[发明专利]一种网络入侵防御系统与方法

说明书

技术领域

本发明涉及网络安全领域，更具体地，特别是指一种网络入侵防御系统与方法。

背景技术

随着网络安全技术发展，我国已形成完整的技术产品体系。但我国目前网络安全产品大都基于国外通用或网络处理器、交换芯片、操作系统进行研制，无法避免后门植入等风险，安全性也必然得不到根本保障，急需开展基于国产关键软硬件的网络入侵防御系统技术研究。

针对现有技术中缺乏安全可靠的国产网络入侵防御系统的问题，目前尚未有有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种网络入侵防御系统与方法，能够针对不同服务器或不同类型的服务器进行网络入侵防御，完全国产并且安全可靠。

基于上述目的，本发明实施例的一方面提供了一种网络入侵防御系统，包括：

内网接口单元，用于引入内网数据以进行处理；

外网接口单元，用于引入外网数据以进行处理；

业务处理单元，用于检测并阻止来自所述内网接口单元与所述外网接口单元的入侵行为；

背板，分别连接至内网接口单元、外网接口单元与业务处理单元，用于将内网接口单元、外网接口单元与业务处理单元相连接并对其供电。

在一些实施方式中，内网接口单元与外网接口单元各自包括支持二、三层网络协议的三层以太网交换模块，三层以太网交换模块具有多个千兆以太网口和万兆小型可插拔模块(Small Form-factor Pluggables，SFP+)接口。

在一些实施方式中，业务处理单元包括处理器、内存、固态硬盘(Soild State Drives，SSD)、复杂可编程逻辑器件(Complex Programmable Logic Device，CPLD)与其应用的软件系统。

在一些实施方式中，软件系统包括驱动、安全检测引擎、安全响应模块、管理控制模块与支撑库，其中，驱动包括高速网卡驱动与存储驱动；安全检测引擎根据行为分析、关联分析、协议异常检测、流量异常检测、智能协议分析识别与深度报文检测，对网络攻击行为进行分析、匹配与识别；安全响应模块根据包丢弃、会话阻断、IP隔离、报警显示、邮件告警与事件审计，对网络攻击行为进行响应处理；管理控制模块根据用户管理、策略配置、流量控制、安全审计、协议定制、系统管理与日志管理，进行系统管理控制并为用户提供人机对话接口；支撑库包括行为知识库和统一特征库，用于为安全检测引擎提供知识库支持。

在一些实施方式中，背板通过使用紧凑型外围设备互联(Compact Peripheral Component Interconnect，CPCI)接口分别与内网接口单元、外网接口单元与业务处理单元相连接。

在一些实施方式中，网络入侵防御系统使用透明部署模式部署，并且所使用的芯片与处理器均为国产芯片与处理器。

本发明实施例的另一方面，还提供了一种网络入侵防御方法，使用了上述系统。

本发明实施例的另一方面，还提供了一种计算机设备，包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时使用上述的系统。

本发明实施例的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时使用上述的系统。

本发明实施例的另一方面，还提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机可读存储介质上的计算程序，所述计算程序包括指令，当所述指令被计算机执行时，使所述计算机使用上述系统。

本发明具有以下有益技术效果：本发明实施例提供的网络入侵防御系统与方法，通过将内外网数据引入业务处理单元检测并阻止入侵行为的技术方案，能够针对不同服务器或不同类型的服务器实现对蠕虫、病毒、木马、后门、相关攻击等网络入侵行为的主动防御，保证用户网络使用安全，完全国产并且安全可靠。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的网络入侵防御系统的第一个实施例的结构示意图；

图2为本发明提供的网络入侵防御系统的第二个实施例的结构示意图；