[发明专利]一种网络安全检测方法和系统

权利要求书

1.一种网络安全检测方法和系统，其特征在于：所述检测方法如下：

步骤一：建立入侵探测系统组件；

步骤二：安全探测器将原始的网络数据包作为数据源，安全探测器将网卡设置为混杂模式，监听、分析所有流经同一以太网网段的流量包，经过过滤器进行过滤识别；

步骤三：接收用于检测攻击泄密行为的检测策略；

步骤四：安全探测器将捕获到的包进行协议解析，解析成链路层、网络层、传输层等各层的包头和纯粹的载荷部分，包的包头和载荷经过仔细检查来检测攻击特性，并对协议和语法进行分析；

步骤五：执行检测策略对所匹配的信号进行检测，并对所得到的报警信息进行上报至管理台；

步骤六：对所检测到的攻击，响应模块提供一些选项来通知、告警并立即对攻击采取行动，并在控制器上显示告警或发寻呼，响应模块终止可疑绘画并重新配置防火墙，并将攻击事件写入系统日志、数据库、指定文件以供事后调查取证；

步骤七：通过采集部件采集网络数据；

步骤八：将步骤七所述采集的网络数据通过分析部件进行分析处理；

步骤九：通过存储部件将采集部件采集到的原始数据、分析部件的分析结果等重要数据存入系统的数据库中；

步骤十：检测部件完成对入侵行为的检测；

步骤十一：响应部件对步骤十所述的检测处的入侵行为做出相应的响应；

步骤十二：主控部件直接对其它宫格部件进行相应的操作，构成系统的中心部件；

步骤十三：运用网络安全模型和动态安全模型P2DR解决网络安全问题以及安全需求。

2.根据权利要求1所述的一种网络安全检测方法和系统，其特征在于：所述入侵探测系统所采用的技术、获得原始数据的方法以及其工作方式，根据其采用的技术分为两类：一是基于模式匹配的入侵检测系统，另一种是基于异常发现的入侵检测系统；根据其获得原始数据的方法可以将入侵检测系统分为基于主机的入侵检测和基于网络的入侵检测系统；根据系统的工作方式分为离线检测系统与在线检测系统。

3.根据权利要求1或2所述的一种网络安全检测方法和系统，其特征在于：所述根据所使用的分析方法，又可以分为以下几种入侵检测系统：基于审计的攻击检测、基于神经网络的攻击检测技术、基于专家系统的攻击检测技术和基于模型推理的攻击检测技术。

4.根据权利要求1所述的一种网络安全检测方法和系统，其特征在于：所述步骤六中，对所检测到的攻击，响应模块提供一些选项来通知、告警并立即对攻击采取行动，包括发送SNMP trap或e-mail。

5.根据权利要求1所述的一种网络安全检测方法和系统，其特征在于：所述步骤十三：动态安全模型P2DR模型包含四个主要部分：Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。

6.根据权利要求1或5所述的一种网络安全检测方法和系统，其特征在于：所述动态安全模型P2DR模型在整体的Policy(安全策略)控制指导下，综合运用防护工具(Protection，如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(Detection，如漏洞评估、入侵检测系统)了解并评估系统的安全状态，通过适当的响应(Response)将系统调整到最安全和最低风险的状态，防护、检测和响应组成一个完整的、动态的安全循环。