[发明专利]一种网络入侵防御系统

说明书

本发明公开了一种网络入侵防御系统，属于计算机技术领域。包括解析及响应层，所述解析及响应层用于为整个防御系统提供对客户端发送的Http报文请求的解析及服务器响应时Http报文封装的接口；当有客户端访问服务器时通知策略引擎调度策略检测客户端的访问信息并为策略引擎提供响应的实现；所述解析及响应层是由服务器提供的接口封装实现；策略引擎层，所述策略引擎层用于策略的调度在策略中通过所述解析及响应层提供的接口获取客户端的信息具体的响应也交给所述解析及响应层完成；同时所述策略引擎还需要调度数据管理层完成策略的加载以及日志记录的功能。本发明结构简单、使用方便，实用性强，适合推广使用。

技术领域

本发明涉及计算机技术领域，尤其涉及一种网络入侵防御系统。

背景技术

入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

现有的网络入侵防御系统在防御过程中存在较多的缺陷，一般网络入侵防御系统的大多数都通过分析某些安全设备的日志对已经发生的攻击行为进行分析和监测，基本都是被动防御的思路，缺乏网络安全态势感知与联动预警的能力，当检测到网络攻击事件之后再采取相应的应急措施，此时损失已经造成，不利于用于隐私的保护。因此，针对上述问题提出一种网络入侵防御系统。

发明内容

本发明的目的就在于为了解决上述机网络入侵防御系统结构复杂且入侵防御效果低下的问题而提供一种网络入侵防御系统，具有全面监控的优点。

为实现上述目的，本发明采用如下技术方案：

一种网络入侵防御系统，包括

解析及响应层，所述解析及响应层用于为整个防御系统提供对客户端发送的Http 报文请求的解析及服务器响应时 Http 报文封装的接口；当有客户端访问服务器时通知策略引擎调度策略检测客户端的访问信息并为策略引擎提供响应的实现；所述解析及响应层是由服务器提供的接口封装实现。

策略引擎层，所述策略引擎层用于策略的调度在策略中通过所述解析及响应层提供的接口获取客户端的信息具体的响应也交给所述解析及响应层完成；同时所述策略引擎还需要调度数据管理层完成策略的加载以及日志记录的功能。

数据管理层，所述数据管理层用于提供日志记录、配置管理及策略脚本解析的功能。

所述解析及响应层、所述策略引擎层、所述数据管理层都完成相对独立的功能，当某一层的实现发生变化时，只要提供的接口没有变化，对其他几层就没有影响。

进一步的技术方案，所述解析及响应层包括IPS 管理模块，负责管理和连接各个模块，管理数据流，读取配置文件后完成整个系统的初始化，对整个系统的状态进行管理，运行，停止，重新加载；当 Http 报文解析模块通知有客户端的访问时，调用策略引擎对客户端的行为及信息进行检测，对策略引擎返回的结果通知 Http 响应模块进行响应。

所述策略引擎层包括配置文件模块，用于完成配置文件的读取及保存，提供统一的接口，且配置文件模块可以根据需要而作修改。

所述策略引擎层包括日志模块，用于对系统运行时产生的日志或对入侵防御行为的进行记录，使用统一的格式将日志信息记录在文本文件中。

所述所述解析及响应层包括Http 报文的解析模块，为每一个客户端生成一个实现了能检测客户端相关信息的接口的对象，对客户端访问Web服务器时提交的原始数据进行解析，并通知IPS管理模块收到客户端的访问请求，请求策略引擎检测客户端的访问行为。

所述所述策略引擎层包括Http 响应模块，用于对数据报文进行组装。