[发明专利]用于提供计算机网络安全的系统和方法

权利要求书

1.一种用于提供计算机网络安全的系统，包括多个入侵检测模块、多个管理分析器和控制器，其特征在于：所述入侵检测模块，用以收集目标网段上传输的数据，根据管理员通过区域管理分析中心预先设定的入侵规则对来自内外网络的入侵行为进行实时跟踪检测，所述管理分析器，用以管理数据检测器，同时承担着告警信息的分析，所述控制器，用以安全管理中心相应命令的指引，对网络设备进行配置、消除威胁，阻拦入侵者、向内网用户发送警告、修复漏洞。

2.根据权利要求1所述的一种用于提供计算机网络安全的系统，其特征在于：所述入侵检测模块包括数据检测器，所述数据检测器包括数据采集模块、协议解码模块、预处理模块、检测分析模块、规则解析模块和日志模块。

3.根据权利要求2所述的一种用于提供计算机网络安全的系统，其特征在于：所述数据采集模块，用以监听、捕获网络中的原始数据包，并按照过滤要求进行数据包过滤。

4.根据权利要求2所述的一种用于提供计算机网络安全的系统，其特征在于：所述协议解码模块，用以对过滤后的原始数据包按照协议结构进行协议解码，以便于预处理模块和检测分析模块进行入侵分析。

5.根据权利要求2所述的一种用于提供计算机网络安全的系统，其特征在于：所述预处理模块，用以协议解码处理后，检测分析模块处理前进行对得到的数据包进行预处理，一方面可以发现入侵信息，另一方面为检测分析模块做最后的准备。

6.根据权利要求2所述的一种用于提供计算机网络安全的系统，其特征在于：所述检测分析模块，用以对预处理模块提交的数据，运用匹配算法和规则库中的规则进行比较分析，从而判断出是否有入侵行为。

7.根据权利要求2所述的一种用于提供计算机网络安全的系统，其特征在于：所述日志模块，用以检测引擎在入侵检测过程中，当与管理分析中心失去通信联系时，能够独立的运行，此时将所有的捕获到的数据以及告警信息存放存在数据检测器所在的本地计算机的日志上，以便于管理员的查询。

8.根据权利要求1所述的一种用于提供计算机网络安全的系统，其特征在于：所述管理分析器包括数据库模块、警告模块和显示屏。

9.根据权利要求3所述的一种用于提供计算机网络安全的系统，其特征在于：所述数据库模块包括探测器模块数据库、安全事件数据库和响应策略数据库，所述探测器模块数据库用于存储安装在探测器上的功能模块，可以由核心功能组件进行添加和删除操作，安全事件数据库用于存储不同类型安全事件及其定义，并对输入的安全事件进行统计和威胁性分析，响应策略数据库用于存储针对各种安全事件的处理策略，输入安全事件分析结果，返回相应处理策略。

10.一种权利要求1所述用于提供计算机网络安全的方法，其特征在于：该用于提供计算机网络安全的方法具体步骤如下：

S1、数据检测器分布于各个局域网内，负责监视所在网段的安全事件，对入侵行为做出响应并发送告警信息至管理分析器中；

S2、管理分析器对数据检测器上报的告警信息进行聚合分析；

S3、将分析的结果发送给控制器，用来控制网络的运行。