本发明涉及网络安全领域,尤其涉及一种一种分布式网络入侵防御系统。
背景技术:
目前随着信息化建设的蓬勃发展,国家对网络安全给予了高度重视。网络入侵防御系统(IPS)技术发展也相当迅速,它能够以更细粒度的方式检查网络流量,主动地对安全事件进行响应,防止各个层面攻击事件的发生。但是,目前的IPS仍然面临着一些问题:
1)性能瓶颈:即使IPS不出现故障,由于需要处理所有的网络流量和系统调用,必然会增加滞后时间,这样就可能导致网络和系统效率的降低,使之成为一个潜在的性能瓶颈。
2)误报和漏报:如果产生误报将会导致合法的流量或者请求被意外拦截,形成拒绝服务。对于实时在线的IPS来说,一旦拦截了攻击性数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果产生漏报,将会导致攻击事件的成功发生。
3)攻击工具越来越先进:现在的攻击工具具备了反侦破和动态行为,可以绕过防火墙,且不对称攻击的威胁在不断扩大。
4)攻击的自动化程度和速度不断提高,且杀伤力逐步增强。发现安全漏洞越来越快,覆盖面越来越广,新发现的安全漏洞每年要增加一倍,而且安全漏洞类型不断翻新。
为了解决上述问题,我们在IPS架构设计及系统实现上进行了深入的研究,针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDOS等黑客攻击,以及网络资源滥用,提出一种分布式“分析与检测+集中控制+升级服务”技术架构的网络入侵防御系统(以下简称DNIPS)。该系统的特点体现在高度融合性、高安全性、高可靠性和易操作性等特性,能自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断。
技术实现要素:
本发明针对现有技术不足,提供一种分布式网络入侵防御系统,最大限度地保护企业和组织的网络安全。
本发明的目的可以通过以下技术方案实现:
一种分布式网络入侵防御系统,其特征在于:包括windows控制台单元、WEB控制台单元以及系统检测单元;
所述的windows控制台单元包括windows配置管理模块、windows系统监控模块、windows日志管理模块;
所述的windows配置管理模块主要用于对windows控制台的规则管理、用户管理、事件管理和升级管理;
所述的windows系统监控模块主要对windows控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的windows日志管理模块主要对windows控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的WEB控制台单元包括WEB配置管理模块、WEB系统监控模块、WEB日志管理模块、策略管理模块;
所述的WEB配置管理模块主要用于对WEB控制台的规则管理、用户管理、事件管理和升级管理;
所述的WEB系统监控模块主要对WEB控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的WEB日志管理模块主要对WEB控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的策略管理模块采用自定义访问控制策略,用于根据不同事态变化,对各种策略进行综合评估和分析,采取相应的策略进行检测或防御;
所述的系统检测单元包括入侵保护模块、入侵检测模块、协议分析模块、防火墙模块、协议识别模块、数据捕获模块;
所述的入侵保护模块主要对包的丢失、中断连接、TCP killer、防火墙协作、邮件报警、SNMPTRAP、和日志数据库等进行保护及响应;
所述的入侵检测模块主要采用CSD的协议异常检测技术和设计一个拒绝服务攻击检测模块,对误用、协议异常和DOS的检测进行相关分析,并通过告警系统及时响应;
所述的协议分析模块主要采用智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理;
所述的防火墙模块对访问控制采用内置状态防火墙和自定义访问控制策略,对NAT支持提供网络地址转换功能;
所述的协议识别模块主要负责对分析出来的IP碎片重组、TCP状态跟踪和TCP流的汇聚进行识别并作出标志;
所述的数据捕获模块,对来自于经过上述模块的分析和识别的数据包进行捕获,获得该数据包的源地址、源端口、目的地址、目的端口和所使用的协议等数据,并进行相关告警,必要时自动关闭网络设备。
本发明的有益效果:
本发明提供一种能自动采取行动阻止攻击和入侵的分布式网络入侵防御系统,这种分布式“分析与检测+集中控制+升级服务”技术架构的网络入侵防御系统弥补了当前IPS的不足,通过部署该入侵防御系统,同其他安全产品形成互补,形成深度防御体系,最大限度地保护企业和组织的网络安全。
附图说明
下面结合附图和具体实施例对本发明作进一步详细描述。
图1是本发明的示意图。
具体实施方式
如图1所示,本发明是一种布式网络入侵防御系统,包括windows控制台单元D110、WEB控制台单元D120、系统检测单元D130共三大模块;
具体的,所述的windows控制台单元D110包括配置管理模块M111、系统监控模块M112、日志管理模块M113;
所述的WEB控制台单元D120包括配置管理模块M121、系统监控模块M122、日志管理模块M123、策略管理模块M124;
所述的系统检测单元D130包括入侵保护模块M131、入侵检测模块M132、协议分析模块M133、防火墙模块M134、协议识别模块M135、数据捕获模块M136;
所述的配置管理模块M111主要用于对windows控制台的规则管理、用户管理、事件管理和升级管理;
所述的系统监控模块M112主要对windows控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的日志管理模块M113主要对windows控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的配置管理模块M121主要用于对WEB控制台的规则管理、用户管理、事件管理和升级管理;
所述的系统监控模块M122主要对WEB控制台的事物的状态、事件的发生、流量的变化和协议的回放进行监控;
所述的日志管理模块M123主要对WEB控制台的日志的分析、日志的归并、日志的备份和日志的回复进行管理;
所述的策略管理模块M124采用自定义访问控制策略,用于根据不同事态变化,对各种策略进行综合评估和分析,采取相应的策略进行检测或防御;
所述的入侵保护模块M131主要对包的丢失、中断连接、TCP killer、防火墙协作、邮件报警、SNMPTRAP、和日志数据库等进行保护及响应;
所述的入侵检测模块M132主要采用CSD的协议异常检测技术和设计一个拒绝服务攻击检测模块,对误用、协议异常和DOS的检测进行相关分析,并通过告警系统及时响应;
所述的协议分析模块M133主要采用智能协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理;
所述的防火墙模块M134对访问控制采用内置状态防火墙和自定义访问控制策略,对NAT支持提供网络地址转换功能,支持静态NAT(Static NAT)、动态NAT(Pooled NAT)和端口NAT(PAT),支持多对一、多对多和一对一等多种地址转换方式;在路由方面使用灵活的策略路由功能,根据协议类型、应用、IP源地址等策略来选择数据转发路径,根据报文数据流的发起方向来确定以后的路由,满足各种应用环境的需要;
所述的协议识别模块M135主要负责对分析出来的IP碎片重组、TCP状态跟踪和TCP流的汇聚进行识别并作出标志;
所述的数据捕获模块M136,对来自于经过上述模块的分析和识别的数据包进行捕获,获得该数据包的源地址、源端口、目的地址、目的端口和所使用的协议等数据,并进行相关告警,必要时自动关闭网络设备。
以上内容仅仅是对本发明结构所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。