基于协同入侵检测的大规模网络安全防御系统

摘要

本发明公开了一种基于协同入侵检测的大规模网络安全防御系统。其中，并行防火墙子系统采用先进的并行技术和独特的基于信任度的模型，有效志抵御DDoS攻击；并行IDS子系统采用并行技术和流行的状态检测技术相结合；流量检测子系统基于人工神经网络模型，对非规则数据具有高度的识别能力，能检测已知攻击并发现新的攻击行为。并行防火墙子系统、并行IDS子系统、流量检测子系统以及关联分析与报警聚类子系统在功能上是彼此独立和完整的，它们通过内部提供的接口，采用消息驱动机制来交换检测信息以及传递检测和防御规则，做到协同响应和相互补充。各子系统通过控制台管理子系统进行统一管理，形成三重粒度的并行协同响应系统，从而有效的防止协同入侵。

主权项

1、一种基于协同入侵检测的大规模网络安全防御系统，其特征在于：该系统包括前端调度子系统(1)、防火墙子系统(2)、流量检测子系统(3)、入侵检测子系统(4)、后端调度子系统(5)、报警的聚类与关联子系统(6)以及控制台子系统(7)；前端调度子系统(1)用于与控制台子系统(7)进行通讯，根据获得的关于防火墙子系统(2)的状态信息，对从外部网络进入的数据包进行基于容错散列调度算法的负载调度，并采用双机热备份的方式进行容错处理，保证主调度器在出现故障时，后备调度器能够顺利地接替主调度器的工作；防火墙子系统(2)用于与控制台子系统(7)进行通讯，按照用户在控制台子系统(7)上设定的策略对进出受保护网络的数据包进行控制，定期汇报自身的状态，根据对相关数据包的分析检测入侵行为，并向控制台子系统(7)发送报警信息；流量检测子系统(3)采用人工神经网络模型对网络数据进行入侵检测分析；入侵检测子系统(4)采用并行技术和基于协议流分析技术对网络中的数据包进行检测，发现入侵行为后进行报警；后端调度子系统(5)用于将防火墙子系统(2)检测后允许通过的从外部网络进入的数据包调度给各个入侵检测子系统(4)，并同时发往受保护的内部网络；并将从内部网络发出的数据包调度给防火墙子系统(2)；报警的聚类与关联子系统(6)采用数据挖掘技术和相似性评估方法，提供报警信息的聚类处理和关联分析功能，挖掘不同入侵行为之间的关联关系，并据此生成关联规则供防火墙子系统(2)和入侵检测子系统(4)使用；控制台子系统(7)用于对整个系统进行配置与监控；当外部网络访问受内部网络时，前端调度子系统(1)将数据包调度给防火墙子系统(2)；同时流量检测子系统(3)获取所有数据包的镜像数据；防火墙子系统(2)和流量检测子系统(3)分别对数据包进行检测，当检测到入侵之后进行报警以及交互响应；防火墙子系统(2)阻断检测到的非法数据包，将其余的数据包发往后端调度子系统(5)；后端调度子系统(5)一方面将数据包调度给入侵检测子系统(4)，进行进一步的检测，另一方面将数据包调度给受保护的内部网络；防火墙子系统(2)、流量检测子系统(3)和入侵检测子系统(4)的报警信息都发往报警的聚类与关联子系统(6)；报警的聚类与关联子系统(6)通过分层聚类技术对报警信息进行合并，将合并后的报警发往控制台子系统(7)；报警的聚类与关联子系统(6)通过关联分析和序列分析对报警信息进行分析，当获得报警信息的关联信息后可以生成关联规则，并将其发往控制台子系统(7)；控制台子系统(7)根据报警的聚类与关联子系统(6)发来的聚类后的报警信息，通知防火墙子系统(2)和入侵检测子系统(4)采取响应措施，同时采用通知管理员；控制台子系统(7)收到报警的聚类与关联子系统(6)发来的关联规则后，将其发布给防火墙子系统(2)；当内部网络访问外部网络时，后端调度子系统(5)将从内部网络发出的数据包调度给各个防火墙子系统(2)；防火墙子系统(2)对数据包进行地址转换等处理之后，发往外部网络。