[发明专利]一种入侵防御系统及方法

说明书

技术领域

本发明涉及网络安全领域，具体涉及一种入侵防御系统及方法。

背景技术

随着大数据时代的到来，各种大数据技术不断涌现的同时，给人们社会生活带来了极大的便利。与此同时，有关大数据的安全和利用大数据来进行网络攻击的问题也日渐突出，尤其是目前最具威胁的APT攻击。这给我们的网络环境带来了极大的威胁，特别是对于大型企业和国家重要部门。对于APT攻击的检测也成了网络检测的重点检测对象。传统的入侵检测/防御系统存在误报、漏报高的缺点。

目前主流的解决手段是采用多种防御技术融合，比如防火墙和入侵防御系统的结合。通过掌握常见网络攻击的特征码，来建立特征库，同时对特征库进行定期更新。使用蜜罐收集攻击，分析攻击特征也成为一种常用的手段。最新的方法有利用机器学习来对攻击行为进行学习，以找出攻击特征。

在文献《机器学习在网络入侵检测中的应用》中，朱琨等人提出了将用机器学习应用到入侵检测中；利用机器学习的方式智能检测攻击行为，提高了入侵检测效率，降低了误报率和漏报率。这种方法存在以下不足：1、面对高速大规模数据的冲击时，不能进行有效的检测，漏报率、误报率会较高；2、没有高效能的计算平台，可能出现不能及时检测到攻击或者检测到攻击行为是攻击已经发生了。

在文献《基于机器学习和NetFPGA的智能高速入侵防御系统》中，李艺颖等人提出了一种提出了结合基于硬件的网络数据流高速捕获过滤、经典机器学习技术以及当前人工智能领域前沿的深度学习自编码技术的入侵检测新思路，实现了基于NetFPGA的智能、高速的网络入侵防御系统，并在测试中取得了优于其他同一成本水平入侵检测。该方法存在以下不足：单片NetFPGA芯片的高性能计算能力有限，面对大规模高速数据进入入侵防御系统时，防御效果不理想，会出现性能瓶颈，误报率、漏报率会比较高，不适用于防御大数据的攻击。

发明内容

本发明所要解决的技术问题是得到一种入侵防御系统适用于防御大数据的攻击，目的在于提供一种入侵防御系统及方法，极大地提高了入侵防御系统对数据包的检测匹配速度，计算能力强，在攻击行为还没有发生时就能及时检测到攻击行为，不会出现误报和漏报的情况，防御效果好，非常适用于防御大数据的攻击。

本发明通过下述技术方案实现：

一种入侵防御系统及方法，包括一种入侵防御系统，其特征在于，包括

数据包捕获模块：负责对进入主机的数据包进行捕获并将其存储在数据存储模块的数据库中；

数据存储模块：对整个入侵防御系统内的数据进行存储；

数据包分析模块：对数据包捕获模块捕获到的数据包进行分析，对分片的数据包进行重组，根据数据包的源地址、源端口、协议类型和数据包大小进行分类；

匹配过滤模块：利用匹配过滤器中的匹配过滤算法对捕获到的数据包进行匹配与过滤；

FPGA加速平台：利用FPGA计算系统的计算特性加速数据，包分类模块、匹配过滤模块和神经训练模块的算法的执行速度；

安全响应模块：根据匹配过滤模块的过滤结果执行相应的响应；

特征学习模块：对经过匹配过滤后的数据利用嵌入在FPGA加速平台上的神经网络算法进行神经训练学习。

本发明中FPGA加速平台采用异构方式将大规模FPGA芯片通过异构方式连接起来，然后作为协处理器与CPU芯片共享高速缓存结合起来，通过一系列步骤将所需的加速算法嵌入到FPGA芯片中得以实现；其中CPU芯片用来对任务进行调度，FPGA芯片用于高性能并行计算，充分利用FPGA芯片的高性能计算特性；同时FPGA芯片具有可重构特性，可以根据需要实现重构，利用FPGA高性能计算平台的高性能计算能力加速入侵防御系统的检测速度，FPGA加速平台相比现有的单片NetFPGA芯片，将核心算法嵌入到大规模FPGA芯片构成的高性能计算平台上，极大地提高了入侵防御系统对数据包的检测匹配速度，计算能力强，不会出现性能瓶颈，即便是面对大规模高速数据进入入侵防御系统时，也能在攻击行为还没有发生时就能及时检测到攻击行为，不会出现误报和漏报的情况，防御效果好，非常适用于防御大数据的攻击。本发明采用机器学习方式不断对捕获到的数据包经匹配过滤后进行实时学习，提取特征码，使提取到的特征码更准确完善，有效降低在匹配过程中的误报率、漏报率。

优选的，还包括日志分析模块：对主机内部产生的日志文件进行实时分析。