| 发明名称 | 用于内网网络攻击检测的报警和响应系统 | ||
| 摘要 | 本发明公开了一种用于内网网络攻击检测的报警和响应系统,系统包括管理中心、检测机和数据库。管理中心用于配置、修改检测机的各项参数,接收并存储检测机发送过来的报警信息,查询检测机的状态。检测机的异常检测算法模块对内网网络进行异常信息检测,获取异常检测信息并确定该信息的可信度,当该异常检测信息的可信度到达预设值时发出报警信息;根据报警信息确定产生异常检测信息的IP地址的隔离时间和隔离方式,对该IP地址进行隔离;对隔离时间到达预设值的IP地址解除隔离。本发明方法可准确、及时、有效的检测和防御内网主机向外网或同内网其他主机展开的攻击。 | ||
| 申请公布号 | CN101414927B | 申请公布日期 | 2011.05.11 |
| 申请号 | CN200810122357.1 | 申请日期 | 2008.11.20 |
| 申请人 | 浙江大学 | 发明人 | 董亚波;郭晔;鲁东明;魏蔚;王勇超 |
| 分类号 | H04L12/24(2006.01)I;H04L12/26(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L12/24(2006.01)I |
| 代理机构 | 杭州天勤知识产权代理有限公司 33224 | 代理人 | 胡红娟 |
| 主权项 | 一种用于内网网络攻击检测的报警和响应系统,包括:管理中心:用于配置、修改检测机的各项参数,并将各项配置信息存储在管理中心的数据库中;接收并存储检测机发送过来的报警信息;能够查询检测机当前的状态,包括检测机中异常检测算法模块的报警记录和攻击防御模块的响应记录,能够通过命令控制检测机的防御行为,对某台目标机采取防御措施,手工指定其响应行为;检测机:负责检测与之相连的交换机所对应的子网内部以及内部和外部网络之间的流量异常;数据库:由管理中心访问,用于存储检测和响应日志;检测机和交换机之间有两条物理链路,检测机对应有两块网卡,一块网卡连接交换机的镜像流量端口,另一块网卡连接交换机的普通流量端口;所述的检测机上运行有由内核流量采集处理模块、异常检测算法模块、管理模块和攻击防御模块构成的网络异常检测程序,执行本地检测算法以及报警算法和响应算法;所述的内核流量采集处理模块从网络接口处获取网络流量,并做简单的流量分析,实时得出分析结果;所述的异常检测算法模块从内核流量采集处理模块得到分析过的连接信息,根据各自的算法进行检测,将检测结果上报管理模块;所述的管理模块以守护进程的形式,通过报警算法对异常检测算法模块的检测结果进行可信度判断,并根据可信度是否到达预设值而决定是否发出报警;对于需要采取报警措施的检测结果,运行包括隔离和解除隔离的响应算法,负责向管理中心报警和控制交换机的访问控制列表,以控制响应行为;利用贝叶斯算法和熵算法做蠕虫和分布式拒绝服务攻击,即DDoS的检测并将攻击检测的结果转发给攻击防御模块采取应对措施;所述的攻击防御模块接收管理模块的报警后,通过向检测机所连接的交换机或路由器发送SNMP的管理消息,命令设备采取相应的防御措施。 | ||
| 地址 | 310027 浙江省杭州市西湖区浙大路38号 | ||