用于内网网络攻击检测的报警和响应系统的制作方法

专利名称：用于内网网络攻击检测的报警和响应系统的制作方法
技术领域：
本发明涉及计算机安全防护技术领域，尤其涉及一种用于内网网络攻 击检测的报警和响应系统及实现方法。
背景技术：
内网安全是当前很多网络安全设备和系统忽视的方面，现有的方法通 常在子网出口处采集流量以检测攻击，而子网内部主沖几之间的流量无法采 集得到，因而无法4企测子网内部的异常，尤其是单台交换机下面各个端口 之间的流量的异常。而当前很多网络异常，尤其是蠕虫，其爆发的初始阶 段就是在子网内部展开扫描，产生恶意流量，如果能够监视和检测子网内 部流量，就能有效的弥补已有安全措施的空白，提升网络的安全等级。
目前检测内网异常的主流方向是在作为网络节点的网络设备上部署 检测和响应系统，网络设备通常是交换机，这使得检测虽然能深入网络内 部，但仍没有达到网络底层，其检测目标仍然是交换机出口流量，不能检 测到交换机下各个端口之间流量存在的攻击。另 一种思路是在网络最末端 主机上部署微检测和微响应系统，虽然能检测到最细粒度的攻击，但同时 使得部署难度大幅增加。
申请号为200510036269.6的发明专利公开了 一种网络病毒防护领域 的主动探测病毒防护系统及其防护方法，该系统包括嵌入于三层交换机中 的探针模块、存储器、安全策略模块以及安装于信息监控服务器中的外部 访问管理系统，本发明解决了现有局域网病毒防护系统无法防范局域网子 网间病毒攻击的缺点，可广泛应用于电子政务，金融及内网安全性较高的 网络环境。但是该专利提供的方法不能检测交换机下物理端口之间流量中 存在的攻击，4吏得攻击检测仍有空白。
申请号为200410017802.X的发明专利公开了 一种网络安全防护的分 布式入侵检测与内网监控系统及方法，它适用于交换式局域网、共享式局 域网、多子网分布式大中型网络，能为计算机网络用户提供网络安全保障。该系统为三层分布式结构，包括网络和主机^r测器、中央控制器、管理监 控中心、后台数据库。该方法包括制定安全规则；检测器根据安全规则按 IP地址和MAC地址进行入4旻检测和内网监控发现入侵或违关见及时阻断、 报警并记入后台数据库；根据记录的信息进行审计、对被破坏的数据还原 等步骤。本发明集检测、审计、控制、跟踪、报警等多种功能为一体，是 一种全方位的安全;f企测与防御系统，具有良好的扩展性、易维护性、可读 性、可移植性、组件重用性和多层次的分布性能。其问题在于不能检测单 台交换机设备之下各端口之间流量中的异常，不能深入到网络底层检测攻 击。
申请号为02115957.2的发明专利公开了一种分布式网络安全保护系 统，网络中央管理台配置汇总决策模块和策略发布模块，网络按照树型结 构分为N个子网，各子网管理台上均配置汇总决策模块和策略发布模块， 子网中每个节点都安装微入侵检测模块和微防火墙模块，策略发布模块采 用移动代理技术；本系统的分布式微入侵检测模块可提供应用层的安全以 单个节点机为保护对象，从而实现双重细粒度的安全保护；该系统与传统 的入侵检测和防火墙产品相比，具有防止外部和内部攻击、可扩展性强、 防单失效点、防范协同入侵、实时安全保护及动态自免疫等优点。该发明 的问题在于需要在每台被监测主机上安装入侵检测和防火墙系统，这使得 部署花费大大增加，特别是网络规模比较大的情况下，部署难度很大。

发明内容
在内网安全检测中，为了有效降低异常检测算法带来的高误报率，提 高检测效率，本发明提供了 一种用于内网网络攻击检测的报警和响应系 统，可准确、及时、有效的4企测和防雄卩内网主冲几向外网或同内网其他主才几 展开的攻击。
一种用于内网网络攻击检测的报警和响应系统，系统包括管理中心、 检测机和数据库；管理中心和检测机通过专用网络连接，数据库由管理中 心访问，主要用来存储;险测和响应日志。
所述的管理中心用于对检测机的配置和日志查看，单台管理中心可连 接多个检测机，管理中心可读取单台检测机的配置，修改后写回检测机， 并可以查看检测机中异常检测算法模块的报警记录和攻击防御模块的响应记录，同时可以控制检测机的防御行为，可以指定对某台目标机采取防 雄卩措施。
所迷的检测机对应有两块网卡， 一块网卡连接交换机的镜像流量端 口，另一块网卡作为主机网卡连接交换机的普通流量端口。
检测机的其中 一块网卡的网络接口连接网络交换机的流量镜像端口 ， 该网络接口周期性镜像交换机各个端口的流量，用于监听网络内部的数据
模块:并由管理模块执行本地检测算法以及报警和:应算法，网络异;检 测模块种类主要包括蠕虫检测模块和拒绝服务检测模块。
所述的网络异常;^测程序由内核流量采集处理模块，多种异常检测算
法模块、管理模块、攻击防御模块构成。
网络流量分析采集处理模块从网络接口处获取网络流量，并做筒单
的流量分析，实时得到分析结果。
异常检测算法模块从网络流量分析采集模块处得到的分析过的连接 信息，根据各自的算法进行检测，对得到的检测结果上报管理模块；这里 检测算法包括蠕虫检测算法和拒绝服务检测算法，分别用来检测蠕虫和拒 绝服务攻击。
管理模块通过报警算法对异常检测算法模块的检测结果进行判断决 定是否发出报警，对于采取报警措施的检测结果的信息，由管理模块将报 警信息转发给攻击防御模块采取应对措施。
攻击防御模块收到管理模块的报警信息后，通过向检测机所连接的 交换机或路由器发送SNMP (简单网络管理协议)的管理消息，采用响应 算法命令设备采取措施达到防御的效果。
网络异常检测程序执行本地检测算法以及报警和响应算法，克服了现 有网络攻击检测技术不能准确、高效的检测和防御内网攻击的问题，可准 确、及时、有效的检测和防御内网主机向外网或同内网其他主机展开的攻 击。该方法在检测方面，由检测机上底层多个检测模块向管理模块报告异 常主机IP,管理模块根据报警算法过滤虚假的报警信息。其原理是针对每 个被检测到异常的IP设置报警可信度，单次检测不能产生报警，而多次 检测相继发生且相隔很近，则会增加该IP的报警可信度，直到超过阈值 产生报警。一种用于内网网络攻击检测的报警与响应算法，包括
1、 报警
检测机上底层的检测模块对内网网络进行异常信息检测，获取下层冲莫 块的异常检测信息并确定该异常检测信息的可信度，当该异常检测信息的 可信度到达预设值时发出报警信息。
2、 响应 I .隔离
根据报警信息确定产生异常检测信息的IP地址的隔离时间和隔离方 式，并对该IP地址进行隔离。
n.解除隔离
对产生异常检测信息的ip地址进行的隔离时间到达预设值后，解除 隔离。
所述的确定异常检测信息的可信度并发出报警信息的步骤如下
(1) 设置异常信息的检测和报警的相关参数，参数包括两次检测的 时间间隔的上限Tup和两次检测的时间间隔的下限Tbel。w ，以及触发报警的 可信度阈值Ctoe;
(2) 确定每个从下层模块获取的异常检测信息的IP的地址并记录检 测时间；
若该IP第一次被检测到，则记录其被检测时间，并设其对应的报警 可信度C为0;
若该IP不是第一次被检测到，则计算当前检测时间和该IP最近一次 被检测到的时间间隔Tint,并设置该IP的被检测时间为当前检测时间；
(3 )若步骤(2 )计算得到IP的两次被4全测到的时间间隔Tint大于两 次检测间隔上限Tup，则i殳置其才艮警可信度C为0;
若步骤(2)计算得到IP的两次被检测到的时间间隔Tw小于或等于 两次检测间隔上限Tup而大于两次检测间隔下限Tbel。w，则将其报警可信度
c减去报警可信度衰减值e-Tint,若报警可信度C为负，则将报警可信度C
重新设置为0;
若步骤(2)计算得到IP的两次被检测到的时间间隔TiM小于或等于 两次;险测间隔下限Tbel。w，则将其报警可信度C加上e-Tint;
(4)若某IP的报警可信度C大于等于触发报警的可信度阈值Cthre，则产生该IP的报警信息。
在响应方面，本方法采取隔离IP对应的 mac和i殳备端口的方法，才艮 据被检测到异常信息的IP的报警程度的严重程度来决定隔离该IP的mac 还是相应设备端口，对于单独的若干次报警则单独隔离mac,但若某端口 被隔离mac过多，则报警严重等级上升，需要隔离该端口；同时根据报警 的频繁程度来控制隔离时间，对获取异常检测信息的IP的mac或对应的 设备端口进行隔离有一个对应的超时时间，隔离时间超过该超时时间则要 开i文该IP的mac或i殳备端口 。
所述根据报警信息确定对产生异常检测信息的IP地址的隔离时间， 并对该地址进行隔离的步骤如下
(1) 设置隔离的相关参数，隔离超时时间t的初值为T，同一个网络 设备端口的被隔离mac的数量阈值为N,最长隔离时间TL;
(2) 针对报警信息，获取产生异常检测信息的IP对应的mac地址； (3 )判断该mac是否已存在于被隔离mac列表；
若该mac已存在于被隔离mac列表，将其隔离超时时间t设置为最近 一次设置时间的两倍，若超过最长隔离时间TL，则设为最长隔离时间几；
若该mac不存在于4皮隔离mac列表，将该mac加入到被隔离mac列 表里，设置其初始隔离时间t为T;
(4)判断该mac对应的网络设备端口是否已经在被隔离端口列表里；
a. 若该mac对应端口已经在被隔离端口列表里，判断隔离列表中与该 mac同属于一个端口的mac地址数量是否大于或等于N;
al.若已隔离mac列表中与当前mac同端口的mac地址数量大于等于 N，则设置该端口的隔离超时时间t为最近一次设置时间的两倍，若该端 口的隔离超时时间t超过最长隔离时间TV,则设置该端口的隔离超时时间 t为最长隔离时间Tl;
a2.若已隔离mac列表中与当前mac同端口的mac地址数量小于N， 则从被隔离端口列表里删除该端口 ；
b. 若该mac对应的端口不在被隔离端口列表里，且已隔离mac列表中 与当前mac同端口的mac地址数量大于或等于N，则将该mac对应的端 口其端口放入被隔离端口列表里，并设置隔离时间t为T。
所述的解除隔离的步骤如下(1 )设置一个隔离事件报警时钟，该时钟以隔离初始时间T为周期
循环，每个周期后都要对被隔离mac列表和被隔离端口列表中的所有表项 进行一次超时算法计算，以去除超时的表项；
对被隔离mac列表的所有表项进行一次超时算法计算时，将其中隔离 的所有表项的隔离超时时间t均减去时间T，若存在剩余隔离超时时间小 于或等于0的表项，则从列表中去除这些表项该项；
对被隔离端口列表的所有表项进行一次超时算法计算时，若当前的被 隔离端口表项中位于该端口被屏蔽mac数量大于等于阈值N，则该隔离端 口不做处理；若当前的被隔离端口表项中位于该端口被屏蔽mac数量小于 阈值N,则将该项的隔离超时时间t减去时间T,若剩余隔离超时时间小 于或等于0，则从隔离端口列表中去除该表项。
本发明方法主要是根据针对单IP检测上报信息的密集程度来控制报 警可信度，若达到报警可信度阈值上限则触发报警。报警算法的主要作用 是过滤虚假检测信息，降低误报率。触发报警后则检测机的响应模块采取 措施，根据响应算法进行应对，主要是根据报警程度的严重程度来决定隔 离某mac地址还是相应交换机端口，对于单独的若千次报警则单独隔离 mac,但若某端口的被隔离mac过多，则报警严重等级上升，需要隔离该 端口 ；同时根据报警的频繁程度来控制隔离时间，对于被隔离的mac或设 备端口 ，对应有 一个超时时间，隔离时间超过该超时时间则要开放该mac 或设备端口。响应算法的主要作用是合理控制响应过程，使攻击响应自动 化同时使得响应措施合理。
本系统的最大特点在与报警算法和响应算法，报警算法可有效降低异 常检测算法带来的高误报率，改善检测效率。响应算法使得攻击响应自动 化，降低了人工千预的程度。


图1为本发明方法中内网网络攻击检测的报警与响应系统的系统部署图； 图2为本发明方法中网络异常检测程序软件架构示意图； 图3为本发明方法中报警算法流程图； 图4为本发明方法中响应算法流程图。
具体实施例方式
下面结合附图对本发明的 一种用于内网网络攻击4企测的才艮警和响应
系统及实现方法的实施例进行详细i兌明。
如图1所示，在内网中的一种用于内网网络攻击4企测的才艮警和响应系 统，系统包括管理中心、检测机和数据库。
管理中心运^f亍在单台主机上，单台管理中心可连接多个检测机，每台 检测机和一台交换机相连，每台交换机可以同时连接多台PC机。
管理中心不定期的接收检测机发送过来的报警信息，将报警信息存储 到管理中心的数据库中，并通过用户界面显示出来，提供查询等功能，管 理中心也将检测机的各种配置信息存储在管理中心的数据库中。
管理中心提供检测机配置界面，可读取单台检测机的配置，修改后写 回检测机，同时可远程配置检测机的各项参数。配置时，管理中心首先通 过菜单命令从检测机端将配置取到管理中心上，以列表的形式显示，然后
通过修改列表更改配置，最后通过菜单命令将列表里的配置保存到检测机 硬盘上。
管理中心能够查询检测机当前的状态，包括检测机中异常检测算法模 块的报警记录和攻击防御模块的响应记录，同时可以控制检测机的防御行 为，可以指定对某台目标机采取防御措施，根据需要预先指定采取手工和 自动响应行为中的一种。若手工指定响应行为，则需要管理员对每条报警
消息使用菜单命令分别指定是否隔离和解除隔离；管理中心通过选择4艮警 列表里的一条记录作为目标，然后使用菜单命令将隔离请求发送到检测机 端，检测机端通过SNMP协议操作网络设备访问控制列表实现目标的隔 离；若是自动响应行为，则由检测机内的管理模块在接到报警后立即隔离， 由响应算法控制何时解除隔离。
检测机负责检测交换机所对应的子网内部以及内部和外部网络之间 的流量异常。检测机和交换机之间有两条物理链路，检测机对应有两块网 卡， 一块网卡连接交换机的镜像流量端口，另一块网卡作为检测机主机网 卡连接交换机的普通流量端口 ；检测机上的网络异常检测模块运行多种不 同的异常检测算法^t块，执行本地检测算法以及^1警算法和响应算法，网 络异常检测模块种类主要包括蠕虫检测模块和拒绝服务检测模块。
连接镜像流量端口的网卡负责周期性采集镜像出来的流量，监听网络内部的数据包。
连接普通端口的网卡负责检测机和交换机之间的通信，使得检测机可
通过SNMP协议控制交换机的访问控制列表，周期性的把不同端口的流量
映射到镜像端口上，这样一方面可以防止镜Y象端口流量过大，另一方面也 可以采集到所有端口的流量。
如图2所示，所述的网络异常检测程序由内核流量采集处理模块、异 常检测算法模块、管理模块、攻击防御模块构成，执行本地检测算法以及 报警和响应算法。其中内核流量采集处理模块在内核空间运行，异常检测 算法模块、管理模块、攻击防御模块在用户空间运行。
异常检测算法模块由算法进程运行，管理模块由守护进程运行，攻击 防御模块由响应进程运行。辅助过滤进程主要负责帮助内核流量采集处理 模块完成辅助性工作。网卡驱动程序是操作系统的一部分，主要用于操作 系统和网卡的交互。
内核流量采集处理模块从网络接口处获取网络流量，并做简单的流 量分析，实时得到分析结果；
异常检测算法模块从内核流量采集处理模块处得到的分析过的连接 信息，根据各自的算法进行检测，对得到的检测结果上报管理模块；
管理模块以守护进程的形式，通过报警算法对异常^^测算法冲莫块的 检测结果进行判断决定是否发出报警；对于需要采取报警措施的检测结 果，运行响应算法，负责向管理中心报警和控制交换机的访问控制列表， 以控制响应行为；利用贝叶斯算法和熵算法做蠕虫和DDoS攻击的检测并 将攻击检测的结果转发给攻击防御模块采取应对措施；DDOS是英文 Distributed Denial of Service的缩写，意即"分布式拒绝服务",DDOS的中文
名叫分布式拒绝服务攻击，俗称洪水攻击。
攻击防御模块即响应进程收到管理模块的报警算法的结果后，通过 向检测机所连接的交换机或路由器发送SNMP的管理消息，命令设备采取 相应的措施达到防御的效果。
内核流量采集处理模块在内核空间中，采集网卡的流量数据，并作连 接分析和简单统计等前期计算，将分析的结果从内核空间提交到用户空间 的异常检测算法模块中，由异常检测算法模块做进一步的异常检测，检测 结杲上报管理模块，管理模块负责运行报警算法和响应算法，负责向管理中心报警和控制交换机的访问控制列表，以控制响应行为。
其中内核流量采集处理模块由多个子模块构成，如图2所示，自下而 上由截包模块、超时管理模块、分片处理模块、连接管理模块、事件管理 模块、统计模块以及通讯模块组成，他们的主要功能就是从网络流量中分 析连接信息和统计信息，生成特定事件，上报给异常检测算法模块，由对 应的检测算法应用模块检测网络异常。
其中截包模块从网卡驱动程序处直接荻得数据包，并将数据包发给超 时管理模块和分片处理模块。
超时模块根据到达的数据包更新对应连接的超时时钟。
分片处理模块将分片的数据包整合后同时向事件管理模块、连接管理 模块和统计模块发送。
其中连接管理模块在构造连接信息后将连接信息提供给事件管理模
块，事件管理;漠块的统计相关的部分信息汇总到统计才莫块进行统计，最后 事件管理模块和统计模块的计算结果，包括各种连接信息和各种统计信息 通过通讯模块传送给上层检测模块，同时，异常检测算法模块的回应信息 通过通讯模块传回内核流量采集处理模块。
网络异常^f企测程序执行本地检测算法以及报警和响应算法，在检测方 面，由检测机上底层多个检测模块向管理模块报告异常主机IP，管理模块 根据报警算法过滤虛假的报警信息。其原理是针对每个被检测到异常的IP 设置报警可信度，单次检测不能产生报警，而多次检测相继发生且相隔很 近，则会增加该IP的报警可信度，直到超过阈值产生报警。
一种用于内网网络攻击检测的报警与响应方法，包括
1、 报警
检测机上底层的检测模块对内网网络进行异常信息检测，获取下层模 块的异常检测信息并确定该异常检测信息的可信度，当该异常检测信息的 可信度到达预设值时发出报警信息；
2、 响应 I .隔离
根据报警信息确定产生异常检测信息的IP地址的隔离时间和隔离方 式，并对该IP地址进行隔离。 II.解除隔离对产生异常检测信息的IP地址进行的隔离时间到达预设值后，解除 隔离。
如图3所示，确定异常检测信息的可信度并发出报警信息的步骤如下
(1) 设置异常信息的检测和报警的相关参数，参数包括两次检测的 时间间隔的上限Tup-5秒和两次检测的时间间隔的下限Tbel。w=30秒，触发 报警的可信度阚值Cthre=1.0,报警可信度衰减值e—Tint;
(2) 确定每个从下层模块获取的异常检测信息的IP的地址并记录检 测时间；
若该IP第一次被检测到，则记录其被检测时间，并设其对应的报警 可信度C为0;
若该IP不是第 一次祐^r测到，则计算当前4t测时间和该IP最近一次 被检测到的时间间隔Tint,并设置该IP的被检测时间为当前检测时间；
(3 )若步骤(2 )计算得到IP的两次被检测到的时间间隔Tint大于两 次检测间隔上限Tup，则设置其报警可信度C为0;
若步骤(2)计算得到IP的两次被检测到的时间间隔Tjnt小于或等于
两次检测间隔上限Tup而大于两次检测间隔下限Tbel。w，则将其报警可信度 C减去报警可信度衰减值e-Tint，若报警可信度C为负，则将报警可信度C 重新设置为0;
若步骤(2)计算得到IP的两次被^r测到的时间间隔Tw小于或等于 两次检测间隔下限Tbel。w，则将其报警可信度C加上e-Tint;
(4 )若某IP的报警可信度C大于等于触发报警的可信度阁值Cthre, 则产生该IP的报警信息。
在响应方面，本方法采取隔离IP对应的mac和设备端口的方法，冲艮 据被检测到异常信息的IP的报警程度的严重程度来决定隔离该IP的mac 还是相应设备端口，对于单独的若干次报警则单独隔离mac，但若某端口 被隔离mac过多，则净艮警严重等级上升，需要隔离该端口；同时根据报警 的频繁程度来控制隔离时间，对获取异常检测信息的IP的mac或对应的 设备端口进行隔离有 一个对应的超时时间，隔离时间超过该超时时间则要 开力文该IP的mac或i殳备端口 。
如图4所示，根据报警信息确定对产生异常检测信息的IP地址的隔 离时间，并对该地址进行隔离的步骤如下(l)设置隔离的相关参数，隔离超时时间t的初值为T， T通常设置 为30秒，同一个网络设备端口的被隔离mac的数量阈值为N, N —般设 置为5,最长隔离时间Tp R通常为24小时；
(2 )针对报警信息，获取产生异常检测信息的IP对应的mac地址；
(3 )判断该mac是否已存在于被隔离mac列表； 若该mac已存在于被隔离mac列表，将其隔离超时时间t设置为最近 一次设置时间的两倍，若超过最长隔离时间TL，则设为最长隔离时间Ti;
若该mac不存在于净皮隔离mac列表，将该mac力o入到被隔离mac列 表里，设置其初始隔离时间t为T， T 一般为60秒；
(4 )判断该mac 对应的网络设备端口是否已经在被隔离端口列表里；
a. 若该mac对应端口已经在被隔离端口列表里，判断隔离列表中与该 mac同属于一个端口的mac地址数量是否大于或等于N;
al.若已隔离mac列表中与当前mac同端口的mac地址数量大于等于 N,则设置该端口的隔离超时时间t为最近一次设置时间的两倍，若该端 口的隔离超时时间t超过最长隔离时间TL，则设置该端口的隔离超时时间 t为最长隔离时间
a2.若已隔离mac列表中与当前mac同端口的mac地址数量小于N, 则从被隔离端口列表里删除该端口 ；
b. 若该mac对应的端口不在被隔离端口列表里，且已隔离mac列表中 与当前mac同端口的mac地址数量大于或等于N,则将该mac对应的端 口放入被隔离端口列表里，并设置隔离时间t为T。
解除隔离的步骤如下
(1)设置一个隔离事件报警时钟，该时钟以隔离初始时间T为周期 循环，每个周期后都要对被隔离mac列表和被隔离端口列表中的所有表项 进行一次超时算法计算，以去除超时的表项；
对被隔离mac列表的所有表项进行一次超时算法计算时，将其中隔离 的所有表项的隔离超时时间t均减去时间T,若存在剩余隔离超时时间小 于或等于0的表项，则从列表中去除这些表项该项；
对被隔离端口列表的所有表项进行一次超时算法计算时，若当前的被 隔离端口表项中位于该端口被屏蔽mac数量大于等于阈值N，则该隔离端 口不做处理；若当前的被隔离端口表项中位于该端口被屏蔽mac数量小于阈值N,则将该项的隔离超时时间t减去时间T，若剩余隔离超时时间小 于或等于O,则从隔离端口列表中去除该表项。
以一个具体的内网网络攻击检测为例对本发明具体实施步骤进行说明。
局域网中的网络主4几192.168.0.25感染了蠕虫病毒，开始向本地网络 展开扫描，并向局域网内的其他计算机发送感染病毒的扫描数据包。其发 送的扫描数据包在经过交换机时，被镜像到检测机连接的端口，则扫描数 据包被检测机网卡截获。
多个扫描数据包被检测机网卡截获，内核流量采集处理模块得到这些 扫描数据包后对其做初步分析，将分析结果向上传送给实现了异常检测算 法模块的算法进程1，算法进程1进一步检测发现了源地址192.168.0.25 是可疑病毒主机，但单次检测并不能肯定病毒主机，所以当疑似病毒主机 时异常检测算法模块的算法进程对其进行多次检测，对每次得到的检测结 果上报管理模块；。
管理模块以守护进程的形式，通过报警算法对异常^^测算法模块的从 源地址192.168.0.25处检测得到的检测结果进行判断，并触发了最终报警， 并将报警信息传给管理模块。
如果是自动响应，则在管理模块接到报警并经检测算法确认后直接进 行隔离，通过管理模块的响应算法确定具体的隔离方式为mac地址隔离， 得到源地址192,168.0.25，转换后得到其mac地址ee:f0:卯:6a:78:43和对应 端口号2，然后在隔离列表里加入对该mac地址的隔离，隔离时间60秒；
如果是手动响应，则管理模块将报警信息上报给管理中心，由远端管 理中心提供源地址，管理中心的操作员分析后发送隔离命令给检测机，检 测机端通过SNMP协议操作网络设备访问控制列表对源地址192.168.0.25 的mac地址ee:f0:90:6a:78:43进行隔离，设置隔离时间60秒。
权利要求
1. 一种用于内网网络攻击检测的报警和响应系统，包括管理中心用于配置、修改检测机的各项参数，并将各项配置信息存储在管理中心的数据库中；接收并存储检测机发送过来的报警信息；能够查询检测机当前的状态，包括检测机中异常检测算法模块的报警记录和攻击防御模块的响应记录，能够通过命令控制检测机的防御行为，对某台目标机采取防御措施，手工指定其响应行为；检测机负责检测与之相连的交换机所对应的子网内部以及内部和外部网络之间的流量异常；数据库由管理中心访问，用于存储检测和响应日志；检测机和交换机之间有两条物理链路，检测机对应有两块网卡，一块网卡连接交换机的镜像流量端口，另一块网卡连接交换机的普通流量端口。
2. 根据权利要求1所述的用于内网网络攻击检测的报警和响应系统， 其特征在于所述的管理中心运行在单台主机上，单台管理中心能连接多 个检测机，每台检测机和一台交换机相连，每台交换机能同时连接多台 PC机，检测机和管理中心通过专用网络进行通信。
3. 根据权利要求1所述的用于内网网络攻击检测的报警和响应系统， 其特征在于所述的检测机的连接镜像端口的网卡负责周期性采集镜像出 来的流量，监听网络内部的数据包。
4. 根据权利要求1所述的用于内网网络攻击4企测的4艮警和响应系统， 其特征在于所述的检测机的连接普通端口的网卡负责检测机和交换机之 间的通信，使检测机可通过SNMP协议控制交换机的访问控制列表，周期 性地把不同端口的流量映射到镜像端口上。
5. 根据权利要求3所述的用于内网网络攻击检测的报警和响应系统， 其特征在于所述的网络异常检测程序由内核流量采集处理模块、异常检 测算法模块、管理模块、攻击防御模块构成，执行本地检测算法以及报警 算法和响应算法。
6. 根据权利要求5所述的用于内网网络攻击4企测的报警和响应系统，其特征在于所述的报警算法指检测机异常检测算法模块获取内核流量采 集处理模块的分析信息后对内网网络进行异常信息检测，对检测出来的信 息上报管理模块，由管理模块确定该异常检测信息的可信度，当该异常检 测信息的可信度到达预设值时发出报警信息，具体步骤包括(1) 设置异常信息的检测和报警的相关参数，参数包括两次检测的 时间间隔的上限Tup=5秒和两次检测的时间间隔的下限Tbel。w=30秒，触发 报警的可信度阈值Cthre=1.0，报警可信度衰减值e-Tin;(2) 确定每个从下层模块获取的异常检测信息的IP的地址并记录检 测时间；若该IP第一次被检测到，则记录其被检测时间，并设其对应的报警 可信度C为0;若该IP不是第一次被检测到，则计算当前检测时间和该IP最近一次 被检测到的时间间隔Tint,并设置该IP的被检测时间为当前检测时间；(3 )若步骤(2 )计算得到IP的两次纟皮一全测到的时间间隔Tint大于两 次检测间隔上限Tup,则设置其报警可信度C为0;若步骤(2)计算得到IP的两次被检测到的时间间隔Tiw小于或等于 两次检测间隔上限Tup而大于两次检测间隔下限Tbel。w，则将其报警可信度 C减去报警可信度衰减值e-Tint,若报警可信度C为负，则将才艮警可信度C 重新设置为0;若步骤(2)计算得到IP的两次被检测到的时间间隔Ti加小于或等于 两次检测间隔下限Tbel。w，则将其报警可信度C加上e_Tint;(4)若某IP的报警可信度C大于等于触发报警的可信度阈值Cthre, 则产生该IP的报警信息。
7. 根据权利要求5所述的用于内网网络攻击检测的报警和响应系统， 其特征在于所述的响应算法包括隔离和解除隔离。
8. 根据权利要求7所述的用于内网网络攻击检测的报警和响应系统， 其特征在于所述的隔离指根据报警信息确定产生异常检测信息的IP地 址的隔离时间和隔离方式，并对该IP地址进行隔离，具体步骤包括(1) 设置隔离的相关参数，隔离超时时间t的初值为T,同一个网络 设备端口的被隔离mac的数量阅值为N，最长隔离时间TL;(2) 针对报警信息，获取产生异常检测信息的IP对应的mac地址；(3 )判断该mac是否已存在于被隔离mac列表； 若该mac已存在于被隔离mac列表，将其隔离超时时间t设置为最近 一次设置时间的两倍，若超过最长隔离时间TL,则设为最长隔离时间若该mac不存在于4皮隔离mac列表，将该mac力o入到净皮隔离mac列 表里，设置其初始隔离时间t为T;(4 )判断该mac对应的网络设备端口是否已经在被隔离端口列表里；a. 若该mac对应端口已经在被隔离端口列表里，判断隔离列表中与该 mac同属于一个端口的mac地址数量是否大于或等于N;al.若已隔离mac列表中与当前mac同端口的mac地址数量大于等于 N，则设置该端口的隔离超时时间t为最近一次设置时间的两倍，若该端 口的隔离超时时间t超过最长隔离时间TL,则设置该端口的隔离超时时间 t为最长隔离时间Tl;a2.若已隔离mac列表中与当前mac同端口的mac地址数量小于N， 则从被隔离端口列表里删除该端口 ；b. 若该mac对应的端口不在被隔离端口列表里，且已隔离mac列表中 与当前mac同端口的mac地址数量大于或等于N,则将该mac对应的端 口放入被隔离端口列表里，并设置隔离时间t为T。
9.根据权利要求7所述的用于内网网络攻击检测的报警和响应系统， 其特征在于所述的解除隔离指对产生异常检测信息的IP地址进行的隔 离时间到达预i殳值后解除隔离，具体步骤包括(1)设置一个隔离事件报警时钟，该时钟以隔离初始时间T为周期 循环，每个周期后都要对被隔离mac列表和被隔离端口列表中的所有表项 进行一次超时算法计算，以去除超时的表项；对被隔离mac列表的所有表项进行一次超时算法计算时，将其中隔离 的所有表项的隔离超时时间t均减去时间T，若存在剩余隔离超时时间小 于或等于0的表项，则从列表中去除这些表项该项；对被隔离端口列表的所有表项进行一次超时算法计算时，若当前的被 隔离端口表项中位于该端口被屏蔽mac数量大于等于阈值N,则该隔离端 口不做处理；若当前的被隔离端口表项中位于该端口被屏蔽mac数量小于 阈值N，则将该项的隔离超时时间t减去时间T,若剩余隔离超时时间小 于或等于0，则从隔离端口列表中去除该表项。
全文摘要
本发明公开了一种用于内网网络攻击检测的报警和响应系统，系统包括管理中心、检测机和数据库。管理中心用于配置、修改检测机的各项参数，接收并存储检测机发送过来的报警信息，查询检测机的状态。检测机的异常检测算法模块对内网网络进行异常信息检测，获取异常检测信息并确定该信息的可信度，当该异常检测信息的可信度到达预设值时发出报警信息；根据报警信息确定产生异常检测信息的IP地址的隔离时间和隔离方式，对该IP地址进行隔离；对隔离时间到达预设值的IP地址解除隔离。本发明方法可准确、及时、有效的检测和防御内网主机向外网或同内网其他主机展开的攻击。
文档编号H04L29/06GK101414927SQ20081012235
公开日2009年4月22日 申请日期2008年11月20日 优先权日2008年11月20日
发明者王勇超, 董亚波, 晔 郭, 蔚 魏, 鲁东明 申请人:浙江大学