[发明专利]网络主动防御系统及其更新方法

说明书

技术领域

本发明属于信息工程技术领域，涉及一种网络主动防御系统及其更新方法。

背景技术

成都市华为赛门铁克科技有限公司公开了一种入侵防御检测方法、装置和网关设备发明专利。该方法包括：根据获得的报文采用的报文类型，调整状态机中的检测规则；利用调整后的状态机对所述报文进行入侵行为检测。本发明实施例可根据当前网络状态调整状态机中的规则，使得根据调整后的状态机对报文进行检测时，可有效减少报文特征匹配的检测规则的数量，提高报文检测效率，减少入侵行为检测的资源占用率。

北京神州绿盟信息安全科技股份有限公司公开了一种网络入侵防御／检测系统及方法发明专利。其中，网络入侵防御／检测方法包括：对从网络中获取的数据包进行重组；当重组后获取的数据流的长度大于等于第n阶段规则对应的数据流长度的第n临界值时，对重组的数据流利用第n阶段规则进行规则匹配检测；若重组的数据流匹配第n阶段规则，则对重组的数据流进行相应的预定义处理，并结束当前的重组及检测；否则，继续重组以使重组后的数据流长度大于等于第n+1阶段规则对应的数据流长度的第n+1临界值时，对重组的数据流利用第n+1阶段规则进行规则匹配检测；第n临界值小于第n+1临界值，n为正整数。本发明适用于复杂网络环境下的网络入侵防御／检测系统。

专利号专利号为200910078076的发明专利公开了一种具备主动防御能力的入侵防御系统及方法，以主动防御网络上的安全威胁。该方法包括：一种具备主动防御能力的入侵防御方法，其特征在于，包括：接收到数据流后，为所述数据流中的事件设置处理动作；根据当前网络状况和防御等级要求，为多条事件组成的事件集设置初始防御等级；根据所述初始防御等级对所述事件集中的事件进行匹配，获得匹配成功的事件的标识，并根据网络流量及匹配结果获得网络安全形势的动态识别结果；根据所述初始防御等级及动态识别结果，确定所述事件集的当前防御等级；根据所述动态识别结果，确定所述事件集的当前防御等级；根据所述匹配成功的事件的标识，执行该事件的处理动作，并根据所述当前防御等级，自动调整所述事件集中各事件的处理动作，响应各事件。

发明内容

为了克服现有技术中的缺陷，本发明提供一种网络主动防御系统及其更新方法，基于“云计算”模式的入侵防御系统设备检测规则“云更新”方法。这种技术实现，不仅可以有效保障入侵防御系统设备实时处于检测规划最新状态，达到随入侵技术不断发展而更新，确保设备不过时，防御性能一直处于最佳状态。此外，由于采用专用的“检测规则更新缓冲器”，科学地避免了规则更新时检测效率受影响的弊端。

其技术方案如下：一种网络主动防御系统，硬件包括规则库、更新缓冲器、过滤器和云更新服务器，其中，更新缓冲器负责与设备厂商的云更新服务器通讯，NIPS提供专门的更新缓冲器网络接口，与互联网直接相连，一旦厂商有新的过滤规则，就会通过云更新服务器自动传到NIPS更新缓冲器中；一旦更新缓冲器下载了新的更新规则，就会直接对接规则库，实现规则库的更新；

软件包括：状态检测引擎模块、拒绝服务攻击引擎模块、蠕虫攻击引擎模块、Web防护引擎模块、流量异常引擎模块、入侵响应引擎模块和规则更新引擎模块：

状态检测引擎模块：是一个基于4层至7层的状态检测引擎，过滤单包攻击和IP分段攻击，阻塞通过使用IP地址和TCP／UDP端口号的策略识别的流量，属于己知正常会话的流量以高速率转发出去，被认为是恶意的流量被送到入侵响应引擎，被怀疑的流量被送到下一个引擎；

拒绝服务攻击引擎模块：识别并且阻止拒绝服务攻击；

蠕虫攻击引擎：使用状态规格化匹配算法识别蠕虫及其变种，使用HTTP协议验证,格式化字符串匹配和URI长度检查识别HTTP攻击；

Web防护引擎模块：对目标Web系统进行全方位监测保护，重点防范网页篡改和网站挂马，以及SQL注入攻击；

流量异常引擎模块：使用智能流量分析系统进行流量异常检测；

入侵响应引擎模块：设置响应措施并且负责转发、限制、阻止、报告的具体措施的实行；

规则更新引擎模块：实时响应厂商所提供的云更新服务器的更新请求，自动下载更新规则。

一种本发明所述网络主动防御系统的更新方法，包括以下步骤：

(1)把NIPS通过在线串联方式部署在互联网络入口处；

(2)更新缓冲器通过专用网口直接与互联网相连；

(3)据数据包进入NIPS时，过滤器会根据报头和流信息对每个数据包分类过滤，有威胁的数据包过滤掉，安全数据允许进入内网；