[发明专利]基于协同入侵检测的大规模网络安全防御系统

权利要求书

1.一种基于协同入侵检测的大规模网络安全防御系统，其特征在于，包括：

协同入侵检测引擎，设置于网络中的多个不同位置，用于进行协同数据采集并发送检测事件对应的类型和检测位置的IP地址；

协同数据分析模块，与所述协同入侵检测引擎连接，用于汇总多个所述协同入侵检测引擎采集的数据并进行协同分析；

协同响应模块，与所述协同数据分析模块连接，用于获取所述协同数据分析模块的分析结果并及时控制网络安全模块的运行；

协同管理器，用于存储各个所述协同入侵检测引擎对应的安全事件类型和IP地址，并控制系统运行，所述协同管理器与所述协同数据分析模块、所述协同响应模块相连；

所述协同数据分析模块包括用于对多种入侵事件进行深度学习的学习单元、用于获取检测事件和IP地址的检测数据获取单元、用于将获取到的检测事件数据与该IP地址对应的安全事件进行比对的检测点数据比对单元、用于对获取到的检测事件与对应的安全事件制作列表并生成网络日志的混合列表单元、用于根据所述学习单元深度学习的内容对制作完成的列表内容进行异常检查的纠错查异单元；所述检测数据获取单元与所述协同入侵检测引擎通讯连接，所述检测点数据比对单元分别与所述检测数据获取单元、所述协同管理器相连，所述混合列表单元与所述检测点数据比对单元相连，所述纠错查异单元分别与所述混合列表单元、所述协同响应模块相连；

所述协同入侵检测引擎包括相互连接的协同数据采集模块、入侵检测管理模块，所述协同数据采集模块用于协同采集入侵检测数据和漏洞扫描系统数据、协同采集入侵检测数据和病毒查杀系统数据；所述入侵检测管理模块包括通信单元、响应与测试单元，所述通信单元接收所述协同数据采集单元的告警事件，并向所述协同数据分析模块发送该告警事件；所述响应与测试单元用于获取所在位置的IP地址，并对该IP地址下的实时运行数据、历史运行数据进行获取，并通过所述通信单元传输至所述协同数据分析模块，同时，接收并运行所述协同响应模块下发的响应指令；

所述协同响应模块包括入侵检测与防火墙协同单元、入侵检测与路由器协同单元、入侵检测与交换机协同单元、入侵检测与病毒查杀系统协同单元、入侵检测与蜜罐协同单元；

所述入侵检测与交换机协同单元包括静态分析层面、动态分析层面；所述静态分析层面包括所述协同入侵检测引擎获取交换机运行策略，并对网络安全进行分析，在出现网络入侵时发出报警；所述动态分析层面包括所述协同入侵检测引擎发现攻击行为时，发送该攻击行为至所述交换机以阻断主机与外部的连接，并生成攻击行为日志；

所述入侵检测与蜜罐协同单元包括所述协同入侵检测引擎基于所述协同管理器共享的诱骗数据在所述协同入侵检测引擎所在检测点进行检测，在发现相似度达到90~100%的数据片段时，及时发送检测事件至所述协同数据分析模块，且所述协同入侵检测引擎阻断已经建立的连接；

所述入侵检测与路由器协同单元包括静态分析层面、动态分析层面；所述静态分析层面包括所述协同入侵检测引擎获取路由器运行策略，并对网络安全进行分析，在出现网络入侵时发出报警；所述动态分析层面包括所述协同入侵检测引擎发现攻击行为时，发送该攻击行为至所述路由器以阻断主机与外部的连接，并生成攻击行为日志；

所述响应指令包括终止当前的连接、自动配置防火墙访问控制链表、自动配置路由器访问控制链表、自动配置交换机访问控制链表。

2.根据权利要求1所述的基于协同入侵检测的大规模网络安全防御系统，其特征在于，所述入侵检测与防火墙协同单元包括静态分析层面、动态分析层面；所述静态分析层面包括所述协同入侵检测引擎获取防火墙运行策略，并对网络安全进行分析，在出现网络入侵时发出报警；所述动态分析层面包括所述协同入侵检测引擎发现攻击行为时，发送该攻击行为至所述防火墙以阻断主机与外部的连接，所述防火墙分析攻击行为方式并修改策略。

3.根据权利要求1所述的基于协同入侵检测的大规模网络安全防御系统，其特征在于，所述入侵检测与病毒查杀系统协同单元包括数据协同查毒层面、响应协同杀毒层面；所述数据协同查毒层面包括控制所述协同入侵检测引擎向主机发送大量的测试数据段，并对应接收主机的响应状态；所述响应协同杀毒层面包括主机在执行杀毒指令时，所述协同入侵检测引擎获取并执行主机原始系统强制启动程序，且所述协同入侵检测引擎发送大量RST报文阻断已经建立的连接。