【技术实现步骤摘要】
本专利技术网络安全入侵检测领域,具体为一种基于协同入侵检测的大规模网络安全防御系统。
技术介绍
1、随着互联网的迅猛发展,网络安全问题变得越来越严峻。恶意攻击者利用漏洞和弱点进行入侵,对个人、企业和国家的网络资产和数据造成威胁。传统的网络安全防御系统通常采用集中式的方式进行入侵检测和防御,但在大规模网络环境下,在应对不断变化的威胁时存在一定的局限性,容易出现单点故障、性能瓶颈的问题,无法有效保障大规模网络安全;因此,本专利技术提出了一种基于协同入侵检测的大规模网络安全防御系统以解决上述问题。
2、现有技术如公开号为:cn111865974a的专利技术专利申请明公开了一种网络安全防御系统及方法,本方案包括:网络入侵检测及防御单元,网络登录验证单元,网络流量监测单元,控制器,流量管理服务器以及网络状态监控服务器,所述控制器分别与网络入侵检测及防御单元,网络登录验证单元,网络流量监测单元,流量管理服务器以及网络状态监控服务器数据连接;本专利技术采用的防御系统能够实现对网络病毒、网络流量、网络运行状态以及使用者身份的实时监控,多方位防御,提高了防御效果。
3、现有技术如公开号为:cn1668015a的专利技术专利申请公开的一种基于协同入侵检测的大规模网络安全防御系统。其中,并行防火墙子系统采用先进的并行技术和独特的基于信任度的模型,有效志抵御ddos攻击;并行ids子系统采用并行技术和流行的状态检测技术相结合;流量检测子系统基于人工神经网络模型,对非规则数据具有高度的识别能力,能检测已知攻击并发现新的攻击行为。并
4、结合上述方案发现,当前在入侵检测的大规模网络安全防御中,鲜少有针对网络设备中各节点的重要影响因素进行分析,如日志数据、流量数据、行为数据等,可能导致误判或漏判安全威胁,进而无法有效应对潜在的安全风险,还可能会导致会导致安全事件溯源困难,使得难以追踪和分析安全事件的起源和传播路径等问题,进而影响及时的处理安全威胁,并且可能无法有效保障大规模网络安全的问题。
技术实现思路
1、针对现有技术的不足,本专利技术提供了一种基于协同入侵检测的大规模网络安全防御系统,能够有效解决上述
技术介绍
中涉及的问题。
2、为实现以上目的,本专利技术通过以下技术方案予以实现:一种基于协同入侵检测的大规模网络安全防御系统,包括入侵单元节点检测模块,用于监测分析网络设备的特征数据,并由各节点协同初步进行入侵检测,同时发送入侵检测分析指令。
3、协同分析模块,用于接收入侵检测分析指令,协同采集分析网络安全审计日志数据,筛分入侵检测结果匹配防御策略。
4、管理控制防御模块,用于根据防御策略对网络流量进行过滤和阻断。
5、进一步地,所述监测分析网络设备的特征数据,并由各节点协同进行入侵检测,具体过程为:设置监测周期,并遍历网络设备各节点中的日志数据,统计监测周期中网络设备各节点中的各访问ip,统计各访问ip的访问次数以及监测周期的时长,计算网络设备各节点中的各访问ip的访问频率。
6、提取云数据库中存储的界定访问频率,经处理得到网络设备各节点的访问入侵评估值。
7、采集监测周期内网络设备各节点中各访问ip的使用流量以及发送的数据包大小,并提取云数据库中存储的界定使用流量以及参照发送数据包大小,经处理得到网络设备各节点的流量入侵评估值。
8、采集监测周期内网络设备各节点中系统错误次数、服务崩溃次数和ip总连接数量,并提取云数据库中存储的界定系统错误次数、单次服务崩溃影响因子和界定连接数量,经处理得到网络设备各节点的行为入侵评估值。
9、将各访问ip的访问频率、使用流量、发送的数据包大小以及系统错误次数、服务崩溃次数和ip总连接数量联合作为网络设备各节点的特征数据。
10、依据网络设备各节点的访问入侵评估值、流量入侵评估值以及行为入侵评估值,综合计算网络设备各节点的初步入侵评估值。
11、进一步地,所述网络设备各节点的初步入侵评估值,具体是通过对网络设备各节点的特征数据进行数值量化分析处理,得到的用于评估入侵检测程度的初步量化结果,以作为执行发送入侵检测分析指令的数值依据。
12、进一步地,所述发送入侵检测分析指令,具体过程为:将网络设备各节点的初步入侵评估值与设定的入侵评估阈值进行比对,得到入侵检测分析指令发送判定结果,入侵检测分析指令发送判定结果为发送指令或非发送指令,其中若网络设备某节点的初步入侵评估值高于或等于入侵评估阈值,则将入侵检测分析指令发送判定结果定义为发送指令,并将该节点标记为异常节点,若网络设备各节点的初步入侵评估值低于入侵评估阈值,则将入侵检测分析指令发送判定结果定义为非发送指令,由此控制执行发送入侵检测分析指令。
13、进一步地,所述协同采集分析网络安全审计日志数据,具体分析过程为:统计网络设备的各异常节点,并协同采集网络设备的安全审计日志数据,包括各异常节点中的网络配置的更改次数、异常文件访问次数和ip平均访问连接持续时间。
14、提取云数据库中存储的界定网络配置的更改次数、单次异常文件访问的异常因子和界定ip平均访问连接持续时间,计算网络设备的入侵表征值。
15、进一步地,所述网络设备的入侵表征值,具体是通过对网络设备各异常节点的网络安全审计日志数据进行数值量化分析处理,得到的用于进一步评估网络设备入侵检测程度的量化结果,以作为入侵检测结果的分析依据。
16、进一步地,所述筛分入侵检测结果并匹配防御策略,具体过程为:依据网络设备的各异常节点的初步入侵评估值以及网络设备的入侵表征值,综合计算网络设备的入侵计量指数。
17、将网络设备的入侵计量指数与设定的入侵指数阈值进行比对,得到入侵检测结果,入侵检测结果为已入侵或非入侵,其中网络设备的入侵计量指数高于或等于入侵评估阈值,则将入侵检测结果定义为已入侵,并与云数据库中存储的各入侵计量指数阈值区间对应的匹配防御策略进行匹配,得到入侵检测结果的防御策略,若网络设备的入侵计量指数低于入侵指数阈值,则将入侵检测结果定义为非入侵。
18、进一步地,所述网络设备的入侵计量指数,具体是通过对网络设备各节点的特征数据以及网络安全审计日志数据进行数值量化分析处理,得到的用于最终评估入侵检测结果程度的量化结果,以作为防御策略的分析依据。
19、进一步地,所述网络设备各节点的初步入侵评估值,计算公式为:;
20、式中,为网络设备第i个节点的初步入侵评估值,为网络设备第i个节点的访问入侵评估值,为网络设备第i个节点的流量入侵评估值,为网络设备第i个节点的行为入侵评估本文档来自技高网...
【技术保护点】
1.一种基于协同入侵检测的大规模网络安全防御系统,其特征在于,包括:
2.根据权利要求1所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述监测分析网络设备的特征数据,并由各节点协同进行入侵检测,具体过程为:
3.根据权利要求2所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述网络设备各节点的初步入侵评估值,具体是通过对网络设备各节点的特征数据进行数值量化分析处理,得到的用于评估入侵检测程度的初步量化结果,以作为执行发送入侵检测分析指令的数值依据。
4.根据权利要求1所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述发送入侵检测分析指令,具体过程为:
5.根据权利要求1所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述协同采集分析网络安全审计日志数据,具体分析过程为:
6.根据权利要求5所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述网络设备的入侵表征值,具体是通过对网络设备各异常节点的网络安全审计日志数据进行数值量化分析处理,得到
7.根据权利要求1所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述筛分入侵检测结果并匹配防御策略,具体过程为:
8.根据权利要求7所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述网络设备的入侵计量指数,具体是通过对网络设备各节点的特征数据以及网络安全审计日志数据进行数值量化分析处理,得到的用于最终评估入侵检测结果程度的量化结果,以作为防御策略的分析依据。
9.根据权利要求3所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述网络设备各节点的初步入侵评估值,计算公式为:
10.根据权利要求8所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述网络设备的入侵计量指数,计算过程为:
...【技术特征摘要】
1.一种基于协同入侵检测的大规模网络安全防御系统,其特征在于,包括:
2.根据权利要求1所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述监测分析网络设备的特征数据,并由各节点协同进行入侵检测,具体过程为:
3.根据权利要求2所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述网络设备各节点的初步入侵评估值,具体是通过对网络设备各节点的特征数据进行数值量化分析处理,得到的用于评估入侵检测程度的初步量化结果,以作为执行发送入侵检测分析指令的数值依据。
4.根据权利要求1所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述发送入侵检测分析指令,具体过程为:
5.根据权利要求1所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于:所述协同采集分析网络安全审计日志数据,具体分析过程为:
6.根据权利要求5所述的一种基于协同入侵检测的大规模网络安全防御系统,其特征在于...
【专利技术属性】
技术研发人员:吴为明,孙磊,沈艳俊,卢正雄,何梦池,汪宏达,黄锦,沈洋,刘凯,陈欢,李宁,
申请(专利权)人:安徽长瑞科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。