[发明专利]一种检测非法访问计算机网络的系统和方法

权利要求书

1.一种检测非法访问计算机网络的系统，包括中央处理器(1)，所述中央处理器(1)电性双向连接检测装置(2)，所述检测装置(2)包括网络漏洞探测器(21)、无线嗅探器(22)、无线检测探头(23)和手持式无线检测器(24)，所述中央处理器(1)电性双向连接数据分析系统(3)，所述数据分析系统(3)包括进攻识别子系统(4)和安全审计子系统(5)，所述进攻识别子系统(4)包括推理判断单元(41)、对比单元(42)和数据接收单元(43)，所述安全审计子系统(5)包括数据提取单元(51)、数据分析单元(52)、审计中心(53)和审计数据存储器(54)，所述中央处理器(1)分别电性双向连接数据库(6)和存储器(7)，所述中央处理器(1)分别电性输出连接报警器(8)和响应系统(9)；

当检测装置(2)进行检测工作时，网络漏洞探测器(21)对使用的计算机网络进行漏洞检测，网络漏洞探测器(21)在扫描的过程中对扫描状态、被扫描对象信息、漏洞信息传递给存储器(7)进行数据存储，无线嗅探器(22)把网卡设置于混杂模式，并实现对网络上传输的数据包的捕获和分析，再从中提取出可疑的非法访问数据包，无线检测探头(23)的安装位置处于特殊位置的工作站或者使用具有无线信号检测功能的无线AP，来对非法入侵安装无线检测探头(23)的工作站或者无线AP进行信号进行检测，定期通过手持式无线检测器(24)对使用的网络进行检测，检测装置(2)将检测后的数据传递给中央处理器(1)，通过四种检测方式来对使用的网络进行检测，使得检测结果的遗漏率得到降低，进而进一步提高了网络使用的安全性；

当数据分析系统(3)进行工作时，先通过进攻识别子系统(4)对检测装置(2)检测到的可疑的非法访问数据进行识别，数据接收单元(43)对检测装置(2)检测到的可疑的非法访问数据进行接收，接收后的数据通过对比单元(42)进行对比，对比单元(42)将检测到的数据与数据库(6)中存储的木马和病毒数据进行对比，再通过推理判断单元(41)来对对比后的数据进行推理判断，判断该可疑数据为木马或病毒，数据分析系统(3)再通过安全审计子系统(5)对识别后的数据进行安全审计，数据提取单元(51)对识别后的数据进行提取，提取后的数据通过数据分析单元(52)进行数据分析，通过分析后对识别后的数据进行危险等级评测，评测后的数据再通过审计中心(53)对其进行处理，审计中心(53)对数据进行编码和压缩处理，最后通过审计数据存储器(54)进行存储。

2.根据权利要求1所述的一种检测非法访问计算机网络的系统，其特征在于：所述响应系统(9)中的响应装置包括防火墙、路由器和分线器。

3.根据权利要求1所述的一种检测非法访问计算机网络的系统，其特征在于：所述报警器(8)为蜂鸣报警器。

4.根据权利要求1所述的一种检测非法访问计算机网络的系统，其特征在于：所述数据库(6)中存储有常见的木马和病毒特征数据。

5.一种检测非法访问计算机网络的方法，其特征在于：该检测非法访问计算机网络的方法具体步骤为：

S1:网络检测：通过检测装置(2)对使用的网络进行检测，检测后的数据传递给中央处理器(1)进行后续处理；

S2:进攻识别：中央处理器(1)将检测到的数据分别传递给存储器(6)和数据分析系统(3)，存储器(6)对检测数据进行存储，形成检测日志，便于后期检测人员进行统计和分析，数据分析系统(3)通过进攻识别子系统(4)对检测的数据进行识别，来对检测的数据进行判别，判别后的数据再通过安全审计子系统(5)进行审计；

S3:安全审计：安全审计子系统(5)对识别后的数据进行审计，来判断可疑的非法访问数据包危险等级，便于系统采取相应的防御响应措施；

S4:防御响应：响应系统(9)根据审计后的数据来采取相应的防御响应措施。

6.根据权利要求5所述的一种检测非法访问计算机网络的方法，其特征在于：所述步骤S4中响应系统(9)采取的防御响应措施包括进行报警、切断连接、封掉IP或进行反击。