[实用新型]一种网络主动防御系统

说明书

技术领域

本实用新型属于网络安全技术领域，尤其涉及网络主动防御系统。

背景技术

随着计算机网络的不断普及，来自网络内部和外部的危险和犯罪也日益增多。在今天，病毒的数量剧增，质量提高，而且通过网络快速传播，在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态，使防毒软件失效。目前流行的攻击程序和有害代码，如DoS，DDoS，暴力猜解(Brut-Force-Attack)，端口扫描(Portscan)，嗅探，病毒，蠕虫，垃圾邮件，木马等等。此外还有利用软件的漏洞和缺陷钻空子、干坏事，让人防不胜防。网络入侵方式越来越多，有的充分利用防火墙放行许可，有的则使防毒软件失效。

为了保证网络通信的机密性、完整性和通信服务的可用性，操作系统安全增强技术和防火墙技术应运而生。但这些静态的安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。因此，人们对于一种更加安全的网络主动防御系统设备有了强烈的需求。

实用新型内容

本实用新型提供了一种网络主动防御系统NAPS(Network Active Prevention System)。旨在解决目前新兴的无线网络环境下主动防御安全问题。

本实用新型是通过一种新型的NAPS网络主动防御设备实现的，它内部含有能够检测和对比攻击数据包特征码的高速的硬件芯片(ASIC芯片)。芯片应放置在路由器之前，能够过滤所有的数据包，相应位置的流量必须完全流经它，由它决定是否能够通过。

进一步，可以在ASIC芯片前加装硬件防火墙，减少入侵防御系统需要处理的网络流量和系统调用，减少相应的滞后时间。

进一步，可以在外壳上添加一个报警蜂鸣器和一列指示灯，当入侵防御系统检测到危险时，可以声音报警，并根据危险的强度大小，亮起数量不等的指示灯。

本实用新型提供的网络信息安全设备，其中的关键是引进了当前新兴的一种网络安全措施——网络主动防御系统(NAPS)，NAPS采取在线安装的方式嵌入到网络流量中，通过一个网络端口接收来自外部系统的流量，经过自身过滤器的检查，把已确认其中不包含异常活动或可疑内容的流量通过另外一个端口转发到内部系统中，而那些恶意的数据包及来自同一会话中的其他后续数据包将被NAPS丢弃，从而保证了内网的整体安全。

附图说明

图1是本实用新型提供的网络主动防御系统设备的结构框图；

图2是本实用新型提供的加装防火墙的网络主动防御系统设备的结构框图；

图3是本实用新型提供的带有报警器和指示灯的网络主动防御系统的结构框图。

具体实施方式

为了使本实用新型的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本实用新型进行进一步的详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本实用新型，并不用于限定实用新型。

本实用新型的目的在于提供一种网络主动防御系统设备，如图1所示数据流进入端口，通过ASIC芯片的安全判定，危险的数据被阻挡并抛弃，安全的数据进入路由处理，再流入各个终端。

在本实用新型实施例中，如图2所示，在ASIC芯片的安全判定之前，通过一次防火墙的过滤，减少了ASIC芯片的工作压力。

在本实用新型实施例中，如图3所示，在ASIC芯片的安全判定输出信号上连接蜂鸣器和指示灯。

在本实用新型实施例中，用APS设备做主动防御与用防火墙做入侵防御是两个完全不同的概念，APS很“透明”，它位于Internet和内部网的中间，你可以把APS设备想像成一根网线，拓朴结构如下：

Internet数据＝＝＝＞APS芯片＝＝＝＝＞家庭LAN

在APS设备上就两个网口，一进一出，整个网段的流量全部流过它。APS是基于应用层的“特征码”来比对每一个流过自身的数据包，一旦它在自己的数据库中找到了对应的病毒或者攻击包特有的“特征”，那它就直接把这些数据包给挡掉，不管你是不是通过正常的端口来攻击，它都能检测出来，保证了整个内部网的安全。

以上仅为本实用新型的较佳实施例而已，并不用以限制本实用新型，凡在本实用新型的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本实用新型的保护范围之内。