專利名稱:基于動態(tài)云火墻聯(lián)動的智能nips架構(gòu)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域�����,尤其涉及基于動態(tài)云火墻聯(lián)動的智能 NIPS構(gòu)架�。本發(fā)明主要應(yīng)用于計算機(jī)網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)安全防御系統(tǒng)OTPS的關(guān)鍵技術(shù),可 有效地解決網(wǎng)絡(luò)安全漏檢和誤報率高�、動態(tài)實(shí)時交互聯(lián)動性差等問題,進(jìn)一步提高網(wǎng)絡(luò)的 整體動態(tài)智能實(shí)時防御能力和檢測辨識阻斷決策準(zhǔn)確性等����。
背景技術(shù):
現(xiàn)今一般使用的傳統(tǒng)式防火墻是一種被動的靜態(tài)訪問控制系統(tǒng),依據(jù)安全策略只 對外網(wǎng)信息進(jìn)行檢測(不對內(nèi)網(wǎng)檢測)���,從而只能保護(hù)內(nèi)網(wǎng)不受外界非法訪問和攻擊����。而 入侵檢測系統(tǒng)(Intrusion Detection System, IDS)��,主要通過網(wǎng)絡(luò)數(shù)據(jù)包事件行為進(jìn)行 分析、監(jiān)視���、檢測和識別系統(tǒng)中未授權(quán)或異?�,F(xiàn)象��。注重的是網(wǎng)絡(luò)監(jiān)控��、審核跟蹤�����,在發(fā)現(xiàn) 異常時只報告不能防范���,只能通過與防火墻等安全設(shè)備聯(lián)動的方式進(jìn)行防護(hù)。目前存在嚴(yán) 重缺陷一是動態(tài)聯(lián)動性差���、智能性差�;二是網(wǎng)絡(luò)缺陷���,用交換機(jī)代替可共享監(jiān)聽的HUB使 IDS的網(wǎng)絡(luò)監(jiān)聽帶來麻煩���,并且在復(fù)雜的網(wǎng)絡(luò)下精心地構(gòu)造與發(fā)送數(shù)據(jù)包也可繞過IDS的 監(jiān)聽���;三是誤報量大且出現(xiàn)漏報,報警不斷����。入侵防御系統(tǒng)(Intrusion Prevention System, IPS)可以對傳輸過程中的全部數(shù) 據(jù)包進(jìn)行過濾檢測���,實(shí)時決策是否許可或禁止訪問�。IPS具有過濾器功能���,能夠防止系統(tǒng)上 各種類型的弱點(diǎn)受到攻擊���。當(dāng)新的弱點(diǎn)被發(fā)現(xiàn)之后會創(chuàng)建一個新過濾器并納入管轄,試探 攻擊這些弱點(diǎn)的任何操作行為都會受到阻攔����。IPS技術(shù)能夠?qū)W(wǎng)絡(luò)進(jìn)行多層、深層�����、主動的 防護(hù)以有效保證企事業(yè)單位的網(wǎng)絡(luò)安全���。IPS相當(dāng)于防火墻與入侵檢測系統(tǒng)IDS結(jié)合���,但并 不能代替防火墻或IDS�。防火墻在基于TCP/IP協(xié)議的過濾功能突出�,IDS提供的全面審計 資料對于攻擊還原、入侵及異常操作取證�����、異常事件識別�����、網(wǎng)絡(luò)故障排除等都有很重要的功 效��。但是仍然存在對計算機(jī)網(wǎng)絡(luò)安全單一檢測�����、誤報率高�����、錯誤報警率多����、漏報���、動態(tài)實(shí)時交 互協(xié)同聯(lián)動性差、智能性和整體防御性差等缺點(diǎn)和不足����。網(wǎng)絡(luò)性能�、安全精確度和安全效率是計算機(jī)網(wǎng)絡(luò)安全面臨的主要問題。現(xiàn)有的傳 統(tǒng)式的防火墻是一種被動的靜態(tài)訪問控制系統(tǒng)�,依據(jù)安全策略只對外網(wǎng)信息進(jìn)行檢測(不 對內(nèi)網(wǎng)檢測),從而只能保護(hù)內(nèi)網(wǎng)不受外界非法訪問和攻擊�。而基于網(wǎng)絡(luò)的入侵防御系統(tǒng) NIPS (Network Intrusion Prevention System)具有難以智能主動阻斷可疑數(shù)據(jù)包、監(jiān)控 受限����、檢測分析方法單一、實(shí)時性差���、聯(lián)動協(xié)同性差�����、漏誤報率高�、異構(gòu)系統(tǒng)難互操作、體系 結(jié)構(gòu)不能滿足分布及開放的要求等缺點(diǎn)�����,致使計算機(jī)網(wǎng)絡(luò)安全隱患和威脅不斷增加�����,網(wǎng)絡(luò) 資源利用及共享服務(wù)的效能降低��,同時也加重了網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全員的人工輔助處理 與管理決策的負(fù)荷����。嚴(yán)重地影響計算機(jī)網(wǎng)絡(luò)安全防御和檢測的關(guān)鍵技術(shù)精確度、安全效率�����、 智能性�����、實(shí)動態(tài)時聯(lián)動性和安全防御的整體性能���。因此���,對其關(guān)鍵技術(shù)的研究成為國內(nèi)外倍 受矚目的高新技術(shù)����。云計算(Cloud Computing)是通過互聯(lián)網(wǎng)提供計算資源環(huán)境和服務(wù)的實(shí)現(xiàn)方式�, 是基于互聯(lián)網(wǎng)的超級計算模式。云計算可以將存儲于計算機(jī)����、移動電話和其他設(shè)備上的大量信息及處理器資源聚集、協(xié)同工作快速處理����。云計算主要是以一種分布式計算技術(shù)�,通過 網(wǎng)絡(luò)將龐大的計算處理程序自動分拆成多個子程序,再由多部服務(wù)器所組成的龐大系統(tǒng)���, 經(jīng)過協(xié)同搜索���、計算和分析處理后將結(jié)果回傳給終端,真正充分實(shí)現(xiàn)網(wǎng)絡(luò)資源共享����?�!霸瓢踩?Cloud Security) ”是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn)和云計算新應(yīng)用���,它 融合了并行處理、網(wǎng)格計算���、未知病毒行為判斷等新興技術(shù)和概念��,通過網(wǎng)狀的大量客戶端 對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測�,獲取互聯(lián)網(wǎng)中木馬�、惡意程序的最新信息,發(fā)送到服務(wù)器端 進(jìn)行自動分析和處理����,再將解決方案發(fā)到每一個客戶端。因此���,業(yè)界需要一種將云安全與基于網(wǎng)絡(luò)的入侵防御系統(tǒng)NIPS相結(jié)合的需求�。
發(fā)明內(nèi)容
在深入分析云安全的特點(diǎn)����、優(yōu)勢和核心技術(shù)的基礎(chǔ)上,分析了云火墻的特點(diǎn)結(jié)構(gòu) 及功能,以及基于網(wǎng)絡(luò)的入侵防御系統(tǒng)NIPS技術(shù)特點(diǎn)的基礎(chǔ)上��,將云安全技術(shù)���、動態(tài)云火 墻技術(shù)�、人工智能技術(shù)與入侵檢測防御技術(shù)結(jié)合與集成���,在構(gòu)建一種新型的基于動態(tài)云火 墻結(jié)構(gòu)模型的基礎(chǔ)上�����,設(shè)計出基于動態(tài)云火墻聯(lián)動的智能NIPS模型新結(jié)構(gòu)和實(shí)現(xiàn)方式�。本發(fā)明的一個方面為一種動態(tài)智能云火墻架構(gòu)�,其位于外網(wǎng)與內(nèi)網(wǎng)之間以控制所 述外網(wǎng)對所述內(nèi)網(wǎng)的訪問。所述云火墻架構(gòu)包括分析模塊�,收集所述外網(wǎng)的信息進(jìn)行分 析�,從而獲得安全策略;判定模塊�,根據(jù)所述安全策略判定要訪問所述內(nèi)網(wǎng)的外網(wǎng)信息是否 是異常的;監(jiān)控模塊��,根據(jù)所述判定模塊的判定結(jié)果對所述內(nèi)網(wǎng)的訪問進(jìn)行控制��。一些實(shí)施例中,所述分析模塊包括可信知識庫和特征規(guī)則庫����,其中,所述可信知識 庫收集所述外網(wǎng)的信息作為知識并對所述知識進(jìn)行數(shù)據(jù)挖掘而得到特征規(guī)則��,從而形成所 述特征規(guī)則數(shù)據(jù)庫����。一些實(shí)施例中,所述知識和特征規(guī)則經(jīng)由自適應(yīng)學(xué)習(xí)后進(jìn)入知識庫及特征規(guī)則 庫�����,并經(jīng)過不斷學(xué)習(xí)進(jìn)行知識和特征規(guī)則的更新�。一些實(shí)施例中,所述信息包括用戶行為�����、文件�、URL以及電子郵件等之間的相互關(guān)
聯(lián)信息。一些實(shí)施例中�,所述判定模塊包括防御代理模塊、專家系統(tǒng)模塊和檢測辨識代理 模塊�,其中所述專家系統(tǒng)模塊根據(jù)所述可信知識庫及所述特征規(guī)則庫利用所述防御代理模 塊和所述檢測識別代理模塊進(jìn)行判定和攔截抉擇���,并將判定結(jié)果發(fā)送至所述監(jiān)控模塊。一些實(shí)施例中����,所述監(jiān)控模塊為監(jiān)控工作站,其中���,若檢測出異常行為/信息或數(shù) 據(jù)包�����,則所述監(jiān)控工作站進(jìn)行防御性阻攔����、報警并予以審計記錄�����;若沒有檢測到異常行為/ 信息或數(shù)據(jù)包���,則允許所述外網(wǎng)信息進(jìn)入內(nèi)網(wǎng)進(jìn)行訪問,并實(shí)時與所述檢測控制工作站交 互監(jiān)控信息��。本發(fā)明的另一方面為一種基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(NIPS)構(gòu)架,所述NIPS構(gòu)架 與如權(quán)利要求1所述的云火墻聯(lián)動而連接至云安全�。一些實(shí)施例中,所述構(gòu)架利用云安全的特征檢測與識別模式��,通過所述NIPS判定 用戶所要訪問的資源的安全性�����,然后通過所述云火墻中的所述判定模塊利用所述分析模塊 進(jìn)行判定和鑒別抉擇�。一些實(shí)施例中,所述所述聯(lián)動包括利用本地服務(wù)器群響應(yīng)���、緩存支持和企業(yè)內(nèi)部 云服務(wù)器同步��。
以一種新的設(shè)計思想和方式將云安全技術(shù)�����、人工智能技術(shù)與網(wǎng)絡(luò)入侵防御技術(shù)結(jié) 合����。利用云安全的新技術(shù)特點(diǎn)��,結(jié)合動態(tài)云火墻技術(shù)所具有的實(shí)時提取�、交互協(xié)同聯(lián)動和 辨識異常信息的優(yōu)勢����,提高了檢測與辨識精度�����、動態(tài)交互協(xié)同聯(lián)動和智能阻斷決策性能����,避 免誤報和漏報率高,很好地解決計算機(jī)網(wǎng)絡(luò)安全整體動態(tài)防御和檢測的關(guān)鍵技術(shù)和核心問 題�����,從而提高了計算機(jī)網(wǎng)絡(luò)安全可靠性和整體動態(tài)聯(lián)動防御能力���。結(jié)合附圖�,根據(jù)下文的通過示例說明本發(fā)明主旨的描述可清楚本發(fā)明的其他方面 和優(yōu)點(diǎn)�����。
結(jié)合附圖�����,通過下文的述詳細(xì)說明���,可更清楚地理解本發(fā)明的上述及其他特征和 優(yōu)點(diǎn)��,其中圖1示出了根據(jù)本發(fā)明實(shí)施例的動態(tài)智能云火墻架構(gòu)的例子�;圖2示出了根據(jù)本發(fā)明的基于動態(tài)分布式云火墻聯(lián)動的智能OTPS構(gòu)架����。
具體實(shí)施例方式參見示出本發(fā)明實(shí)施例的附圖,下文將更詳細(xì)地描述本發(fā)明���。然而��,本發(fā)明可以以 許多不同形式實(shí)現(xiàn)�,并且不應(yīng)解釋為受在此提出之實(shí)施例的限制�。相反,提出這些實(shí)施例是 為了達(dá)成充分及完整公開�,并且使本技術(shù)領(lǐng)域的技術(shù)人員完全了解本發(fā)明的范圍。這些附 圖中���,為清楚起見���,可能放大了層及區(qū)域的尺寸及相對尺寸��。云安全網(wǎng)絡(luò)防護(hù)體系是一種新一代云客戶端安全基礎(chǔ)設(shè)施�,可在新威脅到達(dá)之前 對其進(jìn)行阻攔����,達(dá)到網(wǎng)絡(luò)安全智能化和主動防御。云安全分為兩類一是特征庫或類特征庫 在云端的儲存與共享����;二是作為一個最新的惡意代碼、垃圾郵件或釣魚網(wǎng)址等的快速收集�、 匯總和響應(yīng)處理的系統(tǒng)。本發(fā)明主要利用“云安全”的7大核心技術(shù)Web信譽(yù)服務(wù)(WRS)����、 郵件信譽(yù)服務(wù)(ERS)、文件信譽(yù)服務(wù)(FRS)���、行為關(guān)聯(lián)分析技術(shù)�、自動反饋機(jī)制���、威脅信息匯 總和病毒特征黑名單技術(shù)���。這項(xiàng)技術(shù)架構(gòu)的核心超越了阻攔Web威脅的傳統(tǒng)方法��。云火墻 基于云安全核心技術(shù)對動態(tài)分布式防火墻被動防護(hù)原理進(jìn)行重大改進(jìn)�����,其核心思想是將防 護(hù)攻擊變成動態(tài)的、協(xié)同的���、主動的智能訪問控制與防御系統(tǒng)�����。云火墻最關(guān)鍵工作是可信知 識庫對收集的大量信息進(jìn)行數(shù)據(jù)挖掘���,主要對用戶行為、文件��、URL以及電子郵件等之間相 互關(guān)聯(lián)信息的挖掘���,進(jìn)行特征提取��、檢測與辨識�����。將云安全和防火墻結(jié)合����,可使得網(wǎng)絡(luò)間互 相協(xié)同、動態(tài)交互統(tǒng)一的阻止和部署�。根據(jù)本發(fā)明的動態(tài)智能云火墻架構(gòu),其位于外網(wǎng)與內(nèi)網(wǎng)之間以控制所述外網(wǎng)對所 述內(nèi)網(wǎng)的訪問���。所述智能云火墻架構(gòu)包括分析模塊�����,收集所述外網(wǎng)的信息進(jìn)行分析��,從而 獲得安全策略��。判定模塊�,根據(jù)所述安全策略判定要訪問所述內(nèi)網(wǎng)的外網(wǎng)信息是否是異常 的���。監(jiān)控模塊�����,根據(jù)所述判定模塊的判定結(jié)果對所述內(nèi)網(wǎng)的訪問進(jìn)行控制����。分析模塊包括可信知識庫和特征規(guī)則庫,其中�����,所述可信知識庫收集所述外網(wǎng)的 信息作為知識并對所述知識進(jìn)行數(shù)據(jù)挖掘而得到特征規(guī)則�����,從而形成所述特征規(guī)則數(shù)據(jù) 庫�。所述知識和特征規(guī)則經(jīng)由自適應(yīng)學(xué)習(xí)后進(jìn)入知識庫及特征規(guī)則庫�����,并經(jīng)過不斷學(xué) 習(xí)進(jìn)行知識和特征規(guī)則的更新����。
5
判定模塊包括防御代理模塊、專家系統(tǒng)模塊和檢測辨識代理模塊��,其中所述專家 系統(tǒng)模塊根據(jù)所述可信知識庫及所述特征規(guī)則庫利用所述防御代理模塊和所述檢測識別 代理模塊進(jìn)行判定和攔截抉擇���,并將判定結(jié)果發(fā)送至所述監(jiān)控模塊�����。監(jiān)控模塊為監(jiān)控工作站����,其中,若檢測出異常行為/信息或數(shù)據(jù)包��,則所述監(jiān)控工 作站進(jìn)行防御性阻攔�、報警并予以審計記錄;若沒有檢測到異常行為/信息或數(shù)據(jù)包����,則允 許所述外網(wǎng)信息進(jìn)入內(nèi)網(wǎng)進(jìn)行訪問,并實(shí)時與所述檢測控制工作站交互監(jiān)控信息����。圖1示出了根據(jù)本發(fā)明實(shí)施例的動態(tài)智能云火墻架構(gòu)的例子。如圖1所示��,對外網(wǎng)信息經(jīng)過數(shù)據(jù)交換機(jī)的可信數(shù)據(jù)庫DB訓(xùn)練后��,方可進(jìn)入可信 知識庫學(xué)習(xí)與特征規(guī)則庫/策略比對����?�?尚胖R庫先由可信數(shù)據(jù)庫訓(xùn)練并進(jìn)行特征提取與 數(shù)據(jù)挖掘而得到的知識/規(guī)則��,經(jīng)過自適應(yīng)學(xué)習(xí)才進(jìn)入知識庫及特征規(guī)則庫��,并經(jīng)過不斷 學(xué)習(xí)進(jìn)行知識���、規(guī)則和策略的更新?��?尚胖R庫和特征規(guī)則庫是分析模塊的例子�����。防御代理模塊(Agent)、專家系統(tǒng)模塊和檢測辨識代理模塊(Agent)模塊交互聯(lián) 動����,整體聯(lián)動統(tǒng)一交互協(xié)同、實(shí)時防御��、檢測與辨識����。若檢測出異常行為/信息或數(shù)據(jù)包����,則 通過監(jiān)控工作站自動進(jìn)行防御性阻攔����、報警并予以審計記錄。若沒有檢測到異常行為/信 息或數(shù)據(jù)包����,則可進(jìn)入內(nèi)網(wǎng)進(jìn)行訪問,并實(shí)時與內(nèi)容檢測控制工作站交互監(jiān)控信息���,包括對 內(nèi)網(wǎng)的動態(tài)監(jiān)控�。防御代理模塊����、專家系統(tǒng)模塊和檢測辨識代理模塊模塊是判定模塊的例 子,而監(jiān)控工作站是監(jiān)控模塊的例子���。用戶行為���、文件�、URL以及電子郵件等之間的相互關(guān) 聯(lián)信息是所述信息的例子?����,F(xiàn)描述基于前述云火墻的NIPS構(gòu)架����。動態(tài)智能云火墻需要與NIPS進(jìn)一步聯(lián)動協(xié) 同,才能更好地發(fā)揮系統(tǒng)的整體協(xié)調(diào)�����、優(yōu)化����、檢測與實(shí)時交互防御等功效。根據(jù)本發(fā)明的基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(NIPS)構(gòu)架���,所述NIPS構(gòu)架與如前述的 云火墻聯(lián)動而連接至云安全。所述構(gòu)架利用云安全的特征檢測與識別模式���,通過所述NIPS 判定用戶所要訪問的資源的安全性�,然后通過所述云火墻中的所述判定模塊利用所述分析 模塊進(jìn)行判定和鑒別抉擇�。所述所述聯(lián)動包括利用本地服務(wù)器群響應(yīng)����、緩存支持和企業(yè)內(nèi) 部云服務(wù)器同步�����。圖2示出了根據(jù)本發(fā)明的基于動態(tài)分布式云火墻聯(lián)動的智能OTPS構(gòu)架����。如圖2所示,“云安全”將用戶和智能技術(shù)平臺通過互聯(lián)網(wǎng)集成����,組成一個木馬/惡 意軟件及攻擊指令監(jiān)測、查殺�、防護(hù)安全網(wǎng)絡(luò)。外網(wǎng)中包括各種信息和威脅����,例如,WEB/文 件/郵件信譽(yù)��、病毒��、惡意代碼���、攻擊指令��、安全威脅等���?����!霸贫恕边M(jìn)行動態(tài)實(shí)時的威脅信息集 中采樣與共享�����,從而形成多個特征庫���。NIPS構(gòu)架的病毒/惡意軟件自動分析系統(tǒng)通過云火 墻根據(jù)特征庫進(jìn)行采集識別和特征提起,從而實(shí)現(xiàn)主動交互協(xié)同安全服務(wù)����。云火墻最本質(zhì)的特點(diǎn)是其動態(tài)智能化,其技術(shù)實(shí)現(xiàn)的途徑可充分利用“云端”進(jìn) 行動態(tài)實(shí)時的威脅信息集中采樣與共享�����,實(shí)現(xiàn)主動交互協(xié)同安全服務(wù)����。實(shí)現(xiàn)狀態(tài)檢測的關(guān) 鍵是驗(yàn)證轉(zhuǎn)發(fā)數(shù)據(jù)包的序號及窗口信息等確認(rèn)數(shù)據(jù)包的合法性,可靠性和連接性可由上層 TCP協(xié)議提供���,TCP的流量控制由連接端通過聲明的窗口大小提供�����,主要確定合法數(shù)據(jù)包界 定條件及持續(xù)收集傳輸大量相關(guān)信息���。如思科擁有目前全球最龐大的安全威脅監(jiān)測網(wǎng)絡(luò) Sensor Base,就是新一代防火墻的‘云端’���?�?梢猿掷m(xù)收集互聯(lián)網(wǎng)上已知威脅的相關(guān)信息��, 包括連續(xù)攻擊者�、僵尸網(wǎng)絡(luò)收獲者�、惡意爆發(fā)和黑網(wǎng)(Dark Nets)等。通過實(shí)時傳輸?shù)皆苹?墻�,可提前及時阻斷或過濾掉這些攻擊者。獲得云火墻的方法其實(shí)比較簡單,如思科將ASA防火墻的軟件升級到8. 2版本即可�,而無須改變硬件。Sensor Base所產(chǎn)生的更新量也比較 小����,結(jié)果表明新系統(tǒng)的防御功效非常顯著。在思科云火墻的基礎(chǔ)上��,提出的一種新的基于云安全的與動態(tài)分布式多功能云火 墻聯(lián)動的智能IPS結(jié)構(gòu)設(shè)計與實(shí)現(xiàn)方法����。可將安裝云火墻的電腦和“云安全”系統(tǒng)平臺實(shí)時 相聯(lián)���,通過互聯(lián)網(wǎng)組成覆蓋整個網(wǎng)絡(luò)的惡意攻擊�����、網(wǎng)絡(luò)病毒�、惡意網(wǎng)址監(jiān)測的強(qiáng)大云安全網(wǎng) 絡(luò)體系�����,利用本地服務(wù)器群響應(yīng)���、緩存支持和企業(yè)內(nèi)部云服務(wù)器同步等技術(shù),即可實(shí)現(xiàn)動態(tài) 云火墻與智能IPS聯(lián)動問題��?;凇霸瓢踩辈呗院汀爸悄苤鲃臃烙奔夹g(shù)開發(fā)的新一代互 聯(lián)網(wǎng)安全防護(hù)系統(tǒng)�,可以將智能防護(hù)、殺毒軟件與防火墻的無縫集成�����、整體聯(lián)動��,極大降低 占用計算機(jī)資源����,集“攔截、防御���、查殺�����、保護(hù)”多重防護(hù)功能于一身����。可在最短時間內(nèi)發(fā)現(xiàn)�、 截獲、處理大量的最新異常攻擊����、計算機(jī)病毒和惡意網(wǎng)址等,并將解決方案及時送到所有用 戶端��,提前防范各種新生網(wǎng)絡(luò)威脅�����。本發(fā)明中����,通過“云安全”模式以瀏覽器與“安全云”進(jìn)行交互,訪問文件����、郵件或網(wǎng) 站;以智能采集���、識別���、特征提取等方式����,自動分析判斷用戶所訪問資源的安全性�����,然后通過 專家系統(tǒng)利用安全知識庫進(jìn)行深入分析和攔截抉擇���,并將解決方案發(fā)到客戶端。對惡意文 件或網(wǎng)站的處理同銀行體系的信用模式類似���,利用對文件����、網(wǎng)頁等資源信息進(jìn)行信譽(yù)建模����, 予以智能監(jiān)控識別和防護(hù),然后對這些資源的信譽(yù)評級進(jìn)行判定�。“安全云”最關(guān)鍵工作是 安全知識庫對收集的大量信息進(jìn)行數(shù)據(jù)挖掘�����,主要對文件、URL以及電子郵件之間相互關(guān)聯(lián) 信息的挖掘��,進(jìn)行特征提取檢測判別�,從而達(dá)到智能防護(hù)功能。根據(jù)本發(fā)明的基于動態(tài)分布式云火墻聯(lián)動的智能OTPS構(gòu)架�,通過建立共享、動態(tài) 交互和整體協(xié)同工作的安全體系��,實(shí)現(xiàn)防火墻�、監(jiān)測引擎的動態(tài)互動集成與聯(lián)動。對于本發(fā)明����,可以通過對其進(jìn)行模擬測試的方法,對比其效果����,可采用來源于全球 信息安全認(rèn)證中心的數(shù)據(jù),分別選取30個正常和異常數(shù)據(jù)�,對新模型采用⑶RE和RIPPER 算法,并對正常用戶訓(xùn)練數(shù)據(jù)和實(shí)時用戶數(shù)據(jù)進(jìn)行挖掘�,分別比較判斷用戶的歷史和當(dāng)前 行為模式。經(jīng)過10次是否異常的模擬測試�,每次測試均進(jìn)行20次正常訪問和20次攻擊訪 問,可以得到模擬系統(tǒng)的檢測結(jié)果��。結(jié)果表明,傳統(tǒng)防火墻和網(wǎng)絡(luò)防御系統(tǒng)采用靜態(tài)被動防 御及單一的檢測造成一定的誤報與漏報����,而改進(jìn)的新模型可提高特征庫準(zhǔn)確性、動態(tài)交互 協(xié)同聯(lián)動和涵蓋面�,以一種新的設(shè)計思想和方式將云安全技術(shù)、人工智能技術(shù)與網(wǎng)絡(luò)入侵 防御技術(shù)結(jié)合���。�。本發(fā)明具有如下優(yōu)點(diǎn)�。(1)將云安全技術(shù)����、動態(tài)云火墻技術(shù)、人工智能技術(shù)與NIPS結(jié)合是一種新的設(shè)計 思想和方法�。(2)利用云安全的新技術(shù)特點(diǎn),結(jié)合動態(tài)云火墻技術(shù)所具有的實(shí)時提取���、交互協(xié)同 聯(lián)動和辨識異常信息的優(yōu)勢�,提高了檢測與辨識精度�����、動態(tài)交互協(xié)同聯(lián)動和智能阻斷決策 性能,避免誤報和漏報率高��,很好地解決計算機(jī)網(wǎng)絡(luò)安全整體動態(tài)防御和檢測的關(guān)鍵技術(shù) 和核心問題�����,從而提高了計算機(jī)網(wǎng)絡(luò)安全可靠性和整體動態(tài)聯(lián)動防御能力.(3)通過建立共享��、動態(tài)交互和聯(lián)動工作的安全體系�����,實(shí)現(xiàn)防火墻�����、監(jiān)測引擎的互 通與聯(lián)動��,提高了網(wǎng)絡(luò)系統(tǒng)的智能檢測辨識��、阻斷決策�����、實(shí)時交互協(xié)同聯(lián)動和多深層�、主動 性����、整體協(xié)調(diào)的防御能力�����。�。
(4)通過構(gòu)建一個新型基于動態(tài)分布式云火墻聯(lián)動的智能NIPS模型新結(jié)構(gòu),探索 了一種先進(jìn)而有效的網(wǎng)絡(luò)安全檢測防御新技術(shù)��,更好地構(gòu)造具有高效檢測辨識能力�����、智能 性���、適應(yīng)性和可擴(kuò)展性的新型NIPS因本技術(shù)領(lǐng)域的技術(shù)人員應(yīng)理解,本發(fā)明可以以許多其他具體形式實(shí)現(xiàn)而不脫離 本發(fā)明的精神或范圍���。盡管業(yè)已描述了本發(fā)明的實(shí)施例����,應(yīng)理解本發(fā)明不應(yīng)限制為這些實(shí) 施例�����,本技術(shù)領(lǐng)域的技術(shù)人員可如所附權(quán)利要求書界定的本發(fā)明精神和范圍之內(nèi)作出變化 和修改。
權(quán)利要求
1.一種動態(tài)智能云火墻架構(gòu)��,其位于外網(wǎng)與內(nèi)網(wǎng)之間以控制所述外網(wǎng)對所述內(nèi)網(wǎng)的訪 問�,其特征在于,包括分析模塊�,收集所述外網(wǎng)的信息進(jìn)行分析,從而獲得安全策略��;判定模塊�,根據(jù)所述安全策略判定要訪問所述內(nèi)網(wǎng)的外網(wǎng)信息是否是異常的;監(jiān)控模塊���,根據(jù)所述判定模塊的判定結(jié)果對所述內(nèi)網(wǎng)的訪問進(jìn)行控制����。
2.如權(quán)利要求1所述的云火墻構(gòu)架����,其特征在于,所述分析模塊包括可信知識庫和特 征規(guī)則庫���,其中��,所述可信知識庫收集所述外網(wǎng)的信息作為知識并對所述知識進(jìn)行數(shù)據(jù)挖 掘而得到特征規(guī)則��,從而形成所述特征規(guī)則數(shù)據(jù)庫��。
3.如權(quán)利要求2所述的云火墻構(gòu)架�,其特征在于,所述知識和特征規(guī)則經(jīng)由自適應(yīng)學(xué) 習(xí)后進(jìn)入知識庫及特征規(guī)則庫���,并經(jīng)過不斷學(xué)習(xí)進(jìn)行知識和特征規(guī)則的更新�。
4.如權(quán)利要求3所述的云火墻構(gòu)架��,其特征在于�����,所述信息包括用戶行為��、文件���、URL以 及電子郵件等之間的相互關(guān)聯(lián)信息。
5.如權(quán)利要求1所述的云火墻構(gòu)架���,其特征在于�,所述判定模塊包括防御代理模塊、專 家系統(tǒng)模塊和檢測辨識代理模塊�����,其中所述專家系統(tǒng)模塊根據(jù)所述可信知識庫及所述特征 規(guī)則庫利用所述防御代理模塊和所述檢測識別代理模塊進(jìn)行判定和攔截抉擇�,并將判定結(jié) 果發(fā)送至所述監(jiān)控模塊。
6.如權(quán)利要求5所述的云火墻構(gòu)架�����,其特征在于�����,所述監(jiān)控模塊為監(jiān)控工作站����,其中, 若檢測出異常行為/信息或數(shù)據(jù)包�����,則所述監(jiān)控工作站進(jìn)行防御性阻攔�����、報警并予以審計 記錄;若沒有檢測到異常行為/信息或數(shù)據(jù)包�����,則允許所述外網(wǎng)信息進(jìn)入內(nèi)網(wǎng)進(jìn)行訪問�,并 實(shí)時與所述檢測控制工作站交互監(jiān)控信息。
7.一種基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(NIPS)構(gòu)架���,其特征在于����,所述NIPS構(gòu)架與如權(quán)利要 求1所述的云火墻聯(lián)動而連接至云安全����。
8.如權(quán)利要求7所述的構(gòu)架,其特征在于��,所述構(gòu)架利用云安全的特征檢測與識別模 式���,通過所述NIPS判定用戶所要訪問的資源的安全性��,然后通過所述云火墻中的所述判定 模塊利用所述分析模塊進(jìn)行判定和鑒別抉擇。
9.如權(quán)利要求8所述的構(gòu)架,其特征在于�,所述所述聯(lián)動包括利用本地服務(wù)器群響應(yīng)、 緩存支持和企業(yè)內(nèi)部云服務(wù)器同步�����。
全文摘要
一種基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(NIPS)構(gòu)架���,所述NIPS構(gòu)架與云火墻聯(lián)動而連接至云安全�����。以一種新的設(shè)計思想和方式將云安全技術(shù)���、人工智能技術(shù)與網(wǎng)絡(luò)入侵防御技術(shù)結(jié)合。利用云安全的新技術(shù)特點(diǎn)�,結(jié)合動態(tài)云火墻技術(shù)所具有的實(shí)時提取、交互協(xié)同聯(lián)動和辨識異常信息的優(yōu)勢����,提高了檢測與辨識精度、動態(tài)交互協(xié)同聯(lián)動和智能阻斷決策性能�,避免誤報和漏報率高,很好地解決計算機(jī)網(wǎng)絡(luò)安全整體動態(tài)防御和檢測的關(guān)鍵技術(shù)和核心問題�����,從而提高了計算機(jī)網(wǎng)絡(luò)安全可靠性和整體動態(tài)聯(lián)動防御能力。
文檔編號H04L29/06GK102111420SQ20111006379
公開日2011年6月29日 申請日期2011年3月16日 優(yōu)先權(quán)日2011年3月16日
發(fā)明者熊鵬, 賈鐵軍 申請人:上海電機(jī)學(xué)院