数进行量化考察,对不同程度威胁给出不同响应和处理建议。
5.如权利要求4所述的系统,其特征在于,所述和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。
6.如权利要求2所述的系统,其特征在于,所述免疫隔离单元具体包括: 虚拟应答模块,通过给出虚拟应答并提供相应的虚拟服务,使敌手继续攻击以获得攻击流量; 模拟服务模块,通过执行模拟服务脚本,与流量被重定向至免疫隔离单元的主机进行交互,模拟正常服务的交互过程,使威胁主机继续攻击; 攻击备案模块,记录隔离免疫单元与具有威胁主机之间的通信信息并写入数据库,所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息;以及 智能提取模块,若认定到达免疫隔离单元的流量是危险流量时,系统智能提取攻击指纹特征并将所述特征存入免疫特征库。
【专利摘要】本发明适用于互联网领域,提供了一种免疫网络系统,所述系统包括透明防火墙,用于分析现有网络扫描技术,提取普适性的扫描特征并将其作为过滤规则进行过滤;智能巡检装置,用于审计并监测进入网内流量,提出异常流量处理建议,并与产生异常流量的主机通信,提取攻击指纹特征,存储至免疫特征库;以及应急装置,为所述智能巡检装置检测到的受损内网节点提供应急通道,并在用户工作完成后提示用户将所述受损节点还原至未受攻击之前的安全状态。本发明通过对网络流量进行监测与审计,维护网络良好状态,通过对未知入侵行为的分析及记忆,提高网络免疫能力,在入侵后能有效控制危害范围,保证网络畅通和服务的正常提供,该系统具备自主修复还原能力,全面维护网络的运营稳定。
【IPC分类】H04L29-06
【公开号】CN104580087
【申请号】CN201310493140
【发明人】张飞
【申请人】宁夏新航信息科技有限公司
【公开日】2015年4月29日
【申请日】2013年10月21日