[发明专利]网络主动防御系统及其更新方法

摘要

本发明公开了一种网络主动防御系统及其更新方法，包括规则库、更新缓冲器、过滤器和云更新服务器，以及状态检测引擎模块、拒绝服务攻击引擎模块、蠕虫攻击引擎模块、Web防护引擎模块、流量异常引擎模块、入侵响应引擎模块和规则更新引擎模块七大功能模块。本发明主要解决NIPS网络主动防御系统不能随攻击技术的更新即时变换防范策略的问题，此外，还针对Web渗透攻击技术专门开发了相应防御过滤模块。技术实现上，采用非人工参与情况下，在不影响NIPS自身正常防御工作的前提下，自动响应更新，安全、可靠、高效。此外，本发明在产品功能上注重开发了Web防护引擎模块和规则更新引擎模块，使本NIPS产品适用性和安全性更强。

主权项

一种网络主动防御系统，其特征在于，硬件包括规则库、更新缓冲器、过滤器和云更新服务器，其中，更新缓冲器负责与设备厂商的云更新服务器通讯，NIPS提供专门的更新缓冲器网络接口，与互联网直接相连，一旦厂商有新的过滤规则，就会通过云更新服务器自动传到NIPS更新缓冲器中；一旦更新缓冲器下载了新的更新规则，就会直接对接规则库，实现规则库的更新；软件包括：状态检测引擎模块、拒绝服务攻击引擎模块、蠕虫攻击引擎模块、Web防护引擎模块、流量异常引擎模块、入侵响应引擎模块和规则更新引擎模块：状态检测引擎模块：是一个基于4层至7层的状态检测引擎，过滤单包攻击和IP分段攻击，阻塞通过使用IP地址和TCP／UDP端口号的策略识别的流量，属于已知正常会话的流量以高速率转发出去，被认为是恶意的流量被送到入侵响应引擎，被怀疑的流量被送到下一个引擎；拒绝服务攻击引擎模块：识别并且阻止拒绝服务攻击；蠕虫攻击引擎：使用状态规格化匹配算法识别蠕虫及其变种，使用HTTP协议验证，格式化字符串匹配和URI长度检查识别HTTP攻击；Web防护引擎模块：对目标Web系统进行全方位监测保护，重点防范网页篡改和网站挂马，以及SQL注入攻击；流量异常引擎模块：使用智能流量分析系统进行流量异常检测；入侵响应引擎模块：设置响应措施并且负责转发、限制、阻止、报告的具体措施的实行；规则更新引擎模块：实时响应厂商所提供的云更新服务器的更新请求，自动下载更新规则。