本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,更具體地涉及一種網(wǎng)絡(luò)安全系統(tǒng)及檢測(cè)方法。
背景技術(shù):
在以信息制勝的網(wǎng)絡(luò)時(shí)代,信息資源的重要性更加凸顯,由于單個(gè)企業(yè)所能獲取或提供的信息都是有限的,因而公共信息服務(wù)平臺(tái)應(yīng)運(yùn)而生,此類平臺(tái)大多由政府、企業(yè)、高校、行業(yè)組織等多元主體投入、采用市場(chǎng)化機(jī)制運(yùn)作、面向社會(huì)開放、服務(wù)中小企業(yè)、研究開發(fā)產(chǎn)業(yè)共性與關(guān)鍵性技術(shù)、提高本地區(qū)創(chuàng)新能力。
知識(shí)產(chǎn)權(quán)運(yùn)營(yíng)平臺(tái)是提高區(qū)域創(chuàng)新能力,實(shí)現(xiàn)智力成果有效轉(zhuǎn)化的重要方式,更是推進(jìn)知識(shí)產(chǎn)權(quán)產(chǎn)業(yè)不斷發(fā)展,打造文化軟實(shí)力的必然要求。知識(shí)產(chǎn)權(quán)運(yùn)營(yíng)平臺(tái)的建立,不僅可以為思想、智慧進(jìn)入資本市場(chǎng)提供可能,更是為整合市場(chǎng)資源,創(chuàng)新產(chǎn)業(yè)的融資模式做出有益的實(shí)踐,知識(shí)產(chǎn)權(quán)運(yùn)營(yíng)平臺(tái)的建立不僅為知識(shí)產(chǎn)權(quán)供需雙方搭建了一個(gè)高效靈活的知識(shí)產(chǎn)權(quán)成果交易、知識(shí)產(chǎn)權(quán)投融資活動(dòng)、無形資產(chǎn)評(píng)估等的公共服務(wù)平臺(tái),也為知識(shí)產(chǎn)權(quán)管理者重視和促進(jìn)知識(shí)產(chǎn)權(quán)轉(zhuǎn)讓管理提供新思路,進(jìn)一步促進(jìn)知識(shí)產(chǎn)權(quán)的產(chǎn)業(yè)化發(fā)展,為實(shí)現(xiàn)“中國創(chuàng)造”添磚加瓦。
知識(shí)產(chǎn)權(quán)運(yùn)營(yíng)平臺(tái)作為一個(gè)高度整理信息資源,提供公共服務(wù)的管理平臺(tái),對(duì)數(shù)據(jù)安全以及網(wǎng)絡(luò)的安全運(yùn)行都提出了更高的要求,在構(gòu)建中要做好安全防御措施,及時(shí)處理突發(fā)情況,確保網(wǎng)絡(luò)能夠安全穩(wěn)定的運(yùn)行。
入侵檢測(cè)是近年來主流的保護(hù)網(wǎng)絡(luò)安全的方法,入侵檢測(cè)技術(shù)作為一種積極主動(dòng)的安全防護(hù)技術(shù),能夠靈活的針對(duì)各種網(wǎng)絡(luò)結(jié)構(gòu)的特性,主動(dòng)監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)或者系統(tǒng),并能夠?qū)ν獠抗?、?nèi)部攻擊以及錯(cuò)誤操作的進(jìn)行實(shí)時(shí)保護(hù),形成有效的安全策略,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或者系統(tǒng)起著主動(dòng)防御的作用,是計(jì)算機(jī)安全和網(wǎng)絡(luò)安全必不可少的一個(gè)組成部分。
入侵檢測(cè)系統(tǒng)根據(jù)其檢測(cè)數(shù)據(jù)來源分為兩類:基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)從單個(gè)主機(jī)上提取數(shù)據(jù)(如系統(tǒng)日志等)作為入侵分析的數(shù)據(jù)源,而基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)從網(wǎng)絡(luò)上提取網(wǎng)絡(luò)報(bào)文作為入侵分析的數(shù)據(jù)源。通常來說基于主機(jī)的入侵檢測(cè)系統(tǒng)只能檢測(cè)單個(gè)主機(jī)系統(tǒng),而基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以對(duì)本網(wǎng)段的多個(gè)主機(jī)系統(tǒng)進(jìn)行檢測(cè),多個(gè)分布于不同網(wǎng)段上的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以協(xié)同工作以提供更強(qiáng)的入侵檢測(cè)能力。
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)對(duì)IP數(shù)據(jù)包的獲取一般采用被動(dòng)的基于包偵聽的方式,及時(shí)檢測(cè)到攻擊,也很難采取實(shí)時(shí)、有效的阻止或控制措施。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明將防火墻和入侵檢測(cè)技術(shù)結(jié)合在一起,解決了傳統(tǒng)入侵檢測(cè)不能進(jìn)行主動(dòng)控制的
問題。
一種應(yīng)用于知識(shí)產(chǎn)權(quán)運(yùn)營(yíng)平臺(tái)的網(wǎng)絡(luò)安全系統(tǒng),包括防火墻、事件發(fā)生器、入侵檢測(cè)模塊、事件存儲(chǔ)模塊和報(bào)警模塊。防火墻、事件發(fā)生器、入侵檢測(cè)模塊和報(bào)警模塊依次相連,事件儲(chǔ)存模塊與入侵檢測(cè)模塊和防火墻相連。
防火墻負(fù)責(zé)對(duì)流入的網(wǎng)絡(luò)數(shù)據(jù)首先進(jìn)行過濾;
事件發(fā)生器負(fù)責(zé)將來自防火墻的IP包進(jìn)行分析、篩選后,轉(zhuǎn)換成有用事件信息傳送給入侵檢測(cè)模塊;
入侵檢測(cè)模塊對(duì)事件發(fā)生器傳送過來的事件信息進(jìn)行入侵檢測(cè);
報(bào)警模塊根據(jù)入侵檢測(cè)模塊發(fā)送的檢測(cè)結(jié)果,向服務(wù)器發(fā)出警告信息;
事件存儲(chǔ)模塊接收入侵檢測(cè)模塊發(fā)送的檢測(cè)結(jié)果,對(duì)入侵檢測(cè)模塊檢測(cè)出的攻擊數(shù)據(jù),進(jìn)行分析和統(tǒng)計(jì),根據(jù)分析結(jié)果及時(shí)更新所儲(chǔ)存的安全策略庫。
進(jìn)一步地,入侵檢測(cè)采用基于統(tǒng)計(jì)的檢測(cè)方法,具體步驟如下:
(1)對(duì)事件發(fā)生器收集到的信息進(jìn)行統(tǒng)計(jì);
(2)不斷地與正常網(wǎng)絡(luò)狀態(tài)描述庫進(jìn)行實(shí)時(shí)比較,通過入侵檢測(cè)函數(shù)來判斷是否發(fā)生
了入侵事件,如發(fā)生,則將該事件發(fā)送至事件存儲(chǔ)模塊,若沒有發(fā)生入侵,則重復(fù)步驟(1);
(3)事件存儲(chǔ)模塊根據(jù)接收到的入侵事件信息,修改防火墻的安全策略,改變防火墻的過濾行為,實(shí)現(xiàn)實(shí)時(shí)控制;
(4)重復(fù)步驟(1)。
進(jìn)一步地,所述基于統(tǒng)計(jì)的檢測(cè)方法中采用的入侵檢測(cè)函數(shù)為基于Naive-Bayes算法的。
有益效果
(1)利用防火墻技術(shù)既實(shí)現(xiàn)了對(duì)入侵檢測(cè)所需的網(wǎng)絡(luò)數(shù)據(jù)的獲取,又解決了傳統(tǒng)入侵檢測(cè)不能進(jìn)行主動(dòng)控制的問題,確保知識(shí)產(chǎn)權(quán)運(yùn)營(yíng)平臺(tái)的信息安全;
(2)網(wǎng)絡(luò)入侵檢測(cè)的結(jié)果也為防火墻的安全管理策略提供依據(jù),提高了防火墻的智能訪問控制能力。
附圖說明
圖1為本發(fā)明的系統(tǒng)結(jié)構(gòu)示意圖。
圖2為本發(fā)明使用的檢測(cè)方法流程圖。
具體實(shí)施方式
如圖1所示,一種基于知識(shí)產(chǎn)權(quán)運(yùn)營(yíng)平臺(tái)的網(wǎng)絡(luò)安全系統(tǒng),包括防火墻、事件發(fā)生器、入侵檢測(cè)模塊、報(bào)警模塊和事件存儲(chǔ)模塊。防火墻、事件發(fā)生器、入侵檢測(cè)模塊和報(bào)警模塊依次相連,事件儲(chǔ)存模塊與入侵檢測(cè)模塊和防火墻相連。
防火墻采用包過濾防火墻,其根據(jù)IP數(shù)據(jù)包包頭的信息與安全策略來決定是否轉(zhuǎn)發(fā)該IP數(shù)據(jù)包,安全策略對(duì)過濾行為的正確性和效率影響很大,為了簡(jiǎn)化規(guī)則和提高效率,防火墻系統(tǒng)的過濾模塊采用了基于連接和哈希算法的高效包過濾技術(shù),只有在系統(tǒng)收到申請(qǐng)連接建立的包時(shí)才查找規(guī)則集,將拒絕或允許的標(biāo)記寫入連接狀態(tài)表,對(duì)于普通的IP數(shù)據(jù)包則通過對(duì)源IP地址、源端口、目標(biāo)的IP地址、目的端口的哈希算法在連接狀態(tài)表里迅速定位連接幾率,找出相應(yīng)的動(dòng)作,從而提高包過濾的效率。
事件發(fā)生器負(fù)責(zé)將來自防火墻的IP包進(jìn)行協(xié)議分析、篩選后,轉(zhuǎn)換成有用事件信息傳送給入侵檢測(cè)模塊。
入侵檢測(cè)模塊對(duì)事件發(fā)生器傳送過來的事件信息進(jìn)行入侵檢測(cè);
報(bào)警模塊根據(jù)入侵檢測(cè)模塊發(fā)送的檢測(cè)結(jié)果,向服務(wù)器發(fā)出警告信息;
事件存儲(chǔ)模塊接收入侵檢測(cè)模塊發(fā)送的檢測(cè)結(jié)果,對(duì)入侵檢測(cè)模塊檢測(cè)出的攻擊數(shù)據(jù),進(jìn)行分析和統(tǒng)計(jì),根據(jù)分析結(jié)果及時(shí)更新所儲(chǔ)存的安全策略庫。
進(jìn)一步地,入侵檢測(cè)采用基于統(tǒng)計(jì)的檢測(cè)方法,如圖2所示,具體步驟如下:
(1)對(duì)事件發(fā)生器收集到的信息進(jìn)行統(tǒng)計(jì);
(2)將統(tǒng)計(jì)量與入侵檢測(cè)函數(shù)中設(shè)定的閾值進(jìn)行比較,如超過閾值,則判斷發(fā)生了入侵事件,將該事件發(fā)送至事件存儲(chǔ)模塊,若沒有超過閾值,則判斷沒有發(fā)生入侵,重復(fù)步驟(1);
(3)事件存儲(chǔ)模塊根據(jù)接收到的入侵事件信息,修改防火墻的安全策略,改變防火墻的過濾行為,實(shí)現(xiàn)實(shí)時(shí)控制;
(4)重復(fù)步驟(1)。
進(jìn)一步地,所述入侵檢測(cè)函數(shù)采用基于Naive-Bayes算法。該算法比單純地根據(jù)某個(gè)統(tǒng)
計(jì)量或多個(gè)統(tǒng)計(jì)量的組合運(yùn)算要優(yōu)越,因?yàn)镹aive-Bayes算法是通過學(xué)習(xí)來獲取各統(tǒng)計(jì)量在入侵檢測(cè)中的重要性,要比固定的多個(gè)統(tǒng)計(jì)量的某種運(yùn)算更加智能,更加接近網(wǎng)絡(luò)的具體應(yīng)用環(huán)境。
基于統(tǒng)計(jì)的檢測(cè)是通過測(cè)試統(tǒng)計(jì)量是否超過預(yù)定的閾值來識(shí)別網(wǎng)絡(luò)異常的,因此對(duì)閾值的選擇非常重要,如果閾值選得太低,則誤報(bào)的可能性比較大,如果閾值選得過高,那么可能會(huì)漏掉一些異常的連接,本發(fā)明優(yōu)選的閾值為0.8。
本發(fā)明中防火墻和入侵檢測(cè)模塊分別由兩臺(tái)主機(jī)充當(dāng),他們之間用快速以太網(wǎng)相連,防火墻主機(jī)上插有2塊網(wǎng)卡,其中1塊工作在橋的方式下,不需要任何IP地址,這樣既可以增加防火墻自身的透明性、隱蔽性和安全性,同時(shí)應(yīng)用時(shí)也無需改線具體網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu);另外一塊網(wǎng)卡負(fù)責(zé)完成與入侵檢測(cè)主機(jī)的通信功能。