| 发明名称 | 用于内网网络攻击检测的报警和响应系统 | ||
| 摘要 | 本发明公开了一种用于内网网络攻击检测的报警和响应系统,系统包括管理中心、检测机和数据库。管理中心用于配置、修改检测机的各项参数,接收并存储检测机发送过来的报警信息,查询检测机的状态。检测机的异常检测算法模块对内网网络进行异常信息检测,获取异常检测信息并确定该信息的可信度,当该异常检测信息的可信度到达预设值时发出报警信息;根据报警信息确定产生异常检测信息的IP地址的隔离时间和隔离方式,对该IP地址进行隔离;对隔离时间到达预设值的IP地址解除隔离。本发明方法可准确、及时、有效的检测和防御内网主机向外网或同内网其他主机展开的攻击。 | ||
| 申请公布号 | CN101414927A | 申请公布日期 | 2009.04.22 |
| 申请号 | CN200810122357.1 | 申请日期 | 2008.11.20 |
| 申请人 | 浙江大学 | 发明人 | 董亚波;郭晔;鲁东明;魏蔚;王勇超 |
| 分类号 | H04L12/24(2006.01)I;H04L12/26(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L12/24(2006.01)I |
| 代理机构 | 杭州天勤知识产权代理有限公司 | 代理人 | 胡红娟 |
| 主权项 | 1. 一种用于内网网络攻击检测的报警和响应系统,包括:管理中心:用于配置、修改检测机的各项参数,并将各项配置信息存储在管理中心的数据库中;接收并存储检测机发送过来的报警信息;能够查询检测机当前的状态,包括检测机中异常检测算法模块的报警记录和攻击防御模块的响应记录,能够通过命令控制检测机的防御行为,对某台目标机采取防御措施,手工指定其响应行为;检测机:负责检测与之相连的交换机所对应的子网内部以及内部和外部网络之间的流量异常;数据库:由管理中心访问,用于存储检测和响应日志;检测机和交换机之间有两条物理链路,检测机对应有两块网卡,一块网卡连接交换机的镜像流量端口,另一块网卡连接交换机的普通流量端口。 | ||
| 地址 | 310027浙江省杭州市西湖区浙大路38号 | ||