一种检测非法访问计算机网络的系统和方法与流程

本发明涉及计算机网络技术领域，具体为一种检测非法访问计算机网络的系统和方法。

背景技术：

随着Internet的迅速发展，计算机及计算机网络逐渐成为被攻击目标，从而导致公司形象受损商业信息失窃、研究数据被盗、个人信息失密等，因此计算机及网络的安全问题成为研究的焦点.要保证计算机网络的安全，首先要防止对网络的攻击行为，现在一般使用防火墙技术进行防范。另外，当防火墙被攻破或被绕开时，还要能够及时发现这种恶意行为，并在这种行为对系统或数据进行破坏之前，能够采取一定的行为，如进行报警、切断连接、封掉IP或进行反击等，入侵检测技术就是依据这一思想建立起来的一种积极主动的安全防护技术，它提供了对内部攻击、外部攻击和误操作的实时保护，能在网络系统受到危害之前进行拦截和响应。它主要完成以下功能：监视、分析用户和系统的活动检查系统的配置和漏洞；评估关键系统和数据的完整性；识别代表已知的攻击活动模式；对反常行为模式进行统计分析；对操作系统进行校验管理，判断是否有破坏安全的用户行为为此，现有的大多检测非法访问计算机网络的系统都是采用单一的检测方式来对网络进行检测，这样的检测方式使得对网络检测的不够全面，导致网络安全任然得不到很好的保障，我们提出一种检测非法访问计算机网络的系统和方法。

技术实现要素：

本发明的目的在于提供一种检测非法访问计算机网络的系统和方法，以解决上述背景技术中提出的现有的大多检测非法访问计算机网络的系统都是采用单一的检测方式来对网络进行检测，这样的检测方式使得对网络检测的不够全面，导致网络安全任然得不到很好的保障的问题。

为实现上述目的，本发明提供如下技术方案：一种检测非法访问计算机网络的系统，包括中央处理器，所述中央处理器电性双向连接检测装置，所述检测装置包括网络漏洞探测器、无线嗅探器、无线检测探头和手持式无线检测器，所述中央处理器电性双向连接数据分析系统，所述数据分析系统包括进攻识别子系统和安全审计子系统，所述进攻识别子系统包括推理判断单元、对比单元和数据接收单元，所述安全审计子系统包括数据提取单元、数据分析单元、审计中心和审计数据存储器，所述中央处理器分别电性双向连接数据库和存储器，所述中央处理器分别电性输出连接报警器和响应系统。

当检测装置进行检测工作时，网络漏洞探测器对使用的计算机网络进行漏洞检测，网络漏洞探测器在扫描的过程中对扫描状态、被扫描对象信息、漏洞信息传递给存储器进行数据存储，无线嗅探器把网卡设置于混杂模式，并实现对网络上传输的数据包的捕获和分析，再从中提取出可疑的非法访问数据包，无线检测探头的安装位置处于特殊位置的工作站或者使用具有无线信号检测功能的无线AP，来对非法入侵安装无线检测探头的工作站或者无线AP进行信号进行检测，定期通过手持式无线检测器对使用的网络进行检测，检测装置将检测后的数据传递给中央处理器，通过四种检测方式来对使用的网络进行检测，使得检测结果的遗漏率得到降低，进而进一步提高了网络使用的安全性；

当数据分析系统进行工作时，先通过进攻识别子系统对检测装置检测到的可疑的非法访问数据进行识别，数据接收单元对检测装置检测到的可疑的非法访问数据进行接收，接收后的数据通过对比单元进行对比，对比单元将检测到的数据与数据库中存储的木马和病毒数据进行对比，再通过推理判断单元来对对比后的数据进行推理判断，判断该可疑数据为木马或病毒，数据分析系统再通过安全审计子系统对识别后的数据进行安全审计，数据提取单元对识别后的数据进行提取，提取后的数据通过数据分析单元进行数据分析，通过分析后对识别后的数据进行危险等级评测，评测后的数据再通过审计中心对其进行处理，审计中心对数据进行编码和压缩处理，最后通过审计数据存储器进行存储。

优选的，所述响应系统中的响应装置包括防火墙、路由器和分线器。

优选的，所述报警器为蜂鸣报警器。

优选的，所述数据库中存储有常见的木马和病毒特征数据。

优选的，该检测非法访问计算机网络的方法具体步骤为：

S1:网络检测：通过检测装置对使用的网络进行检测，检测后的数据传递给中央处理器进行后续处理；

S2:进攻识别：中央处理器将检测到的数据分别传递给存储器和数据分析系统，存储器对检测数据进行存储，形成检测日志，便于后期检测人员进行统计和分析，数据分析系统通过进攻识别子系统对检测的数据进行识别，来对检测的数据进行判别，判别后的数据再通过安全审计子系统进行审计；

S3:安全审计：安全审计子系统对识别后的数据进行审计，来判断可疑的非法访问数据包危险等级，便于系统采取相应的防御响应措施；

S4:防御响应：响应系统根据审计后的数据来采取相应的防御响应措施。

优选的，所述步骤S4中响应系统采取的防御响应措施包括进行报警、切断连接、封掉IP或进行反击。

与现有技术相比，本发明的有益效果是：与现有的检测非法访问计算机网络的系统和方法相比，本发明采用了多种方式对网络非法访问进行检测，这样可以更加全面的检测非法访问网络的信息，减少漏检的情况发生，进而可以提高网络的安全使用性。

附图说明

图1为本发明原理框图；

图2为本发明检测方法流程图。

图中：1中央处理器、2检测装置、21网络漏洞扫描器、22无线嗅探器、23无线检测探头、24手持式无线检测器、3数据分析系统、4进攻识别子系统、41推理判断单元、42对比单元、43数据接收单元、5安全审计子系统、51数据提取单元、52数据分析单元、53审计中心、54审计数据存储器、6数据库、7存储器、8报警器、9响应系统。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1-2，本发明提供一种技术方案：一种检测非法访问计算机网络的系统，包括中央处理器1，中央处理器1电性双向连接检测装置2，检测装置2包括网络漏洞探测器21、无线嗅探器22、无线检测探头23和手持式无线检测器24，中央处理器1电性双向连接数据分析系统3，数据分析系统3包括进攻识别子系统4和安全审计子系统5，进攻识别子系统4包括推理判断单元41、对比单元42和数据接收单元43，安全审计子系统5包括数据提取单元51、数据分析单元52、审计中心53和审计数据存储器54，中央处理器1分别电性双向连接数据库6和存储器7，中央处理器1分别电性输出连接报警器8和响应系统9。

当检测装置2进行检测工作时，网络漏洞探测器21对使用的计算机网络进行漏洞检测，网络漏洞探测器21在扫描的过程中对扫描状态、被扫描对象信息、漏洞信息传递给存储器7进行数据存储，无线嗅探器22把网卡设置于混杂模式，并实现对网络上传输的数据包的捕获和分析，再从中提取出可疑的非法访问数据包，无线检测探头23的安装位置处于特殊位置的工作站或者使用具有无线信号检测功能的无线AP，来对非法入侵安装无线检测探头23的工作站或者无线AP进行信号进行检测，定期通过手持式无线检测器24对使用的网络进行检测，检测装置2将检测后的数据传递给中央处理器1，通过四种检测方式来对使用的网络进行检测，使得检测结果的遗漏率得到降低，进而进一步提高了网络使用的安全性；

当数据分析系统3进行工作时，先通过进攻识别子系统4对检测装置2检测到的可疑的非法访问数据进行识别，数据接收单元43对检测装置2检测到的可疑的非法访问数据进行接收，接收后的数据通过对比单元42进行对比，对比单元42将检测到的数据与数据库6中存储的木马和病毒数据进行对比，再通过推理判断单元41来对对比后的数据进行推理判断，判断该可疑数据为木马或病毒，数据分析系统3再通过安全审计子系统5对识别后的数据进行安全审计，数据提取单元51对识别后的数据进行提取，提取后的数据通过数据分析单元52进行数据分析，通过分析后对识别后的数据进行危险等级评测，评测后的数据再通过审计中心53对其进行处理，审计中心53对数据进行编码和压缩处理，最后通过审计数据存储器54进行存储。

其中，响应系统9中的响应装置包括防火墙、路由器和分线器，所述报警器8为蜂鸣报警器，数据库6中存储有常见的木马和病毒特征数据；

一种检测非法访问计算机网络的方法，该检测非法访问计算机网络的方法具体步骤为：

S1:网络检测：通过检测装置2对使用的网络进行检测，检测后的数据传递给中央处理器1进行后续处理；

S2:进攻识别：中央处理器1将检测到的数据分别传递给存储器6和数据分析系统3，存储器6对检测数据进行存储，形成检测日志，便于后期检测人员进行统计和分析，数据分析系统3通过进攻识别子系统4对检测的数据进行识别，来对检测的数据进行判别，判别后的数据再通过安全审计子系统5进行审计；

S3:安全审计：安全审计子系统5对识别后的数据进行审计，来判断可疑的非法访问数据包危险等级，便于系统采取相应的防御响应措施；

S4:防御响应：响应系统9根据审计后的数据来采取相应的防御响应措施，步骤S4中响应系统9采取的防御响应措施包括进行报警、切断连接、封掉IP或进行反击。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。