[实用新型]新型内网入侵检测设备

说明书

技术领域

本实用新型涉及一种检测设备，具体涉及和种新型内网入侵检测设备。

背景技术

随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，计算机网络已经成为国家的经济基础和命脉。能否及时发现网络黑客的入侵，有效地检测出网络中的异常流量，成为所有网络用户面临的一个重要问题。

随着网络的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况： 

u 企业的网络系统被入侵了，造成服务器瘫痪，但不知道什么时候被入侵的； 

u 客户抱怨企业的网页无法正常打开，检查发现是服务器被攻击了，但不知道遭受何种方式的攻击； 

u 员工因为访问恶意站点，将后门、木马等威胁引入企业内网，造成敏感信息外泄，给企业造成巨大的损失，却无法找到问题根源； 

u 企业网络拥塞，应用正常业务运转，却无法定位消耗带宽的应用类型； 

u 企业网络瘫痪，检查出遭受蠕虫病毒攻击，但不知道如何清除并避免再次遭到攻击； 

u 企业网络被入侵了，安全事件调查中缺乏证据。

入侵检测技术是当前网络安全领域的研究热点， 在保障网络安全方面起着重要的作用。当前有两类比较成熟的入侵检测系统： 基于误用的入侵检测和基于异常的入侵检测。在实际中的应用中，入侵检测系统通常都是多种检测方法的组合， 但还有很多地方值得进一步深入研究。目前IDS存在的问题主要体现在以下几点：

1. 误/漏报率高

误报与漏报是入侵检测系统重要的性能参数，也是当前IDS 存在的主要问题。IDS 的高误报率是由其检测精度过低造成的，其常用的检测方式都存在缺陷，针对大规模的组合式、分布式攻击还没有较好的方法和解决方案。例如，异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。

2. 缺少主动防御能力

检测是被动且功能有限的技术，IDS 缺少主动防御功能。由于IDS 采用了预设置和特征分析工作原理，现有检测规则的更新总是落后于攻击手段的更新。现实情况是，一个新的系统漏洞的公布，可能就会立即出现利用该漏洞攻击的方法或手段， 但与之相适应的检测、防护规则却可能需要很长时间才能研发出来弥补该漏洞。现实中存在着一个发现新入侵方法到用户升级安全规则库和知识库的时间差， 对于恶意的入侵者， 这个时间差就已足够入侵者发动入侵攻击行为。

3. 缺乏准确定位和处理机制

IDS 仅能识别IP 地址，无法定位IP 地址，不能识别数据来源。在发现攻击事件时，只能关闭网络出口和服务器的少数端口， 但这样会影响其他正常用户的使用，缺乏有效的响应处理机制。

发明内容

本实用新型的目的即在于克服现在技术的不足，提供一种体积小、成本低、结构简单、使用方便的新型内网入侵检测设备。 

本实用新型的目的是通过以下技术方案来实现的：新型内网入侵检测设备，包括网络数据采集模块和网络数据管理模块，控制信号输出模块，上述的网络数据采集模块包括微处理器A及连接在微处理器A上的ADC采样单元和CPLD可编程逻辑器，微处理器A上还设置有多个采集端口，采集端口用于连接外部的网络信号传感器，CPLD可编程逻辑器上设置有多个光隔输入接口、多个光隔输出接口和多个继电器输出接口，上述的数据管理模块包括微处理器B及连接在微处理器B上的触摸屏和存储器，微处理器B通过串行通信接口连接微处理器A，微处理器B上还设置有USB接口、以太网接口和音频输出接口。

上述的存储器包括RAM随机存储器、FLASH存储器和TF存储卡。

上述的串行通信接口为RS232或RS485接口。

上述的微处理器A为ARM7处理器；微处理器B为ARM11处理器。

上述的触摸屏上设置有多个按键，包括历史记录、柱状图、单次采集、数据库、通道设置、系统设置、用户管理和累计显示按键。

本实用新型的有益效果是：集成了采集，存储，管理以及控制功能于一体，避免了传统分离方式下接口不统一，使用不方便，开发周期长，维护成本高的缺点。采用嵌入式数据库技术对数据进行管理，方便网络数据提取、监测、备份、加密、再分析等，克服了误报率高等缺点。

附图说明

图1 为本实用新型的结构示意图。

具体实施方式

下面结合实施例及附图对本实用新型作进一步的详细说明，但是本实用新型的结构不仅限于以下实施例：