计算机网络防御决策系统的制作方法

计算机网络防御决策系统的制作方法
【专利摘要】本发明公开了一种计算机网络防御决策系统，包括透明防火墙，定时巡检模块，病毒隔离模块，病毒特征匹配模块，端口审计模块，流量统计模块，网络异常评估模块，防御决策生成模块，防御决策执行模块，应急通道模块，还原模块，数据隔离上传模块。本发明实现了对网络流量的实时监测与审计，维护了网络的良好状态；通过对未知入侵行为的分析及记忆，提高网络免疫能力；在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供，同时可以根据不同的网络攻击自动生成和执行不同的防御决策方案，提高了系统的自主修复还原能力，维护了网络的稳定运营，同时具备数据保护能力，也避免了由于使用者不在电脑前而导致信息丢失的情况的发生。
【专利说明】
计算机网络防御决策系统
技术领域
[0001]本发明涉及计算机网络领域，具体涉及一种计算机网络防御决策系统。
【背景技术】
[0002]随着计算机技术和网络的快速发展，使得计算机已经成为人们在工作、学习和生活中不可缺少的工具。同样，计算机网络的发展，也带来了用户计算机信息的安全隐患，网络信息窃取、信息攻击、病毒传播等都无时无刻地存在和发生。
[0003]计算机网络防御是指在计算机网络及其信息系统内，采取的一系列防护(Protect)、监视(Monitor)、分析(Analyze)、检测(Detect)和响应(Respond)未经授权活动的行为。随着网络攻击手段的多样化，在瞬息多变的网络环境中，对计算机网络防御提出了更大的挑战。为了保障大规模的计算机网络及其应用系统的安全，需要在网络上自动决策和部署各种防御方案来应对复杂的网络攻击。

【发明内容】

[0004]为解决上述问题，本发明提供了一种计算机网络防御决策系统，实现了对网络流量的实时监测与审计，维护了网络的良好状态;通过对未知入侵行为的分析及记忆，提高网络免疫能力;在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供，同时可以根据不同的网络攻击自动生成和执行不同的防御决策方案，提高了系统的自主修复还原能力，维护了网络的稳定运营。
[0005]为实现上述目的，本发明采取的技术方案为:
[0006]计算机网络防御决策系统，包括
[0007]透明防火墙，用于分析及提取扫描特征并阻止外网扫描；
[0008]定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒隔离模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到主机显示屏和网络异常评估模块；
[0009]病毒隔离模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；
[0010]病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到主机显示屏进行显示；
[0011 ]端口审计模块，用于选取通信连接中和服务相关的要素进行综合分析，为维护和研究提供详实报告；
[0012]流量统计模块，利用原始数据包报文头部信息进行流量统计，以主机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；
[0013]网络异常评估模块，用于通过建立的多态响应网络异常评估模型进行网络异常情况的评估，并将评估结果发送到防御决策生成模块、数据隔离上传模块；
[0014]防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至显示屏；
[0015]防御决策执行模块，用于执行防御决策生成模块所生成的防御决策；
[0016]应急通道模块，用于提示被攻陷主机的用户，将工作环境迀至应急通道继续工作，不必中断工作处理安全问题；
[0017]还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并根据用户选择将计算机恢复至入侵之前的安全状态；
[0018]数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传，并清除计算机中的数据。
[0019]其中，所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡，入口网卡与出口网卡之间形成网桥，实现内外网透明通信，在控制网卡上配置IP地址，用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录。
[0020]其中，所述还包括一病毒特征库，用于储存各种病毒的特殊数据，连接有一更新模块，用于定时更新病毒特征库中的数据。
[0021 ]其中，所述病毒隔离模块包括
[0022]虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；
[0023]模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；
[0024]攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；
[0025]数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。
[0026]其中，所述防御决策信息数据库连接有一更新模块，用于实时更新防御决策信息数据库内的数据。
[0027]其中，所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件，任务操作包括操作对象、任务动作及执行参数，通过调用网络防御决策信息库内态势信息和转换规则，实现目标转换、期望及手段转换。
[0028]其中，和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。
[0029]其中，所述数据隔离上传模块在应急通道模块内将数据打包上传至预设的邮箱地址，邮箱地址不可变更。
[0030]其中，所述定时巡检模块内设有
[0031]图形绘制模块，用于根据实时监测到的进入网内流量绘制得出的各种曲线图；
[0032]回归计算模块，用于通过不同函数对所绘制的数据曲线进行回归计算；
[0033]预测分析模块，用于根据与原实测曲线的对比分析，进行预测，判断网络的稳定性和安全性。
[0034]本发明具有以下有益效果:
[0035]实现了对网络流量的实时监测与审计，维护了网络的良好状态;通过对未知入侵行为的分析及记忆，提高网络免疫能力;在入侵后能有效控制危害范围，保证网络畅通和服务的正常提供，同时可以根据不同的网络攻击自动生成和执行不同的防御决策方案，提高了系统的自主修复还原能力，维护了网络的稳定运营，同时具备数据保护能力，也避免了由于使用者不在电脑前而导致信息丢失的情况的发生。
【附图说明】
[0036]图1为本发明实施例一种计算机网络防御决策系统的结构示意图。
【具体实施方式】
[0037]为了使本发明的目的及优点更加清楚明白，以下结合实施例对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0038]如图1所示，本发明实施例提供了计算机网络防御决策系统，包括
[0039]透明防火墙，用于分析及提取扫描特征并阻止外网扫描；
[0040]定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒隔离模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到主机显示屏和网络异常评估模块；
[0041 ]病毒隔离模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库；
[0042]病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到主机显示屏进行显示；
[0043]端口审计模块，用于选取通信连接中和服务相关的要素进行综合分析，为维护和研究提供详实报告；
[0044]流量统计模块，利用原始数据包报文头部信息进行流量统计，以主机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；
[0045]网络异常评估模块，用于通过建立的多态响应网络异常评估模型进行网络异常情况的评估，并将评估结果发送到防御决策生成模块、数据隔离上传模块；
[0046]防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至显示屏；
[0047]防御决策执行模块，用于执行防御决策生成模块所生成的防御决策；
[0048]应急通道模块，用于提示被攻陷主机的用户，将工作环境迀至应急通道继续工作，不必中断工作处理安全问题；
[0049]还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并根据用户选择将计算机恢复至入侵之前的安全状态；
[0050]数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传，并清除计算机中的数据。
[0051]所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡，入口网卡与出口网卡之间形成网桥，实现内外网透明通信，在控制网卡上配置IP地址，用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web月艮务器进行日志记录。
[0052]实施例中，透明防火墙通过分析现有扫描攻击的共性特征，提出普适性的防御算法，从而将大部分的网络攻击拒之门外。实现中采用Libpcap库抓包，检测数据流中是否有扫描特征，对于被发现的扫描者，记录此次扫描行为发生的时间，IP地址，扫描类型等信息至IjWeb管理数据库中，同时用Netf i I ter框架进行威胁数据包的过滤。
[0053]所述还包括一病毒特征库，用于储存各种病毒的特殊数据，连接有一更新模块，用于定时更新病毒特征库中的数据。
[0054]其中，所述病毒隔离模块包括
[0055]虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；
[0056]模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；
[0057]攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；
[0058]数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。
[0059]所述防御决策信息数据库连接有一更新模块，用于实时更新防御决策信息数据库内的数据。
[0060]所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件，任务操作包括操作对象、任务动作及执行参数，通过调用网络防御决策信息库内态势信息和转换规则，实现目标转换、期望及手段转换。
[0061]和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。
[0062]所述数据隔离上传模块在应急通道模块内将数据打包上传至预设的邮箱地址，邮箱地址不可变更。
[0063]所述定时巡检模块内设有
[0064]图形绘制模块，用于根据实时监测到的进入网内流量绘制得出各种曲线图；
[0065]回归计算模块，用于通过不同函数对所绘制的数据曲线进行回归计算；
[0066]预测分析模块，用于根据与原实测曲线的对比分析，进行预测，判断网络的稳定性和安全性。
[0067]所述图形绘制模块根据输入的监测数据，生成随时间、空间变化的时间效应曲线和空间效应曲线，所述时间效应曲线显示了各监测点的原始数据或转移数据随时间的变化情况，所述空间效应曲线突出了同一时间不同测点的监测结果随计算机不同盘的变化规律。
[0068]以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.计算机网络防御决策系统，其特征在于，包括 透明防火墙，用于分析及提取扫描特征并阻止外网扫描； 定时巡检模块，用于定时审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至病毒隔离模块，同时根据实时监测到的数据进行网络健康状况的评判，并将评判结果发送到主机显示屏和网络异常评估模块； 病毒隔离模块，用于利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实病毒特征库； 病毒特征匹配模块，用于计算被监控主机通信数据包的病毒特征指纹，与病毒特征库内的病毒特征比对，并将对比结果发送到主机显示屏进行显示； 端口审计模块，用于选取通信连接中和服务相关的要素进行综合分析，为维护和研究提供详实报告； 流量统计模块，利用原始数据包报文头部信息进行流量统计，以主机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量； 网络异常评估模块，用于通过建立的多态响应网络异常评估模型进行网络异常情况的评估，并将评估结果发送到防御决策生成模块、数据隔离上传模块； 防御决策生成模块，用于接收网络异常评估模块所发送的评估数据，并选取网络攻击发生时具有特征的参数与防御决策信息数据库内的数据进行相似度对比后，输出相应的防御决策至显示屏； 防御决策执行模块，用于执行防御决策生成模块所生成的防御决策； 应急通道模块，用于提示被攻陷主机的用户，将工作环境迀至应急通道继续工作，不必中断工作处理安全问题； 还原模块，用于待用户完成工作离开计算机时，通过短信息编辑模块发送给用户的指定手机，从而提示用户存在安全隐患并给出精确的还原时间建议，并根据用户选择将计算机恢复至入侵之前的安全状态； 数据隔离上传模块，用于根据网络异常评估模块得出的评估结果，将数据进行打包上传，并清除计算机中的数据。2.根据权利要求1所述的计算机网络防御决策系统，其特征在于，所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡，入口网卡与出口网卡之间形成网桥，实现内外网透明通信，在控制网卡上配置IP地址，用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录。3.根据权利要求1所述的计算机网络防御决策系统，其特征在于，所述还包括一病毒特征库，用于储存各种病毒的特殊数据，连接有一更新模块，用于定时更新病毒特征库中的数据。4.根据权利要求1所述的计算机网络防御决策系统，其特征在于，所述病毒隔离模块包括 虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量; 模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击； 攻击备案模块，记录安全隔离模块与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息； 数据挖掘模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。5.根据权利要求1所述的计算机网络防御决策系统，其特征在于，所述防御决策信息数据库连接有一更新模块，用于实时更新防御决策信息数据库内的数据。6.根据权利要求1所述的计算机网络防御决策系统，其特征在于，所述防御决策至少包括任务执行主体、任务操作、任务执行时间及任务执行的约束条件，任务操作包括操作对象、任务动作及执行参数，通过调用网络防御决策信息库内态势信息和转换规则，实现目标转换、期望及手段转换。7.根据权利要求1所述的计算机网络防御决策系统，其特征在于，和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。8.根据权利要求1所述的计算机网络防御决策系统，其特征在于，所述数据隔离上传模块在应急通道模块内将数据打包上传至预设的邮箱地址，邮箱地址不可变更。9.根据权利要求1所述的计算机网络防御决策系统，其特征在于，所述定时巡检模块内设有 图形绘制模块，用于根据实时监测到的进入网内流量绘制得出各种曲线图； 回归计算模块，用于通过不同函数对所绘制的数据曲线进行回归计算； 预测分析模块，用于根据与原实测曲线的对比分析，进行预测，判断网络的稳定性和安全性。
【文档编号】H04L29/06GK105847291SQ201610330336
【公开日】2016年8月10日
【申请日】2016年5月13日
【发明人】马晓波
【申请人】内蒙古工业大学