一種免疫網(wǎng)絡系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明屬于互聯(lián)網(wǎng)領域,尤其涉及一種免疫網(wǎng)絡系統(tǒng)。
【背景技術】
[0002]信息安全問題普遍存在于社會經(jīng)濟、軍事技術、國家安全、知識產(chǎn)權(quán)、商業(yè)秘密乃至個人隱私等各個方面。網(wǎng)絡安全是計算機網(wǎng)絡及其應用領域中一直研究的關鍵問題,然而傳統(tǒng)的網(wǎng)絡安全理論和技術存在著以下三個無法克服的缺陷。首先,集中控制的方法對于當前分布式的網(wǎng)絡環(huán)境顯得力不從心;其次,網(wǎng)絡具有同構(gòu)性,無法阻止可疑入侵者及病毒迅速廣泛傳播;再次,當前網(wǎng)絡威脅日新月異,傳統(tǒng)網(wǎng)絡安全理論和技術的靜態(tài)性和被動性已經(jīng)無法適應惡劣多變的網(wǎng)絡環(huán)境。
[0003]目前,縱觀國內(nèi)外研究,可生存性研究主要還是處于理論研究階段,并且在不斷地吸收容錯、入侵容忍、重配置能力或冗余能力來提高系統(tǒng)的可生存能力。但是在這些解決方案中,對攻擊、異常的檢測、評估以及重新配置的執(zhí)行,都需要人為介入,存在不同程度的時延。針對可生存系統(tǒng)的自適應響應、恢復和演化能力的增強還沒有涉及。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實施例提供一種免疫網(wǎng)絡系統(tǒng),旨在解決現(xiàn)有技術中無法阻止可疑程序入侵及病毒迅速傳播的問題。
[0005]本發(fā)明實施例是這樣實現(xiàn)的,一種免疫網(wǎng)絡系統(tǒng),所述系統(tǒng)包括:
[0006]透明防火墻,用于分析現(xiàn)有網(wǎng)絡掃描技術,提取普適性的掃描特征并將其作為過濾規(guī)則進行過濾;
[0007]智能巡檢裝置,用于審計并監(jiān)測進入網(wǎng)內(nèi)流量,提出異常流量處理建議,并與產(chǎn)生異常流量的主機通信,提取攻擊指紋特征,存儲至免疫特征庫;以及
[0008]應急裝置,為所述智能巡檢裝置檢測到的受損內(nèi)網(wǎng)節(jié)點提供應急通道,并在用戶工作完成后提示用戶將所述受損節(jié)點還原至未受攻擊之前的安全狀態(tài)。
[0009]本發(fā)明實施例通過對網(wǎng)絡流量進行監(jiān)測與審計,維護網(wǎng)絡良好狀態(tài),通過對未知入侵行為的分析及記憶,提高網(wǎng)絡免疫能力,在入侵后能有效控制危害范圍,保證網(wǎng)絡暢通和服務的正常提供,該系統(tǒng)具備自主修復還原能力,維護網(wǎng)絡的運營穩(wěn)定。
【附圖說明】
[0010]圖1是本發(fā)明實施例提供的免疫網(wǎng)絡系統(tǒng)的結(jié)構(gòu)圖;
[0011]圖2是本發(fā)明實施例提供的智能巡檢裝置的結(jié)構(gòu)圖。
【具體實施方式】
[0012]為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0013]本發(fā)明實施例通過各模塊間的緊密配合,有效填補了現(xiàn)有安全產(chǎn)品體系間的空缺,避免了傳統(tǒng)網(wǎng)絡安全產(chǎn)品各自為戰(zhàn)的局面。
[0014]圖1是本發(fā)明實施例提供的免疫網(wǎng)絡系統(tǒng)的結(jié)構(gòu)圖,詳述如下:
[0015]透明防火墻11分析現(xiàn)有網(wǎng)絡掃描技術,提取普適性的掃描特征并將其作為過濾規(guī)則進行過濾。
[0016]在本發(fā)明實施例中,透明防火墻工作在受到保護的網(wǎng)絡內(nèi)部和其余外部網(wǎng)絡之間,是內(nèi)部和外部信息交流必須通過的網(wǎng)橋,設置為無IP的狀態(tài),因此內(nèi)部和外部網(wǎng)絡都不會在網(wǎng)絡拓撲中發(fā)現(xiàn)防火墻的存在,有效保障了自身的安全,實現(xiàn)了對內(nèi)外網(wǎng)絡透明的特性。
[0017]在本發(fā)明實施例中,透明防火墻還防止外網(wǎng)掃描。當前網(wǎng)絡攻擊的基本步驟為:掃描端口、判斷開放了哪些服務、判斷入侵對象的操作系統(tǒng)、和所開放的服務選擇入侵方法。由此可見,為得到目標系統(tǒng)中有哪些服務可以被訪問和攻擊,在入侵的開始階段往往是盲目的,而端口掃描常常是攻擊的前奏。所有,系統(tǒng)中防火墻的主要目標示防止外網(wǎng)的掃描,讓網(wǎng)外的攻擊者無法獲取網(wǎng)內(nèi)主機的正確信息,以隔離大多數(shù)來自外網(wǎng)的攻擊。
[0018]智能巡檢裝置12審計并監(jiān)測進入網(wǎng)內(nèi)流量,提出異常流量處理建議,并與產(chǎn)生異常流量的主機通信,提取攻擊指紋特征,存儲至免疫特征庫。
[0019]在本發(fā)明實施例中,智能巡檢裝置是網(wǎng)絡免疫系統(tǒng)的第二道防線,起到與人體免疫中的第二道防線相似的功能。
[0020]應急裝置13為智能巡檢裝置12檢測到的受損內(nèi)網(wǎng)節(jié)點提供應急通道,并在用戶工作完成后提示用戶將所述受損節(jié)點還原至未受攻擊之前的安全狀態(tài)。
[0021]在本發(fā)明實施例中,應急裝置13包括應急單元和還原單元。其中:
[0022]應急單元提示被攻陷主機的用戶,將該用戶的工作環(huán)境暫時遷至應急通道,用戶可以通過應急通道繼續(xù)享受正常的網(wǎng)絡服務和其他系統(tǒng)服務,并在一個全新的安全環(huán)境中繼續(xù)自己的工作,而不必中斷工作立即處理安全問題。使用緊急通道時除進程以外的所有進程均無法訪問網(wǎng)絡,從而制止攻擊行為,保護網(wǎng)絡整體的安全。
[0023]還原單元待用戶完成工作離開計算機時,提示用戶存在安全隱患并給出精確的還原時間建議,幫助用戶選擇將計算機恢復至入侵之前的安全狀態(tài)。
[0024]圖2示出了本發(fā)明實施例提供的智能巡檢裝置的結(jié)構(gòu)圖,詳述如下:
[0025]在本發(fā)明實施例中,智能巡檢裝置12包括巡邏監(jiān)控單元21和免疫隔離單元22。其中:
[0026]巡邏監(jiān)控單元21審計并監(jiān)測進入網(wǎng)內(nèi)流量,提出異常流量處理建議,并對其進行引導重定向至免疫隔離單元。
[0027]本發(fā)明實施例針對內(nèi)網(wǎng)并發(fā)流量可能很大的情況,系統(tǒng)設計了巡邏監(jiān)控單元,單一時間內(nèi)用巡邏的方式監(jiān)控少量幾臺內(nèi)網(wǎng)主機。這種方式是安全和效率的一種折衷,既保證了巡邏服務的正常提供和服務器自身的穩(wěn)定安全,也充分利用了服務器性能。
[0028]在本發(fā)明實施例中,巡邏監(jiān)控單元21具體包括免疫特征匹配模塊211、端口審計模塊212、流量統(tǒng)計模塊213,以及流量異常評估模塊214。其中:
[0029]免疫特征匹配模塊211計算被監(jiān)控主機通信數(shù)據(jù)包的免疫特征指紋,與免疫特征庫內(nèi)記錄比對。
[0030]本發(fā)明實施例計算被監(jiān)控主機通信數(shù)據(jù)包的免疫特征指紋,與免疫特征庫內(nèi)記錄對比,若有指紋一致的項目則再將當前數(shù)據(jù)包與免疫特征庫記錄的數(shù)據(jù)包逐字節(jié)對比,若報文內(nèi)容完全相符則認為當前數(shù)據(jù)包屬于攻擊數(shù)據(jù)包,則當前巡邏主機被認定為存在威脅,將提示用戶連接應急裝置13。
[0031]端口審計模塊212選取通信連接中和服務相關的要素進行綜合分析,為維護和研究提供詳實報告。
[0032]本發(fā)明實施例選取通信連接中和服務相關的五個要素進行綜合分析,為管理員的維護和研究提供詳實的報告。五要素分別是:IP、Port、Service、Product以及Vers1n,用來描述該主機IP地址、開放端口、端口所提供服務、所使用應用軟件和版本號信息,比如把連接一方的信息127.0.0.1:80:http:apache:2.2.17作為審核名單的一條記錄。
[0033]流量統(tǒng)計模塊213利用原始數(shù)據(jù)包報文頭部信息進行流量統(tǒng)計,以主機對外的每一個連接為單位進行流量統(tǒng)計,通過提取通信雙方IP和端口號特征信息參與哈希函數(shù)運算,用步長倍增的算法解決哈希沖突,并用包頭中的報文長度字段值更新所屬連接的累計流量。
[0034]流量監(jiān)測是網(wǎng)絡安全和網(wǎng)