专利名称::一种免疫网络系统的制作方法
技术领域:
:本发明属于互联网信息安全领域,尤其涉及一种免疫网络系统。
背景技术:
:信息安全问题普遍存在于社会经济、军事技术、国家安全、知识产权、商业秘密乃至个人隐私等各个方面。网络安全是计算机网络及其应用领域中一直研究的关键问题,然而传统的网络安全理论和技术存在着以下三个无法克服的缺陷。首先,集中控制的方法对于当前分布式的网络环境显得力不从心;其次,网络具有同构性,无法阻止可疑入侵者及病毒迅速广泛传播;再次,当前网络威胁日新月异,传统网络安全理论和技术的静态性和被动性已经无法适应恶劣多变的网络环境。目前,纵观国内外研究,可生存性研究主要还是处于理论研究阶段,并且在不断地吸收容错、入侵容忍、重配置能力或冗余能力来提高系统的可生存能力。但是在这些解决方案中,对攻击、异常的检测、评估以及重新配置的执行,都需要人为介入,存在不同程度的时延。针对可生存系统的自适应响应、恢复和演化能力的增强还没有涉及。就计算机病毒检测方法而言,应用最广泛的是特征代码法。该方法需要建立和维护一个病毒特征码库,具有病毒检测能力强,检测速度快,系统运行开销低以及错误检测率低等优点。但是缺点也很明显,只能对属于病毒特征码库的病毒进行检测,而无法检测未知病毒,故而查毒落后于病毒一段较长的时间。中国专利CN01140073.0公开了一种计算机病毒防御方法,包括:(1)宏病毒的防御:当模板文件关闭时,首先清除其中的宏,然后关闭;文件打开时,检查宏,文件关闭时,检查宏;模板文件打开时检查宏,模板文件关闭时,检查宏;(2)脚本病毒的防御:当系统存在脚本文件时,提示用户,由用户选择对脚本文件的隔离、保留或删除;(3)引导扇区和分区表病毒的防御:对引导扇区和分区表进行备份,当引导扇区或分区表异常时,使用上述备份恢复;(4)文件型病毒的防御:对所有可执行代码的写入进行重定位,当系统执行该可执行代码时,向用户提示,以及利用与病毒样本和特征码无关的知识库进行病毒的查询、杀除和防御。采取的是对所有的软件防御有限病毒,以及对有限的软件防御无限病毒的方案,这样既避免了传统反毒方法的升级频繁的麻烦,又使得对病毒问题的解决完成于病毒出现之前,因此使用简单、防御病毒的效果较好。但是该方法需要很大的系统开销,同时很多情况都需要用户判断,对用户的专业水平要求较高,而且所有软件的有限病毒的防御也要根据新的病毒的出现而进行人工调整。而中国专利200410022159公开了一种计算机病毒检测和识别系统及方法,其通过模拟生物免疫系统,将免疫原理用于特征代码法,并且结合了行为监测法等传统的计算机病毒检测和识别方法。通过监控计算机系统来检测和发现计算机病毒并获得病毒样本,然后在学习识别阶段通过使用变异进化以及样本文本分析来获得病毒特征码。该方法在保持特征代码法的快速性、有效性等优点的同时,弥补了它的缺陷,能够检测和识别已知病毒和未知病毒,能够对未知计算机病毒做出快速反应。但是并不能阻止病毒的传播及控制危害范围。综上所述,现有技术中强调的是计算机病毒的检测和识别,通过模拟生物免疫系统,将免疫原理用于特征代码法,并且结合行为检测法等传统的计算机病毒检测和识别方法,能够检测和识别已知病毒及未知病毒,并对未知病毒做出快速反应。但无法阻止病毒的迅速传播,及当病毒入侵后,无法及时控制危害范围,不具备自主修复还原能力。
发明内容本发明旨在解决现有技术中无法阻止病毒迅速传播及控制危害范围的问题,提供一种不仅可以检测和识别已知病毒及未知病毒,而且能有效控制病毒危害范围,同时具有自主修复能力的免疫网络系统,当系统的重要部分遭到病毒损害或摧毁时,系统依然能够完成任务,并能及时修复被损坏的服务。本发明目的是这样实现的:一种免疫网络系统,包括:用于分析及提取扫描特征并阻止外网扫描的透明防火墙,所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡,所述入口网卡与出口网卡之间形成网桥,实现内外网透明通信,在所述控制网卡上配置IP地址,用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录;用于监控进入网内流量及根据异常流量提取攻击指纹特征并存储至免疫特征库的智能巡检装置,所述智能巡检装置包括巡逻监控单元和免疫隔离单元,所述巡逻监控单元用于审计并监测进入网内流量,提出异常流量处理建议,并对其进行引导重定向至免疫隔离单元,所述免疫隔离单元利用模拟服务与产生异常流量的主机通信,提取攻击指纹特征,充实免疫特征库;应急装置,所述应急装置为所述智能巡检装置检测到的受损内网节点提供应急通道,并在用户工作完成后提示用户将所述受损节点还原至未受攻击之前的安全状态,所述应急装置包括应急单元和还原单元,所述应急单元用于提示被攻陷主机的用户,将工作环境迁至应急通道继续工作,不必中断工作处理安全问题,所述还原单元用于待用户完成工作离开计算机时,提示用户存在安全隐患并给出精确的还原时间建议,帮助用户选择将计算机恢复至入侵之前的安全状态。进一步的,所述巡逻监控单元具体包括:免疫特征匹配模块,计算被监控主机通信数据包的免疫特征指纹,与免疫特征库内记录比对;端口审计模块,选取通信连接中和服务相关的要素进行综合分析,为维护和研究提供详实报告;流量统计模块,利用原始数据包报文头部信息进行流量统计,以主机对外的每一个连接为单位进行流量统计,通过提取通信双方IP和端口号特征信息参与哈希函数运算,用步长倍增的算法解决哈希冲突,并用包头中的报文长度字段值更新所属连接的累计流量;流量异常评估模块,建立多态响应流量异常评估模型,选取网络攻击发生时具有特征的参数进行量化考察,对不同程度威胁给出不同响应和处理建议。进一步的,所述和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。进一步的,所述免疫隔离单元具体包括:虚拟应答模块,通过给出虚拟应答并提供相应的虚拟服务,使敌手继续攻击以获得攻击流量;模拟服务模块,通过执行模拟服务脚本,与流量被重定向至免疫隔离单元的主机进行交互,模拟正常服务的交互过程,欺骗威胁主机继续攻击;攻击备案模块,记录隔离免疫单元与具有威胁主机之间的通信信息并写入数据库,所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息;智能提取模块,若认定到达免疫隔离单元的流量是危险流量时,系统智能提取攻击指纹特征并将所述特征存入免疫特征库。采用了上述技术方案,本发明的有益效果为:通过分析人体免疫系统的工作机制,提出了多层次、全方位的网络免疫防线。第一道防线是透明防火墙,通过分析现有扫描技术,提出了普适性的防御算法,使防火墙起到网络皮肤的作用。第二道防线为智能巡检中心,它起到吞噬细胞的作用,针对进入网络内部的攻击采用内网巡逻、内网端口审计、主机流量异常评估等技术,实现识别威胁主机并将其免疫隔离。其分析结果将被用于更新免疫库,变未知攻击为已知攻击,不断提升系统的免疫力。第三道防线为应急中心,保证内网主机在被入侵状态下仍能享受安全可靠的网络服务;同时在主机空闲的情况下将其还原到未受攻击之前,恢复被入侵主机的生命力。通过对网络流量进行监测与审计,维护网络良好状态,通过对未知入侵行为的分析及记忆,提高网络免疫能力,在入侵后能有效控制危害范围,保证网络畅通和服务的正常提供,从而使本发明具有自我防护、自我进化、自我复原的特性,可以有效抵御网络内外入侵。图1是本发明实施例免疫网络系统的结构示意图;图2本发明实施例透明防火墙的结构示意图;图3是本发明实施例透明防火墙的工作流程示意图;图4是本发明实施例检测扫描的特征规则示意图;图5是本发明实施例智能巡检装置的结构示意图;图6是本发明实施例应急通道的工作示意图。具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。如图1所示,一种免疫网络系统,包括:透明防火墙、智能巡检装置和应急装置,以下是对各部分详细的说明:如图2所示,透明防火墙部分,是本发明的第一道防线:它用于分析及提取扫描特征并阻止外网扫描,包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡,所述入口网卡与出口网卡之间形成网桥,实现内外网透明通信,在所述控制网卡上配置IP地址,用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录。本实施例中,防火墙采用Linux系统,使用Iptables和Ebtables进行过滤数据包。上面所说的内外网透明通信,主要是透明防火墙工作在受到保护的网络内部和其余外部网络之间,是内部和外部信息交流必须通过的网桥,设置为无IP的状态,因此内部和外部网络都不会在网络拓扑中发现防火墙的存在,有效保障了自身的安全,实现对内外网络“透明”的特性。当网桥收到一个数据帧后,首先将它传送到数据链路层进行差错校验,然后再送至物理层,通过物理层传输机制再传送到另一个子网上,在转发帧之前,网桥解析它收发的数据,读取目标地址信息(MAC),并决定是否向所连接网络的其他网段转发数据包。为了能够决策向哪个网段发送数据包,网桥学习接收到数据包的源MAC地址,在本地建立一个以MAC和端口为记录项的信息数据库。透明防火墙网桥模式实现如下:brctladdbrxdbridge/*建立网桥,命名为xdbridge*/brctladdifxdbridgeethO/*绑定ethO为br_192网桥的一个端口*/brctladdifxdbridgeethl/*绑定ethl为br_192网桥的一个端口*/ifconfigethO0.0.0.0/*ethO作为网桥的一个端口,已不需要IP*/ifconfigethl0.0.0.0/*ethl作为网桥的一个端口,已不需要IP*/ifconfigethOpromiseupI*网桥端口需要接收转发所有数据,因此开启混杂模式*/ifconfigethlpromiseup/*网桥端口需要接收转发所有数据,因此开启混杂模式*/ifconfigxdbridgeup/*开启网桥*/采用网桥模式的透明防火墙具有如下优点:(I)有较高的处理效率网桥模式属于数据链路层,它在做数据包分析时,不用像网关模式工作在IP层,不需要做路由的选择,这样就大大的节省的处理的时间。也不用像代理模式需要重新封装包头,把数据包从应用层送到数据链路层通过网卡传送出去。因此网桥模式在工作效率上远在代理模式和网关模式之上。(2)网络拓扑透明网桥模式的流量审计系统主机无需分配任何IP地址,真正的做到了对于现有网络拓扑结构的透明性。由于系统的介入不改变目前的网络拓扑结构,所以对于网络管理人员的路由分析不会有任何影响。此外网桥模式把防火墙本身完全隐藏起来,使其成为攻击者攻击的一个盲点,从未保证了自身安全和服务的正常提供。·(3)网络服务透明网桥只完成数据链路层的数据包转发工作,用户的远程网络请求仍旧由客户机独立完成,取消了用户设置代理地址的繁琐操作。在点对点服务日益增多的今天,网桥模式的防火墙真正的实现了用户和网络服务之间传递的透明性。本实施例中,透明防火墙通过分析现有扫描攻击的共性特征,提出普适性的防御算法,从而将大部分的网络攻击拒之门外。实现中采用Libpcap库抓包,检测数据流中是否有扫描特征,对于被发现的扫描者,记录此次扫描行为发生的时间,IP地址,扫描类型等信息到Web管理数据库中,同时用Netfilter框架进行威胁数据包的过滤,如图3所示,具体步骤如下:(I)抓包:使用Libpcap开发包进行旁路抓包。(2)提取扫描特征:在ethernet_protocol_callback()函数中进行扫描特征的监测。检测扫描的特征规则如图4所示,程序在识别扫描过程中维护两个表:C0mmunicate_Link表:跟踪内外网间通信连接流程;Blacklist表:记录扫描主机信息。这里分别进行说明:communication_link表:记录所有内外网间通信连接。跟踪信息(src_ip,dst_ip,src_port,dst_port,protocol,link_status);其中三次握手表示一次通信的开始,四次挥手表示一次通信的结束。若突发状态不正常的连接,比如突发FIN包、ACK包,便将此次通信源主机信息计入黑名单Blacklist表;若发现FLAGS字段异常的数据包,如XMAS(FINIPSH|URG),FIN|SYN|PSH|URG,SYN|ECN|CffR,同样将此次通信计入缓冲黑名单Blacklist表;Blacklist表:记录可疑的扫描主机信息。跟踪疑似扫描主机发送的扫描包的频率,若大于阀值(5个包每秒);则将四元组,扫描时间,扫描地址,扫描类型,有效状态(scan_time,ip_addr,scan_type,valid_status)记入Web管理主机数据库,供Web图形化界面友好显示。其中valid_status参数设为enable,表示从当前时间点开始对扫描主机数据包进行过滤。(3)对于黑名单中的主机,将其写入Netfilter框架的Etable模块过滤规则,自此后24小时中,此扫描主机不能与内网进行通信。在一小时后将四元组(scan_time,ip_addr,scan_type,valid_status)再次记入Web主机,通知网络管理员此刻开始允许这台主机进行通信,其中valid_status参数设为disable。在一天之内若该台主机再次进行扫描行为,也不予理会。如图5所示,智能巡检装置部分,是本发明的第二道防线:它用于监控进入网内流量及根据异常流量提取攻击指纹特征并存储至免疫特征库,包括巡逻监控单元和免疫隔离单元,所述巡逻监控单元用于审计并监测进入网内流量,提出异常流量处理建议,并对其进行引导重定向至免疫隔离单元,所述免疫隔离单元利用模拟服务与产生异常流量的主机通信,提取攻击指纹特征,充实免疫特征库。以下是对巡逻监控单元部分详细的说明:巡逻监控单元具体包括:免疫特征匹配模块、端口审计模块、流量统计模块和流量异常评估模块。其中,免疫特征匹配模块,计算被监控主机通信数据包的免疫特征指纹,与免疫特征库内记录比对;若有指纹一致的项目则再将当前数据包与免疫特征库记录的数据包逐字节对比,若报文内容完全相符则认为当前数据包属于攻击数据包,则当前巡逻主机被认定为存在威胁,将提示用户连接到应急通道。其中,端口审计模块,选取通信连接中和服务相关的要素进行综合分析,为维护和研究提供详实报告;为了防止端口服务私自变更,在信任管理的机制上系统制定了端口使用规范,应用软件以及版本使用规范。巡逻期间分析线程通过对数据包的深度检测,获取主机通信所使用的端口号和协议特征,关注新启用的端口和服务,统计线程负责统计一个观测时段内IP地址、开放端口、端口所提供服务、所使用应用软件和版本号信息五要素的变更情况,并在数据库中形成记录,为管理员提供信息。五要素分别是:IP、Port、Service、Product以及Version,用来描述该主机IP地址、开放端口、端口所提供服务、所使用应用软件和版本号信息,比如把连接一方的信息127.0.0.1:80:http:apache:2.2.17作为审核名单的一条记录。其中,流量统计模块,利用原始数据包报文头部信息进行流量统计,以主机对外的每一个连接为单位进行流量统计,通过提取通信双方IP和端口号特征信息参与哈希函数运算,用步长倍增的算法解决哈希冲突,并用包头中的报文长度字段值更新所属连接的累计流量;统计线程在到达时钟中断后统计这一时钟内的主机流量,在可靠的端口审计工作的基础之上,将流量按上行/下载和应用层协议两种方式分类流量并写入数据库,并将分析线程初始化。其中,流量异常评估模块,建立多态响应流量异常评估模型,选取网络攻击发生时具有特征的参数进行量化考察,对不同程度威胁给出不同响应和处理建议。根据网络攻击发生时流量行为特征的变化程度使用五个参数:TCP工作权重、SA/S、L3D/L4D、L4D/L3D、L4S/src,构建五元流量异常评估模型,用来描述一个结点主机的健康状况。威胁网络安全的行为将触发免疫规则。Wight(TCP工作权重):TCPworkweight=(SS+FS+RR)/TP其中各个变量的意义如下:SS是采样期间计算机发送的仅带有SYN标识报文的总数。FS是采样期间计算机发送的带有FIN标识报文的总数。RR是采样期间返回到计算机的带有TCPRESET标识报文的总数。TP是采样期间计算机收发TCP报文的总数。TCP工作权重简写为weight,是一个O100%变化的百分比。工作权重是衡量控制包与数据包的比率,值通常偏低。值比较高表明主机正在发送大量控制包,这通常是一个正在进行扫描或DOS攻击的主机。如果值是100%意味着主机仅发送控制包。SA/S:SA表示采样期间主机发送的带有SYN+ACK标识位报文的数量。S表示采样期间主机发送和接收的带有SYN标识位报文的数量。权值在O100%之间变化,比值较高或100%意味着主机可能是一个服务器,而O暗示主机是一个客户端,通常采用P2P的主机SA/S的值在O100%之间。一个僵尸客户端能是0,而网页服务器的值一般比较高。L3D/L4D和L4D/L3D:L3D表示采样期间第三层目的IP地址的数量。L4D表示采样期间第四层目的端口号的数量。L3D值较大表不主机尝试与许多主机建立通信(包括进行攻击)。L4D值较大表示主机与一台或多台主机的许多端口通信。扫描器有时试图与很多IP主机进行通信来寻找具有开放目的端口的主机,这种情况下L3D/L4D值会相当高。或者有时也会与一个IP主机通信,遍历它所有端口来寻找开放端口,这种情况下L3D值为1,L4D值会很大。一个典型的僵尸网络客户端的攻击种类有限,因此它会扫描很多IP主机,但只是在几个端口上进行,因为它的攻击手段优先只能针对某些端口,比如经典的目的端口139和445的攻击。L4S/SRC:L4S表示采样期间第四层源端口的数量。SRC表不第一个米样的源端口数量。L4S/src这个值表示L4TCP源端口信息。对于L4S,系统只给出源端口的数量(I10,10意味着很多),SRC区域仅给出第一个采样的源端口数量。目的是提供源端口的一点线索。10表示系统是多线程的且打开了多个端口发送数据包,这是典型的网页客户端,P2P客户端或者某些恶意软件开启多线程进行扫描。上述五个参数进行归一化处理后使用评估模型进行流量异常评估,生成威胁估值放射图谱。图谱中五项指标越高表示当前对象具有的威胁程度越高,高指标的项越多、关系越紧密则所围成五边形面积会越大,因此该图谱的面积具象地描述了当前巡逻对象的威胁程度,且不同的产生威胁的行为将形成自己的特征图谱,便于管理员准确识别和做出相应处理。为了定量描述主机存在威胁的程度,建立了基于模糊综合评价方法的多态响应的威胁评估模型:a)确定隶属函数设U为包含所有评判因子在内的因素集合,将U中因素按照某一标准进行分组,一般将性质相近因素分在一组,设U中因素分为η组,S卩U={U1;U2,U3...Un,}.其中,U=Ui^Uj;i^j时,=0。对于每个U,有Ui={Ui0,UilUi2...Uin},其中表示第i组因素集合所包含的单因素个数。威胁因子的隶属度函数定义如下:U1=TCP控制权重(work),U2=SA/S,U3=L3D/L4D,U4=L4D/L3D,U5=L4S/srcob)建立关系模糊矩阵对各单项指标评估因子)分别进行评价。可取U为各单项指标的集合,则评判因素集选定为U={work,SA/S,L3D/L4D,L4D/L3D},取V为风险级别的集合,针对我们的评估系统,则V={低,较低,中,较高,高}。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,取巡逻到主机连续5秒的一组实测值,就可以分别求出属于各个风险登记的隶属度,组成一个5*5的模糊矩阵记为关系模糊矩阵R。c)权重模糊矩阵设V=(V1,V2,V3...VJ为评判集合,它对任一因素的评判都适用,Ai={&1,a2,a3...aj为U中各个因素相对V的权重系数,且满足an+ai2+ai3+"+ain=I根据Ui相对于V的权重系统集合,且满足ai+a2+a3+...+am=I,Bi根据U中各个因素的重要程度分配,本发明在大量实验基础上,确定A={0.5,0.2,0.1,0.1,0.1}。d)模糊综合评价算法根据单因素评判矩阵Ri利用复合运算即可求得对子因素集Ui的综合评判结果:Bi=AiXRi(ba,bb,bc...bm,)Bil=Σ(aikXrki),I^j^m进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。模糊综合评价模型为:Y=BXR,其中Y是一个IX5的矩阵,为模糊综合评估结果:Y=(yi,y2,y3,y4,y5),代表最后的综合评估结果隶属于第i个风险级别的程度。最后得到一个模糊评估形式的结果,当然也可以对这个结果进行量化,据实际经验确定E=Y.A'为最终的数值结果。e)多态处理算法分析线程分别统计模型基础数据:被监控主机发送的带有SYN、ACK、FIN的TCP报文,收发的TCP报文总数,发送报文的目标IP地址和端口信息,源端口信息。统计线程在时钟中断来临时统计上述信息,得到可视化流量异常检测图,并利用上述模型得出的处理结果进行归一化处理,用归一化结果E来表不主机威胁程度。对于O<E<0.35的情况认为主机网络活动不活跃,因此威胁程度很低;对于0.35<E<0.5,模型认为主机的网络活动比较活跃,但威胁程度较低;对于0.5<E<0.8,模型认为主机网络活动非常活跃,但未产生具有安全威胁的行为;对于0.8<E<0.95,认为该主机网络活动频繁,具有中等威胁,将写入日志报备管理员;对于0.95<E<I的情况认为主机具有高度威胁,此时将威胁主机流量利用ARP重定向至隔离免疫区,并弹出对话框提示管理员把该主机连接到紧急通道。以下是对免疫隔离单元部分详细的说明:免疫隔离单元具体包括:虚拟应答模块、模拟服务模块、攻击备案模块和智能提取模块。其中,虚拟应答模块,通过给出虚拟应答并提供相应的虚拟服务,使敌手继续攻击以获得攻击流量;当免疫隔离区程序的监听线程检测到有ARP请求时,隔离程序检查存活主机列表,如果发现是对未存活主机的ARP请求,则伪装成目的主机给出虚假应答。攻击主机发送给不存活主机的数据都会发送给本机(即免疫隔离区,下文不再赘述)。免疫隔离区的监听线程会对接收到的数据包进行分析并根据事先设置好的应答规则对其进行应答,并对攻击主机发送的数据包进行特征提取,存入特征数据库。其中,模拟服务模块,通过执行模拟服务脚本,与流量被重定向至免疫隔离单元的主机进行交互,模拟正常服务的交互过程,欺骗威胁主机继续攻击;对于引导至免疫隔离区的流量进行处理,捕获应答程序将端口收到的报文转给相应的模拟服务脚本处理,而不提供真正的服务。比如威胁主机给给本机80端口一个带有SYN请求的TCP报文,模拟服务脚本正确解析报文后会根据判断给威胁主机返回一个带有SYN+ACK标志位的TCP报文,在收到一个ACK报文后完成三次握手,与威胁主机建立连接。模拟服务脚本允许发回特定报文,也可以将收到的包转发给其他地址。转发功能允许我们做一些有意思的事,例如对于威胁主机向本机发送的建立SSH请求,脚本可将其交换源地址和目的地址后转发回威胁主机,并将返回的报文交换源地址和目的地址后作为自己的应答回复给威胁主机。其中,攻击备案模块,记录隔离免疫单元与具有威胁主机之间的通信信息并写入数据库,所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息;捕获应答程序监听威胁主机与免疫隔离区发生的所有通信,并作为通信双方信息进行备份。程序选取通信时间、通信双方的IP和端口信息,攻击者操作系统指纹等信息形成一条记录,作为对通信进行描述存入数据库,为管理员提供调查和取证的信息。其中,智能提取模块,若认定到达免疫隔离单元的流量是危险流量时,系统智能提取攻击指纹特征并将所述特征存入免疫特征库。捕获应答程序捕获到所有发送到隔离免疫区的数据包,抛弃通信双方信息,转向关注带有攻击行为的报文内容。智能提取报文内容将数据段作为攻击特征提取,并以64位为个单位、报文尾部不足64位用O补足,以按位异或的方式计算HASH值,作为攻击特征指纹。将报文协议、攻击特征指纹、原始报文内容数据段作为一条记录加入免疫库,达到自主学习、记忆的能力,从而使系统免疫力不断增强。应急装置,是本发明的第三道防线:它为所述智能巡检装置检测到的受损内网节点提供应急通道,使受损内网节点在被攻陷状态下仍能享受网络服务,保证其正常工作,并在用户工作完成后提示用户将所述受损节点还原至未受攻击之前的安全状态,应急装置包括应急单元和还原单元。其中,应急单元用于提示被攻陷主机的用户,将工作环境迁至应急通道继续工作,不必中断工作处理安全问题。使用紧急通道时除通道进程以外的所有进程均无法访问网络,从而制止攻击行为,保护网络整体的安全。如图6为应急通道的工作示意图,远程桌面协议基于T-120系列协议标准的扩展。多声道能够协议允许单独的虚拟信道,用于在携带的演示文稿数据、串行设备的通讯、授权信息和高加密的数据(键盘,鼠标活动)。因为RDP是核心T.Share协议的扩展,多个其他功能将保留在RDP如体系结构支持多点(多方会话)所需的功能的一部分。多点数据传递允许从传送中“实时”到多方而不必将相同的数据发送到每个会话(例如,虚拟白板)的应用程序。VRDP是对远程桌面协议(RDP)的兼容扩展。但键盘和鼠标事件发送到远程虚拟机的同时,图形和音频也从远程机器上发送到客户端。可以使用任何一种标准的远程桌面软件连接远程虚拟机。实施例利用开源虚拟机VirtualBox提供的VRDP服务功能为存在威胁而仍然需要工作的终端提供安全的应急通道功能。应急通道服务器首先开启一台虚拟机,然后向需要使用应急通道服务的终端发送一个带有控制指令的加密数据包,应急通道客户端收到这个数据包并确认其来源之后使用其自带的使用RDP协议的连接工具根据先前收到的数据包中提供的服务端口连接应急通道服务器。应急通道客户端由Delphi采用VCL表单技术编写完成,能够自动加载自隔离模块驱动程序,并能对来自服务器的信息做出正确的反应。客户端能够自动生成守护进程,防止被攻击者非法关闭。其中,还原单元用于待用户完成工作离开计算机时,提示用户存在安全隐患并给出精确的还原时间建议,帮助用户选择将计算机恢复至入侵之前的安全状态。由于Windows下的C:\WIND0WS文件夹为系统文件夹,其中包含Windows操作系统的所有配置信息、硬件驱动程序等重要文件,所以免疫网络系统将重点监视主机的C:\WINDOWS文件夹。当免疫网络系统客户端启动后,客户端将会自动记录系统C:\WIND0WS文件夹的被修改情况。并将更改日期、更改时间、修改方式、被修改文件名等信息计入客户端日志“recover_avenue.log”,其中应用Windows函数ReadDirectoryChangesWO对系统文件加下进行新建文件、删除文件、修改文件、重命名文件五种修改文件方式的监控。若客户端系统被攻陷,则用户可以在还原通道日志的帮助下还原到系统正常工作的时刻。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。权利要求1.一种免疫网络系统,包括:用于分析及提取扫描特征并阻止外网扫描的透明防火墙,所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡,所述入口网卡与出口网卡之间形成网桥,实现内外网透明通信,在所述控制网卡上配置IP地址,用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录;其特征在于,所述系统还包括:用于监控进入网内流量及根据异常流量提取攻击指纹特征并存储至免疫特征库的智能巡检装置,所述智能巡检装置包括巡逻监控单元和免疫隔离单元,所述巡逻监控单元用于审计并监测进入网内流量,提出异常流量处理建议,并对其进行引导重定向至免疫隔离单元,所述免疫隔离单元利用模拟服务与产生异常流量的主机通信,提取攻击指纹特征,充实免疫特征库;应急装置,所述应急装置为所述智能巡检装置检测到的受损内网节点提供应急通道,并在用户工作完成后提示用户将所述受损节点还原至未受攻击之前的安全状态,所述应急装置包括应急单元和还原单元,所述应急单元用于提示被攻陷主机的用户,将工作环境迁至应急通道继续工作,不必中断工作处理安全问题,所述还原单元用于待用户完成工作离开计算机时,提示用户存在安全隐患并给出精确的还原时间建议,帮助用户选择将计算机恢复至入侵之前的安全状态。2.如权利要求1所述的一种免疫网络系统,其特征在于,所述巡逻监控单元具体包括:免疫特征匹配模块,计算被监控主机通信数据包的免疫特征指纹,与免疫特征库内记录比对;端口审计模块,选取通信连接中和服务相关的要素进行综合分析,为维护和研究提供详实报告;流量统计模块,利用原始数据包报文头部信息进行流量统计,以主机对外的每一个连接为单位进行流量统计,通过提取通信双方IP和端口号特征信息参与哈希函数运算,用步长倍增的算法解决哈希冲突,并用包头中的报文长度字段值更新所属连接的累计流量;流量异常评估模块,建立多态响应流量异常评估模型,选取网络攻击发生时具有特征的参数进行量化考察,对不同程度威胁给出不同响应和处理建议。3.如权利要求2所述的一种免疫网络系统,其特征在于,所述和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。4.如权利要求1所述的一种免疫网络系统,其特征在于,所述免疫隔离单元具体包括:虚拟应答模块,通过给出虚拟应答并提供相应的虚拟服务,使敌手继续攻击以获得攻击流量;模拟服务模块,通过执行模拟服务脚本,与流量被重定向至免疫隔离单元的主机进行交互,模拟正常服务的交互过程,使威胁主机继续攻击;攻击备案模块,记录隔离免疫单元与具有威胁主机之间的通信信息并写入数据库,所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息;智能提取模块,若认定到达免疫隔离单元的流量是危险流量时,系统智能提取攻击指纹特征并将所述特征存入免疫特征库。全文摘要本发明适用于互联网信息安全领域,提供了一种免疫网络系统,所述系统包括透明防火墙,用于分析及提取扫描特征,阻止外网扫描;智能巡检装置,用于监控进入网内流量,根据异常流量提取攻击指纹特征并存储至免疫特征库;以及应急装置,为所述智能巡检装置检测到的受损内网节点提供应急通道,并在用户工作完成后提示用户将所述受损节点还原至未受攻击之前的安全状态。本发明通过对网络流量进行监测与审计,维护网络良好状态,通过对未知入侵行为的分析及记忆,提高网络免疫能力,在入侵后能有效控制危害范围,保证网络畅通和服务的正常提供,该系统具备自主修复还原能力,全面维护网络的运营稳定。文档编号H04L29/06GK103227798SQ20131016714公开日2013年7月31日申请日期2013年4月23日优先权日2013年4月23日发明者胡建伟,崔艳鹏申请人:西安电子科技大学