[发明专利]一种网络多路入侵检测防御方法及系统

权利要求书

1.一种网络多路入侵检测防御方法，其特征在于步骤如下：

步骤1：在终端的操作系统中使用数据包过滤的方法收集本网络中通过的指定或全部数据包，然后在操作系统的内核部分，使用半轮询方式对捕捉网卡驱动优化轮询效率，随后在捕捉数据包的过程中使用混杂模式进行旁路数据包监听，并且使用临界阀算法在捕捉数据包过程中计算数据包分类并检索的过程中使用排队论方法计算优化处理值提高其检索分类效率；然后利用检测审计的方式对捕获并分类的数据包提取检测的数据包特征，并集中上报；所述终端为网络中的数据包对象中分布的多个终端；

同时针对网络中的各linux操作系统中执行的网络程序或者相应模块，使用驱动内核载入的方式对内核产生的信息进行监控；在其中的LSM模块基础上，修改Linux中POSIX.1e标准的Capability模块，既修改原有权能模块对操作系统权限的操作，使用钩子函数执行检测中心模块生成的规则，然后对操作系统内核操作实行监控并对进入到操作系统中的个体使用安全访问控制方式监控其行为；同时对其个体产生的进程根据其进程的信任状特权来进行仲裁，如果进程对系统中inode有操作则对其操作隔离处理，等待检测后进行生效或无效化处理。对监控到的内核操作信息放入消息队列并反馈到字符设备中，最后调用此字符设备并且把内核监控产生的其他未处理信息一起反馈到应用层子程序，随后应用层子程序把收集的报文同步到检测中心，之后执行步骤2的方法进行检测处理。

步骤2：针对接收到的网络端和操作系统端中收集的特征信息，通过贝叶斯算法对于已知攻击产生识别，根据原有攻击概率模型计算出现现有特征信息为攻击或为未知不可信信息的概率，同时根据用户定义的安全级别进行分类，之后把通过算法分类的特征信息放入反向神经网络对规则进行训练，检测DDOS攻击、木马攻击或通过混合攻击进入操作系统产生破坏的攻击，并且根据检测出的攻击类型匹配对应的防御知识库并生成防御规则，然后反馈到相应端口；

步骤3：如果攻击行为是针对操作系统端，则把规则反馈到操作系统应用层子程序，应用层子程序解析规则并触发内核监控模块产生生效或无效化操作或者拒绝相应进程访问或调用系统进程；

如果攻击行为是针对网络，则把生成的规则反馈到网络入口节点，由入口节点解析规则，并触发监控模块拒绝某源IP的报文或者数据包。

2.一种实现权利要求1所述网络多路入侵检测防御方法的系统，其特征在于包括以下子模块：

网卡驱动捕包模块，通过改变网卡驱动的方式，提高数据捕捉处理量，减少抓包的耗损时间；

网络数据包预处理子模块，负责对数据包中的特征进行提取；

网络处理模块，接收检测中心模块反馈的规则，解析并进行源抑制或部分过滤操作，实现网络攻击防护；

内核监控模块，加载入内核参与内核的系统调用，并且记录反馈给上层处理模块，或接收应用控制模块指令执行访问拒绝或者对进程隔离，杀死异常进程等操作；

应用控制模块，接收内核监控模块产生的记录并且分类发送到检测中心模块，接收规则解析并根据规则向内核监控模块发出相应指令，控制进入到操作系统的网络程序或者代码执行非法操作；

攻击特征库模块，对网络和操作系统上报的特征和算法模块产生的规则进行分类记录，方便算法模块进行提取分析；

算法检测模块，首先使用贝叶斯算法对数据进行分类处理，减少反向神经网络的计算量，加快其收敛速度；然后使用改进的反向神经网络对特征进行训练，并形成处理结果，产生规则。