[发明专利]一种网络多路入侵检测防御方法及系统

说明书

技术领域

本发明涉及网络通信，网络攻击的检测和防护，具体涉及一种网络多路入侵检测防御方法及系统。

背景技术

针对网络监听部分，国内外主要侧重于通过一些标准函数库，调用网卡设备等，在网络上抓捕数据包，具体的分类大概可分为网络旁路监听部分和操作系统端监控部分。

网络旁路端监听：监听程序在不同操作系统使用的方式不同，在Windows环境下有3种方案可供选择以编程实现网络监听。具体介绍如下：

(1)Raw Socket(原始套接字)，起初是Unix上最流行的网络编程接口之一，后来微软将它引入到Windows中并得以实现。

(2)NDIS(Network Driver Interface Speci2fication)由Microsoft和3Com公司联合开发，是Windows中“通信协议程序”和“网络设备驱动器”之间通信的规范。它为协议通信程序操作网络设备提供标准的接口，它支持计算机通过不同的协议栈与网络相连。

(3)Packet 32和WinPcap(Windows Pack2et Capture)都是免费的、基于Windows平台下的网络接口，为Win 32应用程序提供访问网络底层的能力，并且它们工作于驱动层，效率很高。前者是微软的一个实现版本，后者是Unix下的Lipcap移植到Windows下的产物。表1对它们的优缺点进行了简要的比较。

而在Linux环境下，则有2种方案可供选择以编程实现网络监听。具体如下：

(1)Raw Socket(原始套接字)，Unix上最流行的网络编程接口，

(2)Libpcap(Packet Capture library)，数据包捕获函数库，本文应用的开发库，使用比较广泛，ethernal，linux下的sniffer就在此下面开发。

(3)Libnet(lib net)，libnet提供的接口函数主要实现和封装了数据包的构造和发送过程。

操作系统端监听部分：操作系统端做一些监控处理，要牵扯到访问控制等方式，才能很好的控制针对操作系统做出的一些非法访问和操作，而其监视模块，写入到操作系统内核，可以更加深入的监视外部程序对现有操作系统做的系统调用。在win32平台上，也是使用了ACL列表做访问控制，基本都是微软公司提供的winnt.h下的安全描述符的结构(SECURITY_DESCRIPTOR)做的访问控制工作，并且用WIN32下的access control entries(ACEs)做访问控制，如果进行访问控制操作，必须用微软授权的安全API实现，但是由于windows操作系统不开源，限制了很多监控，也屏蔽了内部细节。

而对应的厂家已有一些类似的专利：

北京启明星辰信息技术有限公司申请的“主机入侵检测方法及系统”专利号：CN200710098609.7.其专利技术核心主要是基于网络和操作系统审计，并且手动在控制中心定义规则，一定程度上不能及时的抵御实时攻击。

美国思科技术公司申请的“数据中心环境中的入侵检测”。专利号：CN200580031064.7。其专利核心也是在各节点设置IDS传感器，收集网络数据，记录其产生破坏的数据来源，并且加入特征签名。可以抵御已知攻击，但是每个数据流都要加入签名标识，工作量大，而且对未知攻击无法防御。

西安交通大学申请的Linux环境下基于调用栈图的入侵检测方法。专利号：200510042882.9。其专利主要利用linux系统中触发SYSCALL的技术来提取相关的特征，并且使用PTrace技术获取相关程序调用系统堆栈的情况，其缺点是改动Linux系统内核，如果内核升级，则会造成与该方法的冲突，而且在新的Linux2.6.28内核中由LSM彻底阻止其行为。所以该方法在新的系统中已经失效。

而针对Linux的访问控制方面，NSA工程师M.Tim Jones的相关文献中详细的说明了GNU/Linux中，利用SELinux进行授权访问控制，可以阻止操作系统本身的一些防御更改带来的新漏洞，其中在SELinux使用了其中一种权能模型(Capabilities)实现了相关访问控制技术，而由于权能模型自身漏洞，并且没有提供相应的访问控制接口，造成了安全防御程序对于操作系统监控的困难。

算法检测用到的反向神经网络算法：原有误差反向传播(BP)算法中，设神经网络网络共有s+1层，输入层为第0层，输出层为第s层。令表示在n+1层中第j神经元与第n中第k个神经元层连接的权值，可以得出其神经元的计算公式：