本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種一種分布式網(wǎng)絡(luò)入侵防御系統(tǒng)����。
背景技術(shù):
目前隨著信息化建設(shè)的蓬勃發(fā)展,國家對網(wǎng)絡(luò)安全給予了高度重視�。網(wǎng)絡(luò)入侵防御系統(tǒng)(IPS)技術(shù)發(fā)展也相當(dāng)迅速,它能夠以更細(xì)粒度的方式檢查網(wǎng)絡(luò)流量����,主動地對安全事件進(jìn)行響應(yīng),防止各個層面攻擊事件的發(fā)生�����。但是�����,目前的IPS仍然面臨著一些問題:
1)性能瓶頸:即使IPS不出現(xiàn)故障��,由于需要處理所有的網(wǎng)絡(luò)流量和系統(tǒng)調(diào)用,必然會增加滯后時間�����,這樣就可能導(dǎo)致網(wǎng)絡(luò)和系統(tǒng)效率的降低����,使之成為一個潛在的性能瓶頸。
2)誤報(bào)和漏報(bào):如果產(chǎn)生誤報(bào)將會導(dǎo)致合法的流量或者請求被意外攔截���,形成拒絕服務(wù)�����。對于實(shí)時在線的IPS來說,一旦攔截了攻擊性數(shù)據(jù)包��,就會對來自可疑攻擊者的所有數(shù)據(jù)流進(jìn)行攔截��。如果產(chǎn)生漏報(bào)���,將會導(dǎo)致攻擊事件的成功發(fā)生�����。
3)攻擊工具越來越先進(jìn):現(xiàn)在的攻擊工具具備了反偵破和動態(tài)行為�����,可以繞過防火墻�,且不對稱攻擊的威脅在不斷擴(kuò)大。
4)攻擊的自動化程度和速度不斷提高����,且殺傷力逐步增強(qiáng)。發(fā)現(xiàn)安全漏洞越來越快�,覆蓋面越來越廣,新發(fā)現(xiàn)的安全漏洞每年要增加一倍�����,而且安全漏洞類型不斷翻新�����。
為了解決上述問題��,我們在IPS架構(gòu)設(shè)計(jì)及系統(tǒng)實(shí)現(xiàn)上進(jìn)行了深入的研究�����,針對目前流行的蠕蟲、病毒����、間諜軟件、垃圾郵件�����、DDOS等黑客攻擊�����,以及網(wǎng)絡(luò)資源濫用����,提出一種分布式“分析與檢測+集中控制+升級服務(wù)”技術(shù)架構(gòu)的網(wǎng)絡(luò)入侵防御系統(tǒng)(以下簡稱DNIPS)。該系統(tǒng)的特點(diǎn)體現(xiàn)在高度融合性��、高安全性���、高可靠性和易操作性等特性,能自動對各類攻擊性的流量�,尤其是應(yīng)用層的威脅進(jìn)行實(shí)時阻斷。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明針對現(xiàn)有技術(shù)不足����,提供一種分布式網(wǎng)絡(luò)入侵防御系統(tǒng)�,最大限度地保護(hù)企業(yè)和組織的網(wǎng)絡(luò)安全�����。
本發(fā)明的目的可以通過以下技術(shù)方案實(shí)現(xiàn):
一種分布式網(wǎng)絡(luò)入侵防御系統(tǒng)�,其特征在于:包括windows控制臺單元、WEB控制臺單元以及系統(tǒng)檢測單元�;
所述的windows控制臺單元包括windows配置管理模塊、windows系統(tǒng)監(jiān)控模塊����、windows日志管理模塊;
所述的windows配置管理模塊主要用于對windows控制臺的規(guī)則管理����、用戶管理、事件管理和升級管理�����;
所述的windows系統(tǒng)監(jiān)控模塊主要對windows控制臺的事物的狀態(tài)�、事件的發(fā)生、流量的變化和協(xié)議的回放進(jìn)行監(jiān)控����;
所述的windows日志管理模塊主要對windows控制臺的日志的分析�����、日志的歸并���、日志的備份和日志的回復(fù)進(jìn)行管理;
所述的WEB控制臺單元包括WEB配置管理模塊����、WEB系統(tǒng)監(jiān)控模塊、WEB日志管理模塊��、策略管理模塊�����;
所述的WEB配置管理模塊主要用于對WEB控制臺的規(guī)則管理����、用戶管理����、事件管理和升級管理���;
所述的WEB系統(tǒng)監(jiān)控模塊主要對WEB控制臺的事物的狀態(tài)、事件的發(fā)生����、流量的變化和協(xié)議的回放進(jìn)行監(jiān)控;
所述的WEB日志管理模塊主要對WEB控制臺的日志的分析�、日志的歸并、日志的備份和日志的回復(fù)進(jìn)行管理�;
所述的策略管理模塊采用自定義訪問控制策略,用于根據(jù)不同事態(tài)變化�����,對各種策略進(jìn)行綜合評估和分析�����,采取相應(yīng)的策略進(jìn)行檢測或防御���;
所述的系統(tǒng)檢測單元包括入侵保護(hù)模塊����、入侵檢測模塊�、協(xié)議分析模塊���、防火墻模塊、協(xié)議識別模塊��、數(shù)據(jù)捕獲模塊���;
所述的入侵保護(hù)模塊主要對包的丟失���、中斷連接、TCP killer�、防火墻協(xié)作、郵件報(bào)警�����、SNMPTRAP���、和日志數(shù)據(jù)庫等進(jìn)行保護(hù)及響應(yīng)��;
所述的入侵檢測模塊主要采用CSD的協(xié)議異常檢測技術(shù)和設(shè)計(jì)一個拒絕服務(wù)攻擊檢測模塊���,對誤用、協(xié)議異常和DOS的檢測進(jìn)行相關(guān)分析,并通過告警系統(tǒng)及時響應(yīng)�;
所述的協(xié)議分析模塊主要采用智能協(xié)議識別技術(shù)�,通過動態(tài)分析網(wǎng)絡(luò)報(bào)文中包含的協(xié)議特征,發(fā)現(xiàn)其所在協(xié)議����,然后遞交給相應(yīng)的協(xié)議分析引擎進(jìn)行處理;
所述的防火墻模塊對訪問控制采用內(nèi)置狀態(tài)防火墻和自定義訪問控制策略��,對NAT支持提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能���;
所述的協(xié)議識別模塊主要負(fù)責(zé)對分析出來的IP碎片重組�、TCP狀態(tài)跟蹤和TCP流的匯聚進(jìn)行識別并作出標(biāo)志�;
所述的數(shù)據(jù)捕獲模塊,對來自于經(jīng)過上述模塊的分析和識別的數(shù)據(jù)包進(jìn)行捕獲���,獲得該數(shù)據(jù)包的源地址�����、源端口�����、目的地址����、目的端口和所使用的協(xié)議等數(shù)據(jù),并進(jìn)行相關(guān)告警����,必要時自動關(guān)閉網(wǎng)絡(luò)設(shè)備。
本發(fā)明的有益效果:
本發(fā)明提供一種能自動采取行動阻止攻擊和入侵的分布式網(wǎng)絡(luò)入侵防御系統(tǒng)�,這種分布式“分析與檢測+集中控制+升級服務(wù)”技術(shù)架構(gòu)的網(wǎng)絡(luò)入侵防御系統(tǒng)彌補(bǔ)了當(dāng)前IPS的不足,通過部署該入侵防御系統(tǒng)�����,同其他安全產(chǎn)品形成互補(bǔ)���,形成深度防御體系����,最大限度地保護(hù)企業(yè)和組織的網(wǎng)絡(luò)安全�。
附圖說明
下面結(jié)合附圖和具體實(shí)施例對本發(fā)明作進(jìn)一步詳細(xì)描述。
圖1是本發(fā)明的示意圖�����。
具體實(shí)施方式
如圖1所示,本發(fā)明是一種布式網(wǎng)絡(luò)入侵防御系統(tǒng)����,包括windows控制臺單元D110、WEB控制臺單元D120���、系統(tǒng)檢測單元D130共三大模塊;
具體的��,所述的windows控制臺單元D110包括配置管理模塊M111���、系統(tǒng)監(jiān)控模塊M112���、日志管理模塊M113;
所述的WEB控制臺單元D120包括配置管理模塊M121���、系統(tǒng)監(jiān)控模塊M122���、日志管理模塊M123、策略管理模塊M124��;
所述的系統(tǒng)檢測單元D130包括入侵保護(hù)模塊M131��、入侵檢測模塊M132、協(xié)議分析模塊M133�、防火墻模塊M134、協(xié)議識別模塊M135���、數(shù)據(jù)捕獲模塊M136�;
所述的配置管理模塊M111主要用于對windows控制臺的規(guī)則管理���、用戶管理�����、事件管理和升級管理���;
所述的系統(tǒng)監(jiān)控模塊M112主要對windows控制臺的事物的狀態(tài)、事件的發(fā)生��、流量的變化和協(xié)議的回放進(jìn)行監(jiān)控����;
所述的日志管理模塊M113主要對windows控制臺的日志的分析、日志的歸并��、日志的備份和日志的回復(fù)進(jìn)行管理��;
所述的配置管理模塊M121主要用于對WEB控制臺的規(guī)則管理、用戶管理��、事件管理和升級管理�;
所述的系統(tǒng)監(jiān)控模塊M122主要對WEB控制臺的事物的狀態(tài)、事件的發(fā)生���、流量的變化和協(xié)議的回放進(jìn)行監(jiān)控����;
所述的日志管理模塊M123主要對WEB控制臺的日志的分析�����、日志的歸并��、日志的備份和日志的回復(fù)進(jìn)行管理��;
所述的策略管理模塊M124采用自定義訪問控制策略����,用于根據(jù)不同事態(tài)變化����,對各種策略進(jìn)行綜合評估和分析�����,采取相應(yīng)的策略進(jìn)行檢測或防御��;
所述的入侵保護(hù)模塊M131主要對包的丟失����、中斷連接����、TCP killer、防火墻協(xié)作��、郵件報(bào)警�����、SNMPTRAP��、和日志數(shù)據(jù)庫等進(jìn)行保護(hù)及響應(yīng)�;
所述的入侵檢測模塊M132主要采用CSD的協(xié)議異常檢測技術(shù)和設(shè)計(jì)一個拒絕服務(wù)攻擊檢測模塊,對誤用���、協(xié)議異常和DOS的檢測進(jìn)行相關(guān)分析����,并通過告警系統(tǒng)及時響應(yīng);
所述的協(xié)議分析模塊M133主要采用智能協(xié)議識別技術(shù)����,通過動態(tài)分析網(wǎng)絡(luò)報(bào)文中包含的協(xié)議特征,發(fā)現(xiàn)其所在協(xié)議��,然后遞交給相應(yīng)的協(xié)議分析引擎進(jìn)行處理����;
所述的防火墻模塊M134對訪問控制采用內(nèi)置狀態(tài)防火墻和自定義訪問控制策略,對NAT支持提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能��,支持靜態(tài)NAT(Static NAT)��、動態(tài)NAT(Pooled NAT)和端口NAT(PAT)��,支持多對一����、多對多和一對一等多種地址轉(zhuǎn)換方式�;在路由方面使用靈活的策略路由功能,根據(jù)協(xié)議類型����、應(yīng)用�、IP源地址等策略來選擇數(shù)據(jù)轉(zhuǎn)發(fā)路徑���,根據(jù)報(bào)文數(shù)據(jù)流的發(fā)起方向來確定以后的路由���,滿足各種應(yīng)用環(huán)境的需要;
所述的協(xié)議識別模塊M135主要負(fù)責(zé)對分析出來的IP碎片重組��、TCP狀態(tài)跟蹤和TCP流的匯聚進(jìn)行識別并作出標(biāo)志���;
所述的數(shù)據(jù)捕獲模塊M136�����,對來自于經(jīng)過上述模塊的分析和識別的數(shù)據(jù)包進(jìn)行捕獲�,獲得該數(shù)據(jù)包的源地址�����、源端口�����、目的地址、目的端口和所使用的協(xié)議等數(shù)據(jù)�,并進(jìn)行相關(guān)告警,必要時自動關(guān)閉網(wǎng)絡(luò)設(shè)備�����。
以上內(nèi)容僅僅是對本發(fā)明結(jié)構(gòu)所作的舉例和說明�����,所屬本技術(shù)領(lǐng)域的技術(shù)人員對所描述的具體實(shí)施例做各種各樣的修改或補(bǔ)充或采用類似的方式替代��,只要不偏離發(fā)明的結(jié)構(gòu)或者超越本權(quán)利要求書所定義的范圍�����,均應(yīng)屬于本發(fā)明的保護(hù)范圍�。