[发明专利]一种免疫网络系统

权利要求书

1.一种免疫网络系统，包括：

用于分析及提取扫描特征并阻止外网扫描的透明防火墙，所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡，所述入口网卡与出口网卡之间形成网桥，实现内外网透明通信，在所述控制网卡上配置IP地址，用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录；其特征在于，所述系统还包括：

用于监控进入网内流量及根据异常流量提取攻击指纹特征并存储至免疫特征库的智能巡检装置，所述智能巡检装置包括巡逻监控单元和免疫隔离单元，所述巡逻监控单元用于审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至免疫隔离单元，所述免疫隔离单元利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实免疫特征库；

应急装置，所述应急装置为所述智能巡检装置检测到的受损内网节点提供应急通道，并在用户工作完成后提示用户将所述受损节点还原至未受攻击之前的安全状态，所述应急装置包括应急单元和还原单元，所述应急单元用于提示被攻陷主机的用户，将工作环境迁至应急通道继续工作，不必中断工作处理安全问题，所述还原单元用于待用户完成工作离开计算机时，提示用户存在安全隐患并给出精确的还原时间建议，帮助用户选择将计算机恢复至入侵之前的安全状态。

2.如权利要求1所述的一种免疫网络系统，其特征在于，所述巡逻监控单元具体包括：

免疫特征匹配模块，计算被监控主机通信数据包的免疫特征指纹，与免疫特征库内记录比对；

端口审计模块，选取通信连接中和服务相关的要素进行综合分析，为维护和研究提供详实报告；

流量统计模块，利用原始数据包报文头部信息进行流量统计，以主机对外的每一个连接为单位进行流量统计，通过提取通信双方IP和端口号特征信息参与哈希函数运算，用步长倍增的算法解决哈希冲突，并用包头中的报文长度字段值更新所属连接的累计流量；

流量异常评估模块，建立多态响应流量异常评估模型，选取网络攻击发生时具有特征的参数进行量化考察，对不同程度威胁给出不同响应和处理建议。

3.如权利要求2所述的一种免疫网络系统，其特征在于，所述和服务相关的要素包括主机IP地址、开放端口、端口所提供的服务、所使用的应用软件及版本号信息。

4.如权利要求1所述的一种免疫网络系统，其特征在于，所述免疫隔离单元具体包括：

虚拟应答模块，通过给出虚拟应答并提供相应的虚拟服务，使敌手继续攻击以获得攻击流量；

模拟服务模块，通过执行模拟服务脚本，与流量被重定向至免疫隔离单元的主机进行交互，模拟正常服务的交互过程，使威胁主机继续攻击；

攻击备案模块，记录隔离免疫单元与具有威胁主机之间的通信信息并写入数据库，所述通信信息包括通信时间、通信双方的IP和端口信息及攻击者操作系统指纹信息；

智能提取模块，若认定到达免疫隔离单元的流量是危险流量时，系统智能提取攻击指纹特征并将所述特征存入免疫特征库。