[发明专利]一种免疫网络系统

说明书

技术领域

本发明属于互联网信息安全领域，尤其涉及一种免疫网络系统。 

背景技术

信息安全问题普遍存在于社会经济、军事技术、国家安全、知识产权、商业秘密乃至个人隐私等各个方面。网络安全是计算机网络及其应用领域中一直研究的关键问题，然而传统的网络安全理论和技术存在着以下三个无法克服的缺陷。首先，集中控制的方法对于当前分布式的网络环境显得力不从心；其次，网络具有同构性，无法阻止可疑入侵者及病毒迅速广泛传播；再次，当前网络威胁日新月异，传统网络安全理论和技术的静态性和被动性已经无法适应恶劣多变的网络环境。 

目前，纵观国内外研究，可生存性研究主要还是处于理论研究阶段，并且在不断地吸收容错、入侵容忍、重配置能力或冗余能力来提高系统的可生存能力。但是在这些解决方案中，对攻击、异常的检测、评估以及重新配置的执行，都需要人为介入，存在不同程度的时延。针对可生存系统的自适应响应、恢复和演化能力的增强还没有涉及。 

就计算机病毒检测方法而言，应用最广泛的是特征代码法。该方法需要建立和维护一个病毒特征码库，具有病毒检测能力强，检测速度快，系统运行开销低以及错误检测率低等优点。但是缺点也很明显，只能对属于病毒特征码库的病毒进行检测，而无法检测未知病毒，故而查毒落后于病毒一段较 长的时间。 

中国专利CN01140073.0公开了一种计算机病毒防御方法，包括：(1)宏病毒的防御：当模板文件关闭时，首先清除其中的宏，然后关闭；文件打开时，检查宏，文件关闭时，检查宏；模板文件打开时检查宏，模板文件关闭时，检查宏；(2)脚本病毒的防御：当系统存在脚本文件时，提示用户，由用户选择对脚本文件的隔离、保留或删除；(3)引导扇区和分区表病毒的防御：对引导扇区和分区表进行备份，当引导扇区或分区表异常时，使用上述备份恢复；(4)文件型病毒的防御：对所有可执行代码的写入进行重定位，当系统执行该可执行代码时，向用户提示，以及利用与病毒样本和特征码无关的知识库进行病毒的查询、杀除和防御。采取的是对所有的软件防御有限病毒，以及对有限的软件防御无限病毒的方案，这样既避免了传统反毒方法的升级频繁的麻烦，又使得对病毒问题的解决完成于病毒出现之前，因此使用简单、防御病毒的效果较好。但是该方法需要很大的系统开销，同时很多情况都需要用户判断，对用户的专业水平要求较高，而且所有软件的有限病毒的防御也要根据新的病毒的出现而进行人工调整。而中国专利200410022159公开了一种计算机病毒检测和识别系统及方法，其通过模拟生物免疫系统，将免疫原理用于特征代码法，并且结合了行为监测法等传统的计算机病毒检测和识别方法。通过监控计算机系统来检测和发现计算机病毒并获得病毒样本，然后在学习识别阶段通过使用变异进化以及样本文本分析来获得病毒特征码。该方法在保持特征代码法的快速性、有效性等优点的同时，弥补了它的缺陷，能够检测和识别已知病毒和未知病毒，能够对未知计算机病毒做出快速反应。但是并不能阻止病毒的传播及控制危害范围。 

综上所述，现有技术中强调的是计算机病毒的检测和识别，通过模拟生物免疫系统，将免疫原理用于特征代码法，并且结合行为检测法等传统的计算机病毒检测和识别方法，能够检测和识别已知病毒及未知病毒，并对未知病毒做出快速反应。但无法阻止病毒的迅速传播，及当病毒入侵后，无法及时控制危害范围，不具备自主修复还原能力。 

发明内容

本发明旨在解决现有技术中无法阻止病毒迅速传播及控制危害范围的问题，提供一种不仅可以检测和识别已知病毒及未知病毒，而且能有效控制病毒危害范围，同时具有自主修复能力的免疫网络系统，当系统的重要部分遭到病毒损害或摧毁时，系统依然能够完成任务，并能及时修复被损坏的服务。 

本发明目的是这样实现的：一种免疫网络系统，包括： 

用于分析及提取扫描特征并阻止外网扫描的透明防火墙，所述透明防火墙包括入口网卡、出口网卡以及设置于所述入口网卡与出口网卡之间的控制网卡，所述入口网卡与出口网卡之间形成网桥，实现内外网透明通信，在所述控制网卡上配置IP地址，用来实现网络管理员远程访问控制防火墙以及防火墙将预警信息在内网Web服务器进行日志记录； 

用于监控进入网内流量及根据异常流量提取攻击指纹特征并存储至免疫特征库的智能巡检装置，所述智能巡检装置包括巡逻监控单元和免疫隔离单元，所述巡逻监控单元用于审计并监测进入网内流量，提出异常流量处理建议，并对其进行引导重定向至免疫隔离单元，所述免疫隔离单元利用模拟服务与产生异常流量的主机通信，提取攻击指纹特征，充实免疫特征库；