一种应用于知识产权运营平台的网络安全系统及检测方法与流程

本发明属于计算机网络安全技术领域，更具体地涉及一种网络安全系统及检测方法。

背景技术：

在以信息制胜的网络时代，信息资源的重要性更加凸显，由于单个企业所能获取或提供的信息都是有限的，因而公共信息服务平台应运而生，此类平台大多由政府、企业、高校、行业组织等多元主体投入、采用市场化机制运作、面向社会开放、服务中小企业、研究开发产业共性与关键性技术、提高本地区创新能力。

知识产权运营平台是提高区域创新能力，实现智力成果有效转化的重要方式，更是推进知识产权产业不断发展，打造文化软实力的必然要求。知识产权运营平台的建立，不仅可以为思想、智慧进入资本市场提供可能，更是为整合市场资源，创新产业的融资模式做出有益的实践，知识产权运营平台的建立不仅为知识产权供需双方搭建了一个高效灵活的知识产权成果交易、知识产权投融资活动、无形资产评估等的公共服务平台，也为知识产权管理者重视和促进知识产权转让管理提供新思路，进一步促进知识产权的产业化发展，为实现“中国创造”添砖加瓦。

知识产权运营平台作为一个高度整理信息资源，提供公共服务的管理平台，对数据安全以及网络的安全运行都提出了更高的要求，在构建中要做好安全防御措施，及时处理突发情况，确保网络能够安全稳定的运行。

入侵检测是近年来主流的保护网络安全的方法，入侵检测技术作为一种积极主动的安全防护技术，能够灵活的针对各种网络结构的特性，主动监测计算机网络或者系统，并能够对外部攻击、内部攻击以及错误操作的进行实时保护，形成有效的安全策略，对计算机网络或者系统起着主动防御的作用，是计算机安全和网络安全必不可少的一个组成部分。

入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统从单个主机上提取数据(如系统日志等)作为入侵分析的数据源，而基于网络的入侵检测系统从网络上提取网络报文作为入侵分析的数据源。通常来说基于主机的入侵检测系统只能检测单个主机系统，而基于网络的入侵检测系统可以对本网段的多个主机系统进行检测，多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。

网络入侵检测系统对IP数据包的获取一般采用被动的基于包侦听的方式，及时检测到攻击，也很难采取实时、有效的阻止或控制措施。

技术实现要素：

本发明将防火墙和入侵检测技术结合在一起，解决了传统入侵检测不能进行主动控制的

问题。

一种应用于知识产权运营平台的网络安全系统，包括防火墙、事件发生器、入侵检测模块、事件存储模块和报警模块。防火墙、事件发生器、入侵检测模块和报警模块依次相连，事件储存模块与入侵检测模块和防火墙相连。

防火墙负责对流入的网络数据首先进行过滤；

事件发生器负责将来自防火墙的IP包进行分析、筛选后，转换成有用事件信息传送给入侵检测模块；

入侵检测模块对事件发生器传送过来的事件信息进行入侵检测；

报警模块根据入侵检测模块发送的检测结果，向服务器发出警告信息；

事件存储模块接收入侵检测模块发送的检测结果，对入侵检测模块检测出的攻击数据，进行分析和统计，根据分析结果及时更新所储存的安全策略库。

进一步地，入侵检测采用基于统计的检测方法，具体步骤如下：

（1）对事件发生器收集到的信息进行统计；

（2）不断地与正常网络状态描述库进行实时比较，通过入侵检测函数来判断是否发生

了入侵事件，如发生，则将该事件发送至事件存储模块，若没有发生入侵，则重复步骤（1）；

（3）事件存储模块根据接收到的入侵事件信息，修改防火墙的安全策略，改变防火墙的过滤行为，实现实时控制；

（4）重复步骤（1）。

进一步地，所述基于统计的检测方法中采用的入侵检测函数为基于Naive-Bayes算法的。

有益效果

（1）利用防火墙技术既实现了对入侵检测所需的网络数据的获取，又解决了传统入侵检测不能进行主动控制的问题，确保知识产权运营平台的信息安全；

（2）网络入侵检测的结果也为防火墙的安全管理策略提供依据，提高了防火墙的智能访问控制能力。

附图说明

图1为本发明的系统结构示意图。

图2为本发明使用的检测方法流程图。

具体实施方式

如图1所示，一种基于知识产权运营平台的网络安全系统，包括防火墙、事件发生器、入侵检测模块、报警模块和事件存储模块。防火墙、事件发生器、入侵检测模块和报警模块依次相连，事件储存模块与入侵检测模块和防火墙相连。

防火墙采用包过滤防火墙，其根据IP数据包包头的信息与安全策略来决定是否转发该IP数据包，安全策略对过滤行为的正确性和效率影响很大，为了简化规则和提高效率，防火墙系统的过滤模块采用了基于连接和哈希算法的高效包过滤技术，只有在系统收到申请连接建立的包时才查找规则集，将拒绝或允许的标记写入连接状态表，对于普通的IP数据包则通过对源IP地址、源端口、目标的IP地址、目的端口的哈希算法在连接状态表里迅速定位连接几率，找出相应的动作，从而提高包过滤的效率。

事件发生器负责将来自防火墙的IP包进行协议分析、筛选后，转换成有用事件信息传送给入侵检测模块。

入侵检测模块对事件发生器传送过来的事件信息进行入侵检测；

报警模块根据入侵检测模块发送的检测结果，向服务器发出警告信息；

事件存储模块接收入侵检测模块发送的检测结果，对入侵检测模块检测出的攻击数据，进行分析和统计，根据分析结果及时更新所储存的安全策略库。

进一步地，入侵检测采用基于统计的检测方法，如图2所示，具体步骤如下：

（1）对事件发生器收集到的信息进行统计；

（2）将统计量与入侵检测函数中设定的阈值进行比较，如超过阈值，则判断发生了入侵事件，将该事件发送至事件存储模块，若没有超过阈值，则判断没有发生入侵，重复步骤（1）；

（3）事件存储模块根据接收到的入侵事件信息，修改防火墙的安全策略，改变防火墙的过滤行为，实现实时控制；

（4）重复步骤（1）。

进一步地，所述入侵检测函数采用基于Naive-Bayes算法。该算法比单纯地根据某个统

计量或多个统计量的组合运算要优越，因为Naive-Bayes算法是通过学习来获取各统计量在入侵检测中的重要性，要比固定的多个统计量的某种运算更加智能，更加接近网络的具体应用环境。

基于统计的检测是通过测试统计量是否超过预定的阈值来识别网络异常的，因此对阈值的选择非常重要，如果阈值选得太低，则误报的可能性比较大，如果阈值选得过高，那么可能会漏掉一些异常的连接，本发明优选的阈值为0.8。

本发明中防火墙和入侵检测模块分别由两台主机充当，他们之间用快速以太网相连，防火墙主机上插有2块网卡，其中1块工作在桥的方式下，不需要任何IP地址，这样既可以增加防火墙自身的透明性、隐蔽性和安全性，同时应用时也无需改线具体网络的拓扑结构；另外一块网卡负责完成与入侵检测主机的通信功能。