基于协同入侵检测的网络安全处理系统技术方案

本申请公开了一种基于协同入侵检测的网络安全处理系统，涉及互联网技术领域，包括：入侵检测模块，设置于网络中的多个不同的检测节点处，配置为对检测节点出产生的网络数据进行采集；协同分析模块，设置于网络中的多个不同的检测节点处，配置为接收同一检测节点或其他检测节点处采集到的数据信息，并对接收到的数据信息进行数据分析；协同管理模块，控制所述入侵检测模块和所述协同分析模块的运行，及根据预设的协同分配机制进行安全处理的节点分配。本申请的基于协同入侵检测的网络安全处理系统，实现以协作的方式对各个入侵检测模块检测到的网络数据进行数据分析、异常处置，进而实现快速的对网络安全异常的处置，提高网络系统的防御能力。统的防御能力。

【技术实现步骤摘要】
基于协同入侵检测的网络安全处理系统


[0001]本申请涉及互联网
，具体是基于协同入侵检测的网络安全处理系统。

技术介绍

[0002]现有技术中，基于网络安全的入侵检测系统，通常是在网络层通过原始的IP包进行检测，随着网络技术的发展，该种检测方式已不能满足日益增长的网络安全需求。而基于主机系统的入侵检测，采用直接查看用户行为和操作系统日志数据来寻找入侵，很难发现来自底层的网络攻击。未来的网络是全交换的网络，网络速度越来越快，且许多数据包是采用加密方式存在的，从而导致安全防御系统在采集动态网络数据包的时候需要面临较为困难的局面，并且，在于安全事件的处置过程中，单一的处置节点也越来越无法满足日益增长的处置需求，因此，导致现有技术中的网络安全防御系统存在网络安全防护漏洞较大、安全防御性较差的问题。

技术实现思路

[0003]本申请的目的在于提供一种基于协同入侵检测的网络安全处理系统，以解决上述
技术介绍
中提出的技术问题。
[0004]为实现上述目的，本申请公开了以下技术方案：一种基于协同入侵检测的网络安全处理系统，包括：
[0005]入侵检测模块，设置于网络中的多个不同的检测节点处，配置为对检测节点出产生的网络数据进行采集；
[0006]协同分析模块，设置于网络中的多个不同的检测节点处，配置为接收同一检测节点或其他检测节点处采集到的数据信息，并对接收到的数据信息进行数据分析；
[0007]协同管理模块，控制所述入侵检测模块和所述协同分析模块的运行，及根据预设的协同分配机制进行安全处理的节点分配。
[0008]作为优选，所述入侵检测模块包括配置为用于采集网络数据的事件采集单元，所述事件采集单元还将采集到的网络数据做统一格式的处理。
[0009]作为优选，所述入侵检测模块与路由器的传输端口匹配连接，所述事件采集单元还配置为获取路由器运行策略，并对网络数据进行采集，在所述协同分析模块分析采集到的网络数据为异常数据时，向该路由器发出安全警报。
[0010]作为优选，所述入侵检测模块与路由器的传输端口匹配连接，在所述协同分析模块分析采集到的网络数据为异常数据时，阻断主机与外部的连接，并生成攻击行为日志。
[0011]作为优选，所述入侵检测模块还包括配置为用于对采集到的网络数据进行溯源的事件溯源单元，所述事件溯源单元对网络数据的事件类型和网络数据对应的设备IP地址、MAC地址进行提取，并将网络数据的事件类型和网络数据对应的设备IP地址、MAC地址与统一格式后的网络数据、该入侵检测模块的节点位置进行压缩和打包。
[0012]作为优选，所述协同分析模块包括配置为用于对接收到的数据信息进行破译解析
的数据解析单元、基于卷积神经网络对安全事件的攻击特点进行解析和深度学习的特征解析单元、包括用于将所述数据解析单元的破译解析结果和所述特征解析单元的内容进行比对的特征比对单元、用于基于所述特征解析单元的内容进行策略制定的策略制定单元，所述的破译解析包括数据的解压、数据的破译、数据特征的提取。
[0013]作为优选，所述特征解析单元还配置为基于聚类算法对安全事件的攻击特点进行聚类处理。
[0014]作为优选，所述协同分析模块还包括基于所述特征比对单元的比对结果对采集到的网络数据进行评价的事件评价单元，所述事件评价单元基于预设的核验规则对网络数据的安全等级进行划分，在网络数据通过预设的核验规则时未发现攻击特征或异常数据时，评将该网络数据评价为安全数据，在网络数据通过预设的核验规则被判定为具有所述特征解析单元内已经学习的攻击特征时，将该网络数据评价为低风险数据，在网络数据通过预设的核验规则被判定为具有攻击特征且该攻击特征不在所述特征解析单元内已经学习的范围内时，将该网络数据评价为高风险数据。
[0015]作为优选，所述事件评价单元还配置为将安全数据反馈至该网络数据对应的入侵检测模块处并使该网络数据进行网络传输、将低风险数据分配至所述特征比对单元进行特征比对和分配至所述策略制定单元进行策略匹配进行安全处置、将高风险数据反馈至所述协同管理模块并由所述协同管理模块基于预设的处置规则进行处置，所述预设的处置规则包括将所述高风险数据发送给相关人员进行人为的安全处置。
[0016]作为优选，该种基于协同入侵检测的网络安全处理系统的工作方法包括以下步骤：
[0017]所述入侵检测模块对检测节点处的网络数据进行采集，并对采集到的网络数据做统一格式的处理，同时对网络数据的事件类型和网络数据对应的设备IP地址、MAC地址进行提取，并将网络数据的事件类型和网络数据对应的设备IP地址、MAC地址与统一格式后的网络数据、该入侵检测模块的节点位置进行压缩和打包；
[0018]所述协同管理模块检测空闲的协同分析模块，将所述入侵检测模块压缩和打包后的数据包分配至其他的协同分析模块或与该入侵检测模块处于同一检测点处的协同分析模块；
[0019]所述协同分析模块获取数据包，对数据包进行数据分析，所述数据分析包括对接收到的数据信息进行破译解析、将所述数据解析单元的破译解析结果和所述特征解析单元的内容进行比对、基于比对结果在所述策略制定单元中匹配对应的应对策略；具体包括：所述协同分析模块对网络数据的安全性进行评价，在网络数据通过预设的核验规则时未发现攻击特征或异常数据时，评将该网络数据评价为安全数据，在网络数据通过预设的核验规则被判定为具有预设的攻击特征时，将该网络数据评价为低风险数据，在网络数据通过预设的核验规则被判定为具有攻击特征且该攻击特征不在预设的攻击特征范围内时，将该网络数据评价为高风险数据，并且，将安全数据反馈至该网络数据对应的入侵检测模块处并使该网络数据进行网络传输、将低风险数据分配至所述特征比对单元进行特征比对和分配至所述策略制定单元进行策略匹配进行安全处置、将高风险数据反馈至所述协同管理模块并由所述协同管理模块基于预设的处置规则进行处置，所述预设的处置规则包括将所述高风险数据发送给相关人员进行人为的安全处置；
[0020]在网络数据处置后，所述协同管理模块将处置信息进行留档记录。
[0021]有益效果：本申请的基于协同入侵检测的网络安全处理系统，基于在多个检测节点处布置的入侵检测模块实现多网络节点处的数据流量进行全面的监测，同时，基于协同分析模块，实现以协作的方式对各个入侵检测模块检测到的网络数据进行数据分析、异常处置，进而实现快速的对网络安全异常的处置。进一步地，在处置过程中，通过全面的数据解析、明确的特征分析和比对、应对策略的匹配，能够准确、高效的实现异常处置，同时，在协同管理模块的分配机制下，将高危的异常数据分配到人工处理，从而实现对各种风险等级的安全事件的合理分配，确保异常数据的处理效率和可靠性。
附图说明
[0022]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于协同入侵检测的网络安全处理系统，其特征在于，包括：入侵检测模块，设置于网络中的多个不同的检测节点处，配置为对检测节点出产生的网络数据进行采集；协同分析模块，设置于网络中的多个不同的检测节点处，配置为接收同一检测节点或其他检测节点处采集到的数据信息，并对接收到的数据信息进行数据分析；协同管理模块，控制所述入侵检测模块和所述协同分析模块的运行，及根据预设的协同分配机制进行安全处理的节点分配。2.根据权利要求1所述的基于协同入侵检测的网络安全处理系统，其特征在于，所述入侵检测模块包括配置为用于采集网络数据的事件采集单元，所述事件采集单元还将采集到的网络数据做统一格式的处理。3.根据权利要求2所述的基于协同入侵检测的网络安全处理系统，其特征在于，所述入侵检测模块与路由器的传输端口匹配连接，所述事件采集单元还配置为获取路由器运行策略，并对网络数据进行采集，在所述协同分析模块分析采集到的网络数据为异常数据时，向该路由器发出安全警报。4.根据权利要求3所述的基于协同入侵检测的网络安全处理系统，其特征在于，所述入侵检测模块与路由器的传输端口匹配连接，在所述协同分析模块分析采集到的网络数据为异常数据时，阻断主机与外部的连接，并生成攻击行为日志。5.根据权利要求2所述的基于协同入侵检测的网络安全处理系统，其特征在于，所述入侵检测模块还包括配置为用于对采集到的网络数据进行溯源的事件溯源单元，所述事件溯源单元对网络数据的事件类型和网络数据对应的设备IP地址、MAC地址进行提取，并将网络数据的事件类型和网络数据对应的设备IP地址、MAC地址与统一格式后的网络数据、该入侵检测模块的节点位置进行压缩和打包。6.根据权利要求1所述的基于协同入侵检测的网络安全处理系统，其特征在于，所述协同分析模块包括配置为用于对接收到的数据信息进行破译解析的数据解析单元、基于卷积神经网络对安全事件的攻击特点进行解析和深度学习的特征解析单元、包括用于将所述数据解析单元的破译解析结果和所述特征解析单元的内容进行比对的特征比对单元、用于基于所述特征解析单元的内容进行策略制定的策略制定单元，所述的破译解析包括数据的解压、数据的破译、数据特征的提取。7.根据权利要求6所述的基于协同入侵检测的网络安全处理系统，其特征在于，所述特征解析单元还配置为基于聚类算法对安全事件的攻击特点进行聚类处理。8.根据权利要求6所述的基于协同入侵检测的网络安全处理系统，其特征在于，所述协同分析模块还包括基于所述特征比对单元的比对结果对采集到的网络数据进行评价的事件评价单元，所述事件评价单元基于预设的核验规则对网络数据的安全等级进行划分，在网络数据通过预设的核验规则时未发现攻击特征或异常数据时，评将该网络...

【专利技术属性】
技术研发人员：冯淞耀，粟邈如，贺冠博，宋骏豪，陈剑皓，潘俊冰，艾洲，黄峥妍，杨文杰，
申请(专利权)人：广西电网有限责任公司，
类型：发明
国别省市：